Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

1. ガバナンス体制 (GOVERN)

1.1 組織体制・責任

  • 1.1.A. [Required] 生成AI利用に関する最終責任者(経営層)が明確に定められている [NIST: GOVERN 2.3] [METI]
    • 説明: AI関連の最終判断を下す責任者は必須。 責任者が不明確だと、インシデント発生時に判断が遅れ法的・社会的リスクを組織全体に 波及させる。名目上の責任者は意味がない。実務を担当者へ任せきりにし、 責任者自身がリスクや運用実態を把握していない体制は「責任者不在」と同義である。
    • 定義例: 「団体理事長をAI利用の最終責任者とし、利用方針の承認・リスク受容の判断・重大インシデント時の意思決定を自ら行う。定期的に運用状況の報告を受け、方針の妥当性を確認する」
  • 1.1.B. [Required] AI利用に関する担当部門・担当者が指定されている [NIST: GOVERN 2.1] [JDLA]
    • 説明: 最終責任者の下で、日常のAI利用を実務面で管理する部門・担当者を明確にする。指定がないと、利用上の疑問やトラブルの相談先が不在となり、現場が自己判断で使い続ける“野良AI“状態を招く。
    • 定義例: 「総務部をAI利用の管理部門とし、担当者○○がツール選定・利用ルールの周知・問い合わせ対応・インシデント一次対応を担う」
  • 1.1.C. [Recommended] 部門横断的な推進体制(法務、情報システム、事業部門等)が構築されている [NIST: GOVERN 3.1] [IPA]
    • 説明: AI利用は情報セキュリティ・法務・業務の各領域にまたがるため、単一部門だけでは死角が生まれる。「IT部門が技術面だけ見て法的リスクを見落とす」「事業部門が便利さだけ追求しセキュリティを無視する」といった事態が典型的な失敗パターンである。小規模組織であっても、外部の専門家(顧問弁護士等)を含めた連携体制を意識的に構築すべきである。
    • 定義例: 「AI利用に関する方針検討・リスク判断は、総務部(管理)・業務担当部門・外部顧問(法務・IT)が合同で行い、各視点からの確認を経て決定する」
  • 1.1.D. [Required] 役割と責任の範囲が文書化されている [NIST: GOVERN 2.1] [METI]
    • 説明: 「誰が何をやるか」を文書化しておかないと、問題が起きたときに「それは私の担当ではない」と責任の押しつけ合いが始まる。口頭の合意だけでは人事異動や担当変更で引き継がれず、属人的な運用に逆戻りする。
    • 定義例: 「AI利用に関する役割分担表を作成し、最終責任者・管理担当者・各部 門の利用者それぞれの権限と義務を明記する。担当者変更時は必ず更新し、全関係者に 共有する」
  • 1.1.E. [Required] インシデント発生時のエスカレーションルートが定められている [NIST: GOVERN 1.5] [IPA]
    • 説明 情報漏えいや誤出力の発生時に「誰に・どの順番で・何を報告するか」が決まっていなければ、初動の遅れにより被害が拡大する。現場で問題に気づいた人が報告先を探しているうちに、対応のゴールデンタイムを逃すのは典型的な失敗である。
    • 定義例: 「AIに関する問題を発見した場合、①まずAI管理担当者に口頭またはチャットで即時報告、②管理担当者が30分以内に最終責任者へ報告、③最終責任者が対応方針を判断し指示する。連絡先リストを全従業員に配布する」
  • 1.1.F. [Option] 多様な視点を持つチーム構成が考慮されている [NIST: GOVERN 3.1]
    • 説明: AIのリスクは技術的な問題だけでなく、倫理・文化・利用者の多様性に関わる問題も含む。同質的なメンバーだけで意思決定すると、特定の立場からは明白なリスクが見過ごされやすい。性別・年齢・職種・専門分野など、多様な視点を意識的にチーム構成に取り入れることが重要である。
    • 定義例: 「AI利用ルールの策定・見直しにあたっては、管理部門だけでなく、異なる業務経験・年齢層・職種の職員を含むレビュー体制とし、偏った視点にならないよう配慮する」

