企業は経営を続ける中で、様々なリスクを抱えています。

例えば、新たにリリースするプロダクトやサービスが法令や社会からの要請事項に適合しているかの確認やそれらを支えるための組織体制の構築など、GRC（Governance, Risk, Compliance）領域の業務は、とても重要な役割を担っています。

企業では、ガバナンスの観点で組織の役割を3つに分けているケースがあります（参考）。

中でも”2線（second line）”と呼ばれる部署では、リスク管理及び内部統制における態勢を築く中心的立場として、事業部門の自律的なリスク管理に対して独立した立場から牽制すると同時に、組織を支援することが求められます。

具体的には、膨大な法令やガイドライン等を追い続け、社内規程の構造や内容のアップデートなど、多量の情報を解釈した上で、社内の体制に落とし込む必要があります。これら領域はAI/LLMとの親和性が高いということもあり、メルカリでも力を入れています。

今回は、メルカリにおけるGRC領域のAI活用について、詳しい背景と導入の現在、そして見据える未来についてまで、メルペイの執行役員を務める斉藤 祐紀（＠yukis）と、リスク管理部でマネージャーを担う金子 晴紀（＠haruki）の二人に聞きました。

Fintech企業として「トライしない選択」はなかった

ーまずはメルカリのGRC領域において、AI/LLMの利活用をスタートしたきっかけを教えてください。

＠haruki：メルカリでは、昨年から「Back To Startup」を掲げ、スピード感を取り戻すための組織改革を行っています。2線のGRC部署（リスク管理部、コンプライアンス部、アンチマネーロンダリング（AML）部など）では、社内のAI/LLM活用の動きが盛んになる中、最初はメンバーが自主的にAI/LLM導入に適した業務を洗い出していました。このような中、GRC各部署の取り組みに対して横断的に、よりドラスティックなAI/LLMの利活用をしていこうということで、プロジェクトを立ち上げたことがきっかけです。

＠yukis：メルカリグループはテックカンパニーとして、これまでAI/LLMを活用したプロダクトを開発してきました。例えばメルペイでは、AIスコアモデルを用いた個人向けの与信審査など、実際の業務で活用しています。

同時に、当社のバックオフィス業務においては、人の手で行う煩雑な書類作業やドキュメント作業、捺印を伴う承認作業なども残っている状況。しかし、AI/LLMの台頭で業務そのものを本質的に変えていける余地が生まれていました。

私たちは「テクノロジー」と「ファイナンス」が掛け合わされた強い組織を目指しています。そのため、AIによる改善余地が大幅に残されている状況は看過できません。組織横断的にAI/LLMの活用が啓蒙されているものの、Fintech企業としての本質的な部分から変化すべきだと感じたことがきっかけです。

ー業務へのAI/LLM利活用について詳しく聞かせてください

＠yukis：「トライしない選択」をした際、中長期で考えたとき、Fintech領域における競合優勢性を著しく損なう可能性があります。加えて、昨今の金融サービスは、デジタルの利活用における複雑性が高まっています。

例えば、従来の通帳記帳でお金を管理するサービスにデジタルの決済が加わり、そこに法令や規制が絡まるような仕組みが存在します。これらを全て頭に入れている人はいないでしょうし、実行的なリスク管理をするなら、人のキャパシティだけでは補えないはずです。

さらに、与信リスクとシステムリスクは、これまで無関係でした。しかし、最近はシステムにバグが発生すれば与信にも悪影響を与えかねない。企業は与信とシステム、それぞれの専門家を抱えなければ、リスク管理は実効性を持たない状況。しかし、AIを活用すればそのリスク管理が実現する可能性が出てきます。

＠haruki：規制当局の動向という点では、昨年10月に金融庁から「金融機関等のAIの活用実態等に関するアンケート調査について」（参考）が公表されており、金融機関におけるAI/LLMの利活用に対する関心の高さが窺えます。

