KAKEHASHI Tech Blog

カケハシのEngineer Teamによるブログです。

開発スピードと社会的信頼を両取りする――生成AI時代の『ガバナンス×SRE』戦略

ガバナンス 生成AI SRE

生成AI時代における「ガバナンス×SRE」の新しい責務

SREチームの乙二です。

生成AIが業務に浸透する今、医療データを扱うカケハシの全社SREとして、可用性とレイテンシを守る従来の活動ではリスクを吸収しきれないと感じました。 そこで私たちが取り組んだのが、SREの強みを「セキュリティ/プライバシー/法令遵守」へまで拡張し、情報漏えい・規制違反のリスクを管理するSRE組織への変革です。

カケハシでは生成AIサービスを利用する場合は、SRE、DRE(Data Reliability Engineering)、情報システム、法務といったガバナンス担当者間で連携しながら社内生成AIガイドラインに基づいて審査を行っています。特に業務情報を扱う場合は生成AIサービスの学習に利用されないことや利用規約等のセキュリティ要件、社内ガイドラインに沿って利用するために必要となる設定項目・設定内容を厳格にチェックしています。

当初はこの審査に申請ベースのアプローチで取り組んでいました。しかし、生成AIに関してはこれまでに前例がない分野なので、法的・セキュリティ的に新しい論点が生まれ、導入プロセスが長期化していました。また、組織的にベストプラクティスが確立されておらず、知見を貯める活動ができていませんでした。

そこで、こういった課題を解決するためにSREも含めたCoE(Center of Excellence)組織が立ち上がりました。この組織は生成AI活用における専門知識とベストプラクティスを集約し、各部門への支援を行う中核組織として機能しています。現在は個別申請を待つのではなく、CoEが主導して定期的に承認フローの確認やガバナンスの見直し判断も可能な体制を構築しています。

これにより、導入リードタイムを短縮しつつ、リスクマネジメントも強化するサイクルが回り始めています。

アジャイルガバナンスで “ルールを育てる” ――医療×生成AIの現場に合わせた統治モデル

このような生成AI活用におけるSREの役割拡張と並行して、カケハシでは意思決定のスピードと柔軟性を確保するために「アジャイルガバナンス」というアプローチも導入しています。

アジャイルガバナンスは 「まずルールを固めてから動く」 従来型の統治と異なり、イノベーションと社会的価値の両立を目指して計測 → 対話 → 改善を高速で回すモデルです。 経済産業省が Society 5.0 文脈で提唱し、企業法務の現場でも注目が高まっています。また経済産業省/総務省が2024年4月に公表した「AI事業者ガイドライン」でも、次のようにアジャイルガバナンスの考え方が明示されています。

「また、AI をめぐる動向が目まぐるしく変化する中、国際的な議論等も踏まえ、本ガイドラインに関しては、AI ガバナンスの継続的な改善に向け、アジャイル・ガバナンスの思想を参考にしながら、マルチステークホルダーの関与の下で、Living Document として適宜更新を行うことを予定している」

アジャイルガバナンスは、①マルチステークホルダー、②アジャイルなプロセス、③マルチレイヤー構造の三要素で成り立ちます。

(1) マルチステークホルダー (クロスファンクションで意思決定する)

法務チームやセキュリティチームだけでルールを作るのではなく、部門横断のメンバーが同じテーブルにつき、リスク(情報漏えい、誤生成の影響等)とベネフィット(開発速度/DX向上等)のトレードオフをリアルタイムで共有します。これにより、現場で新しい懸念が出ても即座に可視化でき、次のスプリントでルールをアップデートできる体制が整います。

(2) アジャイルなプロセス (スプリント単位で見直す)

伝統的ガバナンスは「一度ルールを定めたら、数年ごとの改訂までは動かない」スタイルです。対してアジャイルガバナンスは、計測 → 対話 → 改善を週〜月単位で回し、成果と副作用を短いスパンで検証します。生成AIのように技術が日進月歩で変わる領域では、この短いフィードバックループによって、ルールがリリースと同時に陳腐化するリスクを軽減します。

(3) マルチレイヤー構造 (技術スタックごとにリスクを分割して評価する)

生成AIサービスは、クラウド基盤の上に多数のAPI/モデル/外部サービスが折り重なった“レイヤー構造”で動いています。 リスク評価も「クラウドそのもの → 生成AIサービスのセキュリティ機能 → 生成AIモデル」と層ごとに行う必要があり、すべての層を毎回監査するのは現実的ではありません。 そこでカケハシでは認証済みの生成AIサービスリストを公開しており、各サービスの利用目的・許可データ・禁止設定をドキュメントに明記しています。

固定したルールに頼るより、「ルールを育てる前提」で設計し、高速かつ継続的にサイクルを回す、というのがアジャイルガバナンスの核心です。

今後の課題

ここまでの取り組みで、ガバナンスと開発スピードの両立に向けた土台は整ってきましたが、道のりは決して平坦ではありません。特に、以下のような現実的な課題に直面しています。

まず、マルチステークホルダーによる意思決定は、リスクとベネフィットを多面的に評価できる一方で、合意形成に時間がかかる傾向があります。法務・情報システムといった“守り”の視点と、プロダクト開発が持つ“攻め”の視点のあいだで、優先順位や緊急度の認識にズレが生まれることもあります。

たとえば「この生成AIツールをすぐに使いたい」という現場のニーズに対し、「データ送信先が不明瞭でリスクがある」といった懸念が出た際、単純なYes/Noでは進めません。リスクを踏まえた上で「どの条件であれば使えるのか」を整理し、技術・契約面での再確認を重ねながら解を探る必要があります。

また、生成AIに関するガバナンス対応では、学習データの扱いや利用規約の変化など、これまでのSRE業務では扱わなかった判断軸が求められます。SREとしても、技術的な視点に加えて、リスクの読み解きや対応方針を他部門と協働しながら進めるスキルが必要になっています。

そのため今後は、SREチームの知見を広げるだけでなく、役割の明確化と分担、そしてガバナンス対応を担う体制自体の強化が不可欠です。生成AIの変化スピードに対応するためにも、技術と統治を橋渡しするSRE像を進化させ続けることが、組織全体の持続的な成長につながると考えています。

まとめ

生成AIは事業成長を加速させる一方、医療データを扱う当社にとっては「開発スピード」と「社会的信頼」を同時に守ることが経営の最重要課題です。そこでSREをリスク統合型へ再定義し、可用性だけでなくセキュリティ・プライバシー・法令遵守を日々の運用サイクルに組み込みました。このアジャイルガバナンス体制により、生成AI活用のROIを最大化しながら、法規制違反や情報漏えいといった経営リスクを最小化する基盤を整えています。

ランキング参加中
プログラミング