AIガバナンス未整備が招くD&O保険の空白 ― 役員個人責任の最前線

AIガバナンス未整備が招くD&O保険の空白 ― 役員個人責任の最前線

生成AIの業務適用が経営アジェンダの中心に据えられる一方で、AI起因の経営判断ミス・開示違反・第三者損害が「役員個人」を直撃する局面が現実化している^[1]。米国SECは「AI Washing」開示違反を立て続けに摘発し^[2][3]、株主代表訴訟の対象としてAIガバナンス不備が明示的に取り上げられ始めた^[4]。この最前線で「最後の砦」となるはずのD&O保険は、AI起因の損害・制裁・訴訟費用を必ずしも自動カバーしない構造を持つ^[5][6]。本稿ではMarsh・Chubb・AIG・AON・東京海上・損保ジャパン・三井住友海上の公開資料と訴訟事例から、D&O保険に生じる「空白」を整理し、取締役会が今期中に着手すべき実務対応と善管注意義務との接続点を提示する。

D&O保険の基本構造 ― 3つのSideとAI時代の盲点

D&O保険（Directors and Officers Liability Insurance）は、取締役・監査役・執行役員が業務遂行に関連して第三者から損害賠償請求を受けた場合に、賠償金・和解金・争訟費用を補填する保険である^[5]。グローバル標準では「Side A／B／C」の三層構造を取り、Side Aは会社が補償できない場合の役員個人補償、Side Bは会社補填型、Side Cは会社自身に対する有価証券訴訟（Securities Claim）の補償を担う^[5][6]。日本国内向け会社役員賠償責任保険も基本構造は同様で、東京海上日動・損保ジャパン・三井住友海上のいずれもこれに相当する補償を提供する^[7][8][9]。

AI時代の盲点は、この三層構造が「役員の作為・不作為に対する第三者請求」を前提に設計されている点にある^[5]。AI起因の損害は、(1)AI出力による第三者損害、(2)ガバナンス不備に起因する経営判断ミス、(3)AI関連の開示違反・誇大表示、(4)差別・プライバシー侵害への規制制裁、と類型が多岐に及び^[10][11]、伝統的な「役員の経営判断ミス」枠組みに収まらない。McKinseyやMarshが一致して指摘するのは、AI関連請求は「D&O／E&O／Cyber／Tech E&O／PL」の境界線上に位置し、結果として「どの保険でもカバーされない空白」が生じやすいという構造的問題である^[10][11][12]。

AI関連訴訟リスクの類型 ― 株主代表・消費者・規制当局

役員個人責任が顕在化するAI関連訴訟は3類型に整理できる。第一に株主代表訴訟・有価証券集団訴訟型。AI事業の進捗・能力を過大開示した結果株価が下落する古典パターンに加え、近年は「取締役会としてAIリスクを十分に監視していなかった（Caremark Duty違反）」と主張するDerivative Suitが米国で増加している^[4][13]。Cornerstone ResearchもAI関連集団訴訟件数の2023年以降の増加を示し^[14]、Stanford Securities Class Action ClearinghouseのAI事案も積み上がる^[15]。

第二に消費者訴訟・第三者損害訴訟型。生成AI誤情報、採用AI差別判定、自動運転・ヘルスケアAI誤動作など、AIが直接利用者に損害を与える事案で、原則は会社が被告だが「役員が必要なガバナンス・統制を講じなかった」と構成すれば役員個人にも追及が及び得る^[5][13]。第三に規制当局による制裁・行政処分型。米SEC・FTCがAI Washing・差別的AI利用への執行を強化し^[2][3][16]、EUではEU AI ActがGDPR水準（最大3,500万ユーロまたは全世界売上7%）の制裁金を導入した^[17]。これら制裁金は後述のとおりD&O保険の補償対象から原則除外される^[5][6]。

