1. 政府によるAIガバナンスの骨格の提示2025年12月、政府の人工知能戦略本部が、「人工知能関連技術の研究開発及び活用の適正性確保に関する指針」(以下、本指針)を公表した。これは、5月に成立した「AI推進法」13条に基づき策定されたものである。高度化・複雑化するAI技術のリスク管理や適正性確保という壮大なテーマについて、民・官・国民という様々な主体が遵守すべき指針を示す重要な文書だが、その分量は、目次を除けばわずか8ページに過ぎない。AIガバナンスに関しては、開発・提供者のリスクマネジメントや、生成AIの利用上の注意など、既に多くのガイドライン類が公表されているが、今この指針が公表されたことには一体どのような意味があるのだろうか。本指針の眼目は、官民の主体が実施すべき具体的なアクションを提示することではなく、各自が参照すべき「基本方針」や「全体の骨格」を俯瞰し、国内外に数多く存在する法律・ガイドライン・標準等の結節点となることにある。本稿では、本指針のポイントを示すと共に、事業者が各項目を達成するために参照できる文書についても紹介していく。【「AI適正性指針」の全体像イメージは上図参照】2.適正性確保のための目標とアプローチ本指針はまず、AIの適正性において考慮すべき10の要素を掲げている 。これは、我が国が2019年に策定した「人間中心のAI社会原則」の骨格を踏襲している。【AIの適正性において考慮すべき10の要素】人間中心・公平性・安全性・透明性・アカウンタビリティ・セキュリティ・プライバシー・公正競争・AI リテラシー・イノベーション本指針は、これらの適正性について「一義的な定義や絶対的な水準」を置かず、各主体がこれらの要素を参照し、自らの立場やAIの用途に応じて、自主的かつ能動的に適正性を判断・確保することを求めている。それでは、各主体はどのように適正性を確保すればよいのか。これについて、本指針は、 (i) リスクベースでのアプローチ 、(ii) ステークホルダーの積極的関与 、(iii) (研究開発から実装までの)一気通貫のガバナンス 、(iv) アジャイルな対応 、という「4つの基本方針」を掲げている。これは、AI推進法が目指すアジャイルかつマルチステークホルダー型のガバナンスの方針を改めて確認するものである。これらの基本方針のもと、本指針では、研究機関及び活用事業者(本指針2)、国及び地方公共団体(本指針3)、国民(本指針4)という各主体が実践すべき取組が整理されている。3.企業等に求められる取組本指針において、企業のガバナンス担当者が最も注目すべき箇所が、第2章「研究開発機関及び活用事業者が特に取り組むべき事項」である。ここに記載されている内容は多岐にわたるが、実務への適用にあたってはまず、以下の2点を念頭に置くとよい。第一に、本指針はあくまで法的拘束力のないソフトローであり、企業の自主的取組を促すものである。したがって、全項目を総花的かつ形式的に埋めようとするのではなく、基本方針にある「リスクベースアプローチ」に従い、自社のAI利用におけるリスクの影響度や緊急性が高い領域へ優先的にリソースを配分すべきである。第二に、具体的な実装手段については、必ずしも国内のガイドラインや基準のみに縛られる必要はない。本指針(及びその根拠であるAI推進法)が、国際的規範への整合性を強調している通り、ISO規格や米国NIST、EUの動向など、グローバルなベストプラクティスの中から自社の規模やカルチャーに最も適合するものを柔軟に参照・採用することが、結果として実効性の高いガバナンスにつながる。以下、本指針が求める5つの取組と、それらの実施の際に参考となる主な参照文書を紹介する。※ 参照文書は、一部を除いて本指針の中に明示されているわけではなく、実務慣行や内容の充実性を踏まえてスマートガバナンスが独自に選定したものである。(1)AIガバナンスによる俯瞰的な適正性の確保AIのライフサイクル全体を通じてリスクを特定・評価・対処するための組織的なプロセス(経営層の関与、モニタリング、教育研修等)を構築・運用することが求められる。ゼロベースでの構築に限らず、既存のITガバナンスの枠組みを活用することも推奨されている。主な参照文書:ISO/IEC 42001 (AI Management System): AIマネジメントシステムの国際規格。組織マネジメントに関する本体部分と、具体的な管理策の例をまとめた附属書から構成される。本指針でも、脚注で明示的に言及されている。(有料コンテンツ)NIST AI RMF (Risk Management Framework): 米国国立標準技術研究所が策定したリスク管理フレームワーク。