- アジャイル・ガバナンスの概要
- アジャイル・ガバナンスに注目が集まる背景
- アジャイル・ガバナンスの活用場面
はじめに –VUCA時代における新たなガバナンスモデル–
みなさん、こんにちは。
近年、企業法務担当者の業務範囲において、ChatGPTをはじめとする生成AIの活用に関する法務相談、自社の新技術の展開における法的サポートから、日々従業員が利用する様々なツール利用におけるリスクチェックまで、技術革新に伴うリーガルリスクマネジメントを求められる割合が高まっているのではないでしょうか?
社会を劇的に変化させる技術革新はVUCA、つまりVolatility(変動性)、Uncertainty(不確実性)、Complexity(複雑性)、Ambiguity(曖昧性)を必然的に伴うため、リスクをゼロにしようとすれば、新技術を使わず、技術革新の価値を享受しない(できない)という意思決定になりかねません。そこで、企業としてステークホルダーが許容可能な程度にまでリスクを最小限に抑えながら、自分たちが技術革新による効果を最大限に享受するためのガバナンスやリスクマネジメントが重要になります。その方法として昨今注目を集めているのが「アジャイル・ガバナンス」です。
そこで、本記事では「アジャイル・ガバナンス」の概要を、リーガルリスクマネジメント(ISO31022:2020)にも触れながらご紹介します。
アジャイル・ガバナンスとは?
きっかけは、サイバーとフィジカルの融合する「新しい社会」
そもそもアジャイル・ガバナンスは、人口減少や経済成長の鈍化、気候変動といった課題に現に直面する我々のフィジカルな空間と、こうした様々な課題を解決する手段としての技術革新(AI、IoT、ビッグデータなど)で発展するサイバー空間とが適切に融合する未来の社会「Society5.0」でのガバナンスのあり方を検討する中で登場しました。
従来のガバナンスの課題
従来のガバナンスやリスクマネジメントは、まず、ルールを決め、そのルールに従うことを求める、中央集権型の意思決定構造が取られることが一般的でした。
しかし、Society5.0の社会における新たな技術革新のスピードは、社会の変化やビジネスをも高速化しています。このため、ルールを策定している間に技術自体が変化し、守るべき価値が失われてしまうリスクにさらされるようになる等、従来型の法規制や市場メカニズムによるガバナンスやリスクマネジメントが追いつけず、機能不全を起こすようになりました。2022年に盛んになったAIレビューと弁護士法72条の関係性に関する議論が記憶に新しいかもしれません。
そこで、イノベーションの促進と社会的価値の実現を両立する必要性が出てきました。その文脈において「アジャイル・ガバナンス」が注目されるようになったのです。言い換えると、アジャイル・ガバナンスは民間企業だけでなく、社会全体を対象とした新たなガバナンスモデルとして現れたものなのです。
アジャイル・ガバナンスの3つの要素
具体的に「アジャイル・ガバナンス」とは、「政府、企業、個人・コミュニティといった様々なステークホルダーが、自らの置かれた社会的状況を継続的に分析し、目指すゴールを設定した上で、それを実現するためのシステムや法規制、市場、インフラといった様々なガバナンスシステムをデザインし、その結果を対話に基づき継続的に評価し改善していくモデル」をいいます(参考「アジャイル・ガバナンスの概要と現状」P14)。
より具体的には、①マルチステークホルダーにより、②マルチレイヤーの仕組みを通じて、③アジャイルに実施されるという3つの要素に特徴付けられます。
1. 主体は、マルチステークホルダー
アジャイル・ガバナンスの一つ目の特徴は、主体が単一ではないという点です。
アジャイル・ガバナンスで想定しているガバナンスモデル(アジャイル・ガバナンス・モデル)は、前述したように、第三者が決めたことに従っておけばよいという従来型のガバナンスの在り方の機能不全を克服するために生まれてきたものであるため、社会の担い手(ステークホルダー)それぞれによる主体的かつ協働的なガバナンスが求められます。具体的には民間企業、政府、個人・コミュニティが主なステークホルダーと言われます(図1)。
特に、技術革新の最前線に立つ企業が重要なその担い手です。企業自身がミッション・ビジョン・バリューを定めた上で、ルールの遵守者から、ルールの設計者となり、ステークホルダーに対して自らのガバナンスを説明し、アカウンタビリティ(ここでは、企業活動の多方面における説明責任を指す)を尽くすことが求められています。