既存D&O保険でカバーされない「空白」 ― 7つの典型ギャップ

主要保険会社の標準約款と公開ガイダンスを横断すると、AI関連請求でカバーされにくい「空白」は7点に集約される^{[5][6][10][11][12]}。第一に規制当局による民事制裁金・行政罰の不担保。SEC・FTC・EUデータ保護当局・個人情報保護委員会等の制裁金は公序良俗・保険原則の観点から原則対象外で^[5][6]、EU AI Act制裁金もこれに該当する可能性が高い^[17]。第二にBodily Injury／Property Damage除外。D&Oは人身傷害・有体物損害を原則除外しており^[5]、AI起因の身体被害（医療AI誤診、自動運転事故）は対象外。第三にProfessional Services除外。会社が提供する役務自体の瑕疵に起因する請求はE&O対象とされ、AIをサービス組込みした場合の役務瑕疵がこの除外で漏れる^[10][11]。

第四に知財関連の制限的取扱い。生成AIの著作権侵害・学習データ起因の権利侵害が知財関連除外で外れ得る^[10][12]。第五にCyber Event除外との重複・競合。AI関連インシデントはサイバー・テックE&Oと担保範囲が重なり、保険会社間で「責任の押し付け合い」が生じやすい^[11][12]。第六にConduct Exclusion（故意行為除外）。「AIリスクを認識しながら開示しなかった」と認定されれば補償が否認され得る^[5][6]。第七にInsured vs Insured除外。会社が役員を訴える形式（株主代表訴訟は実質同様）では除外条項の解釈が問題化する^[5]。これら7つの空白はAI関連請求1件で複数同時に発動し得る点が、伝統的D&O請求と決定的に異なる^[10][11]。

主要保険会社のAI Add-on動向 ― グローバルと日本の温度差

カバレッジ・ギャップに対し、主要保険会社はAI関連特約・専用商品の開発を急いでいる。グローバル先行組はChubbとAIG。Chubbは2024年以降「AI Risk: Insurance Implications」シリーズで生成AI起因リスクをD&O・Cyber・Tech E&O・Media Liabilityにまたがって整理し^[12]、特定エンドースメントでAI関連請求の明確化を図る方向性を打ち出した^[12][18]。AIGはCorporate D&Oラインで「AI Governance Failure」を明示的リスクファクターとしてアンダーライティングに組み込み^[19]、被保険者のAIガバナンス成熟度をプレミアム・条件決定の材料とする運用を開始している。

仲介側ではMarshが2024年「AI Insurance Market Report」でD&O・Cyber・E&O間のカバレッジ整理を示し^[11]、AONは「Intangible Asset」文脈でAIモデル・データ・アルゴリズムの資産化保険を議論する^[20]。Lloyd’sマーケットではハルシネーションをカバーするAffirmative AI Insurance（明示担保型）の商品化が始まり、Munich Re等再保険大手も参入する^[21]。一方、日本の主要損保（東京海上日動・損保ジャパン・三井住友海上）は現時点で「AI専用エンドースメント」の一般販売段階には至っていない^[7][8][9]。各社ともサイバー・知財訴訟費用保険でAIリスクへの言及は始めているが、D&O明示担保・除外整理は2025〜2026年以降の論点。グローバル子会社を持つ日本企業は、現地D&O・E&Oでの担保確保とグローバルプログラム整合確認が当面の現実解となる^[11]。

日本企業の善管注意義務 ― AI監督義務の輪郭

日本の取締役は会社法330条・民法644条に基づき善管注意義務を負い、内部統制システム構築義務（会社法362条4項6号）として「重要な業務執行のリスクを把握し低減する仕組み」を整備する責任がある^[22]。最高裁が示した経営判断原則の枠組み^[23]に照らせば、AI導入・運用判断もこの3要件（情報収集・判断過程・判断内容の合理性）で評価され、「AI特有のリスク（バイアス、ハルシネーション、データ来歴、説明可能性）について必要な情報収集と統制構築を怠った」場合、善管注意義務違反が認定される余地がある^[22]。米Caremark原則に相当する「監視義務」は日本でも内部統制構築義務として確立されており^[22]、AIガバナンス不備が「内部統制の欠如」と評価されれば株主代表訴訟の温床となる。経済産業省・総務省は「AI事業者ガイドライン（第1.1版、2024年）」^[24]でAI開発者・提供者・利用者の責務を整理し、コーポレート・ガバナンス・コードでもデジタル/AI領域の取締役会監督機能強化が継続議論されている^[25]。「AIに関する取締役会監督」が事実上の善管注意義務に組み込まれる方向性は明確である。

