ジェラルド・キアース、TrustibleのCEO兼共同創設者 – インタビュー・シリーズ

ジェラルド・キアース、TrustibleのCEO兼共同創設者は、責任あるAIの実現に焦点を当てたテクノロジーと政策のリーダーです。彼は、Trustibleの使命を牽引し、組織が信頼を築き、リスクを管理し、AI規制に準拠することを支援しています。以前は、FiscalNoteのAIソリューションの副社長兼ゼネラルマネージャーを務め、企業のAI製品を担当し、企業開発、製品、顧客成功、経営陣の運営などの役割を担っていました。彼のキャリアは、常にテクノロジー、規制、そして企業の実行の交差点にありました。

Trustibleは、組織がAIシステムをインベントリ化し、リスクを評価して軽減し、構造化されたワークフローとドキュメントを通じてコンプライアンスを実現するAIガバナンスプラットフォームを提供しています。法務、コンプライアンス、AIチーム向けに設計されたこのプラットフォームは、ガバナンス活動を中央化し、AIのユースケースを規制フレームワークと整合させ、企業全体で責任あるAIのより迅速で透明な展開を可能にします。

あなたは、FiscalNoteでの製品マーケティングとチーフ・オブ・スタッフの仕事から、AIソリューションのリーダーシップへと移り、Trustibleを共同創設しました。どのような経験から、AIガバナンスに専用のプラットフォームが必要であると確信し、Trustibleを立ち上げた際に最初に解決しようとした問題は何でしたか?

私は、幸運にもFiscalNoteでの8年以上のキャリアで、多くの役割を経験しました。シード/シリーズAの初期従業員として入社し、IPO後にシニアエグゼクティブとして退職しました。

FiscalNoteでの製品マーケティング、チーフ・オブ・スタッフの仕事、そして最終的にAIソリューションのリーダーシップを通じて、同じ問題が様々な角度から浮かび上がることに気づきました。AIガバナンスは、基本的に社会技術的な問題ですが、多くの組織は断片的なアプローチでそれに取り組んでいました。チームは、AIのパフォーマンス、セキュリティ、プライバシー、倫理、法的レビューを個別のトラックとして扱い、それらを共通の運用スパインで結び付けていませんでした。那些5つの要素は絶対に重要であり、共同で取り組む必要があります。しかし、組織が苦労していたのは、社会技術的な意図を、AIが実際の意思決定に移行したときに持続可能なものにする方法でした。

同時に、AIの規制環境は明らかに変化していました。EUのAI法と関連する規格は、AIを規制されたインフラストラクチャーとしてではなく、実験的なテクノロジーとして規制することへの移行を示しました。明らかになったのは、多くの企業が、AIシステムを展開した後に、ポリシーと規制の期待をAIシステムにマッピングしようとしていることであり、それらの社会技術的な次元を通じて規制の意図を継続的に実現するガバナンスを設計するのではなく、だったことです。

私のFiscalNoteでの経験は重要でした。私たちは、政策、法務、規制のランドスケープ自体にAIを適用していました。組織が法律の進化を理解し、要件の解釈を理解し、規制の期待が時間の経過とともに運用上の義務にどのように翻訳されるかを理解するのを支援していました。その経験は、効果的なAIガバナンスには、政策と規制の思考をAIシステムの構築、展開、監視、適応に直接適用する必要があることを明らかにしました。

顧客は一貫して同じ痛み点を説明しました。彼らは、どのAIシステムが本番環境にあるか、どれが新しい規制の下で高リスクであるか、システムが機能境界を越えたときに誰が責任があるか、またはモデル、データ、ベンダー、規制が同時に進化するにつれて継続的なコンプライアンスをどのように示すかについて、自信を持って答えることができませんでした。

Trustibleを立ち上げたとき、最初に解決しようとした問題は、社会技術的なガバナンスを理論から運用の現実に変えることでした。私たちは、技術的行動、ユースケースのリスクコンテキスト、所有権、規制の期待を1つの場所に接続するシステムを作成することに焦点を当てました。Trustibleは、組織がAIの生きたシステム・オブ・レコードを持ち、継続的な可視性と説明責任を持つことで、ガバナンスが技術の変化と規制の進化に追随できるように設計されました。

前線から見て、過去1年で、AIが実際の意思決定、ワークフロー、顧客向けエクスペリエンスに移行したときに、ガバナンス・プログラムが停滞する理由について、何を学びましたか?

