人工知能が産業の中で普及するにつれ、AIシステムに関連するリスクも増大しています。偏ったアルゴリズムからデータプライバシーへの懸念まで、企業は信頼を維持し、変革をもたらすこの技術の潜在能力を最大限に実現するために、AIリスクを積極的に管理しなければなりません。幸運にも、確立されたベストプラクティスが存在します。その中で最も重要なものの一つとして、米国商務省の機関である国立標準技術研究所（NIST）のAIリスク管理フレームワーク（「AI RMF」）があります。NISTは2023年1月にAI RMFを発表しましたが、早くもAIを責任を持って信頼性を確保するための主要な標準フレームワークの一つになっています。

遵守は任意ですが、我々は特に米国の組織においてAIプログラム構築時にAI RMFを採用する企業が増えていることを観察しています。このブログでは、(1) AI RMFの概要を示し、(2) AI RMFを採用すべきかどうかに関するガイダンスを提供し、そして(3) 採用する場合、具体的な方法についていくつかの実践的なヒントを提供します。

‍

AI RMFの概要

AI RMFは、AIシステムの設計、開発及び/または使用に積極的な役割を果たす企業や個人に適用されます。したがって、あなたの会社がAIを利用している場合、またはあなた自身がAIのワークストリームに関与している場合、このフレームワークの要件を遵守してコンプライアンスを確保する必要があります。

AI RMFは、「基本情報」と「コアとプロファイル」の2つの大きなセクションに分けることができます。それぞれの要件は以下の通りです。

基本情報

基本情報は、AI使用の潜在的なリスクと害について取り扱います。ガイドラインに従う企業は、リスクの発生を追跡・測定し、それらを優先し、組織としての全体的なリスク耐性レベルを評価するプロセスを導入する必要があります。目的は、責任あるAIの利用を確保するために、しっかりとした積極的なリスク管理のプロセスを導入することです。

コアとプロファイル

NISTのフレームワークの第2部分であるコアとプロファイルは、そのようなシステムを実践に移す方法に焦点を当てています。ここでは、NISTが開発されたリスク管理システムの4つのコア機能を示しています。それらは以下の通りです：

• ガバナンス - 企業内にリスク管理の文化を創造すること;

• マッピング - AI使用のリスク及び潜在的リスクを特定するためのプロセスを構築すること;

• 測定 - これらのリスクが関係者に与える影響を評価すること; 

• 管理 - リスク処理およびリスク軽減活動を採用すること。 

最後に、AI RMFは、全体的なリスク管理プログラムの文脈で、特定の利用ケースにおけるリスクを確立し評価する「プロファイル」の方法を提示します。例えば、人事チームが候補者の履歴書を分類するのに役立つAIシステムは、あなたが広範なAIリスク管理プログラムにおいてガバナンス、マッピング、測定、管理しなければならないプロファイルを構成します。 

‍

NIST AI RMFを採用すべきでしょうか？

NISTのフレームワークは法的拘束力のある規制（例えばEU AI Actのようなもの）とは異なる任意の標準ですが、従うために必要な努力を行うことで明らかな利益があります:

1. あなたのAIに関連するリスクを理解する:今やほとんどの企業が何らかの機能においてAIを使用しています。しかし、多くの企業のリーダーは真のリスクに気づいていません。RMFへのコンプライアンスはこれらのリスクを明らかにし、チームがそれを軽減することを可能にします。

1. あなたのAIに対する信頼を築く:フレームワークの背後にあるコアの原則の一つは、企業がステークホルダー間で信頼を構築する必要があることです。これはAIに関してしばしば欠けています。この基準へのコンプライアンスは、あなたのAI使用が責任を持ち信頼できることを保証する、権威ある組織からの第三者の承認を示します。

1. 生産性と利益を高めるためのAIの使用を増やす:多くの企業はAIがもたらす素晴らしい利益を目の当たりにしていますが、不明瞭なリスクや責任に対する懸念から最大限の使用を恐れています。NISTのフレームワークの遵守はそうした懸念を和らげ、AIの利用を増加させ、企業内で生産性と利益を向上させることにつながります。

これらの強力な理由がNISTのフレームワークの遵守に賛成していますが、それを遵守することが企業にとって意味がない場合があります:

1. 他のフレームワークの方が具体的な場合: NIST AI RMFはAIリスク管理の有用なガイドですが、自分自身のビジネスに要件を解釈して適用するために多くの作業を残しています。スペースが急速に進化しており、AI RMFの公表後、他の多くの基準と規則が登場しました。それらの中には、ISO 42001のようにより具体的で（我々の経験では）採用しやすいものがあります。さらに、NIST AI RMF単独では、EU AI法などの新興AI規制の遵守も、業界特有のガイドライン（例えばSR 11-7やモデルリスク管理に関する英国PRA規則）も保証しません。

1. AIを使用していない企業:あなたの組織内の唯一のAI使用が公共のLLMを偶然使用する社員がいる場合（例えば、Chat GPTやClaudeを使ってメールを磨く）、フレームワークに従う価値があるとは言い難いかもしれません。この場合、軽量なガバナンスフレームワークを採用する方が賢明かもしれません。これにより、組織内の人々がこれらのツールとどのように対話するかを規定するAIポリシーを確立することができます。 

‍

次のステップ

NISTガイドラインは常に任意であるが、企業による採用はすでに達成された重要なレベルからさらに拡大し続けると考えています。実際にAIソリューションを包括的に利用する大企業にとって、NIST（またはISO 42001のように同様またはより強力な標準）の遵守は、従業員、顧客、株主などのステークホルダーから要求されるようになる可能性があります。 

NIST AI RMFで動き出すために使用できるいくつかの実践的なヒントを以下に示します。

1. エグゼクティブの同意を得る:幹部がAIリスク管理の重要性を理解し、NIST AI RMFの採用を支持することを保証します。彼らの支援はリソースの割り当てと組織全体の遵守を促進するために不可欠です。

1. AIガバナンス構造を確立する:クロスファンクショナルなAIガバナンス委員会を形成するか、フレームワークの実施を監督する役割と責任を割り当てます。これにはIT、法務、リスク管理、倫理、関連するビジネス部門の代表者を含むことがあります。

1. AIインベントリを作成する:組織のAIシステムとプロジェクトを開発中のものを含めカタログ化し、AIの状況を包括的に把握します。これによりリスク評価努力を優先させることができます。

1. 各AIシステムのリスクを評価する:各AIシステムまたはユースケースについて、データプライバシー、安全性、公平性、透明性など、NIST AI RMFで概説された主要分野を網羅した徹底的なリスク評価を実施します。「プロファイル」方法論を使用して、特定の文脈に合わせて評価します。

1. リスク軽減計画を策定する:リスク評価の結果に基づいて、各AIシステムに対するリスクを軽減するための実行可能な計画を作成します。これには技術的な対策（例えばバイアステスト、安全管理）や組織的な対策（例えばポリシー、トレーニング）を含むことができます。

1. 既存のリスク管理プロセスと統合する: AIリスク管理を組織の全体的なリスク管理フレームワークとプロセスに合わせます。これにより一貫性と統合されたアプローチが確保され、サイロを避けることができます。

1. ステークホルダーと関わる:エンドユーザー、顧客、規制当局などのステークホルダーを適宜リスク評価と軽減プロセスに関与させます。フィードバックを求めてAIリスク管理の取り組みについて誠実にコミュニケーションし、信頼を構築します。

1. 継続的な監視と再評価: AIリスク管理は継続的なプロセスです。AIシステムの新たなリスクを常に監視し、技術、ユースケース、規制の状況が進化するにつれて、リスクプロファイルを定期的に再評価します。

1. AI倫理トレーニングを提供する:AI開発と展開に関与する従業員にAI倫理の原則とNIST AI RMFの要件を教育します。これにより責任あるAIの実践を組織の文化に浸透させることができます。

1. AIガバナンスツールを活用する:AIガバナンスプラットフォーム（Enzaiのような）を使用して、AIリスク管理の側面を効率的に評価し、NIST AI RMFや他の基準に対するシステムを評価し、リスク軽減行動を追跡し、監査記録を生成します。

NIST AI RMFの採用は旅です。最も優先度の高いAIシステムから始め、リスク管理の努力の範囲を時間を追って段階的に拡大していきましょう。得た教訓と進化するベストプラクティスに基づいて、アプローチを定期的にレビューし改善することをお忘れなく。

‍

‍こちらをクリック hereして、ビジネスがEnzaiのAIガバナンス技術を使用してNISTのAIリスク管理フレームワークに準拠する方法について体験デモを予約し、詳細を学ぶことができます。

‍