「Govern」「Map」「Measure」「Manage」の4機能で構成される。経済産業省・総務省「AI事業者ガイドライン」: 国内事業者向けの包括的なガイドライン。本指針のベースとなる考え方と整合しており、別添には具体的なチェックリストや実践例が掲載されている。AIガバナンス協会「AIガバナンスナビ」:一般社団法人AIガバナンス協会が策定した、各企業がAIガバナンスの取組の成熟度を自己診断するためのツール。上述の3つの標準・ガイドラインとも互換性がある。各企業の自己診断の結果についても協会内で共有されている。(会員向けコンテンツ)(2)透明性の確保とステークホルダーへの説明学習データの出所や生成物の性質について、知的財産やプライバシーに配慮しつつ、合理的な範囲で説明可能性を確保すること。また、利用者に対して、AIの限界や禁止事項、出力の信頼性に関する注意喚起等の情報を提供することが推奨される。主な参照文書:モデルカード (Model Cards): AIモデルの性能、制限、学習データの概要などを定型フォーマットで開示する手法。開発者と利用者の間の情報の非対称性を解消するためのデファクトスタンダードとして活用されている。英国 アルゴリズム透明性記録基準 (UK Algorithmic Transparency Recording Standard): 英国政府が公共部門向けに導入した、アルゴリズムツールの情報を標準化された形式で記録・公開するための枠組み。民間企業の開示においても有用な枠組みである。広島AIプロセス 報告枠組み (Hiroshima AI Process Reporting Framework): 国際行動規範の遵守状況を可視化するために策定された報告枠組。最先端のAIモデル向けに策定されたものではあるが、グローバルなベストプラクティスに基づいた開示項目・質問事項が整理されているため、一般的な開示フレームワークとしても活用できる。(3)安全性の確保(セキュリティ・品質)ハルシネーション(もっともらしい嘘)や不適切なバイアスといったリスクへの対策に加え、サイバー攻撃への防御策を講じること。特に、偽情報の拡散防止策として、電子透かしや来歴管理技術(Originator Profile等)の実装努力が求められている。主な参照文書:OWASP Top 10 for LLM Applications: Webアプリケーションセキュリティの団体OWASPがまとめた、LLM特有の10大リスク(プロンプトインジェクション、安全でない出力処理、学習データの汚染など)。開発時のセキュリティ要件定義や脆弱性診断のチェックリストとして有用。C2PA (Coalition for Content Provenance and Authenticity): コンテンツの来歴と真正性を証明するための技術標準。デジタルコンテンツに「誰がいつ作成・変更したか」という情報を改ざん困難な形で埋め込む仕組みであり、ディープフェイク対策や信頼できる情報発信の実装において国際的なデファクトスタンダードとなりつつある。Garak (Generative AI Red-teaming & Assessment Kit): 生成AIモデルの脆弱性を自動的に検出するためのオープンソースの「レッドチーム」ツール。ハルシネーション、ジェイルブレイク(脱獄)、有害な出力などを体系的にテストできるため、モデルのリリース前評価において、人間の目視確認を補完する手段となる。AIセーフティ・インスティテュート「AIセーフティに関する評価観点ガイド」/「AIセーフティに関するレッドチーミング手法ガイド」:日本のAIセーフティ・インスティテュートによるガイド。前者はAIシステムの開発者や提供者がAIセーフティ評価を実施する際の基本的な考え方を示すもの、後者はレッドチーミング手法について基本的な考慮事項を取りまとめたもの。(4)事業継続性確保による安全な環境の維持AIを用いたシステムの運用者やサービスの提供者は、これらに障害が生じた場合に備え、損害を最小限にとどめ、早期復旧するために、平常時に行うべき活動や緊急時の事業継続のための方法、手段等を定めた事業継続計画をあらかじめ策定する。主な参照文書:JIS Q 22301:2020 (事業継続マネジメントシステム): 事業継続マネジメントシステム(BCMS)に関する国際規格。AIに限らず、あらゆる組織が中断事故に備え、対応し、復旧するための最も基礎的なフレームワークを提供する。ISO/IEC 27031 (ICT Readiness for Business Continuity): ISO 22301を補完し、特にICT(情報通信技術)インフラの事業継続に焦点を当てた指針。