取締役会の実務対応 ― 4層の防御線を引く

取締役会・経営層が今期中に着手すべきは、保険だけに頼らない4層の防御線である。第一層は取締役会レベルのAI監督体制。取締役会または専門委員会（リスク・テクノロジー委員会等）でAIリスクを定期報告事項とし、ガバナンス成熟度を年次評価する^[1][26]。第二層はAIガバナンス・フレームワークの制度化。NIST AI RMF^[27]、ISO/IEC 42001^[28]、OECD AI原則^[29]を参照し、AIユースケース棚卸し・リスク評価・第三者監査・インシデント対応を文書化する。第三層は保険プログラムの再設計。D&O・Cyber・Tech E&O・PL・知財訴訟費用保険のカバレッジを横並び点検し、AI関連請求のシミュレーションで空白を特定、ブローカーと特約・限度額・条件を見直す^[11]。第四層は開示・説明責任の強化。有価証券報告書・統合報告書・CG報告書でのAIガバナンス開示を整備し、AI Washing認定リスクを下げる^[2][3]。

取締役会自己点検チェックリスト

1. AIユースケースとリスク登録簿が取締役会に共有されているか：自社開発AI、生成AI APIの社内利用、ベンダーAIの業務組み込みを網羅し、各リスク（バイアス、ハルシネーション、データ来歴、説明可能性）を登録簿で管理しているか^[27][28]。
2. D&O保険のAI関連カバレッジを直近1年以内に点検したか：規制制裁金、人身傷害、知財侵害、Professional Services除外等の空白を保険ブローカー同席で精査したか^[11][12]。
3. 有価証券報告書・適時開示でのAI記述の正確性を法務・IRが検証しているか：AI Washingに該当しないか、定量根拠と整合しているか^[2][3]。
4. AI関連インシデント対応プロトコルが整備されているか：発生時の初動・報告・開示・規制対応フローを文書化し、訓練を実施しているか^[27]。
5. 取締役会の実効性評価にAI監督機能を組み込んでいるか：CGコード補充原則の文脈で、AIリスク監督の十分性を年次評価で取り上げているか^[25]。

打ち手：保険プログラム再設計の3ステップ

ステップ1：保険ブローカーと「AI関連クレーム・シナリオ演習」を実施する。株主代表訴訟、消費者集団訴訟、規制当局制裁、知財訴訟、サイバーインシデント由来訴訟の5シナリオで、現行D&O・Cyber・E&O・PLのカバレッジを並列点検し、空白マップを可視化する^[11]。ステップ2：AI Affirmative Endorsement（明示担保特約）の交渉。更新タイミングに合わせ、Chubb・AIG等のAI関連条項の明示化、Side A限度額引上げ、規制対応費用条項の追加を交渉する^[12][18][19]。ステップ3：グローバルプログラムの整合確認。現地子会社D&Oと本社グローバルプログラムの間でAI関連カバレッジに齟齬が生じていないか、特に欧州拠点はEU AI Act施行を見据えて点検する^[17]。これら3ステップは保険更新サイクルに組み込むのが現実的である。

「D&O保険は『最後の砦』ではあるが、『万能の盾』ではない。AI時代の役員個人責任は、保険でカバーされない領域こそ取締役会の監督機能と内部統制で防御するしかない。保険プログラムの空白を可視化することは、結果として取締役会のリスク監督義務を可視化することと同義である。」

結論：経営層・法務が押さえるべき3点

1. D&O保険のAI関連空白は構造的。規制制裁金・人身傷害・Professional Services・知財・故意行為等の除外が複合発動し、AI関連請求は伝統的D&Oでは部分的にしかカバーされない^{[5][6][10][11][12]}。今期中に保険ブローカーと「AI関連クレーム・シナリオ演習」を実施し、空白マップを取締役会に共有することが最初の打ち手となる。
2. 善管注意義務は「AI監督義務」を内包する方向。米Caremark原則の進化と日本の内部統制構築義務の解釈延長線上で、取締役会のAI監督機能は事実上必須化しつつある^{[4][13][22][25]}。NIST AI RMF・ISO 42001・経産省AI事業者ガイドラインを参照したガバナンス・フレームワーク制度化が、保険空白の最大の代替手段となる。
3. 開示の正確性が役員個人責任を左右する。SEC AI Washing摘発が示すとおり、AI関連の過大開示・誇大表示は株主代表・有価証券訴訟の最短経路である^{[2][3][14][15]}。法務・IR・経営の三者連携でAI関連開示の事実根拠と整合性を継続検証することが、保険プログラム以前に取締役を守る最も低コストな防御策となる。

