企業買収におけるAI関連リスク(2025年1-2月号)

  2. 企業買収におけるAI関連リスク(2025年1-2月号)

企業買収におけるAI関連リスク(2025年1-2月号)

ブルース C. ドーグ[*]

2025年1月-2月web特別版

 生成型AIの使用は、あらゆる業界の企業にとって新しい複雑な問題を引き起こす可能性がある。組織にとって見落とされがちな懸念事項の 1 つは、AIの使用を開始した企業を買収する場合である。AIを適切に使用すればビジネス価値が大幅に向上する可能性があるが、不適切な使用はリスクを伴い、時には致命的となる可能性がある。AIリスクを理解し、評価し、対処するには、AIが使用するアルゴリズム、AIがアクセスするデータ、AIの使用方法、AIを使用するユーザーを把握する必要がある。この情報を取得して検証するには、一般的な法的レビューに加えて、テクノロジーとビジネスモデルの詳細な分析が多くの場合必要になる。以下は、企業買収時に多くのAI関連リスクを理解し、対処するための高レベルのアプローチである。

AIがどう機能しているかを理解する

 まず、買収者は問題となるAIの性質を理解する必要がある。AIはさまざまな形式を包含する幅広い概念であるためである。AIには、ロジック、意思決定ツリー、機械学習、ディープラーニング・アルゴリズムなど、さまざまなテクノロジーが含まれる可能性がある。これらはそれぞれ運用が異なり、長所と短所がある。リスクを評価するには、買収者は現在のまたは以前の事業主がAIシステムを設計、使用、開発した目的を理解する必要がある。さらに、誰がAIを所有しているのか、また少なくともそれが最も高いレベルで機能している側面を知る必要がある。ライセンス付き、ライセンスなし、またはオープンソースなのか、社内で開発または強化されたのか、どのように訓練されたのか、幻覚を起こしやすいのか、動作方法と特定の結果に達した理由について透明性があるのか。

 多くの場合、主要なデータにアクセスして使用する能力(および競合他社が同じことをするのを防ぐ能力)が、買収対象企業に価値を生み出すものであり、アルゴリズムではないことを理解することも重要である。したがって、AIが関与する取引の価値とリスクを評価するには、買収者は次の点を判断する必要がある。

  • AIの基盤となるデータの所有者は誰か
  • データはライセンスされているのか
  • データが機密性またはプライバシーの制限の対象になっているのか
  • データが他者の知的財産(IP)を利用しているのか
  • 買収対象企業がデータを効果的に分離して保護し、競争上の優位性を生み出すことができているのか

 おそらく、リスクへの最大の貢献要因はどこで活用しているのかそれ自体である。AIは、日常的なタスクからミッションクリティカルなタスクまで、あらゆるタスクに使用できる。さらに、以前のテクノロジーとは異なり、AIは情報自体を処理し、意思決定プロセスで人間に取って代わることもある。買収者は、次の質問に答えることができる必要がある。

  • 買収対象企業はAIをどのように使用しているのか
  • それらの使用はリスクの高い目的なのか
  • 監視なしで意思決定を行っているのか、それとも人間の関与があるのか
  • 規制の厳しい業界で使用されているのか
  • 主要な顧客関係に影響を与えるのか
  • 主要な業務システムまたは財務システムを運用するために、AIは必要なのか
特定されたリスクを評価し、理解する

 買収者は、法的および規制上のリスクから始めて、AIリスクの多くの側面と潜在的な影響も理解する必要がある。たとえば、AIモデルが許可なく独自のデータで訓練されないようにすることは、IP違反を回避するために重要となる。企業はまた、買収対象が投資家や顧客とのやり取りでAIの使用やそこから得られる価値を過大評価していないことを確認する必要がある。

 買収者はAIの運用リスクも考慮する必要がある。AIシステムの正確性と監視を確保することは非常に重要である。AIアルゴリズムは、信頼できる結果を生み出すように定期的にテストおよび検証する必要がある。さらに、AIソリューションを提供するサードパーティ・ベンダーを管理するには、そのセキュリティとコンプライアンスの基準を確認する必要がある。これを怠ると、セキュリティリスク、運用の中断、サービスと製品の欠陥につながる可能性がある。

 企業はテクノロジーリスクも評価する必要がある。AIシステムを効果的に機能させるには、高品質のデータに基づいて構築する必要がある。データ品質が低いと、出力が不正確になる可能性がある。差別的な結果を防ぐためには、AIアルゴリズムに内在するバイアスに対処することが重要となる。説明責任と信頼のためには、AIの決定での説明可能性と透明性を確保する必要がある。さらに、AIシステムをサイバーリスクから保護するには、強力なサイバーセキュリティ対策が必要である。

 買収者は、対象企業のAIの特定の使用に関連する潜在的なリスクを理解したら、対象企業がそれらのリスクを軽減するために何をしたかを評価する必要がある。AIは急速に広く採用され、アクセスと使用が比較的容易で、業界標準やガイダンスがないため、採用されるアプローチと対策は企業によって大きく異なる。対象企業がリスク軽減にどれだけ真剣に取り組んでいるかは、企業の価値に大きな影響を与える可能性がある。実際、対象企業がAIガードレールについて賢明に議論できないことは、深刻な危険信号である。

