パーソルが明かす生成AIグループ共通ガイドラインの策定経緯 「社内利用」と「プロダクト開発」に分けて作成

生成AI活用のため、部門横断で組織を編成

生成AIの活用に向けては、どのように動きだしたのでしょうか。

上田氏：
パーソルグループでは、2023年5月に発表した「パーソルグループ中期経営計画2026¹」の中で、目指す企業像を「“はたらくWell-being”創造カンパニー」と掲げ、そのための経営の方向性として「テクノロジードリブンの人材サービス企業」と定めています。

「中期経営計画2026」におけるテクノロジー戦略としては、テクノロジーの活用を推進する領域を4象限で整理し、顧客体験と従業員体験の双方を高めることを大きな方針として据えました。

AI技術についても、こうした戦略に沿って、グループ全体で利活用を推進・強化していくことになりました。まずグループ共通利用を進め、次に各事業での業務活用、最終的に事業の変革につなげていく、というストーリーをイメージして戦略を立てています。共通利用を促進するステップは、グループ会社の経営計画・管理を担う、私たちパーソルホールディングスが主導して取り組むことになりました。

実は、ここまでご紹介したようなAI技術の利活用に向けた戦略を描く前から、生成AIに関わるテクノロジーの活用は進んでいました。ChatGPTの社内版をつくろうとか、生成AIのプロダクト開発基盤を構築しようとか、あるいは社内ルールやガイドラインを整備しようとか、ホールディングスの中でも個別で案件が走っていました。それらが進んでいく中で、先述の経営戦略と合致した動きだったこともあり、各案件を合流させて進めたほうがよいだろうということになり、部門横断での取り組みが徐々にできてきました。

初版のガイドラインはスピード重視かつ、あえて保守的に

生成AIの利用とあわせて、早い段階から、ガイドラインの作成についても検討が始まっていたのですね。現在のガイドラインが完成するまでにはどのような経緯がありましたか。

上田氏：
私たちは、ガイドライン作成の取組みを始めてから2023年5月に初版を発行するまでを「第一章」、そこから現在使用するガイドラインに仕上がった2023年10月までの過程を「第二章」と呼んでいます。

ガイドラインができる以前は、一般的なSaaSを使う場合の許可申請ルールに則って、生成AIサービスの利用を希望する各部署からの申請を受け、情報セキュリティ部の小玉が所属するチームで個別に審査していました。

小玉氏：
ChatGPTは無料で一定程度使えるので、「とりあえず使ってみよう」という動機の申請がかなりありましたね。

上田氏：
初版の発行にあたって我々が大事にしたポイントは、まず、生成AIの活用にスピード感を持って取り組んでいる姿勢を社内外に示すこと、そして安全性の説明に根拠を持たせることの2つでした。当時はまだ生成AIの専門家もほとんどいない状況であり、「生成AIへの質問として入力したデータが、学習データとして利用されてしまう」「ハルシネーション（※）が起こる」といった顕在化しているリスクもありましたが、それ以外は漠然と「リスクがあるかもしれない」という状況でした。そこで初版は「根拠に基づいて安全だといえる内容」だけを反映させ、あえて保守的な内容にしました。

小玉氏：
初版の作成は主に私が担当し、リスクの洗い出しや最低限のルールづくりを行いました。情報漏えいや、利用に関する法律上のリスクはもちろんですが、当グループではテクノロジードリブンという方針を掲げていますから、生成AIの利用を止めることでイノベーションが止まってしまうこともリスクの1つだといえます。そうしたリスクを総合的に見て、上層部と何を優先するかの合意を取りつつ、まずは必要最低限のガイドラインをつくりました。生成AIはいろいろなモデルやサービスがリリースされていますが、初版のガイドラインは、OpenAIのChatGPTを従業員が利用するシーンを想定して作成しました。

リスクを検討する際、あるいはガイドラインの形にする際に、参考にした情報源はありますか。

武山氏：
小玉さんはいろいろなセミナーを回って、初版作成のための情報収集をしていましたよね。

小玉氏：
ええ。その他、生成AIの提供事業者が公表している規約類を確認して、どういう制約が設けられているのか、利用にあたってはどういう条件を付けているのかなどを参考にしました。契約面や倫理面に関するリスクについては、リスク・コンプライアンス室に確認してもらうなど、専門部署の協力も仰ぎながら検討を進めました。

そうしてできあがった初版では、「生成AIに入力してもいい情報」を厳格に定めています。機密情報や個人情報が、生成AIの学習データに使われてしまうのを避けるためです。逆に生成物（生成AIから得た回答）の使い方については利用者の裁量に委ね、ハルシネーションのチェックなどは現場で行ってもらうようにしました。

上田氏：
生成AIという新技術を展開するうえで、ガバナンス部門はリスクコントロールを考えますし、利用者は利便性を求めます。そして経営層はその両方に加えて、ビジネス利用を推進するスピードも考慮に入れます。しかし先ほどもご説明したとおり、初版はスピード重視かつ保守的につくったため、それらを十分に満たすものではありませんでした。そのため「初版は100点満点のものでなく、これを起点としてチューニングしていくことを前提としている」というメッセージを添えて、2023年5月に初版を公開することにしました。

