Başarısız Olmayan AI Uygulamasının 5 Adımı: Sahada Etkili "Canlı AI İç Yönetmelikleri" ve Kurum İçi Eğitimin İlerlemesi
生成AI teknolojisindeki yenilikler, geleneksel iş süreçlerinin yapısını kökten değiştirme potansiyeline sahiptir. Ancak, birçok organizasyonun bu teknolojiyi benimseme sürecinde karşılaştığı zorluklar, teknik engellerden ziyade, Japonya’da yasal ve etik risk yönetimi ile organizasyon içinde bu teknolojinin yerleşmesi konularıdır. Sadece en yeni araçları tüm şirkete dağıtıp, sahadaki çalışanların inisiyatifine bırakmak gibi bir “tamamen devretme” yaklaşımı, bilgi sızıntısı veya hak ihlali gibi ciddi kazalara yol açabilir ve nihayetinde organizasyonun genel üretkenliğini duraklatan bir faktör haline gelebilir.
Japonya’da AI’nin faydalarından sürdürülebilir bir şekilde yararlanmak için, teknolojinin kullanışlılığı ile yasal güvenliği yüksek bir düzeyde dengeleyen “canlı AI iç yönetmeliklerinin” oluşturulması ve bu yönetmeliklere dayalı kademeli bir eğitim süreci zorunludur. Bu makalede, Japonya’daki en son yasal düzenlemeler ve kamu kurumlarının kılavuzları temel alınarak, etkili bir AI entegrasyonunu gerçekleştirmek için beş somut adımı açıklıyoruz.
AI’nin Tamamen Bırakılmasıyla Ortaya Çıkan “Disiplinsiz Kullanım” Riskleri
Japonya’da yapay zeka (AI) teknolojisinin uygulanmasını değerlendirirken, ilk karşılaşılan sorun, organizasyonun net bir politikası olmadan sahada kullanımın öne çıkmasıyla ortaya çıkan “gölge IT” problemidir. Yüksek derecede kullanışlı bir araç olduğu için, çalışanlar kendi kararlarıyla kişisel hesaplarını kullanarak işlerinde bu teknolojiyi kullanmaya devam etmektedir. Bu tür “şimdilik bir deneyelim” şeklindeki tamamen bırakma yaklaşımı, kısa vadede uygulama hızını artırıyor gibi görünse de, aslında disiplinsiz kullanımı teşvik eder ve ciddi yönetim risklerini biriktirir.
Özellikle, gizli bilgilerin dikkatsizce girilmesiyle ticari sırların sızdırılması, başkalarının telif haklarını ihlal eden içeriklerin üretilmesi ve hatta yanlış bilgilerin dışarıya yayılması gibi durumlar endişe vericidir. Japonya Ekonomi, Ticaret ve Sanayi Bakanlığı ile İçişleri ve İletişim Bakanlığı’nın 令和6年 (2024) Nisan ayında yayımladığı “AI İşletmecileri Kılavuzu”nda da belirtildiği gibi, AI kullanan işletmelerin bu riskleri uygun şekilde değerlendirmesi ve gerekli yönetişimi oluşturması gerekmektedir. Net kuralların olmadığı bir durumda, çalışanlar neyin kabul edilebilir, neyin yasak olduğunu doğru bir şekilde değerlendiremeyebilir ve sonuç olarak ya yaratıcı kullanımdan çekinirler ya da farkında olmadan ciddi hatalar yapma riskiyle karşı karşıya kalırlar.
Referans: 総務省|「AI İşletmecileri Kılavuzu」Yayın Sayfası
Disiplinsiz kullanım, organizasyonun üretkenliğini geçici olarak artırsa da, bir kez yasal sorunlar ortaya çıktığında, bu sorunların giderilmesi ve toplumsal güvenin kaybıyla ilgili maliyetler ölçülemez. Dolayısıyla, AI’nin uygulanmasının ilk aşamalarında, güvenli kullanım için bir çerçeve belirlemek, sahadaki özgürlüğü kısıtlamak değil, aksine teknolojiyi güvenle kullanabilmek için bir ortam sağlamak anlamına gelir. Bu makalenin amacı, bu “güvenli temeli” nasıl inşa edeceğimizi ve onu şekilsiz hale getirmeden nasıl bir işletim sistemi kuracağımızı açıklamaktır.
