🤖

上司に説明できる生成AIガイドライン──NIST AI RMF準拠120項目チェックリスト

に公開
リスク管理
ガバナンス
生成 AI
コンプライアンス
aiガイドライン
idea

「来月までにガイドラインを作って」

生成AIも世の中に浸透してきたので、普通の企業や団体でも利用を検討しているところが増えてきたと思います。

ある日突然、上司からこう言われる可能性はありませんか? あるいはもう既に経験済みかも知れません。

「うちも生成AIを使い始めたいんだけど、まずガイドラインを作ってくれない?」

引き受けたものの、いざ着手すると途方に暮れます。

  • 何から書けばいいのか分からない
  • 抜け漏れがあったらどうしよう
  • 完成しても「これで大丈夫」と言い切れない

そんなあなたのために、チェックリストを作りました。

https://yostos.github.io/genai-governance-checklist/

このチェックリストの対象

誰のためのチェックリストか

専門のIT部門を持たない中小規模の組織で、専門家ではない生成AIの利用ガイドラインを策定・点検する担当者を想定しています。

AIやリスク管理の専門知識がなくても、項目を順に確認できるよう、各項目に「説明」と「定義例」を付けています。

何を対象としているか

ChatGPT・Claude・Gemini等のチャット型SaaS生成AIサービスを業務で利用する場面が対象です。IT部門を持たない組織では、おそらくこれらのチャット型の生成AIから始めるケースが多いと考えられるためです。

以下は対象外です。

  • 自社でAIモデルを開発・訓練する場面
  • ソフトウェア開発におけるコード生成の用途
  • エージェント型AIの利用(次回更新で対応予定)

なぜこのチェックリストが「正しい」と言えるのか

ガイドラインを作ったら、次に待っているのは上司や経営層からの質問です。

「で、このガイドラインが正しいという根拠は何?」

この質問に答えられるよう、本チェックリストはNIST AI RMFを軸に構成しています。

NISTとは何か

NIST(米国国立標準技術研究所) は、米国商務省傘下の連邦機関です。

NISTが策定する標準・ガイドラインは、米国政府機関だけでなく世界中の組織で採用されています。
サイバーセキュリティ分野ではNIST Cybersecurity Framework(CSF)
が事実上の世界標準となっており、日本でも金融庁や経済産業省のガイドラインがNIST CSFを参照しています。

NIST AI RMFとは何か

AI Risk Management Framework(AI RMF 1.0) は、NISTが2023年1月に公開したAIリスク管理の国際的な基本枠組みです。

  • 米国議会の指示(National AI Initiative Act of 2020)に基づいて策定
  • 産官学の幅広いステークホルダーとの協議を経て完成
  • AIシステムの開発・運用におけるリスク管理の4機能(GOVERN・MAP・MEASURE・MANAGE)を体系化

さらに2024年7月には、生成AI固有のリスクを扱う拡張文書NIST AI 600-1(Generative AI Profile) が公開されました。

なぜNISTを軸にすべきか

日本にも経済産業省やIPAのガイドラインがありますが、これらはNIST AI RMFを参照して策定されています

ガイドライン NISTとの関係
経済産業省「AI事業者ガイドライン」 NIST AI RMFの4機能を参照
IPA「テキスト生成AI導入・運用ガイドライン」 NIST AI RMFを基本構造として採用

つまり、NISTを押さえておけば、日本のガイドラインの上流を押さえたことになります。上司から「根拠は?」と聞かれたら、こう答えられます。

「米国NISTのAI RMFに基づいています。日本の経産省やIPAのガイドラインも、このNIST AI RMFを参照して策定されています」

本チェックリストが参照している基準

NISTを軸に、国内外の主要基準を横断的に参照しています。

略称 正式名称
NIST NIST AI Risk Management Framework (AI RMF 1.0)
NIST-GAI NIST AI RMF Generative AI Profile (NIST AI 600-1)
METI 経済産業省・総務省「AI事業者ガイドライン」
JDLA 日本ディープラーニング協会「生成AIの利用ガイドライン」
IPA IPA「テキスト生成AI導入・運用ガイドライン」
EU-AIA EU AI Act(EU AI規制法)
AIACT-JP AI推進法(人工知能関連技術の研究開発及び活用の推進に関する法律)