ー当局も注目している領域だと。

@yukis：金融庁は、AIディスカッションペーパーをはじめとする様々な場で、「ブラックボックスとなる領域が不可避となる中、金融機関としての説明責任をいかに果たしていけるかが金融業務領域への生成AI利活用、普及のポイントとなってくるのではないかと考えている」という旨の発言をされています。リスクや懸念はある一方で、各金融機関の経営層に向けて「チャレンジしないリスク」について認識を促しており、AI/LLM導入の追い風ともいえる状況です。

@yukis：とはいえ、金融はミッションクリティカルな領域で常に100%が求められます。仮に1つでもダメな事例を作ってしまうと「やっぱりAIはダメ」「金融業界にAIを適用するのはダメ」「AIが変に使われないように規制を作らないとダメ」という連鎖が発生し、10年以上進展しない状況になりかねません。そうならないよう、慎重にプランニングしながら、しっかりと考え抜いたアプローチをとる必要があると思っています。

GRC領域におけるAI/LLM利活用を実現

ーどのようにAI推進が行われてきたのかを教えてください。

＠haruki：プロジェクト開始当初、AI/LLMに関するメンバーの知識や経験にはばらつきがありました。それらを使って何ができるのか具体的なイメージを持てないメンバーもいたため、「できるかどうか」という議論は一旦置いて、可能な限り多くのメンバーを巻き込み、日々の業務における課題や効率化の余地についてブレインストーミングを実施しました。また、外部のアドバイザーと連携し、GRC領域の主要業務のひとつである「法令やガイドラインに対する社内規程の適合性評価」にLLMを活用した初期段階で、「これほど短時間で有効な評価ができる」という成功体験を共有しました。

＠yukis：外部アドバイザーとも良好な関係性をもって進められたプロジェクトだと思います。両社のミッションと思想が近かったこともありますが、RegTech（Regulatory technology）の領域は未成熟で、外部アドバイザーにとっては自社サービスの改良に活用できるというニーズがあります。当社目線ではSaaS製品の利用の他、内製ツールにおいて壁打ちをさせていただくなどプロジェクトの推進力維持に向けてWin-Winの関係性を築くことができました。

もちろん外部の協力だけではなく、社内の業務やシステムに精通しているAI関連部署とのコラボレーションも必要不可欠でした。そもそも、GRC領域とAIは親和性が高く、さらに外部専門家 x 社内の専門家という両翼でAI/LLMの適用が成果に繋がったのではと思っています。

ー具体的に、どのようなことに注力したのでしょうか？

＠haruki：直近の半期（2024年10月～2025年3月）における主要な成果をご紹介します。

1つ目は、法令・ガイドラインと社内規程との適合性評価の効率化です。GRC部門では、社会の動きに合わせて常に変化する膨大な法令・ガイドラインに対し、社内規程が網羅的に対応できているかを定期的に確認する必要があります。この適合性評価にLLMを活用することで、大幅な効率化を実現しました。その結果、各マネージャーからは7割以上の業務リソース削減に繋がったとの評価を得ています。

2つ目は、広告審査業務の効率化です。コンプライアンス部では、お客さま向けの広告に不適切な表現が含まれていないかを日々審査しています。この業務において、LLMを用いて短文・画像内の文字情報、および景品表示法に関する一次審査を可能にしました。具体的には、明確に定義した審査基準に基づき広告のリスク評価を行い、リスクが検知された箇所については、根拠となる規則と問題点を提示し、改善の方向性を示すことができます。

3つ目は、規制当局や取引先からのGRC体制に関する定期的な質問への一次回答生成です。社内規程に明記された事項など、「事実に基づき多量の作文が求められる領域」において、人が行うよりも短期間で高い精度での回答作成が可能であると考え、人による最終確認を前提として、重点的にAI/LLMを導入しました。

最後に、ChatGPTとRPAツールを活用し、エンジニアリングリソースに依存せずGRCメンバー主導で業務効率化を図るためのツールやプロセスを開発しました。これには、各種規制関連ニュースの自動収集・要約ボットや、社内からの問い合わせに対する一次回答ボットなどが含まれます。