Adım 1: Japonya’da AI Uygulama Amacının Belirlenmesi ve Sorunların Yeniden Tanımlanması
Japonya’da AI uygulamasının başarısını belirleyen ilk dönüm noktası, teknolojinin uygulanmasını bir amaç haline getirmemek ve AI’yı organizasyonun karşılaştığı sorunları çözmek için bir araç olarak yeniden tanımlayabilmektir. AI’yı neden uyguladığınızın amacı belirsiz kaldığında, oluşturulan iç düzenlemeler de soyut hale gelir ve sahada etkisiz “ölü kurallar” haline gelebilir.
Öncelikle yapılması gereken, AI’nın hangi departmanın hangi sorununu çözmek için uygulanacağını net bir şekilde belirlemektir.
- Muhasebe Departmanı: İş yükünün azaltılması. Verilerin dışa gönderilmesiyle ilgili güvenlik en önemli konudur.
- Geliştirme Departmanı: Kod üretiminin otomasyonu. Japon Telif Hakkı Yasası’nın 30. madde 4 ve OSS lisansları, güvenlik açıkları ana ilgi konularıdır.
- Satış ve Halkla İlişkiler: Doküman hazırlama ve SSS oluşturma. Bilgilerin doğruluğu ve hak ihlali riski odak noktasıdır.
Her departmanın çözmesi gereken sorunları somutlaştırarak, her bir iş için optimize edilmiş kuralların yönü belirlenebilir.
Adım 2: En Uygun Hizmetin Seçimi ve Kullanım Koşullarının İncelenmesi
Sonraki adımda, tanımlanan amaca uygun AI hizmetlerinin seçimini yapıyoruz. Günümüzde piyasada, ChatGPT gibi genel amaçlı yapay zekalardan, hukuk, muhasebe, programlama gibi belirli alanlara odaklanmış yapay zekalara kadar çeşitli hizmetler bulunmaktadır. Genel amaçlı yapay zekalar, geniş bir görev yelpazesine uyum sağlayabilme esnekliğine sahipken, uzmanlık alanlarındaki bilgi doğruluğu ve belirli düzenlemelere uyum açısından, odaklanmış yapay zekalara göre daha zayıf kalabilirler.
Hizmet seçim kriterleri arasında, organizasyonun güvenlik politikalarına uygunluk elbette önemlidir. Bunun yanı sıra, sunulan API’nin kullanım potansiyeli ve kurumsal planlarda veri koruma özelliklerinin bulunup bulunmadığı da önemli değerlendirme kriterleridir. Bireysel kullanıcılar için ücretsiz sürümler ile kurumsal kullanıcılar için ücretli sürümler arasında, girilen verilerin öğrenme amacıyla kullanılıp kullanılmaması (opt-out ayarının olup olmaması) gibi temel farklılıklar bulunabilir. Bu nedenle, kurumsal düzeyde bir uygulama için kurumsal planların sözleşme yapılması öncelikli olmalıdır.
AI hizmetlerinin seçiminde en önemli ve sıklıkla gözden kaçan nokta, her bir sağlayıcının sunduğu kullanım koşullarının dikkatlice incelenmesidir. Genel SaaS ürünleriyle karşılaştırıldığında, AI hizmetleri veri haklarının sahipliği ve öğrenme kullanımı koşulları açısından karmaşıktır ve sık sık değişiklik gösterir. Aşağıdaki beş nokta, yasal riskleri en aza indirmek için sözleşme imzalanmadan önce mutlaka kontrol edilmesi gereken hususlardır.