AIが実験から実際のワークフローに移行するにつれて、ガバナンスは、哲学的な理由ではなく、実用的理由で停滞する傾向があります。多くの組織は、AIのリスクを評価する方法を知らないのです。モデルを抽象的に評価することはできますが、ユースケースレベルでのリスクを評価することはできません。そこでは、技術的なメトリックだけでなく、コンテキスト、影響、下流の意思決定が重要になります。

生成的なAIの場合、この問題はさらに複雑になります。単一の基礎モデルが、顧客サポート、内部研究、意思決定サポート、コンテンツ生成などの異なるリスクプロファイルで使用される可能性があります。ユースケースの比較と評価のための構造化された方法がない場合、チームは過度の慎重さに走るか、自信を持って進みません。

サードパーティーのAIは状況をさらに複雑にします。組織はベンダーと組み込まれたAI機能に大きく依存していますが、システムを評価するための方法は一貫しておらず、ベンダーのリスクがどのように組織の規制上の露出に翻訳されるかを理解する方法もありません。したがって、レビューは主観的で遅れます。

これらの課題は、専門知識と所有権のギャップによって増幅されます。ガバナンスの責任は、法務、コンプライアンス、セキュリティ、データ、製品チームにわたって分散していますが、共通のフレームワークや明確な所有権はありません。適切なツールが不足している場合、ガバナンスチームは、どのように変化するか、そしてなぜ重要かを把握することができません。

ガバナンスが停滞する理由は、組織が静的なシステム用に設計された古いプレイブックを、ダイナミックなAIシステムに適用しているためです。AIには、継続的なリスク評価、結果に結びついた明確な所有権、そしてシステムが実際に動作する方法を反映したツールが必要です。ガバナンスチームは、どのように変化するか、いつ変化するか、そしてなぜ重要かを把握することができません。

最後に、所有権は、多くの組織で未解決のままです。AIシステムが実験から本番環境に移行したときに、明確な責任者が存在しません。ビジネスオーナーが結果に対して責任を持っていない場合、ガバナンスはアドバイザリとなり、進捗は遅れます。

共通の糸は、組織が新しいテクノロジーに古いガバナンスのプレイブックを適用しているということです。ガバナンスプログラムが停滞する理由は、組織がAIシステムの構築、展開、監視、適応に、政策と規制の思考を直接適用していないからです。

ガバナンスの2年目について、組織が初期の導入から継続的な監視、ドリフト管理、継続的なコンプライアンスへと移行するときに、何が変わりますか?

AIガバナンスの2年目は、AIがプロジェクトのシリーズではなく、意思決定のための基本的なインフラストラクチャーとして扱われるようになる時点です。私が意味するのは、最初の1年間で、AIガバナンスは主に有効化に焦点を当てているということです。チームは、ユースケースの承認、モデルの文書化、レビューのプロセスを実施して、AIが責任を持って進むことができるようにしています。

AIシステムが拡大し、コアのビジネスプロセスに組み込まれるにつれて、焦点は変わります。質問は、もう何かを展開するべきかどうかではなく、安全に、信頼性を持って、データ、ユーザー、ベンダー、規制が変化するにつれて長期間にわたって運用できるかどうかです。AIガバナンスは、エピソード的なものではなく、継続的なものとなり、カレンダーによるレビューではなく、実際の変化やコンテキストによってトリガーされます。

リスクもダイナミックになります。展開時の静的なリスク評価ではなく、モデルがドリフトしたり、スコープが拡大したり、新しいステークホルダーがシステムとやり取りしたりするにつれて、リスクがどのように進化するかを理解する必要があります。コンプライアンスも同様の変化を遂げます。規制要件は、ポリシーにマッピングされるのではなく、ライブコントロール、モニタリングシグナル、継続的に収集された証拠を通じて実施されるようになります。

AIガバナンスの2年目のもう1つの重要な側面は、実際のAIインシデント管理の導入です。組織は、どのシステムが監視されているかを知る必要があり、リスクに基づいてそれらを優先し、意味のあるシグナルを浮き彫りにするために必要なデータを統合し、明確なアラートとエスカレーション基準を定義する必要があります。これにより、チームは、問題がインシデントになる前に早期に介入できます。

断片化されたシステムと限られたリソースの場合、組織が最初に標準化すべきガバナンス能力は何ですか?

リソースが限られている場合、組織は最初にどこから始めるかについて慎重に検討する必要があります。最初の優先事項は、AIシステムが実際にビジネスで使用されている場所を把握することです。多くのチームは、AIシステムがわずか数個しかないと考えているかもしれませんが、実際には影のAI、ベンダーの機能、正式にレビューされていない拡大したユースケースが存在する可能性があります。生きたAIのインベントリがない場合、ガバナンスの議論は理論的で、現実から切り離されたものになります。

インベントリの可視性があれば、AIのユースケースに説明責任をもたらすことが重要です。ガバナンスは、責任が委員会や機能に分散している場合にすぐに崩壊します。組織は、AIシステムが意思決定や影響を与える場合に、誰が結果に対して責任があるかを明確に割り当てる必要があります。特にインシデントが発生したり、モデルが初期のスコープを超えたりする場合に、説明責任は特に重要になります。

そこから、チームは、リスクについて推論するための実用的方法が必要です。つまり、内部システム、生成的なAIのユースケース、サードパーティのベンダーを横断して機能する共通のリスク分類アプローチを確立する必要があります。共通のリスクレンズがない場合、組織は低影響のシステムを過度に厳しく監視したり、重要なシステムを十分に監視しなかったりします。

最後に、ガバナンスは通常の運用の結果として証拠を生成する必要があります。私たちは、信頼性を示すために「Say It, Do It, Prove It」という言葉をよく使います。システムが実行されるにつれて、承認、変更、モニタリングのシグナルをキャプチャすることで、組織は監査、インシデント、顧客の要求、規制の質問に自信を持って対応できます。ガバナンスが拡大するためには、これらの基盤が最初から完全である必要はありませんが、整合性と繰り返し性は必要です。

なぜAIガバナンスはサイバーセキュリティやGRCと同じレベルの厳格さで扱われるべきだと考えていますか?また、リーダーはどのような運用上のワークロードを最も過小評価していますか?

