本チェックリストについて
これは何?
本文書は、組織が「生成AI利用ガイドライン」を策定・改訂する際に、 必要な項目が網羅されているかを確認するためのチェックリストです。 生成AIの利用ルールそのものではありません。
項目の選定にあたっては、米国国立標準技術研究所(NIST)が策定した AIリスク管理の国際的な基本枠組みであるAI RMF 1.0と、 その生成AI固有のリスクを扱う拡張文書AI 600-1を軸としています。 あわせて経済産業省・IPA・JDLA等の国内ガイドラインおよび EU AI Actを横断的に参照し、 必要とされる項目を体系的に整理しています。
想定読者
専門のIT部門を持たない中小規模の組織が、 生成AIの利用ガイドラインを自ら策定・点検する場面を 主に想定しています。
AIやリスク管理の専門知識がなくても 項目を順に確認できるよう、 各項目に説明と定義例を付しています。
このチェックリストを使う利点
生成AIの利用ガイドラインを策定する際、 何を書くべきかの全体像が見えないまま着手すると、 重要な項目の抜け漏れに気づけません。
本チェックリストを使うことで、 国際的な基準に照らして自組織のガイドラインの 過不足を客観的に把握できます。 準拠レベル(Required / Recommended / Option)により、 限られたリソースの中で何を優先すべきかも判断できます。
また、策定したガイドラインの網羅性や妥当性について 社内外から説明を求められた際にも、 NIST AI RMF等の国際基準に基づくチェックリストで 検証済みであることが客観的な根拠となります。
対象範囲と前提
本チェックリストは、ChatGPT・Claude・Gemini等の チャットベースのSaaS型生成AIサービスを 業務で利用する場面を対象としています(2026年1月時点)。 サービスの機能や利用条件は変更される可能性があるため、 最新の情報を確認してください。
自社でAIモデルを開発・訓練する場面や、 ソフトウェア開発におけるコード生成の用途は対象外です。
Excel版チェックリスト
本チェックリストのセルフチェック用Excelファイルを 用意しています。 ドロップダウンで対応状況(対応済・一部対応・未対応・該当なし) を記入でき、 サマリーシートで対応率が自動集計されます。
GitHubリポジトリの excel/genai-governance-checklist.xlsx からダウンロードできます。
チェックリストの構成
NIST AI RMFは、AIリスク管理に必要な活動を GOVERN(統治)・MAP(リスク特定)・MEASURE(測定)・ MANAGE(管理)の4機能で体系化した枠組みです。 本チェックリストはこの4機能に沿って構成することで、 ガイドラインに必要な領域の網羅性を確保しています。
| 章 | タイトル | 概要 | 主な対応基準 |
|---|---|---|---|
| 1 | ガバナンス体制 | 責任者・ポリシー・教育など組織の管理体制 | NIST GOVERN |
| 2 | リスクの特定と評価 | 利用目的の明確化とリスクアセスメント | NIST MAP |
| 3 | 入力データの管理 | 入力禁止情報・個人情報・機密情報の取り扱い | NIST-GAI, JDLA |
| 4 | 出力の管理と利用 | 出力の検証義務・著作権・利用範囲 | NIST MEASURE, NIST-GAI |
| 5 | 信頼性の確保 | 正確性・安全性・公平性・透明性などの品質特性 | NIST Trustworthiness |
| 6 | インシデント対応 | 報告体制と対応手順 | NIST MANAGE |
| 7 | ガイドラインとしての完成度 | 文書としての一般的な品質要件 | — |
チェック項目の読み方
各チェック項目は以下の形式で記述しています。
X.X.Y. [準拠レベル] チェック項目テキスト [参照タグ]
説明: ...
定義例: 「...」
| 要素 | 説明 |
|---|---|
| 番号(X.X.Y) | 章・節・項目の通し番号 |
| 準拠レベル | 3段階で示した項目の重要度 |
| 参照タグ | 根拠となった参照元ガイドライン |
| 説明 | 項目の趣旨の補足 |
| 定義例 | ガイドラインに記載する文言の例 |
準拠レベル
| 表記 | 意味 |
|---|---|
| Required | ガイドラインに必ず記載すべき項目。欠落していると法令違反や重大リスクにつながる |
| Recommended | ガイドラインに記載することを強く推奨する項目。除外する場合はその理由を説明できること |
| Option | 記載があると望ましい項目。組織の規模や業種に応じて検討する |
参照タグ
各項目の末尾に参照元ガイドラインを以下の略称で示しています。
| 略称 | 正式名称 |
|---|---|
| [NIST] | NIST AI Risk Management Framework (AI RMF 1.0) |
| [NIST-GAI] | NIST AI RMF Generative AI Profile (NIST-AI-600-1) |
| [METI] | 経済産業省・総務省「AI事業者ガイドライン」 |
| [JDLA] | 日本ディープラーニング協会「生成AIの利用ガイドライン」 |
| [IPA] | IPA「テキスト生成AI導入・運用ガイドライン」 |
| [FUJITSU] | 富士通「生成AI利活用ガイドライン」 |
| [EU-AIA] | EU AI Act (EU AI規制法) |
| [AIACT-JP] | 人工知能関連技術の研究開発及び活用の推進に関する法律(AI推進法) |