| Kontrol Noktası | Kontrol Edilmesi Gereken Detaylar | Yasal ve Pratik Önemi |
| Yasaklı Faaliyetlerin Kapsamı | Belirli uzmanlık alanlarında (tıp, hukuk, finans vb.) danışmanlık oluşturmanın yasaklanıp yasaklanmadığı | Kullanım koşullarının ihlali nedeniyle hesap kapatma veya tazminat riskini önlemek için |
| Ticari Kullanım İzni | Üretilen içeriğin ticari kullanımının açıkça kabul edilip edilmediği, planlar arasında fark olup olmadığı | Gelir getiren işlerde kullanımda hakların istikrarını sağlamak için |
| Fikri Mülkiyet Haklarının Sahipliği | Üretilen içeriğin telif hakkının kullanıcıya ait olduğunun açıkça belirtilip belirtilmediği | Kendi yaratıcı eserlerinizin korunması ve ikincil kullanımını mümkün kılmak için |
| Makine Öğrenimi Kullanımı | Girdi verilerinin modelin yeniden öğreniminde kullanılmaması ayarının (opt-out) mümkün olup olmadığı | Ticari sırların korunması ve gizli bilgilerin sızmasını önlemek için |
| Genel Hükümler ve Uygulanacak Hukuk | Uyuşmazlık durumunda yetkili mahkeme, sorumluluk muafiyeti kapsamı ve uygulanacak hukuk nedir | Olası bir uyuşmazlık durumunda yanıt maliyetlerini ve öngörülebilirliği sağlamak için |
Özellikle, makine öğrenimi kullanımına ilişkin maddeler, Japonya’da ticari sırların korunmasıyla doğrudan ilişkilidir. Girdiğiniz verilerin sağlayıcı tarafında öğrenme verisi olarak kullanılması, gelecekte başka birinin yanıtı olarak şirketinizin gizli bilgilerinin ortaya çıkma riskini taşıyabilir. Haksız Rekabetin Önlenmesi Yasası kapsamında ticari sır olarak korunabilmesi için “gizlilik yönetimi”nin tanınması gerekmektedir, ancak AI öğrenimine savunmasız bir şekilde dahil edilmesi, bu gizlilik yönetimini kaybettirebilecek ölümcül bir faktör olabilir.
Ayrıca, uygulanacak hukuk konusunda da dikkatli olunmalıdır. ABD’li sağlayıcıların sunduğu hizmetlerin çoğu, ABD Delaware Eyalet Hukuku gibi yasaları uygulamakta ve uyuşmazlık çözüm yerini yurtdışına sınırlayabilmektedir. Bu durum, yerel şirketler için fiilen haklarını kullanmaktan vazgeçmek anlamına gelebilir. Bu nedenle, önemli işlerde kullanılacaksa, Japonya hukukunu uygulanacak hukuk olarak belirlemek veya Japonya mahkemelerini yetkili mahkeme olarak kabul etmek için sözleşme müzakereleri yapılmalıdır.
Adım 3: Küçük Başlangıç ile Doğrulama Döngüsü (PDCA)
Japonya’da, tüm şirket genelinde hızlı bir uygulama yapmaya çalışmak, yeterli doğrulama yapılmadan kuralların uygulanmasına yol açabilir ve bu da sahada karışıklığa neden olarak kuralların hızla şekilsel hale gelmesine sebep olabilir. Önerilen yaklaşım, belirli bir proje ekibi veya yüksek IT okuryazarlığına sahip ve sorun bilinci net olan bir departman üzerinde “küçük başlangıç” ile deneme uygulaması yapmaktır.
Toplu uygulamanın en büyük dezavantajı, organizasyon içindeki çeşitli iş gerçekliklerini göz ardı ederek “en büyük ortak payda kuralı”nı zorlamaktır. Çok katı kuralların tüm şirkete uygulanması, sahada kullanım kolaylığını kaybettirirken, çok gevşek kurallar ise riskleri kontrol edemez. Deneme uygulama süresi belirleyerek, gerçek iş akışları içinde hangi risklerin ortaya çıktığını ve hangi kılavuzların gerekli olduğunu, gerçek deneyimlere dayalı veri olarak biriktirebilirsiniz.
