NRIが示したAIガバナンス論の「次」はどこにあるのか——リスク分析と人材育成を超えた、判断の設計という問い

topic: "AIガバナンスの限界と判断設計——リスク管理・人材育成を超えた組織的判断構造の構築" concepts: \ Decision Design \ Decision Boundary \ AI governance \ AI agent governance \ judgment architecture \ responsibility al…

topic: "AIガバナンスの限界と判断設計——リスク管理・人材育成を超えた組織的判断構造の構築"
concepts:
- Decision Design
- Decision Boundary
- AI governance
- AI agent governance
- judgment architecture
- responsibility allocation
- human oversight
- AI CoE
- shadow AI
- organizational decision structure
- human-in-the-loop design
- AI risk classification
- judgment boundary design
author: "森井亮史(Ryoji Morii)"
organization: "Insynergy株式会社"
framework: "Decision Design / Decision Boundary™"
related_works:
- "When Intelligence Becomes Abundant, Judgment Becomes Scarce"
- "The Formation Gap"
- "The Ownership Problem"
ssrn_abstract_id: "6341998"

ガバナンスが「守り」から「攻め」になった日

NRIが最近公開した記事「『知らない』では済まされないAIのリスクと責任——競争力を生むAIガバナンスとは」(高木大輔・高橋未鈴、NRI JOURNAL、2026年3月9日)は、読んでみると、いくつかの点で従来の「AI怖い」論とは一線を画していた。

端的に言えば、AIガバナンスを「使わせないためのルール」ではなく、「安心して使うための前提」として捉え直している。「AIを活用しない判断が、コスト構造や意思決定のスピード、顧客体験、競争力に将来どんな影響をもたらすのか」という問い方は、従来のリスク管理論が苦手としてきた問いだ。守りから攻めへ、という転換の意識は、明確に感じられる。

評価したうえで、一歩引いてみると、記事が中心に置いているのは以下の4点に整理できる。

どれも間違ってはいない。しかし、読み終えた後にある種の物足りなさが残るとしたら、それはおそらくこの記事が「ガバナンスをいかに整備するか」は語っていても、「判断という行為そのものをどう設計するか」には到達していないからだと思う。


リスク分析は「衛生要件」である

NRI記事が挙げているリスクのリスト——ハルシネーション、著作権侵害、プロンプトインジェクション、モデル窃取、データポイズニング——は、AI活用を推進しようとしているあらゆる組織が把握しておくべき項目だ。これは正しい。

ただ、把握しておくべきということは、裏を返せば「把握していることが前提」になりつつある、ということでもある。

2026年の時点で、ハルシネーションのリスクを「知らなかった」という企業はもはやほぼ存在しない。欧州AI法(EU AI Act)が施行され、国内でも規制の議論が本格化する中で、リスクの名称を列挙し、分類し、リスク許容度を設定するプロセスは、競争優位を生むものではなく、事業継続のための最低要件に近づいている。

医療機関が院内感染対策をとることは、経営上の強みではなく、患者に対する最低限の義務である。同じ構図が、AIリスク管理にも起きつつある。

では、本当に差がつくのはどこか。

リスクを「見つける力」ではなく、リスクが生じうる局面で「判断を安定的に運用できる構造」を持っているかどうか、ではないかと思う。見つけることと、組織として継続的に正しく判断し続けることは、別の問題だ。


シャドーAIとガチガチ統制という「両極端」の正体

NRI記事が指摘する「二つの極端な状況」——シャドーAIと、厳しすぎて使われない統制——は、多くの組織で実際に観察される。この対立の構図は正確だと思う。

ただ、この二極が生まれる本質的な理由は何か。

「ルールが曖昧だから」「経営のメッセージが不明確だから」という説明は部分的には正しいが、それだけでは説明しきれない。より根本的には、「誰が、どの条件で、何を判断してよいのか」という境界が設計されていないことにある。

シャドーAIが起きるとき、現場の担当者は何らかの判断をしている。「これくらいのリスクなら自分で判断してよいはずだ」「誰に相談すればいいかわからない」「相談すると止められるから相談しない」。これらはすべて、判断の境界が組織として設計されていないことへの、個人による場当たり的な解決だ。

逆に、統制が厳しすぎて使われなくなるとき、何が起きているか。それは「判断を許容する条件」が設計されておらず、デフォルトが「禁止」になっているだけだ。判断のルートがないから、すべてが止まる。

どちらも、症状は違うが、根は同じだ。


AI CoEは解か、それとも問いの先送りか

AI CoEという概念は、ガバナンスの横断組織として有効な設計思想だ。法務・セキュリティ・事業部門のキーマンが集まり、「守り」と「攻め」の知見を統合するという発想は、サイロ型の組織では機能しなかったガバナンスを再設計する試みとして評価できる。

しかし、ここで一つ問いを置いておきたい。

AI CoEが「経営層が決定したリスク許容度を、現場が迷わず使える具体的なルールやツールに落とし込む変換機能を担う」(前掲NRI JOURNAL)とすると、その変換を実行するのは、結局のところ「AI CoEの中にいる誰か」である。その人が異動すれば、変換の質は変わる。その人の経験や判断センスに、組織のガバナンス品質が依存する。

