【非エンジニアのためのClaude/Claude Codeシリーズ】Claude活用におけるAI RMFチェックシートを作ってみた
はじめに
久しぶりに投稿します、営業の谷口です。
最近、何かに挑戦しないといけないなーと思い、ずっとやりたかったピアノを習いはじめました。
まだ曲は弾かずに、指の形や指の動かし方やリズムの練習をしていまして、先生に「まず基礎を固めましょう」と言われます。ゴルフもピアノも型があり、なんでも基礎が大事だとつくづく思います。最初から応用をしようとするとあとで癖をなおす作業に苦労をして、結局時間がかかってしまうと思っています。また仕事でも基本の型は重要とも考えています。
最近営業活動でAI活用に関するディスカッションが非常に多く、お客さまと話しする中で、こんな声をよく聞きます。
「AI推進しているけど、セキュリティリスクについても並走して考えないといけないんですよね」
「どこまでデータを入れていいんだろう」
「誰がどう使ったか、追えてるのかな」
「プロンプトに変な情報入れちゃったらどうしよう」
情報漏洩、ハルシネーション(AIが事実と異なる内容を生成すること)、許可なく個人が使い始めるシャドーAIといったリスクの名前を挙げるとキリがありません。AIで業務効率化はできているけど、やることが増えていてセキュリティについては後回しになって何から整理すればいいのかといった具合に困っている方へ。
何かを整理したいとき、チェックシートがあれば抜け漏れなく確認できますよね。(私は抜け漏れが激しいので、チェックシート好きです)
でも、何を基準にチェック項目を作ればいいのか。自分で一から考えるのは大変です。そこで今回使ってみたのが、NIST AI RMF(AIリスクマネジメントフレームワーク) です。詳細なセキュリティ設定や対策も大事だと思いますが、まずは社内手順や体制など整っているのか、全体のリスク管理から始めるのが良いかと思っています。
AI RMFとは(ざっくり)
AI RMFは、米国の国立標準技術研究所(NIST)が策定した、AIリスク管理のガイドラインです。4つのコア機能で構成されています。
| 機能 | サマリー |
|---|---|
| Govern(統治) | ルールと体制を整える |
| Map(特定) | どこにどんなリスクがあるか把握する |
| Measure(測定) | リスクの大きさを測る |
| Manage(管理) | 対策を実行し、見直す |
法的な強制力があるものではなく、「自分たちのAI活用を見直すための型」として使えるのがポイントです。
AI RMFの詳しい解説は、弊社の荒平による記事 NIST AI RMF(AIリスク管理フレームワーク)について理解しようとしてみた をご覧ください。
作ってみたチェックシート
このAI RMFの4機能をベースに、Claudeにチェックシートを作成してとお願いしたら全63項目のチェックシートが作成されました。
全体の構成はこのようになっています。
| 機能 | カテゴリ | 項目数 |
|---|---|---|
| GOVERN | 方針・手順の整備 / 責任体制 / 多様な視点 / リスク文化 / 外部意見 / 外部サービス管理 | 19項目 |
| MAP | 利用目的の整理 / AIの特性把握 / 効果とコスト / 外部リスク / 影響範囲 | 18項目 |
| MEASURE | 評価方法の設計 / 品質特性ごとの評価 / 継続的な監視 | 14項目 |
| MANAGE | 対応計画 / 継続管理 / 外部サービス管理 / 関係者への情報提供 | 12項目 |
ここからは少しボリュームがあるので、一例として GOVERN(統治) の中身をご紹介します。
GOVERNの中身(一例)
GOVERNは、AI活用の「土台」を作るパートです。ルールを決めるだけでなく、責任体制や組織文化まで含めて整えるところがポイントです。
6つのカテゴリに分かれており、たとえば「GV-1:方針・プロセス・手順の整備」には、以下のような確認項目が含まれています。
| 確認項目 |
|---|
| AIシステムに適用される法律や規制(個人情報保護法、著作権法など)を洗い出し、一覧として管理・文書化していますか |
| AIシステムに求められる品質要件(正確さ、安全性、セキュリティなど)を、自社の方針や業務手順に組み込んでいますか |
| AIシステムごとに「どの程度のリスク対策が必要か」を判断する基準が決まっていますか |
| AIシステムのリスク状況を定期的にモニタリング・レビューする計画がありますか |
| 自社で利用しているAIシステムの一覧(台帳)を管理していますか |
| AIシステムの利用を終了する際のデータ削除やシステム停止の手順が定められていますか |
お客さまとの会話で「AI利用のガイドラインはありますか?」と聞くと、「あります」と返ってくることが多いです。しかし、このチェックシートで確認してみると、「ガイドラインはあるけど、AIシステムの台帳管理はしていなかった」「利用終了時の手順は決めていなかった」といった抜け漏れが見つかったりします。こうした気づきが得られるのが、チェックシートの価値だと思っています。
GOVERNにはこのほかにも、「責任体制の整備」「多様な視点の確保」「リスクを考える文化づくり」「外部からの意見収集」「外部サービス・データの管理」というカテゴリがあり、合計19項目で構成されています。ぜひ一度Claudeに投げかけてチェックシートを作ってみてください。
チェックシートの使い方
チェックシートには、確認項目に加えて「成熟度」を5段階で評価する欄を設けられておりました。
| レベル | 名称 | 状態 |
|---|---|---|
| 1 | 未整備 | 個人任せで組織的な仕組みがない |
| 2 | 一部整備 | 基本ルールはあるが組織全体に浸透していない |
| 3 | 組織的に運用 | ルールが文書化され全社で運用されている |
| 4 | 定量的に管理 | 数値指標に基づく管理と継続的な改善が行われている |
| 5 | 最適化・先進的 | リスク管理が経営の強みになっている |
全項目を一度に「成熟度5」にする必要はありません。まずは全項目をざっと確認して、自社の現在地を把握するところから始めてみてください。評価サマリーシートで、機能ごとの対応率が自動集計されるようにしています。全体の集計を行って対応率を洗い出ししてくれます。
まとめ
63項目と聞くと多く感じるかもしれませんが、AI RMFの4つの機能に沿って整理されているので、「自分たちは今どこまでできていて、何が足りないのか」が見えてきます。
AI活用とセキュリティリスク管理は対立するものではなく、セットで考えるもの。皆様が安全に事業を継続しAIを活用できることの一助となれば幸いです。
参考資料
NIST AI RMF 公式ドキュメント
AI Risk Management Framework(NIST公式ページ)
NIST AI 100-1 AI Risk Management Framework (AI RMF 1.0)(日本語訳)
