AISIのAIエージェント評価観点ガイド第1.20版とは|導入前に見る3つのリスク

AIエージェントは、回答だけでなく外部の状態を変えます。
AISI第1.20版を、自社の承認・停止・再評価に変える要点を解説します。

AISIのAIエージェント評価観点ガイド第1.20版とは|導入前に見る3つのリスク

AISIが2026年7月7日、AIエージェントの普及を踏まえて「AIセーフティに関する評価観点ガイド(第1.20版)」を公開しました。今回の焦点は、AIの回答が正しいかだけでなく、AIが自律的に何を実行し、外部にどの影響を与えるかまで見ることです。

ファイルの書き込みや削除、メール送信、データベース更新まで任せるなら、チャットAIと同じ評価では足りません。第1.20版の変更点と、導入前に経営側が確かめたいリスクを、自社の承認フローに変換できる形で整理します。

要点「回答の検査」から「行動の観測と制御」へ

AIエージェントを導入する前に、自律性、外部連携、人が止める場所を決めます。ログが残るだけでは、誤操作の事前防止にはなりません。

AISIのAIエージェント評価観点ガイド第1.20版とは

AISI(AIセーフティ・インスティテュート)は、第1.20版をAIシステムの開発者や提供者が、AIセーフティ評価を行う際に参照できる基本的な考え方と位置づけています。特に想定されているのは、開発・提供管理者と事業執行責任者です。

利用企業にとってもベンダーへの質問表や受入テストを作る材料になりますが、ガイドを読むこと自体が合格や認証を意味するわけではありません
そのため、自社が使う権限、データ、連携先に応じて、評価対象と許容値を決めます。

確認項目第1.20版の位置づけ
公表日2026年7月7日
主な対象LLMを構成要素とするAIシステム
含まれるシステム自律的な計画・判断・外部連携を行うAIエージェント
主な実施者開発・提供管理者
評価時期開発・提供・利用で繰り返す

AISIの活動全体は、Japan AISIの公的AIニュースを読む方法で紹介しています。社内ルールとの関係を先に確かめたい場合は、AI事業者ガイドライン改定の実務対応も参考になります。

出典: AISI「AIセーフティに関する評価観点ガイド(第1.20版)の公開」

AISIのAIエージェント評価で新設された「観測と制御」

第1.20版は、既存の10評価観点の一部にAIエージェント向けの評価項目例を追加しました。その上で、11番目の「観測と制御」を設け、自律的な挙動と外部環境との相互作用をAIエージェント特有の2観点として示しています。

既存の10観点

偽誤情報、プライバシー、セキュリティなどをエージェント向けに拡充

自律的な挙動

目標から逸れず、許可された範囲で動き続けるか

外部環境

データや外部サービスへ有害な操作をしないか

ここでいう観測は、結果を後から読めることだけではありません。高リスクなタスクを実行しようとしていること、中間的な推論で目標や情報が変化したことを、実行前または実行中に検知できる状態が必要です。

出典: AISI「AIセーフティに関する評価観点ガイド(第1.20版)概要版」(PDF)

AIエージェント導入前に見る3つのリスク

以下の3つはAISIが公式に示した三分類ではなく、公式の評価観点を中小企業の導入判断に変換した整理です。ベンダーの製品名ではなく、AIエージェントが実行できる操作で確かめます。

リスク1:自律的な挙動が目標から逸れる

ファイルへの書き込み・削除、権限昇格、高負荷な計算は、AISIが高リスクタスクの例として挙げている操作です。
当初の指示が正しくても、中間結果を受けて目標が変化したり、終了条件を失ったりすれば、正常に動いているように見えながら被害を広げます

リスク2:外部システムを誤操作する

API、データベース、外部サービス、他のAIエージェントとの接続が増えるほど、リスクは回答画面の中に留まりません。有害な要求の送信、機密情報の流出、外部システムの状態変更を防ぐには、最小権限、送信先制限、変更前承認を分けて設計します。

