SEC委員会による提案規則は、CIO、CISO、その他の経営幹部に対し、あらゆるAIの取り組みを分析して報告することを強制する――AIの定義や、特定の機能でAIを使わないという判断も含めて。
米国証券取引委員会(SEC)の委員会は、企業に対してあらゆるAIの取り組みを分析し報告することを義務付ける新たな規則を勧告した。これには、ある目的についてAIを使用しないという判断も含まれる。
提案を検討した弁護士らは、このAI規則は――約2年前のSECのサイバーセキュリティ規則と同様に――技術的には、従来から報告が必要だった以上のことを新たに報告させるものではないと指摘する。新規則が対象とするのは重要性(マテリアリティ)のあるAIの取り組みのみであり、SECが約90年前に設立されて以来、重要性のある事項は常に開示が求められてきた。
しかし彼らは、SEC委員会が、多くの上場企業の取締役会や上級幹部が、自社のさまざまなAIの取り組みの範囲と潜在的影響を十分に理解していないと考えているのではないかと推測する。新規則は、そうした幹部に委員会の設置と、すべてのAIに関する意思決定の正式なレビューを強いることになり、そうでなければ幹部が思い至らなかった重要な問題を掘り起こす可能性がある。
サイバーセキュリティ・コンサルタントのブライアン・レヴィン氏(元連邦検察官で、現在はFormerGovのエグゼクティブ・ディレクター)は、この追加的な注目が多くの企業にとって大きな違いを生み得ると主張する。
「人々の意識を集中させる助けになる。AIについて考える必要がある全員の目の前にそれを突きつけることになる」とレヴィン氏は述べた。
企業に対し、AIを使用していない領域や、競合他社に比べて投資が不足している可能性がある領域を精査して開示することを求める点について、レヴィン氏は、それが経営陣に「AIの実装がステークホルダーや競合に追いつかないリスクがある」ことを理解させる助けになり得ると述べた。
提案規則はSEC投資家諮問委員会(IAC)によるもので、12月4日のIAC会合で議論された。
企業はAIの定義を自ら作成できる
提案規則のもう一つの物議を醸す点は、AIを定義していないことであり、代わりに企業に自社の定義を書くよう指示している。一部の法務専門家は、AI技術は1950年代にさかのぼり、企業が使うほぼすべてのソフトウェアに何らかの形で存在することを踏まえると、委員会は文字どおり企業にAIのあらゆる利用を評価させたいわけではなかったのではないかと示唆している。むしろ、比較的最近のAIの普及、特に生成AIやエージェント型AIに焦点を当てる意図だった可能性が高い。
提案規則の下では、企業は「人工知能を何と捉えるかを自己定義し、その定義に依拠して、AI関連リスク、(もしあれば)AI導入戦略、AIの実装および展開に関連する設備投資や研究開発費、その他の重要情報を開示の中で説明する」ことになる。
J&Y Lawのシニア弁護士であるモニカ・ワシントン・ロスバウム氏は、企業がAIを異なる形で定義することは「リスクが高い」と述べた。投資家が「同一条件で」比較することが困難、あるいは不可能になるからだ。
「AI関連リスクの開示を企業に求めるのは賢明だ。しかし各社が好きなようにAIを定義できるようにするのは、悪用されるのを待つ抜け穴だ。一貫した基準がなければ、開示が有意義な説明責任ではなくPRの言い回しに変わってしまうリスクがある」とロスバウム氏は述べた。
ただしロスバウム氏は、経営陣がAIを使わない、あるいは本来より少なく使うことを選択した領域を開示させる点には価値があるとも考えている。
「欠陥のあるAIモデルへの依存といった重要なリスクを過少開示すれば、問題が起きたときに企業は責任を問われ得る。AIへの責任ある投資を怠れば、株主が知るべき競争上の不利につながる可能性もある」とロスバウム氏は述べた。「これは机上の空論ではない。AIはすでに採用、カスタマーサービス、セキュリティの見方を形作っている。これらは企業価値に影響し得る中核業務だ。AIに関する意思決定がどのように行われ、誰がその責任を負うのかを明確に説明できないなら、すでに遅れを取っている。そうした透明性は、今日ビジネスを行うためのコストでなければならない」
法律事務所Kennyhertz Perryの訴訟・規制・政府調査担当弁護士であるブレイデン・ペリー氏は、投資家の意思決定に役立つ可能性が低いと見ているため、この提案規則を好まない。
このような規則が投資家および潜在的投資家に有用な情報をもたらす確率を問われたペリー氏は、「ゼロだ。株主の全体的な理解という観点では、使える情報はおそらく皆無だろう」と述べた。
提出書類は何か有用なことを明らかにするのか?
