PR

「AI導入したのに成果が出ない」企業に共通する“最後の一歩”──データガバナンスがPoC止まりを生む真因

生成AI活用が浸透する中、企業の関心は自律的に動くAIエージェントに向かっている。しかし、多くの企業が本番導入の直前で足踏みしている。生成AI活用の現場で何が起きているのか。デロイト トーマツ グループに聞いた。

　生成AI活用が企業の共通認識となってから約3年半。その主戦場は次のステージに移りつつある。個人利用の「民主化」を終えた企業の関心は、業務プロセスへの組み込みや自律的に動くAIエージェントに向かっている。

　ところが、多くの企業が本番導入の直前で足踏みしている。技術基盤とデータも整備された。経営からは「使わないと競争から脱落する」と号令が飛ぶ。しかし、最後の段階でブレーキがかかる。技術基盤の問題だけではない。「どのデータを誰の判断でAIに読ませるのか」を規定するルールと、それを実装する仕組み。この両方が追い付いていない。

　企業の生成AI活用の現場で何が起きているのか。金融機関を中心にAI活用と統制を支援するデロイト トーマツ グループの3人に聞いた。

「最後の一歩」でためらう現場

　日本企業のAI活用は、「個人利用の解禁」「業務プロセスへの組み込み」「AIエージェントの実装」のフェーズを経てきた。合同会社デロイト トーマツ（以下、デロイト トーマツ）の三代剛氏によると、チャット基盤の整備から業務への組み込みまで、この2～3年で社内にほぼ行き渡った。監査業務でのドキュメント処理やコールセンターのチャットbot、音声応答など、用途は社内業務の効率化から顧客接点に広がっている。

　金融機関の温度感もこの1年で反転した。かつての「AIはリスクがあるから慎重に利用する」から、「使わないと他社に遅れる」とトップから指示が下りる状態に変わった。PoC（概念実証）まではどの企業もたどり着く。問題はその先だ。

　「データレイクのソフトウェアを導入し、AIが参照するデータも一定程度整備された。ところが『そもそもこのデータ項目をAIに読み込ませることは、セキュリティやコンプライアンス上問題はないのか』という疑問が出て、本番化に足踏みしてしまう」（三代氏）

　運用に落とし込むためのルールや体制、規程、システム上のガードレール。これらが整備されていない。「競争原理が働いていることから、AIの活用が先行、加速している。それに反してガバナンスの整理が追い付いていない」と三代氏は説明する。

AIエージェントで変わる「統制の対象」

　事態をさらに難しくしているのがAIエージェントだ。生成AIがプロンプト単位のタスク自動化にとどまるのに対し、AIエージェントはワークフロー全体を自律的に回して次のアクションを自ら決める。三代氏はこの違いを「新たな人類が生まれたようなもの」と表現する。

　自律的に動くとは、アクセスするデータを自ら選ぶことだ。「人（社員）であれば、アクセスする対象者をデータや書類の用途、重要性に応じて制御している。AIエージェントも同様に統制をかける必要がある」

　ある金融機関は、行内の情報をAIエージェントに横断的に読み込ませ、市場リスクやオペレーショナルリスクを自律的に発見してレポート化する検証を行っている。人の目では追い切れない量のデータから、危険な兆候をAIが拾い上げる。

　ただし、そこで権限設計の問題が出た。人事情報や機微情報への線引きを誰がどう設計し、コントロールするのか。この問いに答えが出ない限り、PoCから本番には進めない。金融業界に限った話ではない。顧客データを扱う全ての業界に同じ壁が立ちはだかる。

組織と文化、二重の壁

　権限設計の技術的な課題の手前に、もっと根本的な問題がある。組織の構造とリスクに対する発想だ。

　有限責任監査法人トーマツ（以下、トーマツ）の荒川真海氏が支援する大手の金融機関で、DX投資の現状と課題を評価するプロジェクトがある。AI関連のPoC案件を見ると、目的の多くが人件費削減や社内業務の効率化にとどまっていた。マーケットへの訴求や新サービスの創出になかなか踏み込めない。個人情報を含むデータを使おうとした途端に止まるからだ。

　もう一つの制約が組織の構造だ。AIやデータに関するテーマは、しばしば「IT部門によろしく」で片付けられる。だがデータは会社のさまざまな部署に散らばっている。「経営陣やCxO主導で旗振りをし、関係部署に協力を仰いで組織をまたぐリーダーシップを発揮しないと動かない。縦割りの強さが2つ目の制約になっている」（荒川氏）

　権限設計が甘いまま検索性の高いAIを導入すると、別の問題も起きる。トーマツの西山良憲氏は、現場で頻発するヒヤリハットを挙げる。

　「ある人が、ファイルの権限を『誰でも参照可』と意図せず設定していた。AIがそれを読み、本来は一般の社員が閲覧できない人事関連情報が確認可能になっていたということが起きている」。AIの検索性が上がったことで、これまで誰も気付かなかった設定ミスが顕在化する。古いテーマである情報の分類と権限管理が、改めて問われ始めている。