1.2 ポリシー・規程

  • 1.2.A. [Required] 生成AI利用の目的・方針が明記されている [NIST: GOVERN 1.2] [JDLA] [AIACT-JP]
    • 説明: 「なぜ生成AIを使うのか」「どういう方針で使うのか」が明文化されていないガイドラインは、単なるルール集にすぎず現場の納得感を得られない。目的なき規制は形骸化し、目的なき自由は暴走を招く。
    • 定義例: 「本ガイドラインは、業務効率の向上と創造性の支援を目的として生成AIを活用する際の基本方針を定める。AIはあくまで人間の判断を補助するツールとして位置づけ、最終的な意思決定は人間が行う」
  • 1.2.B. [Required] ガイドラインの適用範囲(対象者、対象業務、対象ツール)が明確である [JDLA] [IPA]
    • 説明: 「誰が」「どの業務で」「どのツールについて」このガイドラインに従うのかが不明確だと、「自分は対象外」と解釈する余地が生まれ、ルールが空文化する。正規職員だけが対象なのか、委託先や実習生も含むのか——範囲の曖昧さはリスクの温床になる。
    • 定義例: 「本ガイドラインは、当団体のすべての役職員(常勤・非常勤・委託スタッフを含む)が、業務上利用するすべての生成AIサービス(ChatGPT、Copilot等、団体が承認したツール)に適用する」
  • 1.2.C. [Required] 既存の情報セキュリティポリシー、個人情報保護方針との整合性が取れている [NIST: GOVERN 1.4] [METI]
    • 説明: 生成AIガイドラインが既存の情報セキュリティポリシーや個人情報保護方針と矛盾していると、現場は「どちらに従えばいいのか」と混乱する。既存ポリシーで「外部クラウドへの機密情報送信禁止」と定めているのに、AIガイドラインでその点に触れていなければ、現場が独自解釈で運用してしまう。
    • 定義例: 「本ガイドラインは既存の情報セキュリティポリシー及び個人情報保護方針との整合性を確認済みである。AI固有の事項については本ガイドラインが優先し、記載のない事項は既存ポリシーに従う」
  • 1.2.D. [Required] 関連する法令・規制要件(個人情報保護法、著作権法等)への言及がある [NIST: GOVERN 1.1] [JDLA] [AIACT-JP]
    • 説明: 生成AI利用には個人情報保護法、著作権法、不正競争防止法など複数の法令が関わる。ガイドラインで法令に触れていないと、「法的リスクは考慮済み」と現場が誤解し、知らないうちに法令違反を犯すおそれがある。すべてを網羅する必要はないが、最低限の関連法令を明示し、判断に迷う場合の相談先を示すことが重要である。
    • 定義例: 「生成AIの利用にあたっては、 個人情報保護法・著作権法・不正競争防止法・ 人工知能関連技術の研究開発及び活用の推進に関する法律 (AI推進法)を遵守する。 業種固有の法規制(金融、医療、教育等)がある場合はそれも対象に含める。 法的判断に迷う場合は、AI管理担当者を通じて顧問弁護士に相談する」
  • 1.2.E. [Recommended] ガイドラインの定期的な見直し・更新の仕組みが定められている [NIST: GOVERN 1.5] [METI] [AIACT-JP]
    • 説明: 生成AI技術と関連法規制は急速に変化するため、策定時点のガイドラインは半年もすれば陳腐化しうる。「一度つくって終わり」のガイドラインは変化に対応できず形骸化する。更新のタイミング・手順・責任者を予め決めておくことが、ガイドラインを“生きた文書“にする条件である。
    • 定義例: 「本ガイドラインは少なくとも年1回(毎年○月)に見直しを行う。AIに関する重大な法改正やインシデント発生時には臨時の見直しを実施する。見直しはAI管理担当者が起案し、最終責任者が承認する」
  • 1.2.F. [Recommended] リスク許容度が組織として定義されている [NIST: MAP 1.5] [METI]
    • 説明: 「どの程度のリスクなら許容するか」を組織として決めていないと、担当者ごとに判断基準がバラつき、同じ案件でも人によって可否が分かれる。リスク許容度が明確であれば現場判断に一貫性が生まれ、個人の裁量に過度に依存する状態を防げる。
    • 定義例: 「公開情報の要約・翻訳支援など、情報漏えいリスクが低く出力誤りの影響も限定的な業務はAI利用を許可する。個人情報・機密情報を扱う業務、対外的な意思決定に関わる業務ではAI利用を制限または禁止する。判断が困難な場合はAI管理担当者の承認を得る」