Bu süre, başarısızlıkların tolere edilebileceği bir “sandbox (deney alanı)” olarak işlev görmelidir. Çalışanlar AI kullanarak hangi komutları girdiklerini, hangi çıktıları elde ettiklerini ve burada hangi endişelerin (halüsinasyon kaynaklı yanlış bilgiler, uygunsuz ifadeler, telif hakkı ihlali belirtileri gibi) ortaya çıktığını ayrıntılı bir şekilde kaydeder ve hukuk veya bilgi sistemleri sorumluları bunları gözden geçirir.
Küçük başlangıcın etkisini maksimize etmek için, aşağıdaki 6 adımdan oluşan bir doğrulama iş akışını döndürmek etkilidir.
- Hedef işleri belirleyin ve bu işlere özel “ilk kılavuzları” oluşturun. Bu ilk taslak, minimum yasakları (gizli bilgilerin girilmemesi gibi) ve önerilen kullanım yöntemlerini kısaca özetlemelidir.
- Seçilen üyelere yönelik bir giriş eğitimi düzenleyin ve gerçek işlerde AI kullanmalarını sağlayın.
- Düzenli geri bildirim toplantıları aracılığıyla sahadan geri bildirim toplayın. Burada “kurallar nedeniyle işlerin aksayıp aksamadığı” veya “beklenmedik risklerin hissedildiği durumlar olup olmadığı” gibi doğrudan geri bildirimlere önem verilir.
- Toplanan sorunları dikkate alarak, risk ve kullanım kolaylığı dengesini yeniden ayarlayın ve kılavuzları iyileştirin.
- İyileştirilen kılavuzları tekrar uygulayın ve daha fazla geliştirin.
- Bu doğrulama süreci boyunca elde edilen bilgileri temel alarak, tüm şirket genelinde uygulanacak “standart düzenlemeleri” oluşturun.
Bu PDCA döngüsünü döndürerek, yukarıdan aşağıya dayatılan kurallar yerine, sahada bu kuralların gerekliliğini anlayan ve uyulabilir “canlı kurallara” dönüştürmek mümkün olacaktır.
Adım 4: Uygulama Kapsamının Genişletilmesi ve Bölüm Bazında Bireysel Risk Değerlendirmesi
Deneme uygulamasından elde edilen bilgiler doğrultusunda kapsamı genişletirken, bölüm bazında bireysel risk değerlendirmesi yapmak zorunludur. Çünkü tek tip düzenlemeler, korunması gereken varlıkların farklılıklarına yanıt veremez.
- İnsan Kaynakları Bölümü: Japonya’da Kişisel Bilgilerin Korunması Yasası uyarınca, kişiyi tanımlayabilecek bilgilerin girilmesinin yasaklanması ve otomatik karar verme süreçlerinin şeffaflığına önem verilmesi.
- Ar-Ge Bölümü: Fikirlerin başka şirketlerin öğrenme verisi haline gelmemesi için teknik ve sözleşmesel korumanın öncelikli olması.
- Halkla İlişkiler ve Pazarlama: Ticari marka ve tasarım benzerlikleri ile kriz riskine karşı önlemlerin odak noktası olması.
Bunları düzenleyerek, “izin”, “şartlı izin” ve “yasak” olarak işlerin net bir şekilde sınıflandırılması sayesinde, çalışanlar kendi işlerinde yapay zekayı ne ölçüde kullanabileceklerini tereddüt etmeden belirleyebilirler.
Adım 5: Düzenli Gözden Geçirme Mekanizmasını Kurmak İçin Organizasyon Tasarımı
Japonya’da üretilen yapay zeka (AI) teknolojisini çevreleyen ortam, teknoloji, yasal düzenlemeler ve toplumsal etik anlayış açısından son derece hızlı bir şekilde değişmektedir. Bu nedenle, oluşturulan şirket içi düzenlemelerin birkaç ay sonra mevcut duruma uygun olmaması nadir bir durum değildir. Gerçek bir yönetişim sağlamak için düzenli gözden geçirme mekanizmasını önceden operasyonel yapıya entegre etmek kilit bir rol oynar.