＠yukis：期初の目標設定においては、１．汎用的なGRC業務の高度化と、２．メルペイ独自で効率化したい業務、この両方のバランスを重視しました。後者については、金融機関ごとに管理方法が異なるため、外部パートナーに委託するのではなく、社内のAI専門家であるAI Labsチームやエンジニア組織からのサポートを得て実装しました。

AI/LLM利活用への挑戦の中で得た手応えと課題感

ゆくゆく先に実現したいこと

ーここまで推進してきた手応え、課題に感じたことがあれば教えてください。

＠haruki：プロジェクトに参画してくれたメンバーのおかげで、想像以上の成果を上げることができました。当初、7つの分科会で目標とマイルストーンを設定しましたが、課題に対する技術的な解決策を社内外の有識者と模索する過程で、他の業務や他部署でも応用できる可能性が見つかり、そのスピードもいっそう加速していきました。結果として、多くの業務で期待以上の成果に繋がっています。

一方で、AI/LLMを業務に適用するにあたり、業務プロセスが曖昧であったり、人の専門的な判断が必要となる業務において、業務の再設計が必要となる場面がありました。人が言語化できない業務ではAI/LLMから十分な成果を得られないため、業務要件書の作成を通じて一部業務プロセスの見直しと可視化に取り組みました。

今後は、より広い領域でAI/LLM活用に意欲的な人材を積極的に巻き込みたいと考えています。プロジェクトメンバーはそれぞれに主業務があるため、高い熱意を持つ人をリーダーに任命することが重要だと感じています。

ーゆくゆくはAIに頼れる部分を置き換えるとはいえ、人が関与する部分は残りますよね？

＠yukis：残ると考えています。しかし、「マネジメント」と「AI」だけでビジネスが成立する未来がすでに見え始めています。これが実現すれば、会社としては半分のコストと人員で、同等あるいはそれ以上のレベルでGRC業務を運営できるようになります。全体から見れば数パーセントの効率化かもしれませんが、メルカリのような規模の組織にとっては非常に大きなインパクトとなります。

ーシビアな話ですが、きっと、他社も同じように向き合っている課題ですよね。

＠yukis：はい、他の企業も同様に直面している課題だと思います。社内メンバーに伝えているのは、高い視座を持つ人材であれば、この一連の流れを推進できる人材として、今後10年、20年と市場価値を維持できるという点です。自ら実務をこなしながら、地道な業務経験も持ち合わせている。その上で、AI/LLMの利活用プロセスを熟知している人材は非常に魅力的です。キャリアアップを目指すビジネスパーソンにとって、決してマイナスな話ではないと思います。

ーGRC業務における専門的な人材のコミットが必要そうですね。

@yukis：その通りです。AIは、いまだにハルシネーション（事実に基づかない情報を生成する現象）という課題を抱えています。時に断言できないことを断言してしまうことがあり、金融領域においては致命的な問題となり得ます。だからこそ、AI適用によるインパクトとリスクを慎重に評価し、どのような点から適用するのが最適なのかを判断することが、GRC業務を担う専門組織である2線の重要な役割だと考えています。

ー最後に、今後の展望を教えてください。

@yukis：AIフレンドリーなGRC業務変革を起こしていくことが重要となってきます。AI/LLMがごく当たり前のように業務の中に存在し、普及することは大前提であり、GRC業務が根本的に変わるタイミングがきていると考えています。今までの業務プロセスや固定観念に捉われない、全く新しいGRC業務のあり方を発明していきたいです。

＠haruki： AI/LLMによって、膨大な規制文書や社内規程の解析、リスク評価、コンプライアンスチェックといったGRC業務を大幅に効率化できます。これにより、GRC担当者はより戦略的な業務に注力できるようになり、企業のガバナンス体制強化に一層貢献できるようになると思います。また、その過程で各メンバーが能動的に新しい技術やその活用方法を学ぶことで、感度を高め、その熱意が周囲に伝播し、自然と変革に繋がるという好循環を生み出せると考えています。導入には既存業務プロセスの再設計や検証作業といった地道な努力も伴いますが、得られる成果も大きいので、引き続きメンバーと共にダイナミックにプロジェクトを推進していきたいです。

写真：タケシタ トモヒロ　文：石川優太