AIとサイバーセキュリティリスク開示の加速

米国の主要企業であるフォーチュン100企業が、AI戦略と関連するリスクに関する情報開示と監視を大幅に強化していることが、EYが発表した最新レポートで明らかになりました。多くの企業がAI技術を戦略的成長計画に組み込む中、この動きは加速しています。

経営層によるAI監視の強化

EYの報告書によると、フォーチュン100企業の約半数（48%）が、取締役会の監視対象としてAIを挙げていることが判明しました。これは、2024年のレポートでの14%から大幅な増加です。また、10社のうち4社がAIを少なくとも1つの取締役会委員会の責任範囲としていると回答しており、これは1年前の10社のうち1社という数字と比較して顕著な変化です。

EYアメリカズ・センター・フォー・ボード・マターズのリーダーであるパトリック・ニーマン氏は、「どの委員会が監視し、取締役会がどのようにガイダンスを提供するかは、ますます焦点となっています。これに伴い、取締役会はこの成長分野に追いつき、適切な質問をし、AIとその関連リスクを管理する方法を調整して、事業の戦略的目標をサポートすることを検討する必要があります」と述べています。

さらに、3分の1以上の企業が、連邦規制当局に提出する年次10-K報告書でAIをリスク要因として記載しており、これも前年の14%から増加しています。

高まるAI関連リスクへの懸念

レポートは、トップ企業の間でAIリスクに対する具体的な懸念が高まっていることを指摘しています。これには以下の点が挙げられます。

• ディープフェイクの脅威の増大
• 従業員が未承認のAIアプリケーションを職場で使用することによるデータ損失のリスク

これらの懸念が、企業の情報開示と監視の加速に拍車をかけていると考えられます。

サイバーレディネスと監査委員会の役割

EYの報告書は、サイバーレディネスに関する取締役会の関与と透明性の向上も示しています。10社のうち7社以上が何らかの外部サイバーセキュリティフレームワークを遵守しており、そのうち3分の2が米国国立標準技術研究所（NIST）を引用しています。

また、10社のうち約6社が、テーブルトップ演習、シミュレーション、対応準備演習など、サイバー準備状況を規制当局への提出書類で開示しています。ほぼ8割のケースで、監査委員会がサイバー監視の責任を負うよう指定されています。さらに、約85%の企業が、サイバーセキュリティの専門知識を持つ取締役を擁しているか、積極的にそのような取締役を求めていると回答しています。

AI導入における課題

水曜日にAuditBoardが発表した別の報告書では、約半数の企業が、野心的な導入計画を進める中でAI関連リスクの管理に苦慮していることが示されています。その結果、これらのAIベースのツールやサービスの導入は、開始からわずか数ヶ月でつまずき始めています。

AuditBoardのCISOであるリチャード・マーカス氏は、「初期のパイロットは迅速かつ自由に実行される傾向がありますが、所有権、検証、説明責任に関する疑問が生じると、自信が急速に低下し、意思決定サイクルが遅くなるのが見られます」と電子メールで述べています。

---

元記事: https://www.cybersecuritydive.com/news/fortune-100-firms-disclosures-ai-cybersecurity-risk/802839/