経営者視点：保険は「ガバナンス成熟度の鏡」である

D&O保険のAI関連カバレッジは、保険会社のアンダーライティングを通じて「自社AIガバナンス成熟度」を映す鏡として機能する。AIG・Chubb等が成熟度評価を始めた今^[12][19]、保険更新時のヒアリングは事実上の「外部監査」に近い意味を持ち、プレミアム水準・条件・限度額の交渉力はAIガバナンス・フレームワーク（ISO 42001、NIST AI RMF、AI事業者ガイドライン等）の整備度合いと直結する^[27][28][24]。経営者が押さえるべきは、保険を「事故後の損失補填」ではなく「事前のガバナンス可視化ツール」と位置づけ、保険ブローカー・社外取締役・法務・CISO・CDOを巻き込む「AIリスク・ガバナンス会議」を四半期単位で運営する設計である。短期的には保険更新交渉、中期的には善管注意義務の履行証跡蓄積、長期的にはガバナンス成熟度の継続高度化につながる。今期の保険更新サイクルこそ、取締役会がこのレバーを引く最初のタイミングである。

参考文献

1. McKinsey & Company “How directors should manage AI risks” (2024).
2. U.S. Securities and Exchange Commission “SEC Charges Two Investment Advisers with Making False and Misleading Statements About Their Use of Artificial Intelligence” Press Release 2024-36 (March 2024).
3. U.S. Securities and Exchange Commission “Statement on AI Washing” Chair Gary Gensler (2024).
4. Cleary Gottlieb / Skadden / Wachtell Lipton Memos “AI-Related Derivative Suits and Caremark Duties” (2024).
5. Marsh “Directors and Officers Liability Insurance: Coverage Guide” (2023).
6. AIG “D&O Insurance Coverage Overview” (2023).
7. 東京海上日動火災保険「会社役員賠償責任保険（D&O保険）」商品概要資料.
8. 損害保険ジャパン「会社役員賠償責任保険」商品概要資料.
9. 三井住友海上火災保険「会社役員賠償責任保険」商品概要資料.
10. Marsh “AI Risk and Insurance: Coverage Considerations” (2024).
11. Marsh “AI Insurance Market Report” (2024).
12. Chubb “AI Risk: Insurance Implications” White Paper (2024).
13. Harvard Law School Forum on Corporate Governance “Caremark Claims and AI Oversight” (2024).
14. Cornerstone Research “Securities Class Action Filings: 2024 Year in Review” (2025).
15. Stanford Securities Class Action Clearinghouse Database (2024-2025).
16. U.S. Federal Trade Commission “Operation AI Comply” Press Release (September 2024).
17. European Union “Regulation (EU) 2024/1689 on Artificial Intelligence (EU AI Act)” Official Journal (2024).
18. Chubb “Generative AI: Considerations for Insurance” (2024).
19. AIG “Emerging Risks: Artificial Intelligence and Corporate Governance” (2024).
20. AON “Intangible Assets and AI: Insurance Frontier” Report (2024).
21. Lloyd’s of London “Generative AI: Transforming the Insurance Industry” (2024).
22. 会社法330条・362条4項6号、会社法施行規則100条、民法644条.
23. 最高裁判所第一小法廷判決 平成22年7月15日「アパマンショップ事件」（経営判断原則）.
24. 経済産業省・総務省「AI事業者ガイドライン 第1.1版」(2024年).
25. 株式会社東京証券取引所「コーポレートガバナンス・コード」(2021年改訂版)およびフォローアップ会議議事.
26. OECD “AI Principles” (2019, updated 2024).
27. NIST “AI Risk Management Framework (AI RMF 1.0)” (January 2023).
28. ISO/IEC 42001:2023 “Information technology — Artificial intelligence — Management system”.
29. OECD “Recommendation of the Council on Artificial Intelligence” (2019, revised 2024).