そのアカウンタビリティは、第一次的には企業の経営者に求められるものですが、ルールの設計にあたっては、企業のリスクマネジメントを所管する企業法務へ従事する方々が重要な役割を担うことは言うまでもありません。
2. 対象と構造は、マルチレイヤー
二つ目の特徴は、当事者だけでなく、ガバナンスを要する対象も複層化している点です。
デジタル技術を用いた昨今のサービスやシステムは、単体のサービスではなく、複数の分野の多数の機能が組み合わさった多様なサービスを組み合わせてできているものが殆どです。
例えば、クラウドサービスでは、クラウド技術の上に、多様な分野の多数のサービスが存在します。こうした背景から、この技術を活用したSaaS(Service as a System)導入時のリスク評価では、クラウド技術それ自体の評価、セキュリティ技術の評価、各サービス運営会社のサービスの評価等、多層化したそれぞれの領域の理解を前提とした評価が必要となります。
もっとも、技術の進歩のスピードとその複雑性は増しており、そのすべてを(専門的に)把握することは困難です。加えて、ChatGPTをはじめとした生成AIのように、そもそも判断根拠自体がブラックボックスのケースもあり、把握が事実上できない場合もあります。
そこで、アジャイル・ガバナンス・モデルでは、個々のステークホルダーがガバナンスに当たって必要な調査を常に全て行うことにならないよう、様々な機能の重要な結節点に認証を伴う信頼の基盤(トラストアンカー)を設置することが望ましいとしています。
3. 手段は、アジャイル
不確実性の増加する社会においては、事前に正しいルールや責任の所在を定めて詳細なルールを定めておくことが困難であるため、失敗を許容しつつ、継続的に学習し、ガバナンスの仕組みをagile(迅速に、素早くの意)にアップデートし続ける必要があります。
そこで、アジャイル・ガバナンス・モデルでは、以下の「二重サイクル」を回すことにより、短いスパンで柔軟にガバナンスの在り方自体を改善していくことが求められています(図2)。
- ①システム設定・再設定のサイクル
-
まず、ガバナンスのシステムの設定手順が一つ目のサイクルで表現されています。
例えば、企業では自社の達成すべきゴールを、置かれている内外の環境や実現可能性を分析しながら設定します。その上で、ゴールの達成のためのシステムをデザインしていきます。
ここでいう「システム」とは、AIやビッグデータなどのテクノロジーはもちろんのこと、法律や規約、自主規制などのルール、更にモニタリング体制、紛争処理体制などの組織体制なども含んだ、広く「仕組み」を意味しています。こうしたシステムの中では、ステークホルダーに対して目指すゴールや運用しているシステムについて企業経営者が説明責任を果たすことも求められます。
この設定のサイクルで特徴的なのは、システムの運用後も、常に外部環境やリスクの変化を分析し、必要に応じてゴールをも見直すといったプロセスが求められ、この設定のサイクルが幾度も回ることが想定されている点です。ゴールが不変ではないという点で、まさにVUCAの時代のフィードバックサイクルと言えるでしょう。 - ②システム運用のサイクル
-
2つ目のサイクルは、前述の設定のサイクルで設計したシステムをアジャイルに運用するものです。
現在のシステムで当初設定したゴールが達成されているかどうかを評価し、不十分であればシステムを改善する、いわば高速回転するPDCAサイクルです。もちろんこちらのサイクルも、何度も回してガバナンスのシステムを改善することが想定されています。
システム開発に詳しい方は、「アジャイル開発」という言葉を耳にしたことがあるでしょう。これは、小さな単位で実装とテストを繰り返す、顧客の要望への適応性が高くかつ機動性の高い開発手法と言われています。
このアジャイル開発の考えは、2001年にアメリカ合衆国ユタ州のスノーバードで開催された会議に参加した17名のエンジニアが提唱し、現代の開発手法にも影響しています。
アジャイル・ガバナンスが、アジャイル開発そのものに言及しているわけではありませんが、いわばトライアンドエラーを繰り返しながら発展していく「アジャイルの発想」は、エンジニア的発想が一定の影響を及ぼしたものかもしれません。