これはAI CoEへの批判ではない。しかし、AI CoEという組織を立ち上げた先に、「誰が判断するのか」という問いはまだ残る。組織を作ることと、判断の構造を設計することは、同じではない。

NRI記事の中にも「AI活用案件が増えていくと、すべてをAI CoEだけで見続けるのは現実的ではない」(前掲NRI JOURNAL)という言及がある。この認識は正確だ。しかしその後に続く解決策が「各部門で自律的に判断できる人材を育てる」という方向に向かうとき、私はまた一つ、問いを置いておきたくなる。


人材育成に頼る設計の静かな限界

「現場が判断できるようにする」「AIリテラシーを高める」「相談しやすい体制を作る」——これらはすべて、重要な施策だ。否定するつもりはない。

ただ、これらの施策が共通して持つ構造がある。それは、最終的に人の力量に依存する設計だということだ。

優秀な人材がいれば機能する。しかし異動があれば崩れる。退職があれば止まる。ノウハウは個人の頭の中に蓄積され、組織に移転しない。教育コストは積み上がるが、判断品質はばらつき続ける。

これは人材育成の失敗ではなく、人材育成を「判断の設計の代替」として位置づけることの限界だ。

育成は判断の質を底上げする。しかし育成は、判断の構造を代替できない。

スケールする統制とは、優秀な人がいなくても一定の判断品質を維持できる設計のことだ。そしてそれは、人を育てることとは別の問いに答えなければならない。


政府が直感していること、設計できていないこと

ここで、少し視野を広げてみたい。

日本政府は、自律的に動くAIエージェントに対し、誤作動やプライバシー侵害のリスクを念頭に、「人間の判断を必須とする仕組み」の整備を開発企業等に求める動向を示している(「AIエージェントやロボAI『人の判断必須の仕組みを』政府指針に明記」、日本経済新聞、2026年2月15日)。いわゆるHuman-in-the-Loop(人間による介在)の制度的要請だ。総務省・経済産業省の「AI事業者ガイドライン」を更新する形で、3月末にも正式な指針としてまとめられる予定とされている。

この動向が示しているのは、社会全体がすでに直感的に「人間を残すべきだ」と感じているということだ。AIに全てを任せることへの根本的な不安が、政策レベルで表出している。

しかし、ここにも同じ問いが残る。

「人間を残す」とは、どこに、どのような形で残すのか。チェックボックスを押す人を残すのか。意味のある判断を下せる権限と情報を持つ人を残すのか。例外が生じたとき、実質的な責任を引き受けられる人を残すのか。

「人間を残せ」という直感は正しい。しかし「どこに・どう残すか」の設計思想が、少なくとも公開されている政府の議論や企業のガバナンス論の中には、まだ十分に見えていない。

NRI記事が「例外が生じたときにどう判断するのか、そのプロセス自体を設計しておくことが重要」(前掲NRI JOURNAL)と述べているのは、まさにここに触れている。だが、そのプロセスをどう設計するかの具体は、記事の射程の外にある。


AIエージェント時代に固定ルールが壊れる理由

「AIエージェントのように、AIが人の指示を待たずに自律的に動くケース」(前掲NRI JOURNAL)——NRI記事がこの問題に触れているのは重要だ。

固定ルールが機能するのは、想定できる行動パターンが有限のときだ。あらかじめ「こういう場合にはこうする」を列挙できるとき、ルールは機能する。

しかし自律的に動くAIエージェントは、ルール策定者が想定していなかった行動をとりうる。複数のシステムを跨いで、複数のタスクを並行して処理し、その途中で予期せぬ判断を下す可能性がある。

このとき「固定ルールで対応しきれない」という問題が生じるのは、ルールが足りないからではない。ルールという形式が、本質的にそのような状況に向いていないからだ。

必要なのは、より精緻なルールではなく、想定外が生じたときに、どこで・誰が・何を引き受けるかという境界の設計だ。

これは「例外処理マニュアル」の問題ではない。判断という行為を、組織のどのレイヤーに、どのような条件で帰属させるか——その構造設計の問題だ。


ここから核心に入る

リスクを分析することの重要性は理解した。組織横断の司令塔が必要なことも理解した。人材のリテラシーを高めることも必要だ。

しかし読み進めてきた今、一つの問いが浮かんでいないだろうか。

「では、判断そのものをどう設計するのか」

AIの性能の問題ではない。ルールの網羅性の問題でもない。優秀な人材を集めるかどうかの問題でもない。

問題の核心は、判断という行為を、誰が・どこで・どの条件で引き受けるかが、組織として設計されているかどうかにある。

この問いに、既存のガバナンス論はまだ答えていない。リスク管理の言葉で語られ、組織設計の言葉で語られ、人材育成の言葉で語られてきた。しかし「判断の設計」という言葉では、まだほとんど語られていない。

その空白を埋める思想が、Decision Design(判断の設計) である。
Decision Designは、判断という行為そのものを設計対象とする思想だ。
その中心にあるのが Decision Boundary(判断の境界) という概念である。誰が決めるのか。
どこまでを任せ、どこからを引き受けるのか。
その線を、無自覚のまま放置せず、意図的に設計すること。それがDecision Designである。

詳細版について

本稿は、公開範囲を基に構成したInsynergyの日本語サイト版です。詳細な議論と実装上の考察はnoteの詳細版で解説しています。

Read the original English analysis (English) →note版を開く →