AI Risk Intake and Tiering(エーアイリスクインテークアンドティアリング)とは

AI Risk Intake and Tieringとは、AI活用案件を受け付け、リスクの重さに応じて層分けする運用です。Intakeは受付票、Tieringは低・中・高のような仕分け。すべてのAI案件を同じ重さで審査しないための入口と考えると分かりやすいでしょう。

受付で聞くべきこと

受付では、AIの名前よりも、用途、使うデータ、影響を受ける人、外部連携、失敗時の被害を確認します。NIST AI RMFのMAP機能も、用途、利用者、リスク許容度、想定される影響を文書化する考え方です。これは申請フォームを増やす話ではなく、危ない案件を早く見つけるための質問設計にあたります。

AI Risk Taxonomyが分類棚なら、AI Risk Intake and Tieringは棚へ入れる受付窓口です。たとえば、社内文章の要約は低リスクかもしれません。一方、与信、採用、医療、顧客への自動送信、AIエージェントによる削除や購買は、上位の審査へ回すべきです。

審査を速くするための層分け

Tieringを入れると、軽いPoCまで法務・セキュリティ・経営会議を通す必要が減ります。逆に、高リスク案件はAgent Inventory、Agent Permissions、AI Risk and Control Matrixへつなぎ、必要な承認、監視、記録を先に決められます。審査を厳しくするだけでなく、審査資源を寄せるのが実務上の価値です。

注意点は、階層名を増やしすぎないこと。現場が「どの区分か分からない」と感じると、受付を迂回します。最初は、利用禁止、要審査、標準利用、軽微利用のように、判断と次の行動が結びつく区分にするのがよいでしょう。

AI Risk Intake and Tieringに関するよくある質問

小さなAI活用にもIntakeは必要ですか？

最低限の受付は必要です。ただし、全案件を重い審査にする必要はありません。軽微利用、標準利用、要審査、利用禁止のように分けると、現場の速度と安全性を両立しやすくなります。

Tieringで最初に見る項目は何ですか？

用途、扱うデータ、外部連携、影響を受ける人、高影響アクションの有無を見ます。特に顧客通知、採用、与信、削除、送信、購買などに関わる案件は上位審査へ回す候補です。