AIガバナンスは、サイバーセキュリティやGRCと同等のシステムリスクをもたらしますが、複雑さが増します。サイバーセキュリティの失敗と同様に、AIの失敗は組織内で迅速に、目に見えない形で広がる可能性があります。GRCと同様に、AIは法的、倫理的、運用上の義務と交差します。しかし、サイバーセキュリティやGRCとは異なり、AIシステムは明示的な人間の行動なしに動作を変える可能性があります。

リーダーが最も過小評価するのは、継続的な運用上の要求です。モニタリングは周期的なものではなく継続的なものです。調整は、製品、データ、IT、法務、コンプライアンス、調達チームを横断します。変更管理は常に発生しています。モデル、ベンダー、ユースケース、規制が同時に進化するためです。

組織がAIガバナンスを1回限りのコンプライアンスの演習として扱う場合、必ず苦労します。セキュリティや信頼性のエンジニアリングのように、運用上のインフラストラクチャーとしてそれに取り組む組織は、AIを安全に、持続可能に拡大するためにより良い立場にあります。

米国の州がAIの規制を進めている一方で、連邦政策はまだ争点となっているため、規制の不確実性を通じて耐久性のあるガバナンスを設計するために、企業はどのようにすればよいのでしょうか?

AIの規制環境は不確実で変化しています。最も耐久性のあるガバナンスプログラムは、規制ではなく要件を中心に構築されています。各新しい法律に対して独自のプロセスを反応させるのではなく、組織は、インベントリ、透明性、説明責任、リスク評価、人間のオーバーサイト、ドキュメンテーションなどの共通の期待に焦点を当てる必要があります。これらの期待は、管轄区域を超えて現れます。

ガバナンスシステムがモジュラーである場合、新しい規制要件を既存のコントロールにマッピングできます。そうすることで、規制環境が変化するたびにアプローチを再発明する必要がなくなり、摩擦が減り、ガバナンスが政策の変化に追随できるようになります。

目標は、今日の規制にコンプライアンスを最適化することではなく、期待が進化するにつれてそれに適応することです。

2026年を見据えて、企業がビジネスユニット全体でAIを拡大するにつれて、どのようなAIガバナンス能力が非交渉項目となるでしょうか?

AIが孤立したパイロットプロジェクトから、実際の意思決定を形作るシステムへと移行するにつれて、ガバナンスの期待も同様に変化しています。2026年までに、組織は、AIの監視が継続的なものとなり、静的なドキュメンテーションとポイントインタイムの評価では、規制者、取締役、従業員、顧客の期待を満たさなくなります。規制の強化と透明性の期待の高まりにより、監査対応の証拠が必要になります。これは、AIシステムを設計、展開、監視する際に、ガバナンス活動をキャプチャすることを意味します。

AIがより多くのチームやワークフローに組み込まれるにつれて、組織は、内部モデル、サードパーティのベンダー、組み込みAI機能、自律的なコンポーネントを横断して、ガバナンスを一貫した方法で行う必要があります。ベンダーのAIを盲点として扱うのではなく、または責任が調達で終了するのではなく、ガバナンスを同じレンズで見る必要があります。

ガバナンスは、AIのライフサイクル全体に組み込まれる必要があります。オーバーサイトは、展開時の法的なレビューではなく、SDLC、MLOps、サードパーティーのベンダー向けの調達ワークフローに統合された運用上の機能となります。規制の不確実性に適応し、インシデントに応じ、AIをより迅速に、より安全に拡大できるように、組織はこれらの能力を構築する必要があります。

すでに本番環境にあるAIを持つが、正式なガバナンス・プログラムがない企業にアドバイスする場合、最初の90日間は現実的にどのように見えるでしょうか?

最初の30日間は、基本的な可視性に焦点を当てる必要があります。つまり、どのAIシステムが本番環境にあるか、どのシステムが実際の意思決定に影響を与えるかを理解し、明確な所有権を割り当てる必要があります。

次の段階は、基準コントロールを確立することです。組織は、どのようにリスクを分類するかを定義し、高リスクのシステムに対する承認チェックポイントを導入し、最も重要な領域を監視し始める必要があります。

最後の90日間では、ガバナンスはセットアップから運用への移行に焦点を当てる必要があります。監視は既存のワークフローに統合され、エスカレーションパスは明確に定義され、証拠はシステムが実行されるにつれて自然に蓄積され始める必要があります。

最初の90日間の目標は、完全性ではありません。むしろ、動き出していることです。実践で不完全ながら機能するガバナンス・プログラムは、紙上でのみ存在するものよりもはるかに貴重です。”

素晴らしいインタビュー、詳細を知りたい読者はTrustibleを訪れてください。