“AI治理缺失”揭示企业领导者的新责任

“八成企业治理不足”的冲击性事实

最新调查揭示的事实，是许多企业领导者无法回避的现实。在引入生成式AI的企业中，竟有八成尚未建立适当的治理（管控）体系。这不仅是“运营层面的问题”，更可谓是企业经营风险本身。

我在自家公司同时使用Claude、ChatGPT、Grok三款AI工具，应用于29个业务领域。每月投资约21,000日元（约合人民币1,000元）即可创造相当于年约753万日元（约合人民币36万元）的价值，但其前提是建立了严格的治理框架。AI是强大的经营资源，但不受管控的力量终将转化为风险。

调查指出了安全使用AI所需的四个要素。这些并非抽象概念，而必须落实到具体行动中。

这是最基本却最易被忽视的要素。向AI输入何种数据、数据存储于何处、何人有权访问——在判断标准模糊状态下运作的企业数量之多令人震惊。

在我的实践中，涉及高机密性合同及个人信息的资料，必定经过匿名化处理后才输入AI。具体而言，通过Claude Code创建自动化脚本，对姓名、金额等特定信息进行批量替换。这道“预处理”工序绝不可省略。

盲目信任AI输出的危险性，已通过众多案例得以证实。然而由人工核查所有输出并不现实。此时需要的是“分层管理”的思路。

对于重要合同审查或法律文书起草，最终必须由人类专家进行确认。而对于内部邮件草拟、会议纪要整理等低风险业务，则可直接采用AI输出。这种“依据风险等级设计的验证体系”，正是兼顾效率与安全的关键。

“先试试用AI再说”的态度，是治理缺失的最大原因。必须明确定义各部门、各业务“为何目的”“在何种范围”使用AI。

在我的客户企业中，引入了AI使用申请表制度。申请者需填写“使用的AI工具”“输入数据类型”“预期输出内容”“预判风险及对策”，获得批准后方可开始使用。这个流程本身就能有效培养使用者的责任感。

AI治理绝非“一次设定终身有效”。需要随着技术演进、法规变化、组织发展而持续审视调整。

具体而言，我们每季度实施AI使用情况审查。分析各工具在哪些业务中被如何使用、出现何种问题、有何改进空间。基于这些数据，持续更新使用政策与培训计划。

仅有理论无法付诸实践。以下介绍中小企业也能从明天开始实施的具体框架构建步骤。

首先可视化公司的AI使用实态。从基础调查入手：是否存在未经许可使用ChatGPT的员工？是否输入了机密信息？此阶段重要的是向全员传达“目的是把握现状，而非追责”。

基于调查结果，制定明确以下事项的基本政策：

政策贵在简洁具体。超过10页的复杂文件，既无人阅读也难获遵守。

仅制定政策毫无意义。需要面向全体员工的实践性培训计划。我定期举办“30分钟掌握AI安全使用”研讨会，通过具体案例研习，让参与者切身理解何为可行、何为禁忌。

不单纯依赖人工培训，同步采用技术性对策。例如：

利用Claude等代码生成AI，这些技术对策能以较低成本实现自主开发。摆脱对SaaS的依赖，正是强化治理的典范。

恰当的AI治理不仅限于风险管理，更能为组织带来以下积极变化。

通过AI治理的讨论，员工对数据处理的意识自然提高。这不仅限于AI应用，更有助于提升所有数字化业务的安全意识。

思考“如何使用AI”，正是重新审视“如何开展业务”根本问题的契机。原本依赖个人的流程得以可视化，推动标准化进程。

看似矛盾的是，正是由于存在适当的约束（防护栏），才会催生在此范围内的创造性应用探索。相较于无限自由，在明确框架内反而更易孕育真正的创新。

建议从今日起实施三项行动：

正如VIEW CARD的案例所示，即使在债权管理等高度监管的业务中，AI应用也在持续推进。这表明只要建立恰当的治理体系，AI的应用范围将大幅拓展。

“公司缺乏精通IT的可信员工”的状况，反而是完善治理的绝佳契机。只要构建不依赖专家、通过框架与流程管理的体系，就能突破人力资源的限制。

AI治理是企业领导者的新责任。考验的并非技术细节，而是“应守护什么”“如何管理”的经营判断。在八成企业存在不足的当下，建立恰当的治理体系，或许正是构建竞争优势的关键。

为了让公司的AI应用从“便捷却危险的实验”进化为“可信赖的经营资源”，请先迈出第一步。