1.3 教育・研修

  • 1.3.A. [Required] 従業員向けの生成AI利用研修が計画されている [NIST: GOVERN 2.2] [JDLA] [EU-AIA] [AIACT-JP]
    • 説明: ガイドラインを策定しただけでは機能しない。 読まれない規程は存在しないのと同じである。 研修を通じてAIリテラシー(AIの能力・限界・リスクを 理解し適切に利用する能力)を身につけさせる必要がある。 EU AI Act第4条はAIシステムに関わるすべての人員に AIリテラシーの確保を義務付けており、 国際的にも重要性が高まっている概念である。 「なぜこのルールがあるのか」を理解させなければ、 現場はルールを面倒な制約としか捉えず、 形だけの遵守か無視が常態化する。
    • 定義例: 「生成AI利用開始前に全職員を対象とした 初回研修(90分)を実施する。 内容はガイドラインの要点、禁止事項、 入力してはいけない情報の具体例、 インシデント報告手順とする。 受講記録を管理し、未受講者にはAI利用権限を付与しない」
  • 1.3.B. [Recommended] ITリテラシーレベルに応じた教育内容が用意されている [JDLA] [IPA] [AIACT-JP]
    • 説明: 全員に同じ研修を実施しても、ITに詳しい人には退屈で、不慣れな人には理解が追いつかない。結果として両者とも研修の効果を実感できず、「やった感」だけが残る。対象者のレベルに合わせた教育設計が、実効性ある研修の前提条件である。
    • 定義例: 「研修は2段階で実施する。基礎編(全職員対象)ではAIの概要・リスク・禁止事項を扱い、実践編(日常的にAIを使う職員対象)ではプロンプト設計・出力検証の方法・業務活用事例を扱う」
  • 1.3.C. [Required] 新規利用者向けのオンボーディングプロセスがある [NIST: GOVERN 2.2] [AIACT-JP]
    • 説明: 新しく入った職員が、既存メンバーと同じ前提知識を持っているとは限らない。入職後に「AI使っていいですよ」とだけ言われ、ガイドラインの存在すら知らないまま使い始めるケースは十分ありうる。新規利用者が必ず通る導入プロセスを設けることで、知識のばらつきを防ぐ。
    • 定義例: 「新規入職者には、入職時オリエンテーションの一環としてAI利用ガイドラインの説明と基礎研修の受講を義務づける。研修完了後にAIツールのアカウントを発行する」
  • 1.3.D. [Recommended] 継続的な啓発活動(事例共有、注意喚起等)の仕組みがある [NIST: GOVERN 4.3] [JDLA] [AIACT-JP]
    • 説明: 一度研修を受けても、日常業務に追われるうちルールの記憶は薄れる。他社のAI関連トラブル事例や、自組織での良い活用例を定期的に共有することで、ガイドラインの存在意義を繰り返し意識させる。啓発が途絶えると、ガイドラインは「入社時に読んだきりの文書」に退化する。
    • 定義例: 「四半期に1回、AI利用に関するミニ勉強会(30分)を実施し、最新のリスク事例・活用好事例・ガイドライン改訂内容を共有する。また、重大な外部事例が発生した場合は、速やかに全職員にメール等で注意喚起する」

