【実務思考】【AU-R02-1-PM2-Q1】AI技術を利用したシステムの企画・開発に関する監査

🍀概要

　システム監査技術者試験 令和2年 午後2 問1について、AIを活用して、詳細分析した結果を示します。
　本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセスや問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問（AU-R02-1-PM2-Q1）

　出典：情報処理推進機構 システム監査技術者試験 令和2年 午後2 問1(🔗取り扱いガイドライン)

📘問題

■タイトル
　AI技術を利用したシステムの企画・開発に関する監査について
■内容
　機械学習，深層学習などのAI技術が進展し，AI技術を利用したシステム（以下，AIシステムという）の導入事例が増えてきている。既に，画像認識による顔認証，テキスト・音声を通じて会話するチャットボット，人材マッチングによる採用支援，顧客の信用力スコアリングによる与信審査などのAIシステムが実用化されている。
　AIシステムの開発は，ユーザ企業など（以下，ユーザという）がAI技術のノウハウをもったベンダに収集データを提供して委託することが多い。ベンダは，収集データを学習用データセットに加工して，オープンソースソフトウェア，ベンダが保有する開発プログラムなどを組み合わせた学習用プログラムに入力し，成果物として学習済みモデルを生成する。
　一方，AIシステムには，アルゴリズムのブラックボックス化の問題をはじめ，収集データの不足・偏りなどによって，学習済みモデルによる予測・判断結果の解釈が難しかったり，精度が低かったりする場合がある。したがって，機能要件を確定してから構築する従来の開発手法では対応が難しくなる。また，収集データの加工に多くのコストが掛かったり，ベンダが有するノウハウなどの権利帰属の問題によって，ユーザが学習済みモデルを利用する際に制約が生じたりすることも想定される。
　今後，AIシステムの実用化が広がる中，システム監査人には，AIシステムの利用段階でのリスクを踏まえて，AIシステムの導入目的，開発手法，ユーザ・ベンダ間の取決めなどが適切かどうかを企画・開発段階で確かめておくことが求められる。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

📗設問

■設問ア
　あなたが関係する組織において，AI技術を利用する目的と，開発を検討している又は開発したAIシステムの概要について，800字以内で述べよ。
■設問イ
　設問アで述べたAIシステムの利用段階において想定されるリスクについて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イを踏まえて，AIシステムの導入目的，開発手法，ユーザ・ベンダ間の取決めなどが適切かどうかを確かめるために，企画・開発段階において実施すべき監査手続について，700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
　AI技術の進展に伴い，画像認識による顔認証，テキスト・音声を通じて会話するチャットボット，人材マッチングによる採用支援，顧客の信用力スコアリングによる与信審査など，AI技術を利用したシステムであるAIシステムの導入事例が増えてきている。
　一方，AIシステムには，予測・判断結果の解釈が難しかったり，精度が低かったりすることがあるので，機能要件を確定してから構築する従来の開発手法による対応では難しくなる。また，精度を高めるための収集データの加工に多くのコストが掛かったり，ベンダが有するノウハウなどの権利帰属の問題によって，ユーザの利用時に制約が生じたりすることも想定される。
　本問では，システム監査人として，AIシステムの利用段階において想定されるリスクを踏まえて，AIシステムの導入目的，開発手法，ユーザ・ベンダ間の取決めなどが適切かどうかを企画・開発段階において監査するための知識・能力などを問う。
■採点講評
　＜全問共通＞システム監査技術者試験では，システム監査人の立場から論述することを求めているが，システム担当者としての対応を論述している解答が散見された。また，監査手続を求めている論述では，そもそも監査手続の意味を理解できていなかったり，監査の実施内容を論述したりしているものが目立ち，確かめるべき監査項目と監査証拠について具体的に論述できている解答は少なかった。問題文の内容を踏まえて，設問で求めていることを論述するように心掛けてほしい。
　＜問1＞問1では，AI技術の利用目的とAIシステムの概要については具体的に論述している解答が多かったが，AIシステムの利用段階において想定されるリスクについては，コントロールを論述していたり，企画・開発段階のリスクを論述したりしている解答が散見された。また，AIシステムの導入目的，開発手法，ユーザ・ベンダ間の取決めなどが適切かどうかを企画・開発段階で確かめる監査手続についての論述を求めたが，利用段階における監査手続であったり，確かめるべき具体的な監査証拠を記述していなかったり，監査を実施した結果を論述したりしている解答が目立った。設問で問うていることを正しく理解して，論述してほしい。