武山氏：
初版が出たのと、日本ディープラーニング協会（JDLA）が『生成AIの利用ガイドライン』（※）を公開したのが（2023年5月1日）ほぼ同じタイミングでした。JDLAのものと概ね観点は合っており、答え合わせができたような感覚でした。

初版に対するグループ内からの反応はいかがでしたか。

小玉氏：
った やはり、社外秘情報、個人情報の入力を禁止したことに対して、「どんな情報なら入力してもいいのか」「どこまでなら社外秘にあたらないのか」「誰の許可が必要なのか」といった質問が多かったですね。

上田氏：
また、初版はChatGPTを従業員が自身の業務で利用する場面を中心に考えたものでしたが、生成AIを組み込んだプロダクトを開発したいと考えている部門からは、「プロダクトに生成AIを組み込む場面には適さない内容のため、ガイドラインそのものを見直してほしい」といった意見も来はじめました。初版を出した大きな効果は、このようなフィードバックによって、さまざまな議論のベースになったことだと考えています。

武山氏：
初版を社内展開したタイミングで、生成AIの概要やハルシネーションが起こる仕組みなどを解説する動画の配信も始めました。こうした言語モデルに関する啓発活動を行ったことで、経営層も、従業員も、事業に生成AIを組み込む企画をする人も、生成AIについて話し合うための素地ができたわけです。

上田氏：
第二章では、初版づくりと並行して準備を進めていた武山と安原が中心となって、現在のガイドラインの形をつくっていきました。こちらはChatGPTに限らず、あらゆる基盤モデルを対象にしたもので、イノベーションを止めないことを重視して検討が進められました。

第二版作成にあたり「社内利用向け」「プロダクト開発向け」に体系整理

「第二章」におけるガイドライン作成のプロセスと、その中で留意したことについてお聞かせください。

武山氏：
第二版の作成にあたって、私はセキュリティマネジメントの観点から、セキュリティ面、ガバナンス面での課題解決を考えるようにしました。生成AIで取り扱ってもいい情報は何なのか、アビューズモニタリング（悪用の監視）をどうするのかなど、現場のニーズと経営側の懸念を踏まえて、法務部門と協力しながらガイドラインに落とし込んでいったのです。生成AIサービスの利用規約を熟読して、ベンダーの責務を確認することにも時間をかけましたね。利用規約と戦っていたと言ってもいいくらいです。

安原氏：
各生成AIサービスの利用規約の中に、これまでのSaaSにはなかったような、生成AIならではの条項がないかをチェックするのが1つのポイントとなりました。たとえば、一般的なSaaSでは、ユーザーが入力したデータをそのSaaS自体のために利用することはほとんどありませんが、AIは学習に利用するケースがあるため、その点についてどう規定されているかを把握することは重要です。またデータの置き場所にも注意しました。海外のサービスではデータが国外のサーバに置かれるため、データの越境移転などに関する問題が出てくるおそれもありました。

上田氏：
第二章では、ガイドラインのターゲットを分類したのが特徴的だといえます。一般的なWebサービスとして生成AIを社内利用したい人、生成AIというテクノロジーを用いたプロダクトを開発して新サービスとして事業に組み込みたい人、できあがったプロダクトの安全性などを審査する人など、立場によって異なるリスクへの観点を整理して、ターゲットそれぞれにあわせたガイドラインの体系づくりを行いました。

また、ガイドラインの整備と併行して、生成AIの社内利用のために、パーソルグループ専用環境として使えるPERSOL Chat Assistant（愛称：CHASSU チャッス）を開発し、2023年6月からプロトタイプを一部のテクノロジー部門に、同年8月から10月にかけて正式版を国内グループ全社に展開しました。

安原氏：
CHASSUはMicrosoft Azure上に構築し、グループ内のセキュアな環境で利用できるよう設計されています。そのため、入力できる情報の範囲が広く、利便性も高いため社内でもスムーズに受け入れられていると感じます。

上田氏：
CHASSUのリリースによって、生成AIを社内利用する従業員にとっては入力情報の制約が緩和されました。また、そうした緩和を行うために、プロダクト開発・審査向けの内容は切り出して、別のガイドラインとしてまとめることとしました。

プロダクト開発向けのチェックリストは約70項目

安原氏：
プロダクト開発向けのガイドラインを検討する中では、生成AIを組込んだプロダクトに関するリスクだけでなく、それを利用するユーザーのアクションについても十分に気を配るべきである点がポイントになると考えています。まだ馴染みがない人も多い生成AIを、サービスを通じて利用いただく以上、それを提供する事業者としての責任を果たす必要があるということです。そこで、サービスのエンドユーザーにきちんとリスクを把握してもらえるような仕組みを用意しなければならないということについても、ガイドラインで言及する必要がありました。