Özellikle, üç ayda bir veya altı ayda bir döngülerle, operasyonel durumun izleme sonuçlarını kontrol eder ve düzenlemelerin geçerliliğini yeniden değerlendiririz. Gözden geçirme sırasında, Japon hükümetinin (Kabine Ofisi, Ekonomi, Ticaret ve Sanayi Bakanlığı vb.) en son kılavuzlarıyla uyumsuzluk olup olmadığını, AI tarafından üretilen eserlerin telif haklarıyla ilgili yeni bir karar çıkıp çıkmadığını veya kullanılan AI hizmetlerinin şartlarında bir değişiklik olup olmadığını dikkatlice inceleriz.
Ayrıca, düzenli gözden geçirmeler sadece hukuk ve IT departmanlarıyla sınırlı kalmamalıdır. Sahadaki temsilcilerin de dahil olduğu bir değerlendirme toplantısı kurarak, pratik sorunları tespit edebilecek bir yapı oluşturmak, düzenlemelerin şekilsel kalmasını önleyebilir. Gözden geçirme sonucunda düzenlemeler güncellendiğinde, değişiklikler ve nedenleri hızla tüm çalışanlara duyurulmalı ve gerektiğinde yeniden eğitim verilmelidir. Bu döngüyü sürdürerek, organizasyonun genel AI okuryazarlığı her zaman en güncel durumda tutulur.
Japonya’da İşletme Operasyonlarını Destekleyen AI İç Tüzüklerinin Temel Noktaları
Etkin bir AI iç tüzüğü, yalnızca yasakların bir listesi olmamalıdır. Çalışanların tereddüt ettikleri durumlarda yol gösterici olmalı ve aynı zamanda organizasyonu yasal olarak koruyan bir kalkan işlevi görmelidir. İşte bu tüzüğe dahil edilmesi gereken dört ana sütunu açıklıyoruz.
Amaç ve Uygulama Kapsamının Açıkça Belirtilmesi Yoluyla Uzlaşma Sağlanması
Tüzüğün başında, şirketin neden AI’ı uygulamaya koyduğu ve hangi değerleri yaratmayı hedeflediği gibi “amaç” pozitif bir şekilde belirtilmelidir. Bu, çalışanlara AI kullanımını teşvik eden bir mesaj olurken, aynı zamanda uygunsuz kullanımı engellemek için ahlaki bir temel oluşturur.
Ayrıca, uygulama kapsamı yalnızca kadrolu çalışanları değil, sözleşmeli çalışanlar, geçici çalışanlar ve hatta dış hizmet sağlayıcılarının kullanımını da açıkça belirlemelidir. Özellikle dış hizmet sağlayıcılarının AI kullanarak ürün teslim etmesi durumunda, kalite kontrolü ve hakların işlenmesi sorumluluğunun nerede olduğu sözleşme düzeyinde düzenlenmelidir.
Eğitim ve Öğretimin Zorunlu Hale Getirilmesi ve Yasal Savunma Gücünün Artırılması
İç tüzüğün yalnızca dağıtılması veya ilan edilmesi, yasal denetim sorumluluğunun yerine getirildiği anlamına gelmez. AI kullanımına yönelik eğitim ve öğretimi “zorunluluk” olarak belirleyerek, yalnızca eğitimi tamamlayan çalışanlara kullanım yetkisi verilmesi sağlanır. Eğitim kayıtlarının uygun şekilde yönetilmesi, çalışanların kuralları ihlal ederek bir kazaya neden olması durumunda, şirketin “uygun denetim ve eğitim sağladığını” savunabilmesi için vazgeçilmez bir kanıt olacaktır.
Eğitimde, teknik içeriklerin yanı sıra, halüsinasyonların doğası, telif hakkı yasası üzerindeki dikkat edilmesi gereken noktalar ve gizlilik yükümlülüğünün somut örnekleri gibi konular da örneklerle açıklanır.
