AIガバナンス及びリスク管理方針(えーあいがばなんすおよびりすくかんりほうしん)とは
AIガバナンス及びリスク管理方針とは、AIの開発や利用で起きるリスクを、組織のルール、責任者、見直し手順として明文化する方針です。広島プロセス国際行動規範では、リスクベースアプローチに基づき、方針を作るだけでなく、実施し、必要に応じて開示することが説明されています。
正式名称・英語表記
AI governance and risk management policies
広島プロセス国際行動規範での表記: AIガバナンス及びリスク管理方針
何を決める方針か
この方針で決めるのは、AIを使ってよいかどうかの一言だけではありません。どの業務が高リスクか、誰が承認するか、どのタイミングでAI監査を行うか、問題が見つかった時に誰が止めるかまでが対象です。
特に高度なAIシステムでは、個人情報保護、モデルの出力、ユーザープロンプト、委託先との責任分担が絡む領域。社内の情報セキュリティ規程だけでは、AIの判断ミスや偏りを十分に扱いきれません。
経営者が見るべきポイント
- AI利用を承認する責任者と、停止を判断する責任者が分かれているか
- 透明性報告書や委託先資料を、稟議で確認する流れがあるか
- モニタリングツール及びメカニズムで見つけた問題を、方針改定へ戻せるか
2026年6月時点でAI導入は部門単位で進みやすく、ルールが後追いになりがちです。方針はブレーキではなく、現場が迷わず使うための交通整理と捉えると、全社展開しやすいはずです。
Topicプロンプトと出力も管理対象になる
公式文書は、プライバシーポリシーの文脈で、個人データだけでなくユーザープロンプトやAIの出力にも触れています。入力欄に書いた相談文や、AIが返した回答も、会社の管理対象になりうる情報として扱う発想です。
AIガバナンス及びリスク管理方針に関するよくある質問
- AIガバナンス方針は法務部だけで作ればよいですか?
- 法務だけでは足りません。情報システム、事業部、セキュリティ、人事、広報など、AIの影響を受ける部門が関わる必要があります。実際に止める権限まで決めることが大切です。
- 既存の情報セキュリティ規程があれば十分ですか?
- 土台にはなりますが、AI特有の誤回答、偏り、説明責任、プロンプト管理、委託先モデルの扱いまでは別途確認が必要です。AI向けの判断基準を追加する方が安全です。