リスク3:多段階の処理で誤りが累積する

AIエージェントは知覚、判断、実行を反復して前の結果を次の処理に使うため、1回のハルシネーションや情報欠落が、次の判断で事実のように扱われるおそれがあります。
これを防ぐため、外部公開、操作パラメータ設定、顧客データ更新の直前に、中間状態と根拠を再検証します。

警告ログは観測の一部でしかない

実行後の記録があっても、送信・削除・権限変更を事前に止められなければ、制御できているとはいえません。

出典: AISI「AIセーフティに関する評価観点ガイド(第1.20版)」(PDF)

AISI評価観点ガイドを自社の導入判断に変える

最初に確かめるのは、製品名や会社規模ではなく、自律性と外部連携の2軸です。AISI本編は自律性を補助型、半自律型、全自律型に分け、外部連携を限定的な情報連携、デジタル世界操作、物理世界操作に分けています。

小さく試しやすい

読取専用
提案まで
限定情報連携

承認と停止が必要

書込・削除
外部送信
権限変更

承認線は、AIエージェントの承認フローと同じく、閲覧、提案、実行の三段階で分けると明確になります。実行に近づくほど、デフォルトは拒否し、人が承認した時だけ通す設計が安全です。

  • 高リスクタスクを送信・削除・更新・権限変更に分けたか
  • 必要なデータとツールだけにアクセスを限定したか
  • 実行回数、時間、計算資源の上限を決めたか
  • 人の承認と緊急停止が実際に動くか試したか
  • 操作と結果の両方を追跡できるか

端末やクラウドへのアクセスを許す場合は、AIエージェントの権限管理と照らし合わせ、ツール側の設定だけで終わらせないことが大切です。
OS・ブラウザ・ファイル共有側の実効権限も見直してください。

AISIのAIエージェント評価は一度で終わらない

AISIは、AIセーフティ評価を一度だけではなく、開発・提供・利用フェーズで、合理的な範囲と適切なタイミングで繰り返す考え方を示しています。モデル、連携先、権限、扱うデータ、自律性のいずれかが変わったら、導入時の合格を引き継がずに再評価します。

権限と失敗を試す
読取・提案から
変更と事故を反映
更新日ではなく、権限・連携先・影響範囲の変化を再評価の起点にする

評価記録は、対象バージョン、権限、連携先、テストケース、結果、残リスク、承認者、次回評価日を一つの台帳にまとめます。生成AIリスクの月次点検と組み合わせれば、現場の発見を経営会議へ上げやすくなります。

実務独立した目を入れる

影響が大きい業務では、開発・提供に直接携わらない社内の専門家や外部の第三者による評価を検討します。誰が判定しても同じ結論になるよう、テスト条件と証跡を残します。

出典: AISI「AIセーフティに関する評価観点ガイド」

AISIのAIエージェント評価観点ガイドに関するFAQ

QAISIのAIエージェント評価観点ガイド第1.20版はいつ公開されましたか?

A2026年7月7日に公表されました。AISI公式サイトで概要版と本編が公開されています。

Q第1.20版で何が追加されましたか?

A既存10観点の一部がAIエージェント向けに拡充され、「観測と制御」の下に「自律的な挙動」と「外部環境との相互作用」が追加されました。

QAI利用企業にも関係がありますか?

A主な想定読者は開発者・提供者ですが、利用企業にとってもベンダー評価や自社の承認線を決める参照材料になります。

Q評価は導入前の1回だけでよいですか?

Aいいえ。AISIは開発・提供・利用フェーズで、合理的な範囲と適切なタイミングで繰り返す考え方を示しています。

Q最初に何を評価すべきですか?

AAIエージェントの自律性と外部連携のレベルを確定し、送信・削除・更新・権限変更のどこに人の承認を残すか決めます。

Qログがあれば「観測と制御」を満たせますか?

Aログは観測の一部でしかなく、停止、権限制限、状態変更前の承認を別に設計する必要があります。

GLOSSARY

AI用語集

1908 語を収録

意味の解説から背景の意外な逸話まで、AIの専門用語を一語ずつ。非エンジニアの視点で噛み砕いた、引くほど詳しくなる用語集です。

用語集を見る