　組織の問題と並んで動きを鈍らせているのが、リスクに対する発想の差だ。法務やリスク管理部門は、規制の知識は持っているが技術のリスクがどこにあるかが具体的に分からない。なんとなく不安だから止める。攻めたい部門にはもどかしさが残る。

　三代氏は、日本と海外の金融機関におけるリスクの捉え方について違いをこう整理する。「リスクをゼロにするかコントロールするか。日本はゼロにする。海外では、リスクはコントロールするものと見られている」

　海外の金融機関（投資銀行など）はその分、モニタリングが厳格だ。全ての行動が記録され、不正があるとすぐに検知される仕組みが組み込まれている。一方、日本はそもそもリスクのある状態をつくらない方向に寄る。この差が、新しい施策を試すスピードを分ける。保険会社のようにリスク移転を商売にする業態ほど、DX推進のためにリスクテイクせよという論理と業務の根本がかみ合いにくい。

AIエージェントのためのデータガバナンス

　では、具体的に何をどう設計すればよいのか。三代氏は、AIエージェントに効かせるべきガバナンスを技術の層で整理する。AIの行動ルール、使うツールの定義、データレイクへの到達──こうした基本層に加え、データの「意味」を定義するセマンティックの層と、「なぜそのデータを取りに行ったか」の根拠を残す層が重なって初めて業務に乗せられる。

　難しいのは意味（セマンティック）の定義だ。「同じ言葉でも状況に応じて意味が変わる。システムがサイロ化している状況においては、『定義』が分かれていることが課題になる。前後の文脈（コンテキスト）次第でどのデータを取得するのか、制御が欠かせない」（三代氏）。AIが文脈通りに解釈できるように、散らばった情報を整えなければならない。

　データレイク基盤そのものは整いつつある。メッシュ型のデータ連携環境は金融機関に導入されつつある。問題はその先だ。自由にアクセスできる状態になったとき、本当にAIに自由に探させていいのか。基盤の準備と、ガバナンス設計の進度に差がついている。

　ここで三代氏が示すのが、ガバナンス自体をAIエージェントに担わせる構想だ。データを利用する業務エージェントの横に、門番役のエージェントを置く。業務エージェントがデータを取りに来たときに門番が判断する。「その目的なら、こちらのデータを取りに行きなさい」「それはセキュリティ上、取らせるわけにはいかない」──エージェント同士がけん制し合ってデータへのアクセスを制御する仕組みだ。

　「ガバナンスが大事だと言っても、それを実現する仕組みを用意することは容易ではない。限られた人的リソースで運用することは現実的に難しい。ガバナンスの領域においてもエージェントを活用して自動化するアプローチが必要だ」

　処理の内容によって、AIに許す自由度に段階を設ける。読み込みだけで行内データに閉じる処理は自由にやらせる。書き込みや機微情報を扱う処理は、ヒューマン・イン・ザ・ループを必須にして人の承認なしでは進めないように制御する。中間は事後モニタリングでチェックする。何を自動で許して何を止めるか。線を引く設計ができた企業からAIの本番導入が始まる。

　ガバナンスの設計も、技術の変化に合わせて動かし続ける必要がある。生成AIの技術は前提が数週間で変わる。荒川氏は、重要なのは「割り切り」と「標準化」だと話す。割り切りは、処理の自由度に段階を付ける設計を企業全体のルールとして運用すること。標準化は、案件ごとに体制や規程を一から組み立てない仕組みだ。AIの最高責任者と専門部隊を置き、モデルに依存しない設計にしておく。

デロイト トーマツ グループが提供できるもの

　「攻めと守りの両輪がないと使えない」。三代氏は自社の強みをこう表現する。AI登場以前からデータガバナンスのアドバイザリーを続け、組織や規定の作成支援を重ねてきた。この守りのノウハウだけでなく、2025年のデロイト トーマツ グループ内の3社の法人統合によって、リスクアドバイザリーと事業コンサルティングの専門性が、同じサービスドメインとして融合された。攻めと守りの両輪の専門性をワンチームで提供できる。

　西山氏は、自社の経験そのものが財産だと話す。「我々自身がAIを使って自社の業務やクライアントサービスの変革に取り組んでいる。このデータを使っていいのか、このサービスをリリースしていいのか。一つ一つ乗り越えている。お金で簡単に買えないところだ」

　荒川氏は視点を国境の外に向ける。「国内企業は特にデジタル技術の活用において海外企業に遅れを取っている印象。その遅れを押し上げてグローバル企業にするのが我々の役割だ。AIエージェントの活用において多くの企業にグローバルの動向を見据えつつ成功体験を得ていただきたい。そのために我々も新しい社会をAIと共に築けるよう進化し続けている」。データに対する規制とリスク許容度は国によって違う。海外展開する日本企業ほど、規制と統制の設計に専門性が要る。

　エージェント同士がけん制し合う仕組みは、まだ構想段階だ。ただ、方向性は見えている。人手でガバナンスを回す限り、AIエージェントの自律性についていけない。ガバナンスそのものをエージェント化する──この発想を実装に移せるかどうかが、PoC止まりから抜け出す分岐点になる。

　リスクをゼロにするのではなく、コントロールする。その設計思想を組織に根付かせた企業から、最後の一歩を踏み出せるのだろう。