人工知能があらゆる業界で普及するにつれ、AIシステムに伴うリスクもまた広がっています。偏りのあるアルゴリズムからデータプライバシーの懸念に至るまで、企業はステークホルダーとの信頼を維持し、この変革的なテクノロジーの潜在能力を最大限に引き出すため、AIリスクを先んじて管理しなければなりません。幸いにも、こうした課題に対応するための確立されたベストプラクティスが存在します。その中でも特に重要なのが、米国国立標準技術研究所（NIST）のAIリスク管理フレームワーク（「AI RMF」）です。米国商務省の機関であるNISTは、2023年1月にAI RMFを公表し、AIが責任ある信頼できるものであることを確保するための主要な標準フレームワークの一つへと急速に発展させました。

義務ではありませんが、特に米国において、AIプログラムを構築する際にAI RMFを採用する組織が増えていることを確認しています。このブログでは、(1) AI RMFの概要を示し、(2) AI RMFを採用すべきかどうかの判断に役立つ指針を提供し、(3) 採用すべき場合に実施可能な実践的なヒントをご紹介します。

‍

AI RMFの概要

AI RMFは「AI Actors」に適用されます。これは、AIシステムの設計、開発、および／または利用において積極的な役割を担う企業または個人を指します。したがって、貴社がAIを活用している場合、またはご自身がAI関連の業務に関与している場合は、コンプライアンスを確保するため、フレームワークの要件に準拠する必要があります。

AI RMFは、大きく「基礎情報」と「コアとプロファイル」の2つのセクションに分けられます。それぞれの要件を以下に示します。

基礎情報

基礎情報は、AI利用に伴う潜在的なリスクと害を扱います。ガイドラインに準拠する企業は、リスクが顕在化するたびに追跡・測定し、優先順位を付け、組織全体のリスク許容度を評価するプロセスを整備しなければなりません。目的は、堅牢かつ能動的なリスク管理プロセスを整えることで、責任あるAI利用を実現することにあります。

コアとプロファイル

コアとプロファイルは、NISTのフレームワークの第2部であり、そのような仕組みを実務に落とし込む方法に焦点を当てています。ここでは、NISTが成熟したリスク管理システムの4つの中核機能を示しています。それは以下のとおりです。

• Govern - 企業内にリスク管理の文化を醸成する;

• Map - AI利用に伴うリスクおよび潜在的リスクを特定するためのプロセスを構築する;

• Measure - これらのリスクが関係するステークホルダーに及ぼす潜在的影響を評価する; and 

• Manage - リスク対応およびリスク軽減の活動を導入する. 

最後に、AI RMFは、包括的なリスク管理プログラムの文脈において、特定のユースケースに対するリスクの設定と評価を行う「Profiles」手法を示しています。たとえば、人事部門が候補者の履歴書を選別するのを支援するAIシステムは、より広範なAIリスク管理プログラムの中で、ガバナンス、マッピング、測定、管理を行うべきプロファイルに該当します。 

‍

NIST AI RMFを採用すべきでしょうか?

NISTのフレームワークはEU AI Actのような法的拘束力を持つ規制とは異なり任意の標準ですが、遵守に必要な労力をかける明確な利点があります:

1. AIに伴うリスクを理解する: ほとんどすべての企業は、現在少なくとも一部の業務でAIを活用しています。しかし、こうした企業の多くのリスク責任者は、実際に生じている真のリスクを十分に認識していません。RMFへの準拠により、これらのリスクが可視化され、チームは軽減策を講じることができます。

1. AIへの信頼を構築する: このフレームワークの根幹にある考え方の一つは、企業がステークホルダーとの信頼を構築する必要性です。AIの分野では、しばしばこの信頼が不足しています。この標準への準拠は、貴社のAI利用が責任ある信頼できるものであることを示す、権威ある組織からの第三者認証となります。

1. AIの利用を拡大して生産性と利益を高める: 多くの企業はAIがもたらす大きな利点を認識していますが、不明確なリスクや責任の所在に関する懸念から、その活用を最大化することをためらっています。NISTのフレームワークに準拠することで、こうした不安を和らげ、AIの活用を拡大し、企業内の生産性と利益の向上につなげることができます。

こうしたNISTのフレームワークに従うべき強い理由がある一方で、企業にとって遵守を目指すことが必ずしも合理的ではない場合もあります:

1. 一部の他のフレームワークの方がより具体的です: NIST AI RMFはAIリスク管理に役立つ指針ですが、要件を解釈し自社業務に適用するには組織側で相当の作業が必要です。この分野は急速に変化しており、AI RMFの公表以降、多くの標準や規制が登場しています。その中には、ISO 42001のようにより具体的で、私たちの経験上は導入しやすいものもあります。さらに、NIST AI RMF単独では、台頭しつつあるAI規制の状況（EU AI Actなど）や、業界固有のガイドライン（SR 11-7や英国PRAのモデルリスク管理規則など）への準拠は確保できません。

