- 6.1.A. [Required] AIインシデントの定義と報告すべき事象が明確である [NIST: MANAGE 4.1] [IPA] [JDLA]
- 説明: 「AIに関する問題」の範囲が曖昧だと、
報告すべき事態を見逃す一方、些細な出力ミスまで報告対象になり形骸化する。
具体例つきの定義があれば、現場で迷わず判断できる。
- 定義例: 「以下の事象をAIインシデントと定義する。
発見次第エスカレーションルート(1.1.E参照)に従い報告する:
①機密情報・個人情報をAIに入力してしまった場合、
②AI出力の誤情報を検証せず社外に提供してしまった場合」
- 6.2.A. [Required] 初動対応の手順が定められている [NIST: MANAGE 2.3] [IPA]
- 説明: インシデント発生時に「まず何をすべきか」が決まっていなければ、
現場は混乱し対応が遅れる。AI出力を社外へ提供済みであれば、
訂正・回収の遅れが被害拡大につながる。
- 定義例: 「AIインシデント発生時は以下の手順で初動対応する。
①当該AI出力の利用を即座に停止する、
②社外に提供済みであれば提供先と内容を特定する、
③AI管理担当者の指示に基づき必要な措置(訂正・回収等)を講じる」
- 6.2.B. [Required] 必要に応じた外部報告(当局、顧客等)の基準がある [METI] [EU-AIA]
- 説明: 個人情報漏えい時の個人情報保護委員会への報告は法的義務であり、
基準なしでは対応が遅れる。経営相談組織では、
顧客へ提供した誤情報の訂正も信頼に直結する。
- 定義例: 「以下の場合は外部へ報告・連絡する。
①個人情報の漏えいが疑われる場合は個人情報保護委員会へ報告する、
②顧客・取引先にAI出力の誤情報を提供した場合は速やかに訂正を連絡する、
③利用規約違反の可能性がある場合はAIサービス提供者へ確認する」
- 6.3.A. [Recommended] インシデントの記録・保存と事後レビューの要件がある [NIST: MANAGE 4.2, 4.3] [IPA]
- 説明: インシデントを口頭報告だけで済ませると、
同じミスが繰り返されても組織として気づけない。
簡易でも記録を残し定期的に振り返ることで、
ガイドラインの改善点が見えてくる。
- 定義例: 「AIインシデント発生時は、
発生日時・事象の概要・対応内容を簡潔に記録する。
記録はガイドライン見直し(1.2.E参照)の際に振り返り、
再発傾向があれば運用ルールを改定する」