AIシステムは計算資源やネットワークへの依存度が高いため、一般的なBCPよりもICTに特化したこの規格が実務的な参考になる。(5)データの重要性を踏まえたステークホルダーへの配慮AI開発において「質の高いデータ」が不可欠であることを踏まえ、データ保有者(クリエイターやメディア等)との継続的なコミュニケーションや、利益還元のエコシステム構築に向けた検討を行うこと。主な参照文書:文化庁「AIと著作権に関する考え方について」: AIの開発や利活用における著作権法解釈のベースラインとして極めて重要な参照文書。内閣府 知的財産戦略本部「AI時代の知的財産権検討会 中間とりまとめ」: 著作権だけでなく、商標権、意匠権、特許権などとAIの関係について、法制度と技術・契約の両面から論点を整理した文書。内閣府 知的財産戦略本部「AIの適切な利活用等に向けた知的財産の保護及び透明性に関するプリンシプル・コード(仮称)(案)」:AI事業者(開発者・提供者)が、知的財産権の保護と透明性確保のために自主的に取り組むべき規範を定めたもの。法的義務ではないが、「コンプライ・オア・エクスプレイン(原則を実施するか、実施しない場合はその理由を説明するか)」の手法を採用して市場の評価を促す方式。12月26日付でパブリックコメントの募集が開始された。4.補足:その他の重要なガイダンスここまでは、本指針において開発者や提供者に求められる取組を中心とした分野横断的な文書を紹介してきた。しかし、実務においてAIガバナンスを完遂するためには、それ以外の視点も不可欠である。ここでは、補足として押さえておくべき重要なガイダンスを紹介する。(1)責任分配の決め手となる契約ガイドどれほど万全なガバナンス体制や安全対策を講じたとしても、AIの技術的特性上、リスクを完全にゼロにすることは困難である。また、AIシステムを巡るサプライチェーンは複雑であり、事故や権利侵害が発生した際の責任分配が曖昧になりがちだ。 こうした不確実性を法的に管理するためのツールとして、経済産業省の「AI・データの利用に関する契約ガイドライン」や「AIの利用・開発に関する契約チェックリスト」がある。これらは、開発・利用・提供の各フェーズにおける権利義務関係や、責任分界点(免責範囲や保証の限界など)を契約実務に落とし込む際の重要な参照資料である。(2)AI利用者にとってのチェックリスト自らはAIの開発や提供を行わず、業務で利用するのみの事業者(ユーザー企業)は、本指針の枠組みでは「活用事業者」ではなく広義の「国民(利用者)」としての振る舞いが求められる部分も多い。しかし、ビジネス利用である以上、コンプライアンスや情報管理の責任は一般個人よりも重い。 従業員のリテラシー向上や社内利用ルールの策定にあたっては、総務省の「生成AIの利用ガイドライン(生成AIはじめの一歩)」や、経済産業省の「コンテンツ制作のための生成AI利活用ガイドブック」などが、現場レベルでの具体的なリスク(入力データや生成物の取扱い等)を理解する上で役立つ。(3)分野別のガイドライン本指針のような一般原則に加え、特定の業界や用途には、その特性に応じた詳細なルールが存在する。 例えば、医療・ヘルスケア、農業、教育、行政、そしてこどもの利用に関するガイドラインなどが各所管官庁や団体から公表されている。自社の事業領域に関連する分野別ルールも併せて参照し、多層的なガバナンス体制を構築することが望ましい。5.おわりに本指針は、AIガバナンスという巨大な体系の全体像を示す地図のような存在であり、自社の取組の網羅性をチェックする際のハイレベルな指標として機能するものである。技術の進展に伴い、本指針自体も継続的な更新が予定されているほか、各項目の詳細を規定する国際標準やガイドライン類も頻繁にアップデートされていくだろう。実務担当者には、これらの変化を継続的にモニタリングすることが求められる。とはいえ、個々の文書の膨大な分量に圧倒されたり、細かなルールの変更に右往左往したりする必要はない。多くの文書は法的拘束力のない「ソフトロー」に過ぎず、取捨選択が可能だ。変化の激しい時代だからこそ、外部規範への形式的な対応に終始するのではなく、自社のビジョンやミッションに立ち返り、「自社は何のためにAIを活用するのか」「守るべき価値は何か」という原点から主体的に検討を行うことが重要だ。そのような取組こそが、結果としてぶれない軸を持った、一貫性のあるAIガバナンスの実現につながる。本稿は公開情報や執筆者の専門的知見に基づいた一般的な分析・見解を提供するものです。本稿に記載の見解は執筆担当者の個人的見解であり、当社または当社のクライアントの見解ではありません。