1. AIを利用していない企業: 組織内でのAI利用が、従業員がChatGPTやClaudeなどの公開LLMを使ってメールを整える程度にとどまるのであれば、このフレームワークに準拠する価値はあまりないかもしれません。その場合は、組織のメンバーがこれらのツールをどのように利用するかを管理するAIポリシーを策定し、軽量なガバナンスフレームワークを採用する方が適している可能性があります。 

‍

今後に向けて

NISTのガイドラインは今後も常に任意であり続けますが、すでに達成された大きな水準からさらに、企業による採用は今後も拡大し続けると見込まれます。実際、AIソリューションを包括的に活用する大企業にとっては、NIST（あるいはISO 42001のような同等以上に堅牢な他の標準）への準拠が、従業員、顧客、株主を含むステークホルダーからほぼ必須条件と見なされる可能性が高いでしょう。 

以下に、NIST AI RMFの導入を進めるうえでご活用いただける実践的なヒントをいくつかご紹介します。

1. 経営幹部の支持を確保する: 上級経営陣がAIリスク管理の重要性を理解し、NIST AI RMFの採用を支援していることを確認してください。その後ろ盾は、必要なリソースの配分と組織全体での遵守を推進するうえで不可欠です。

1. AIガバナンス体制を整備する: 部門横断的なAIガバナンス委員会を設置するか、フレームワークの実装を監督する役割と責任を割り当ててください。これには、IT、法務、リスク管理、倫理、関連事業部門の代表者を含めることができます。

1. AIインベントリを作成する: 開発中のものを含む組織内のすべてのAIシステムとプロジェクトを一覧化し、AIの全体像を包括的に把握してください。これにより、リスク評価の優先順位付けが容易になります。

1. 各AIシステムのリスクを評価する: 各AIシステムまたはユースケースごとに、データプライバシー、セキュリティ、公平性、透明性、およびNIST AI RMFで示されているその他の重要領域を含む詳細なリスク評価を実施してください。「Profiles」手法を用いて、各具体的な文脈に応じて評価を最適化します。

1. リスク軽減計画を策定する: リスク評価の結果に基づき、各AIシステムにおいて特定されたリスクを軽減するための実行可能な計画を策定してください。これには、技術的対策（例: バイアス検証、セキュリティ管理）に加え、組織的対策（例: ポリシー、研修）が含まれます。

1. 既存のリスク管理プロセスと統合する: AIリスク管理を組織全体のリスク管理フレームワークおよびプロセスと整合させてください。これにより、一貫した統合的アプローチを確保し、部門間の分断を回避できます。

1. ステークホルダーを巻き込む: エンドユーザー、顧客、規制当局などの関連ステークホルダーを、必要に応じてリスク評価および軽減のプロセスに参加させてください。フィードバックを収集し、AIリスク管理の取り組みについて透明性のあるコミュニケーションを行うことで、信頼を築けます。

1. 継続的に監視し再評価する: AIリスク管理は継続的なプロセスです。AIシステムに新たなリスクが生じていないか継続的に監視し、技術、ユースケース、規制環境の変化に応じてリスクプロファイルを定期的に再評価してください。

1. AI倫理研修を提供する: AI開発および展開に関与する従業員に対し、AI倫理の原則とNIST AI RMFの要件について教育してください。これにより、責任あるAIの実践を組織文化に定着させることができます。

1. AIガバナンスツールを活用する: EnzaiのようなAIガバナンスプラットフォームの利用を検討し、AIリスク管理の一部を効率化・自動化してください。こうしたツールは、NIST AI RMFやその他の標準に照らしたシステム評価、リスク軽減アクションの追跡、監査証跡の生成を効率的に支援します。

NIST AI RMFの採用は一朝一夕ではなく、継続的な取り組みです。最優先のAIシステムから着手し、時間の経過とともにリスク管理の対象範囲を段階的に拡大してください。得られた学びと進化するベストプラクティスに基づき、定期的にアプローチを見直し、洗練させることが重要です。

‍

‍デモのご予約はこちらから。EnzaiのAIガバナンステクノロジーを活用し、貴社がNISTのAIリスク管理フレームワークに準拠する方法について詳しくご確認ください。

‍

Enzaiは、抽象的なポリシーを実運用上の統制へと移行する企業を支援するために特別に設計された、業界をリードするエンタープライズ向けAIガバナンスプラットフォームです。当社のAIリスク管理プラットフォームは、エージェンティックAIガバナンスの管理、包括的なAIインベントリの維持、ならびにEU AI Actへの準拠に必要な専用インフラを提供します。複雑なワークフローを自動化することで、Enzaiは企業が世界標準である ISO 42001 およびNISTとの整合性を維持しながら、自信を持ってAI導入を拡大できるよう支援します。