Kullanılabilir Hizmetlerin Belirlenmesi ve Gölge IT’nin Ortadan Kaldırılması
Şirketin güvenliğini doğruladığı ve uygun sözleşmeler yaptığı “izin verilen hizmetler” dışında hiçbir hizmetin iş amaçlı kullanılamayacağı açıkça belirtilmelidir. Bu sayede, bireysel hesaplar kullanılarak yapılan gölge IT sistematik olarak ortadan kaldırılır. Ayrıca, yeni hizmetler veya eklentiler kullanmak isteyenler için başvuru ve onay sürecinin netleştirilmesi, sahadaki ihtiyaçları esnek bir şekilde karşılayarak, yönetim altında entegrasyonu sürdürmeyi sağlar. Burada, ücretsiz sürümlerin kullanımı prensip olarak yasaklanmalı ve verilerin öğrenme amacıyla kullanılmadığı kurumsal planlarla sınırlı kalınması, en güvenilir risk yönetimi olacaktır.
İzleme ve Denetim Yetkilerinin Uygun Kullanımı
Organizasyonun uygun bir şekilde işletildiğini doğrulamak için, şirketin çalışanların giriş komutlarını ve çıktı sonuçlarını kaydetme ve inceleme yetkisine sahip olduğu ve gerektiğinde denetim yapabileceği tüzükte açıkça belirtilmelidir. Bu, uygunsuz kullanıma karşı psikolojik bir caydırıcı işlevi görmenin yanı sıra, bilgi sızıntısı meydana geldiğinde olayın nedenini araştırma ve zararların yayılmasını önleme açısından son derece önemli bir rol oynar. Ancak, izleme yapılırken, gizlilik koruma açısından, önceden amacın ve kapsamın bildirilmesi ve şeffaflığın sağlanması, çalışanlarla güven ilişkisini sürdürmek için önemlidir.
Bu maddelerin mevcut çalışma kuralları, gizlilik tüzükleri veya IT kullanım tüzükleri ile nasıl entegre edileceği gibi genel tasarım da önemlidir. AI’ya özel bağımsız bir tüzük oluşturulurken, ciddi ihlaller için çalışma kurallarının disiplin hükümlerinin uygulanabilmesi için bağlantı kurulması gibi yasal uyumun sağlanması gereklidir.
Özet: Japonya’da AI’nın Gerçek Değerini Ortaya Çıkarmak İçin AI İç Yönetmeliklerinin Düzenlenmesi
AI’yı bir organizasyonun gücüne dönüştürmek için en önemli unsur, en son modelleri uygulamak için bütçe ayırmak değil, bunları doğru bir şekilde kullanabilmek için “insan yönetim becerisi” ve “organizasyonel yönetim gücü”dür.
Bu makalede açıklanan beş adım, “sahada uygulanabilir canlı kurallar” oluşturmak için vazgeçilmez unsurlardır. Sadece sorumluluğu devretmek geçici bir verimlilik sağlayabilir, ancak sürdürülebilir büyümeyi destekleyen, her zaman yasal güvenlik ve kullanım kolaylığı dengesini aramaya devam eden samimi bir tutumdur.
Ofisimizin Sağladığı Çözümler
Monolith Hukuk Bürosu, IT, özellikle internet ve hukuk alanlarında geniş deneyime sahip bir hukuk bürosudur. AI iş dünyasında birçok yasal risk bulunur ve AI ile ilgili yasal sorunlara hakim bir avukatın desteği vazgeçilmezdir. Ofisimiz, AI konusunda uzman avukatlar ve mühendislerden oluşan bir ekiple, ChatGPT gibi araçları kullanan AI işlerine yönelik olarak, sözleşme hazırlama, iş modeli yasallık incelemesi, fikri mülkiyet haklarının korunması, gizlilik uyumu ve AI iç yönetmeliklerinin düzenlenmesi gibi ileri düzeyde yasal destek sağlamaktadır. Detaylar için aşağıdaki makaleye göz atabilirsiniz.
Category: IT
