Agent Inventoryは誰が管理すべきですか？

情報システム部だけでなく、業務部門の所有者を必ず持たせます。ITは台帳と権限を管理し、業務部門は用途、データ、影響、停止判断を説明できる状態にします。

台帳に載せる基準はどこからですか？

業務データ、外部ツール、顧客接点、削除や送信などの操作に触れるAIエージェントは載せるべきです。個人の試用でも、社内データや外部連携を使うなら台帳対象にした方が安全です。

Agent Inventoryとは、社内で使われているAIエージェントを一覧化し、所有者、用途、権限、連携先、監視状況を管理する台帳です。AIエージェント版の資産管理表と考えると分かりやすいでしょう。存在を把握していないAIエージェントは、権限もリスクも管理できません。

基本項目は、名称、所有部門、責任者、用途、利用者、扱うデータ、外部ツール、Agent Permissions、承認フロー、ログ保存、停止条件、最終レビュー日です。NIST AI RMFも、AIシステムの用途、利用者、制約、知識限界、人的監督を文書化する考え方を示しています。

台帳がないと、退職者が作った自動処理、試験導入のまま残ったエージェント、使われなくなった外部連携が見えません。シャドーAIを減らす最初の一歩は、禁止ではなく棚卸しです。

Agent Inventoryは、Agent Governanceの土台です。台帳があれば、AI Risk Intake and Tieringで高リスクのエージェントを選び、Agent Lifecycle Governanceで見直し日や廃止条件を設定できます。Agent Activity Monitoringも、どのエージェントのログを見るべきかが分かって初めて機能します。

経営層が見るべき指標は、台帳登録率、所有者不明の件数、高権限エージェント数、最終レビューからの経過です。AI活用数そのものより、管理されたAI活用の割合を見た方が、実態に近い判断ができます。

NIST AI RMFの図では、AIモデルを作る側と、検証・妥当性確認を担う側を分けるのが望ましい形として描かれています。台帳でも同じです。作った人、使う人、確かめる人を分けて書くと、責任が一人に寄りすぎません。

Agent Inventoryは誰が管理すべきですか？: 情報システム部だけでなく、業務部門の所有者を必ず持たせます。ITは台帳と権限を管理し、業務部門は用途、データ、影響、停止判断を説明できる状態にします。
台帳に載せる基準はどこからですか？: 業務データ、外部ツール、顧客接点、削除や送信などの操作に触れるAIエージェントは載せるべきです。個人の試用でも、社内データや外部連携を使うなら台帳対象にした方が安全です。