大企業であれば、主管部署は、リスク統括部やセキュリティー部門といった2線部門が担う場合もあれば、DX推進部門などの1.5線部門が担う場合もあります。中小企業でも、自社の体制を踏まえ、AIリスクへの対応についてイニシアティブを持たせる部署を明確にする必要があります。
主管部署が決まったら、その部署を中心に、法令・ポリシー遵守、AIの倫理的利用、利用範囲・条件の明確化、リスク評価・管理、教育・スキル向上といった遵守事項をガイドラインとして策定し、社内に展開します。
策定にあたっては、経済産業省のAI事業者ガイドラインや、ISO/IEC 42001、NIST AI Risk Management Frameworkなどの国内外の規定やガイドライン・国際規格を参考にしてみるとよいでしょう。
シャドーAIへの対応としては、個人利用の生成AIを認めるか否か、認める場合にはどのサービスを対象とするのか、どの業務シーンでの利用を認めるのかといった点を明示する必要があります。
シャドーAIによるインシデントの発生要因となりやすいのは、ポリシーやガイドラインの不備、従業員のリスク認識の甘さなどです。これらの発生要因をなくしていくには、生成AIについての管理ポリシーを定め、リスク管理の主管部門が個人利用に関するガイドラインを制定、展開、周知する枠組みが必要です。
既存のIT管理プロセスを活用して対応
(2)プロセスの整理・構築
「枠組み」を定めたら、それを実際に運用する管理プロセスに落とし込んでいきます。ただし、生成AI専用の新たなプロセスを一から構築すると負担が大きくなるため、既存のIT管理プロセスを活用するとよいでしょう。
IT管理プロセスの内容を確認して、そこにAIリスク管理の観点をどのように追加するかを検討します。既存のプロセスに不足する要素があれば、対応策(チェックリストなど)を検討していきます。
プロセスでは、どのタイミングで誰に相談・申請を上げるのか、チェックリストなどによる確認方法、どの部門が最終承認を出すのかなどを規定します。
たとえば、認可済みの生成AIサービスはホワイトリストとして社内に公開し、用途を限定したうえで利用を認め、リスト外のサービスは事前申請を必須とし、承認が下りたら利用(ホワイトリストにも追加)するといった運用方法が考えられます。
次ページが続きます:
【その他の注意点】