この懸念の一因は、多くのSECサイバーセキュリティ提出書類が定型文を用い、SECの免除規定を使って具体的な内容を何も明らかにしていないことにある。
ペリー氏によれば、AI定義の部分で重要なのは、一度その定義を用いたら、すべての提出書類を通じて一貫して使用しなければならないという点だ。
「AIの明確な全社的定義を採用し、SEC提出書類、社内方針、マーケティングの全体で一貫して用いなさい。そうすれば、四半期ごとに語りたいストーリーに合わせて用語を再定義することがなくなる」とペリー氏は述べた。「IACの勧告は、発行体にAIの意味を定義させることを明確に想定している。定義の不一致がすでに、投資家にとって開示の比較を難しくしているからだ。企業にAIを自ら定義させることは諸刃の剣であり、誠実で事業に即した明確化を促すこともあれば、都合のよい言葉遊びを招くこともある」
一部の弁護士は、企業はAIに関する表現に注意しなければ、SECおよび米連邦取引委員会(FTC)から措置を受ける可能性があると示唆した。
「AIマーケティングには非常に慎重になるべきだ。SECはすでに、いわゆるAIウォッシングに対する執行措置を通じて、AI能力を誇張したり、製品やプロセスにAIがどれほど組み込まれているかについて投資家を誤認させたりする企業を告発する意思があることを示している」とペリー氏は述べた。「AIがどこで使われ、どのようにガバナンスされ、業務にどう影響するかを企業に説明させる開示制度は、そうした主張が本物かどうかをSECが検証することを、いっそう容易にするだけだ」
AIベンダーLanaiのCEOであるレクシー・リース氏も、企業に独自のAI定義を書かせることへの懸念を表明した。
「企業にAIを定義する自由を与えれば、短期的にはコンプライアンス上の摩擦を減らせるかもしれないが、投資家が推測するしかない、断片化され比較不能な開示環境をまさに生み出してしまう」とリース氏は述べた。「ある企業が自律的意思決定システムをAIと呼び、別の企業が同じものをデータ駆動ツールと呼べば、両社の開示は適合しているように見えても、リスクの世界はまったく別物を説明していることになる」
サイバーセキュリティ研修企業SANS Instituteのリサーチ責任者であるAI専門家ロブ・リー氏は、この規則が、企業が実際にAIで何をしているのかについて取締役会およびCレベルの認識を高めるうえで役立つ可能性があると述べた。
しかし、先のSECサイバーセキュリティ規則と同様に、リー氏は、この規則に「大量の免責カード」が含まれていることに不満だと述べた。「いったい誰が実際に何かを開示するのか? 何を開示するのか? シャドーITにすら触れていない。社内で承認されていないAI利用をどう追跡するのか?」
IACのメンバー全員がこの規則の文言に満足していたわけではない。IACメンバーのジョン・ガリバーは、提案規則に対して公式な反対意見を提出し、各社が独自のAI定義を書ける点に特に懸念を示した。
「これらの定義は年ごと、あるいは四半期ごとに変わる可能性が高い。これが投資家の利益になるとは思えない」とガリバーは書いた。しかし同時に、求められている詳細が現実的だとも思えないと述べた。
提案規則は「上場企業に対し、AIの利用が自社の従業員および顧客にどのような影響を与えるかについて、非常に具体的な開示を求める」ことになるとガリバーは書いた。「AIの利用が企業にとって財務的に重要である場合にのみ求められるのは良い。しかし残念ながら、これは不可能な課題だと思う。SECには、こうした項目別開示が何であるべきかを判断するのに必要なAIの専門性が本当にあるのか? そして企業は、採用や顧客に対するAIの正確な影響をどうやって把握すればよいのか? 雇用や顧客には、多くのマクロ経済要因や業界固有の要因が影響する。私の見方では、AI固有の影響を正確に切り分けるのは、難しい当て推量のゲームになるだろう」