 買収者は、以下の対策が採用されているかどうかを調査する必要がある。

  • 開発および展開での基本方針と手順を含む包括的なAIガバナンス・フレームワーク
  • さまざまな条件下でのAIシステムのパフォーマンスを評価するストレステスト・プログラム
  • サードパーティ・ベンダーがセキュリティとコンプライアンスの基準を満たしていることを確認するためのデューデリジェンス
  • 監査権と適切な記録の保持権を含む、継続的なベンダー・コンプライアンス・プログラム。

 買収者は、急速に発展するAIの使用に関する規制や法律への準拠を保証するプロセスを含む、対象企業のコンプライアンス管理も調べる必要がある。対象企業は、コンプライアンス・プログラムを定期的に監視および更新しているか、契約上の義務を遵守し、AIを倫理的に使用していることをどのように保証しているか。

 買収者は、対象企業のビジネスモデルをさらに検討し、次の質問をする必要がある。

  • AIは、会社の商品またはサービスの重要な要素になっているか
  • 医療の決定など、規制の厳しい分野や不正確さの影響が重大な分野で使用されているか
  • 対象企業は、AIを使用するユーザーとその目的を制限しているか
  • 社外のデータへのアクセスを制限しているか
  • 幻覚をチェックしているか
  • 結果の正確さを検証するために複数の方法を使用しているか
  • 人間が決定を監督しているか
  • 対象企業はAI関連の活動に対して保険をかけているか
取引リスクを軽減する

 次に、買収者は取引プロセスでAIリスクを管理する方法を検討する必要がある。買収におけるリスクを特定して軽減するための基本的な手法は、デューデリジェンス、取引文書でのリスク配分(表明および保証、補償、支払い条件など)、保険といった、大まかに同じカテゴリに分類される。ただし、AIの場合、軽減には買収後のビジネスモデルとテクノロジー自体の変更も含まれる可能性があることを理解することが重要である。

 取引中は、AIの使用と機能の慎重なデューデリジェンスが不可欠である。これには、法務、ビジネス、テクノロジーの各チーム間の調整が必要になることに注意する。各リスク・カテゴリの評価は、AIの使用と取引の規模と重要性に応じて、非常に詳細かつ複雑になる可能性がある。このプロセスは、従来のデューデリジェンスよりもさらに困難になる可能性がある。多くの企業は、AIの使用によって生じる潜在的なリスクの範囲をまだ完全には理解しておらず、特定の質問に答えられない可能性があるためである。経験豊富な取引および統合チームでさえ、AIがもたらす複雑さとリスクを十分に理解していない可能性がある。

 表明および保証は重要である。弁護士がリスクをよりよく理解しようとし始めたばかりなので、「標準的な表明」はまだ発展途上にある。表明はあまりにも広範すぎることが多く、取引の文脈における特定のリスクのレビューと議論を強制することはない。買収者は、AIを意味のある方法で使用し、非常に広範な表明に簡単に同意する対象企業には注意する必要がある。また、買収者は、製造物責任を含むものなどの従来の表明が、AIが関係する場合にさらなる意味と複雑さを帯びる可能性があることを理解する必要がある。たとえば、常に学習して進化しているAI対応の医療機器のリスクは、買収時とその前の年とで大きく異なる場合がある。

 AI関連取引における当事者間のリスクと責任の適切な配分はまだ発展途上である。買収者は、潜在的なAI関連の請求をカバーするために、表明および保証保険の取得を検討する必要がある。ただし、生成AIのリスクが実際の損害として保険の対象となるまでにはまだ時間が足りないため、この保険市場は進化しているということに留意する必要がある。

 また、買収完了後にAIの使用方法を変更することで、対象企業のAIリスクを軽減できるかどうかも、買収者が理解することが重要である。たとえば、買収者は、新会社に導入する強力な訓練、コンプライアンス、品質管理をすでに備えている場合がある。また、特定されたリスクを完全に評価して軽減できるまで、新たに買収した企業を別の組織として分離したいと考える場合もある。

 究極の軽減策は、いつ取引を中止すべきかを知ることである。もちろん、これはリスクを完全に理解していることに依存している。軽減できるリスクもあるが、適切な保護措置のない高リスク業界でのAIの使用、データの権利が不明確であること、プライバシー侵害が知られていること、重大なセキュリティリスク、AIの訓練と使用におけるIP問題への対処の失敗など、いくつかのリスクは危険信号として際立っているものである。

 AIは大きなメリットと機会を提供し、対象企業の価値を大幅に高めることができるが、課題とリスクももたらす。AIの複雑さを理解し、リスク軽減戦略を組み合わせて活用することで、買収者はこれらの課題を乗り越え、買収の価値を高めることができる。

トピックス
人工知能、新興リスク、合併と買収、リスク評価、リスクマネジメント、テクノロジー

注意事項:本翻訳は“AI-Related Risks in Acquiring a Business ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2025/02/11/ai-related-risks-in-acquiring-a-business ) February 2025,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ブルース・C・ドエグは法律事務所ベイカー・ドネルソンの株主兼ビジネス弁護士。