あなたのボードはAIについてどんな質問をすべきか？

なぜこれらの質問が今重要なのか

AIはほとんどの組織にとって重大なリスクです——規制上、評判上、運用上、そして法的にもますます。取締役には重大なリスクに対する注意義務があります。これら12の質問は、取締役がAIに対する監督義務を果たすために尋ねるべき質問です。

各質問は、真のガバナンスを示す回答と懸念されるギャップを示す回答と対になっています。評価はマネジメントが印象的な回答をするかどうかではなく——回答が具体的で、検証可能で、定義されたエスカレーション経路を持つかどうかです。

1. 組織内でAIリスクに名前で責任を負う人は誰ですか？

良い回答：「[名前]氏、私たちのチーフリスクオフィサーが、AIガバナンスの主要な責任を担っています。リスク委員会に四半期ごとに報告し、AIインシデントのエスカレーション権限を持っています。」

懸念される回答：「複数のチームが責任を共有しています」チームに分散した責任は実質的に誰も責任を負いません。

2. 24時間以内に完全なAIインベントリを作成できますか？

良い回答：「はい。各システムのリスク評価、所有者、承認状況を持つ継続的に更新されるAIシステム登録簿を維持しています。」

懸念される回答：「ほとんどのシステムは把握していますが、従業員が自分で導入したツールにはギャップがあるかもしれません。」

3. どのAIシステムがEU AI法に該当しますか？

良い回答：「文書化された規制マッピングがあります。特定のシステムが高リスクとして分類されており、適合性評価を開始しています。」

懸念される回答：「EU AI法は主にヨーロッパ企業に適用されると考えていますが、まだ検討中です。」

4. 過去12ヶ月間にAI関連のインシデントを経験しましたか？

文書化されたインシデント識別・記録システムなしに「重大なインシデントは知らない」という回答は懸念されます。AIインシデントはしばしば認識されないまま経過します。良い回答はインシデントのカウントと各インシデントから何を学んだかを示します。

5. 重要な決定においてAI出力をどのように検証していますか？

高リスク決定——信用、人事決定、臨床推奨——に対して、資格のある従業員がAIの推奨を実施前に独立して評価することを確保する文書化されたレビュープロトコルが必要です。「従業員はAI出力を確認するよう訓練されています」だけでは不十分です。

6〜12. その他の重要な監督質問

機密データへのAIプロバイダーのアクセス、文書化されたAIリスク許容度、シャドウAIの管理、AIインシデント報告義務（EU AI法は高リスクAIに国家市場監視当局への報告を義務付けています）、バイアスと公平性のテスト、AIプロバイダー集中リスク、ボードへの構造化されたブリーフィング頻度——これらすべてがボードの定期的な監督範囲に含まれるべきです。

AIリスクはリスク委員会の定期的な議題項目であるべきです——インシデントが発生した時だけ議論されるのではなく。重大なAIエクスポージャーを持つ組織にとって、四半期ごとの構造化されたブリーフィングが最低要件です。