AI Governance AI governancerole reallocationClaude MythosAPPIregulation

はじめに:2ヶ月前の問いは、すでに現実になった

はじめに:2ヶ月前の問いは、すでに現実になった

2月に公開した記事「『AIが仕事を奪う』論争は的外れ」で、次のように書きました。

起きているのは仕事の奪い合いが本質ではなく、役割の再定義と再配置になります。

AIの内部は複雑なパラメータ空間で構成されており、作った本人ですら結果に至る内部の挙動を完全には読めません。

あれから2ヶ月。技術と法制度の両面で、このことを裏付ける具体的な動きが相次ぎました。本稿では、2026年3月末から4月にかけて起きた3つの出来事を取り上げ、「役割の再配置」が抽象的な予測ではなく、今まさに進行中の事象であることを振り返り確認したいと思います。

1. Mythos: 「制御の限界」が国家レベルで顕在化

2026年4月7日、Anthropic社は「Claude Mythos Preview」を限定的に公開しました。

注目すべきは、このモデルの公開が一般向けではなく、Amazon、Apple、Microsoft、CrowdStrikeなど12のパートナー組織による防御的サイバーセキュリティ用途(Project Glasswing)に限定されたという点です。理由は、モデルの能力が高すぎるためです。Mythosは数週間のうちに数千件の未公表脆弱性(いわゆるゼロデイ)を発見し、その中には重大なものも多数含まれていたとされています。見つかった脆弱性の中には10年から20年前から存在していたものもあると報じられています。

開発元であるAnthropicの社内文書が事前にリークされ、その中でMythosは同社のこれまでのモデルを大幅に上回る性能を持ち、悪意ある利用者がバグの発見と悪用に転用した場合のサイバーセキュリティリスクについても言及されていたと報じられています。

2月の記事で書いた「制御の限界」は、まさにこの形で表面化しました。

AIの能力が人間のセキュリティ研究者の発見速度を桁違いに上回ったとき、それは同時に攻撃側にも同じ能力が渡り得ることを意味します。Mythosの限定公開という判断自体が、「この技術をどう管理するか」という役割の再配置の問いそのものです。セキュリティ研究者の仕事がなくなったのではありません。AIが脆弱性を発見し、人間がその修正と判断を担う形に変わった。役割が再配置されたといえそうです。

2. 改正個人情報保護法: データの境界線を引き直す

2026年4月7日、政府は個人情報保護法の改正案を閣議決定しました。

この改正は、AI時代のデータ利活用と個人の保護の両面に同時に手を入れるものです。

これはSPA-ITの考え方、つまりセキュリティとプライバシーとAIガバナンスは分けて考えるのではなく統合的に考える必要があるという私が掲げたフレームワークの考えに近いと思います。

まず緩和の方向では、統計情報等の作成にのみ利用される場合について、個人データの第三者提供や公開されている要配慮個人情報の取得において、一定の条件のもとで本人同意を不要とする整理が行われました。個人情報保護委員会は、この「統計情報等の作成」にはAI開発等も含まれると説明しています。ただし、これはAI開発一般が広く同意不要になるという意味ではなく、統計作成等として整理できる範囲に条件付きで例外を認めるものです。

一方で強化の方向として、違反企業への課徴金制度が新たに導入されます。また、16歳未満の個人情報について法定代理人への同意取得や通知の明文化が行われ、子供のデータに関する規律が強化されました。

この「緩和と強化の同時進行」は、まさに境界線の引き直しです。

人間のデータをAIにどこまで渡してよいのか。その線を、法が具体的に引き始めたということです。2月の記事で述べた「何をAIに任せ、何を人間が担うか。その境界をどう引くか」という問いが、データの取扱いという最も根本的なレベルで、制度として形になり始めたと言えそうです。

3. 経産省「民事責任の手引き」: 「誰の責任か」に法が答え始めた

2026年4月9日、経済産業省は「AI利活用における民事責任の解釈適用に関する手引き」を公表しました。

AIを用いたサービスやシステムが事故に寄与した場合の民事責任について、現行法がどのように解釈適用され得るかの方向性を示したものです。

この手引きでは、配送ルート最適化AI、弁護士業務支援AI、取引審査AI、外観検査AI、自律走行ロボット(AMR)などの想定事例を検討し、AIが利用される形態に応じて「補助/支援型AI」と「依拠/代替型AI」の2類型を整理しています。さらに、補論としてAIエージェントを利用した場合の民事責任についても触れています。

2月の記事の結論は「誰が何に責任を持つかの設計が問われる」でした。

この手引きは、その問いに対して、現行法の解釈という形で具体的に答え始めたものです。AIの出力に基づいて人間が判断する場合と、AIの判断に依拠して業務が遂行される場合とでは、責任の所在が異なる。その整理が、想定事例とともに提示されました。

もちろん、手引きの中でもAIエージェントの扱いは「要検討」の部分が多く残されています。しかし、こうした論点が政府の公式文書において整理され始めたこと自体が、役割の再配置が制度レベルで進行していることの証左です。

おわりに:設計する側に立つか、設計された結果を受け取るか

2月に書いた「役割の再配置」は、2ヶ月で3つの方向から目に見える形で動き始めました。

Mythosは、AIの能力が人間の監督能力を超え始めたことで、技術の管理そのものに新たな役割分担が必要になることを示しました。改正個人情報保護法は、人間のデータとAIの間の境界線を、法が具体的に引き直し始めたことを示しました。そして経産省の民事責任の手引きは、AIと人間の間で責任をどう配分するかという問いに、法的解釈の形で応え始めました。

これらはいずれも、技術を使うかどうかではなく、技術と人間の役割をどう設計するかの問いです。

この設計に参加する側に立つのか、あるいは設計された結果を受け取る側になるのか。その分岐点に、私たちは今いると考えています。