🪄詳細分析(AI)

📝3行まとめ

1. 【背景】AIシステムの導入が進む中で、ブラックボックス化やデータ偏りによるリスクが企業活動や社会に重大な影響を与えています。
2. 【監査視点】システム監査では、AIの企画・開発段階から、目的適合性・リスク評価・ユーザとベンダ間の契約内容を重点的に確認する必要があります。
3. 【行動・着眼点】監査人は、AI特有のリスク管理体制や学習データの妥当性、AI倫理を踏まえた開発プロセスを実践的にチェックすべきです。

🧭AI技術を利用したシステムの企画・開発に関する監査についての考察

1. 問題の背景と現状分析

• 現状の課題・問題点:
  • 機械学習や深層学習といったAI技術の活用が、顔認証から与信審査まで、様々な分野で急速に実用化されている。
  • AIシステムの開発は、従来のシステム開発とは根本的に異なる特性とリスクを持つ。
    • 確率的な性質とブラックボックス化: AIの判断結果は100%正確ではなく、確率的に動作する。特に深層学習では、なぜその結論に至ったのか、判断根拠の説明が困難（ブラックボックス性）。
    • データへの強い依存: AIの性能（精度）は、学習に用いるデータの量と質に完全に依存する。データに偏り（バイアス）や誤りがあれば、AIの判断も偏った、あるいは差別的なものになる。
    • 開発プロセスの違い: 要件を確定してから作るウォーターフォール型ではなく、データを試行錯誤しながらモデルを育成していく、実験的なアプローチが中心となる。
  • 多くの組織が、これらのAI特有のリスクや開発プロセスの違いを十分に理解しないまま、企画・開発を進めている。
  • ベンダが持つAI技術のノウハウへの依存度が高く、権利の帰属や利用制約などが新たな問題となっている。
• 変化の必要性の背景:
  • AIの社会実装の加速: AIが、実験的な技術から、ビジネスや社会の意思決定に直接影響を与える実用的なツールへと急速に変化した。
  • AI倫理と説明責任（XAI）: AIによる判断が、人々の人生（採用、融資など）に重大な影響を与えるようになり、その判断の公平性、透明性、説明責任を求める社会的な要請（AI倫理）が高まった。
  • 新たなガバナンスの必要性: 従来のシステム開発を前提としたガバナンスや監査のアプローチでは、AIのリスクを管理できないことが明らかになった。

2. 理想像の抽出と具体化

• あるべき理想的な状態:
  • AIガバナンス体制の確立: 組織として、AIの利活用に関する倫理原則や開発ガイドラインを策定し、AIプロジェクトを審査・監督する専門の委員会（AI倫理委員会など）を設置している。
  • リスクベースの企画・導入判断: AIシステムの企画段階で、ビジネス上の価値だけでなく、AI特有のリスク（判断の誤り、差別的判断、説明不能性など）が、社会的な影響も含めて網羅的に評価され、導入の可否が慎重に判断されている。
  • データの品質とバイアス管理: 学習用データの品質（正確性、完全性）を確保し、データに含まれる偏り（バイアス）を検出し、低減するためのプロセスが確立している。データの出所や加工履歴も追跡可能（データリネージ）。
  • 説明可能なAI（XAI）の実践: AIモデルの判断結果について、その根拠や理由を可能な限り利用者や顧客に説明するための技術的・組織的な取り組み（例：判断根拠の可視化ツールの導入、説明方法の標準化）が行われている。
  • 人間による適切な監督と介在: AIの判断を鵜呑みにせず、最終的な意思決定は人間が行う、あるいは、AIの判断に異議を申し立て、人間によるレビューを要求できる、といった人間系のコントロールが設計に組み込まれている。
  • ベンダとの適切な契約: AIモデルの知的財産権の帰属、学習済みモデルの利用範囲、ベンダのノウハウへのアクセス権などについて、契約で明確に定めている。
• 克服すべき障壁:
  • AI技術への過信と誤解: AIを、どんな問題でも解決できる魔法の杖のように過信したり、その確率的な性質や限界を理解していなかったりする。
  • 説明性と精度のトレードオフ: 一般的に、判断根拠が説明しやすい単純なモデルよりも、ブラックボックス化しやすい複雑なモデルの方が、精度が高くなる傾向があり、両立が難しい。
  • データの確保とプライバシー: 高品質な学習データを大量に確保することの難しさと、その過程における個人情報保護などのプライバシーの問題。
  • 専門人材の不足: AI技術と、ビジネス、法律、倫理のすべてに精通した、AIガバナンスを担える人材が極めて少ない。
• 利害関係者の視点:
  • 経営層: AI活用のメリットを享受しつつ、それに伴う新たなレピュテーションリスクや法的リスクが、組織的に管理されていることを確認できる。
  • 利用者/顧客: AIによる不公平・不利益な判断から保護され、判断結果に対して説明を求め、異議を申し立てる権利が保障されている。
  • 開発者/データサイエンティスト: 明確な倫理ガイドラインの下で、安心してAI開発に集中できる。
  • 監査人: 従来のシステム監査の枠組みを超え、AI特有のリスク領域（データ、アルゴリズム、倫理、ガバナンス）に焦点を当てて監査を実施する。企画・開発段階から関与し、AIが社会的に受容される形で導入されるよう、予防的な助言を行う。

