AI Risk Taxonomy(エーアイリスクタクソノミー)とは
AI Risk Taxonomyとは、AIに関するリスクを種類ごとに整理する分類表です。情報漏えい、偏り、説明不能、誤回答、過剰な自律性、外部ツール連携の危険などを、同じ棚に混ぜずに分けて見ます。リスク名をそろえると、部署ごとの心配ごとを同じ言葉で議論できるようになります。
分類表が先に必要な理由
AIリスクは「なんとなく危ない」だけでは管理できません。営業での誤提案、採用での偏り、社内文書の漏えい、AIエージェントの過剰操作は、発生場所も対策も違います。AI Risk Taxonomyで分類すると、AI Risk Intake and Tieringで受付時に影響度を分け、AI Risk and Control Matrixで必要な対策へつなぐ前処理です。
NIST AI RMFでは、MAP機能で用途、利用者、期待される利益、悪影響、リスク許容度を文書化します。これは難しい専門作業に見えますが、経営者にとっては「このAIは何に使い、誰に影響し、失敗したら何が困るか」を先にそろえる作業です。
Agent Governanceとの関係
AIエージェントを扱う場合、分類表にはAgent Permissions、Agent Activity Monitoring、LLM Supply Chain、Sensitive Information Disclosureなどの観点も入ります。分類がないまま導入を急ぐと、全案件を同じチェックリストで見てしまい、軽い用途は過剰審査、重い用途は見落としになりがちです。
分類は細かすぎても使われません。最初は、法務、セキュリティ、業務影響、顧客影響、説明責任のように、会議で使える粒度にします。分類の目的は名前を増やすことではなく、対応を速くすること。Agent Governanceの土台として、現場が迷わず提出できる棚を作る発想が実務的でしょう。
TopicNISTにも「リスク分類」の下書きが残っている
NISTのAI RMF公式ページには、2021年時点の「Draft -Taxonomy of AI Risk」がPrior Documentsとして残っています。完成版のAI RMFだけを見ると見落としがちですが、まずリスクを分類してから管理フレームへ進む流れがあったわけです。分類は地味でも、会議の迷子を減らす地図になります。
AI Risk Taxonomyに関するよくある質問
- AI Risk Taxonomyはチェックリストと何が違いますか?
- チェックリストは確認項目の一覧です。AI Risk Taxonomyは、確認項目を作る前にリスクの種類を分ける棚で、受付、審査、対策選びの共通言語になります。
- 最初から細かい分類表を作るべきですか?
- 最初は粗くて構いません。法務、セキュリティ、顧客影響、業務停止、説明責任のように、経営会議で判断しやすい粒度から始める方が運用に乗ります。