今すぐ使う3ステップ

1. チェックリストを開く

GitHubからダウンロードください。

全7章・120項目。各項目に「説明」と「定義例」が付いています。まだガイドライン策定に着手してなければ、説明を読んで、これから執筆すべき項目を検討できます。

2. Excel版で現状を点検する

もし策定したガイドラインがある、あるいは執筆済みである場合は、EXCELでチェックリストを用意しました。自組織のガイドラインと突き合わせて、項目の抜け漏れを確認いただけます。

Excel版をダウンロードして、対応状況を記入します。

  • ドロップダウンで「対応済/一部対応/未対応/該当なし」を選択
  • サマリーシートで対応率を自動集計
  • まずは Required(必須)項目 の対応率100%を目指す

3. 定義例を参考にガイドラインを書く

各項目の「定義例」を参考に、自組織向けにカスタマイズしてください。

1.1.A. [Required] 生成AI利用に関する最終責任者(経営層)が
明確に定められている [NIST: GOVERN 2.3] [METI]

  説明: AI関連の最終判断を下す責任者は必須。責任者が不明確だと、
  インシデント発生時に判断が遅れ法的・社会的リスクを組織全体に
  波及させる。

  定義例: 「団体理事長をAI利用の最終責任者とし、利用方針の承認・
  リスク受容の判断・重大インシデント時の意思決定を自ら行う」

「何を書けばいいか分からない」状態から脱出できます。

準拠レベルで優先度が明確

各項目には準拠レベルが設定されています。限られた時間で何を優先すべきかが一目で分かります。年間予算15億円程度の非営利団体を想定し定義内容に基づいて独自にセットしたものです。業種によって事情が異なると思いますが、設定理由もドキュメントに残していますので必要応じて見直し下さい。

準拠レベル 意味
Required 必ず記載すべき。欠落すると法令違反や重大リスクにつながる
Recommended 記載を強く推奨。除外する場合は理由を説明できること
Option 記載があると望ましい。組織の規模や業種に応じて検討

チェックリストの構成

NIST AI RMFの4機能(GOVERN・MAP・MEASURE・MANAGE)に沿って構成しています。

タイトル 項目数 概要
1 ガバナンス体制 21 責任者・ポリシー・教育など組織の管理体制
2 リスクの特定と評価 21 利用目的の明確化とリスクアセスメント
3 入力データの管理 16 入力禁止情報・個人情報・機密情報の取り扱い
4 出力の管理と利用 15 出力の検証義務・著作権・利用範囲
5 信頼性の確保 31 正確性・安全性・公平性・透明性などの品質特性
6 インシデント対応 4 報告体制と対応手順
7 ガイドラインとしての完成度 12 文書としての一般的な品質要件

リンク集

MITライセンスで公開しています。商用・非商用問わず自由に利用できます。

作成プロセス

本チェックリストはClaude Codeを全面的に活用し、コンセプト検討→計画→作成→インスペクションのプロセスで作成しました。

インスペクションにはMAGIシステム[1]を使用しました。3つの異なる視点を持つAIエージェントが並列でレビューし、指摘を統合することで、単一視点では見落としがちな問題を検出できました。

インスペクションログはdocsフォルダで公開しています。

現在 v1.0.0-rc.1(リリース候補版) です。フィードバックを募集しています。

https://github.com/yostos/genai-governance-checklist/issues

脚注

  1. MAGIシステムは、Claude Codeプラグインとして実装した品質レビューシステムです。エヴァンゲリオンのMAGIから着想を得て、CASPER(批判的分析)・BALTHASAR(実用性評価)・MELCHIOR(創造的提案)の3エージェントが独立してレビューします。詳細は https://github.com/yostos/claude-code-plugins を参照してください。 ↩︎

GitHubで編集を提案

Discussion