アジャイル・ガバナンスの考え方の活用法
AIガバナンスにおける、アジャイル・ガバナンス活用例
これまで説明してきた「アジャイル・ガバナンス」は、従来型のガバナンスの限界を乗り越えようとする中で提唱されるようになった、ガバナンスの汎用的なフレームワークです。したがって、IT、データ、AI等、個別具体的な領域におけるガバナンスのあり方、また社会全体ではなく、企業活動におけるガバナンスのあり方については、それぞれの領域の環境やリスクを踏まえて個別具体的に検討する必要があります。
例えば、「AIガバナンス」は、以下のように表現されることがあります。
AIによるリスクをステークホルダーの需要可能な水準に維持しつつ、AIがもたらす価値を最大化することを目的として(①)、社会のさまざまな階層においてステークホルダーが行う(②)規範的、技術的および組織的システムの設計および運用(③)
羽深宏樹『AIガバナンス入門──リスクマネジメントから社会設計まで』(早川書房、2023年)86頁
この「AIによるリスクをステークホルダーの需要可能な水準に維持しつつ、AIがもたらす価値を最大化する」(①)というゴールのために、「社会のさまざまな階層」における「ステークホルダー」である、AI開発者(例えばOpenAI社)、AI提供者(例えば、Chat GPTを組み込んだ各サービス提供会社)やAI利用者(例えば、エンドユーザー)が、二重のループでルールや技術・組織的なシステムを設計・運用・評価(③)し、それぞれが信頼のリレーを繋いでいく営みは、まさにアジャイル・ガバナンスの一例といえます。
リーガルリスクマネジメント(ISO31022:2020)との関係
アジャイル・ガバナンスの考え方は、リスクマネジメントの方法論でもあります。
このため、国際標準化機構(ISO)により2020年5月に発行された世界初の「リーガルリスクマネジメント」に特化した国際標準「リーガルリスクマネジメントのためのガイドライン(ISO31022:2020/JIS日英対訳)」や、その前提となっている汎用的なリスクマネジメントの枠組み(ISO31000:2018(JIS Q 31000:2019))にも取り入れられています。
具体的には、これらの国際標準におけるリスク分析・評価やリスクマネジメントの運用の手法として、アジャイル・ガバナンスの「二重のサイクル」が採用されているのです。
ISO31022:2020は、①継続的にリーガルリスクをモニタリングし、リスク対応計画に沿った運用・評価を行った上で(システム運用のサイクル)、②新たに現れてきたリスクをチェックし、ステークホルダーと継続的なコミュニケーションを取りながら、法規制リスク、契約に基づかない義務のリスク、契約リスク、紛争リスク、契約に基づかない権利のリスク等のリーガルリスクのポートフォリオを再度、分析・評価して常に現状のリーガルリスクを把握する(システム再設定のサイクル)枠組みを提示しています。
このように、リーガルリスク分析においても、今後こういった「アジャイル」な方法に適応しながら実施していくことを求められることが予想されます。
まとめ
- アジャイル・ガバナンスの概要
- マルチステークホルダーが主体的にゴール設定とその実現のためのガバナンスシステムの設定を行い、これをステークホルダー間の相互作用によって評価、改善するガバナンスの新しいあり方
- アジャイル・ガバナンスに注目が集まる背景
- 従来型のガバナンスが、Society5.0に代表される技術革新が適用される社会において機能不全を起こしているため
- アジャイル・ガバナンスの活用場面
- AI、データなど各種ガバナンスでは(個別検討の上)活用が可能
- その他、リスクマネジメントの汎用枠組みとして、「ISO31022:2020」にも採用されている
ウェビナーアーカイブのお知らせ
汎用的に使えるガバナンスモデルである、アジャイル・ガバナンス・モデルの考え方を、企業法務の業務で具体的にどのように活かしていくべきか気になった方が多いと思われます。
こういった疑問にお答えすべく、以下のウェビナーアーカイブでは、法務担当者が経営・技術・事業部門と、どのように連携を図っていくべきか、『ガバナンス・イノベーション報告書』の主執筆者である羽深浩樹氏によるウェビナーを開催します。ぜひご覧ください。
本記事の内容は2024年2月時点での公開情報に基づいて作成したものです。