1.4 監視・監査

  • 1.4.A. [Option] 利用状況のモニタリング方法が定められている [NIST: GOVERN 1.5] [IPA]
    • 説明: 本来、ガイドラインの遵守状況を確認するには、 誰がどのツールで何を入力・生成したかを把握できるモニタリングが望ましい。 しかし、現状の主要SaaS型AIサービス(Claude Team/Enterprise、 ChatGPT Team/Enterprise等)は、管理者向けに利用量や利用者の統計は 提供するものの会話内容レベルのログ閲覧機能は提供していない。 そのため、内容面のガイドライン遵守は利用者の自己申告と啓発に頼らざるを得ない のが現状である。現時点でのベストプラクティスは、 ツールが提供する管理機能の範囲で利用状況を定期的に確認し、 異常な利用パターンの早期発見につなげることである。
    • 定義例: 「AI管理担当者は月1回、各AIツールの管理ダッシュボードで 利用者数・利用頻度を確認する。 急激な利用量の変化があった場合は利用者にヒアリングを行う。 内容面の遵守確認はセルフチェックシートにより四半期に1回実施する」
  • 1.4.B. [Option] 定期的な監査・レビューの実施計画がある [NIST: GOVERN 1.5] [METI]
    • 説明: モニタリングが日常の健康管理だとすれば、監査は定期健診にあたる。日々の点検では見落とす構造的な問題——ルール自体の陳腐化や、組織全体の運用傾向——を発見するには、定期的に一歩引いた視点でレビューする場が必要である。
    • 定義例: 「年1回(○月)にAI利用に関する内部監査を実施する。ガイドライン遵守状況、リスク対応状況、利用効果を評価し、結果を最終責任者に報告する」
  • 1.4.C. [Required] 違反時の対応プロセスが明記されている [JDLA] [IPA]
    • 説明: 違反が発覚したとき、対応が場当たり的だと「あの人は注意されたのに、この人はお咎めなし」と不公平感が生まれ、ルールの信頼性が崩壊する。軽微な違反と重大な違反を区別し、段階的な対応を予め定めておくことが公正な運用の基盤になる。
    • 定義例: 「違反を確認した場合、①軽微な違反(過失による禁止情報の入力等)は口頭注意と再研修、②重大な違反(意図的な機密情報の入力、悪用目的の利用等)はAI利用権限の停止と懲戒規定に基づき対応する。すべての違反対応を記録する」
  • 1.4.D. [Recommended] AIシステムのインベントリ管理の仕組みがある [NIST: GOVERN 1.6]
    • 説明: 組織内で「誰が・何のAIツールを・どの業務で使っているか」を一覧で把握できていないと、未承認ツールの利用や、サービス終了への対応が後手に回る。管理対象を可視化することがガバナンスの出発点である。
    • 定義例: 「利用中のAIツール・サービスの一覧表を作成し、ツール名・提供元・利用部門・利用目的・契約状況・データ取扱条件を記載する。新規導入・廃止時に随時更新する」
  • 1.4.E. [Recommended] AIサービスの提供終了・重大変更時の対応方針がある [NIST: GOVERN 1.7]
    • 説明: 利用中のAIサービスが提供者側の都合で突然終了・大幅変更される リスクは常にある。代替手段の検討やデータの退避を事前に想定しておかないと、 業務が突然停止し、蓄積したプロンプトテンプレートやワークフローが 一夜にして失われる。特定のサービスへの過度な依存を避け、 移行先の候補を平時から把握しておくことが重要である。
    • 定義例: 「利用中のAIサービスにおいてサービス終了または重大な仕様変更があった場合に 備え、①代替候補サービスのリストを維持する、 ②業務上重要なプロンプトテンプレート・ナレッジは サービス外にも保存する、③サービス提供者からの告知を 定期的に確認する体制をとる」