AI Governance
AIの活用による生産性向上とリスク低減を両立するため、最低限の原則と禁止事項を定める。
基本方針
AIは目的に対して妥当で、かつリスクを許容できる場合に用いる。 全ての用途を一律で許可あるいは禁止するのではなく、用途やリスクに応じた取り扱いを行う。
AI利用の定義
本ポリシーにおけるAI利用とは、生成AI、機械学習モデル、推論API、外部AIサービスその他これに準ずる仕組みを業務やサービスに使うことを指す。
利用の原則
AIの出力は最終的に人間が持たねばならない。 出力の結果にだれも責任が持てない使い方をしてはならない。
リスクに応じた取り扱い
AI利用は一律に扱わず、影響の大きさに応じて管理レベルを変える。
- 低リスク: 例) 公開情報を元にした下書き、要約、作業の軽微な補助
- 中リスク: 例) 内部データを使う処理、対外文書の作成補助
- 高リスク: 例) 決済、契約、個人情報、機密情報、影響が大きい意思決定
影響が大きいものは、確認や記録の作業を強く行う。 リスクが高すぎて許容しがたい場合はAIを利用してはならない。
人による裁可
重要な判断は最後に人が確認し、裁可すること。
最初から全自動化ありきで設計せず、自動化してよい範囲、人が承認すべき範囲をリスクに応じて決定すること。
入力データの取り扱い
個人情報、機密情報、秘密情報をそのまま外部AIサービスに投入してはならない。 分析に用いる場合は事前に匿名化・マスキングし、流出しても問題ない状態まで無毒化すること。
学習利用、再利用は拒否すること。
誤りを織り込んだ出力の扱い
AIの出力は常に誤りうる前提で扱う。
- 数値や契約、対外説明など重要情報は原典確認する
- コードや設定変更はレビューとテストを実行する
禁止事項
以下は禁止する。
- 法令、契約、社内規程に反する形でAIを利用すること
- 差別、不当な不利益、権利侵害を招く用途に使うこと
- 商用利用・再利用が規約で禁止されている生成物やAIによるライセンス汚染が問題となるOSSの導入にも注意すること
- AIサービスに機密情報を入力すること
- 高リスク領域で人の確認を省くこと
記録と文書化
AI利用を業務に導入する場合は、黙って行うのではなく、明示的に証跡を残した上で行うこと。
保存形式やフォーマットは自由だが、下記が含まれるようにすること。
- 目的・用途と対象業務
- 利用開始日
- 利用者および責任者
- 利用するAIやサービスの名称
- 入力するデータの種類
- 想定リスク
また見直し日、変更履歴、事故や問題も随時記録すること。
導入後の見直し
AIの利用は継続的に見直すこと。
確認対象の例
- 利用のされかた
- 想定外の使われ方
- コスト
- 外部サービスやモデルの仕様変更
- 法令、契約、社内ルールの変更
- 苦情、事故、ヒヤリハット
レビュー頻度は影響に応じて決める。
- 高リスク: 必要時および定期的(例・四半期ごと)
- 中リスク: 変更時および定期的(例・半年ごと)
- 低リスク: 必要時
問題発生時の対応
AI利用で問題が起きた場合は、まず被害拡大を止め、その後に原因と再発防止を確認する。
対応の基本
- 利用停止
- 関係者への連絡、エスカレーション
- 影響範囲の確認
- ログと証跡の保全
- 原因調査
- 再発防止
- 必要に応じて公表、報告、顧客対応
例外
業務上やむを得ず本ポリシーの例外運用が必要な場合は、記録を残し、かつ責任者の承認を得て行うこと。
参考
- 国立標準技術研究所(NIST)の「AIリスクマネジメントフレームワーク」(AI RMF)(邦訳版)
AIガバナンスポリシー AI Governance https://www.tricrow.com/policies/ai-governance.html