3. 要約

• [200文字]要約:
  AIシステムは、ブラックボックス性や学習データへの依存といった特有のリスクを持つ。理想像は、AI倫理の観点からガバナンス体制を築き、企画段階でリスクを評価し、データの品質や判断の説明可能性を確保すること。監査人は、この新たなリスク領域を評価する役割を担う。
• [400文字]要約:
  AIシステムの開発は、そのブラックボックス性や学習データのバイアスによる差別的判断など、従来にないリスクを伴う。あるべき理想像は、AI倫理ガイドラインを策定し、企画段階でAI利用の是非やリスクを慎重に評価するガバナンス体制の確立である。学習データの品質を管理し、AIの判断根拠を説明する努力（XAI）や、人間の介在を組み込む。監査人は、このAI特有のガバナンスと開発プロセスが適切かを評価する。
• [800文字]による詳細な考察:
  本問題は、現代社会を席巻するAI技術を取り上げ、その監査が、従来のコードや設定の正しさを問う監査とは全く異なる、新たな次元（データ、アルゴリズム、倫理）の評価を必要とすることを鋭く指摘している。これは、システム監査という分野における、まさにパラダイムシフトである。
  • あるべき理想像とは、「人間中心のAI原則（Human-Centric AI Principles）に基づく、トラストワージネスなAIガバナンス」の確立である。これは、AIを単なる効率化のツールとしてではなく、人間の能力を拡張し、社会を豊かにするためのパートナーとして位置づける考え方である。このガバナンスの下では、総務省や経産省が公表しているAI開発ガイドラインなどを参考に、自社独自のAI倫理原則（例：公平性、透明性、人間による監督、プライバシー保護、セキュリティ、アカウンタビリティ）が策定される。全てのAIプロジェクトは、企画段階でこの原則に照らした倫理アセスメントを受けることが義務付けられる。開発プロセスでは、学習データのバイアスを測定・緩和するツールや、モデルの判断根拠を可視化するXAIライブラリの利用が標準化される。そして、AIモデルのバージョン管理、性能モニタリング、再学習のプロセス（MLOps）が確立され、AIの品質が継続的に維持・管理される。
  • 理想像実現へのアプローチとして、システム監査人は、自らの知識とスキルをアップデートし、新たな監査手法を開発する必要がある。監査手続としては、①ガバナンス体制の監査：AI倫理原則やガイドライン、審査委員会の設置・運営状況を評価。②企画・開発プロセスの監査：AI倫理アセスメントの実施記録、データ品質管理のプロセス、モデルの精度・公平性の評価レポート、ベンダとの契約内容などをレビュー。③AIモデル自体の評価：監査人自身がテストデータを用いてモデルの挙動を確認したり、XAIツールが出力した判断根拠の妥当性を評価したりすることも、将来的には求められる可能性がある。④MLOpsプロセスの監査：運用中のAIモデルの性能劣化監視や、再学習プロセスの管理が適切に行われているかを確認する。
  • 期待される効果は、AIの暴走や意図せぬ差別といったリスクを抑制し、社会から信頼される形でAIの恩恵を享受することである。
  • 考慮すべきリスクは、監査がAIのイノベーションを阻害することだ。監査人は、厳格な評価と、技術の発展を促進する姿勢とのバランスを取る、難しい舵取りを求められる。