たとえば、サービス提供者が顧客向けのQ&Aで生成AIを活用するのであれば、「ユーザーが入力した質問に対する生成AIの出力をサービス提供者が確認、編集して返す」ことで、サービス提供者があいだに入るため、そこでリスクをコントロールできるでしょう。一方、「ユーザーが入力したレジュメを生成AIが処理・出力して、その結果をユーザーがそのまま使う」というサービスも考えられます。この場合は、入力から出力のあいだに当社が介在しません。そのため、「生成物には間違いが生じる可能性がある」ということを、あらかじめユーザーに伝えておく必要があるわけです。

そこで、プロダクト開発向けのガイドラインでは、「サービスの画面上に、ユーザーが負うかもしれないリスクと、その対応策を表示する」という手法例まで示して、リスク回避に役立つものにしました。

生成AIはまだ新しい技術であり、プロダクトを開発するにあたっては、そこから生じるリスクをどこまで予想できるかが大きなポイントになるかと思います。新たなガイドラインを作成するうえでは、どのようにリスクを整理したのでしょうか。

安原氏：
生成AIを組み込んだプロダクトの企画を立案して検討を具体化していく時間軸の中で、「手戻り」が極力少なくなるような順序でリスク検討の観点を整理しています。これは、プロダクト開発がある程度進行した段階で、前提となるような重要なリスクに気づかなかった、という事態を避けるためです。

具体的には、下図のようなリスク検討の流れにしています。生成AIを組み込んだ新しいプロダクトの企画概要が固まった時点で、まずは「スキーム全体のリスク」や企画で使おうとしている「生成AI選定上のリスク」を確認し、より検討の具体化・進捗に応じて「モデルの改変・学習に関するリスク」「ユーザーによる生成AI利用上のリスク」の確認を進めていく流れを設定しています。

チェックリストでは、この流れに沿った約70項目の確認事項を設け、リスクアセスメントツールとして国内グループ各社に展開しています。リストでは「何に注意すればいいか」はもちろんですが、リスクを取るか・取らないかを検討するための記入欄も設けていることが特徴です。事業部としてやりたいことやリリースしたいサービスに対して「リスクがあるからNG」とストップをかけるのではなく、リスクを認識したうえで「これをクリアできればやれる」という道筋を示すことが重要だと思っています。

本来、プロダクト開発者はセキュリティベンダーやJDLAのガイドライン、文化庁における著作権に関する議論などの内容をすべて把握したうえで、リスク対応を検討しなければなりません。その手間と時間を削減するためにガイドラインとチェックリストをつくったわけですから、大事な点の抜け漏れがないよう体系化することに注力しました。

ちなみに、こうしたプロダクト開発向けのガイドラインとチェックリストを使って、パイロット的に社内で開発したのが、先ほど紹介したCHASSUです。

今後は簡易版チェックリストを作成、さらなる生成AIの活用に期待

上田氏：
第二章で行ったもう1つ重要なことは、生成AIを用いたプロダクトの審査プロセスの決定です。当グループでは以前から、パーソナルデータの利活用に伴う、個人情報・プライバシーに関するリスクをレビューするための審議会や、事業ごとのIT・セキュリティに関する審査会を設置しています。生成AIに関する審査も、そうした既存のプロセスに統合して行うことにしました。これについては武山が苦労しながらもグループ各社と整備しました。

武山氏：
当グループでリリースした生成AI関連のプロダクトによって、事業上のリスクが発生することも考えられます。そのため、「経営判断を伴う審査の場を設けなければならない」と各所に説明してまわり、その結果、各戦略事業単位（SBU：Strategic Business Unit ※）の中の既存の会議体で審査を行ってもらうことになりました。

SBUごとに適切な審査の方法やタイミングは異なりますので、どの会議体で審査するかは各ユニットの判断に任せていますが、プロダクトを企画する中で必ず通るプロセスで、リスクアセスメントツール（チェックリスト）を利用した審査をするように伝えています。

最後に、今後の展開として検討していることがあればお聞かせください。

上田氏：
ガイドラインが、新たなプロダクトのリリースにつながることを望んでいます。2023年度は社内向けのプロダクト開発に取り組む部門・グループ企業が多かったですが、いずれ事業に転用することを見込んだ検証も進んでいるようです。2024年度以降、当社でどこまで生成AIの活用が広がるか、期待を込めて見守っています。

武山氏：
相談レベルでは、ユーザー向けのサービスに生成AIを利用しようという話もすでに来ていますね。

安原氏：
プロダクト開発向けのガイドラインに関しては、生成AI機能を搭載したサービスの審査を念頭に確認事項を絞り込んだ簡易版チェックリストの作成も予定しています。現在のものは、生成AIを本格的に事業に組み込んで使うことを考慮して細かいチェックリストとなっていますが、生成AI機能を搭載したサービスを生成AI部分に変更なく利用する場合などには、必ずしもすべての項目をチェックする必要はありません。ただ、チェックリストのうちどの項目を省略できるかを判断するのにも前提知識が必要になりますから、必要項目に絞ったチェックリストをあらかじめ用意しておくことで、円滑な審査と生成AIの一層の活用を促進できればと考えています。

（取材・文：渡邊智則、写真：弘田充）