AI事業者ガイドライン

AI BUSINESS GUIDELINES
読み: エーアイじぎょうしゃガイドライン

読み: エーアイじぎょうしゃガイドライン

AI事業者指針とは法規制の要点

AI事業者ガイドラインは、日本政府(総務省・経済産業省)が2024年4月に策定した、AI開発者・提供者・利用者が守るべき行動規範である。法的拘束力はないが、業界団体や大手企業が準拠を表明しており、事実上の国内標準となりつつある。EUのAI規制法やNISTのAIリスク管理フレームワークとの国際的な整合性を意識した内容になっている。

かんたんに言うと

AIを作る会社、売る会社、使う会社、それぞれが「やるべきこと」と「やってはいけないこと」をまとめた日本版のルールブックである。罰則はないが、守らないと取引先や社会からの信用を失うリスクがある。

二本立てガイドラインを統合したAI事業者ガイドライン策定の経緯

2019年に「AI利活用ガイドライン」と「AI開発ガイドライン」がそれぞれ公表されていたが、利用者向けと開発者向けで文書が分かれており、使い勝手が悪かった。生成AIの急速な普及を受けて、2024年4月にこれらを統合・改訂したのがAI事業者ガイドラインである。
法律ではない。あくまでソフトローと呼ばれる「指針」である。ただし、経済産業省が所管する以上、政府調達や補助金の審査で「ガイドラインに準拠しているか」が問われる場面は増えていく。大手企業のサプライチェーンに入っている中小企業にとっても、取引先からの要請で対応を迫られるケースが出始めている。

10の基本原則と3つの事業者区分

ガイドラインは事業者を「AI開発者」「AI提供者」「AI利用者」の3区分に分けている。同じ企業が複数の区分に該当することもある。自社でAIモデルを開発し、SaaSとして提供し、社内業務にも活用しているなら3つ全てに該当する。
基本原則は10項目ある。人間中心、安全性、公平性、プライバシー保護、セキュリティ確保、透明性、アカウンタビリティ、教育・リテラシー、公正競争、イノベーションの促進。
正直なところ、原則だけ読むと抽象的で何をすればいいかわかりにくい。実務上重要なのは各原則に紐づく「実践のポイント」と「事例集」である。ここにリスクアセスメントの具体的な手順や、データガバナンスの実装例が記載されている。

<a href="/ai-glossary/nist-ai-rmf/">NIST AI RMF</a>との関係

米国NISTが2023年に公開したAI Risk Management Framework(AI RMF)は、AIリスクを「ガバナンス」「マッピング」「測定」「管理」の4機能で体系化している。日本のガイドラインは、このフレームワークを明確に参照している。
両者の違いは粒度にある。NIST AI RMFはリスク管理の「枠組み」を示すのに対し、日本のガイドラインは事業者ごとの「行動」を示す。実務としては、NIST AI RMFでリスク管理体制の骨格を設計し、日本のガイドラインで具体的なチェック項目を埋めていく使い方が合理的である。
グローバル展開している企業であれば、NIST AI RMFへの準拠で国際的な説明責任を果たしつつ、国内向けにはAI事業者ガイドラインの用語で対外説明する、という二段構えが現実的な対応になる。

EU AI Actとの比較

EUのAI規制法(AI Act)は2024年に発効した世界初のAI包括規制であり、法的拘束力を持つ。違反すれば最大3,500万ユーロの制裁金が科される。
日本のガイドラインとは性格がまるで異なる。EU AI Actは「禁止」と「義務」を法律で定める。日本のガイドラインは「望ましい行動」を指針として示す。罰則の有無は決定的な差である。
とはいえ、EUに製品やサービスを提供する日本企業はAI Actへの対応が必須になる。その準備としてAI事業者ガイドラインに沿った社内体制を整えておくと、EU規制への対応コストを下げられる。逆に言えば、ガイドラインすら対応できていない企業がEU AI Actに対応するのは相当に厳しい。

企業が取るべき具体的な対応

最初にやるべきは、自社が3区分のどこに該当するかの整理である。SaaSを利用しているだけなら「AI利用者」として求められる対応は比較的軽い。自前でLLMファインチューニングしているなら「AI開発者」としての責任が発生する。
次に、リスクアセスメントの実施である。自社のAI活用シーンを洗い出し、各シーンでどんなリスクが存在するかを評価する。ハルシネーションによる誤情報発信、個人データの不適切な学習利用、バイアスによる差別的出力など、リスクの種類は用途によって異なる。
最後に、対応策の文書化である。「何をやっているか」を社内外に説明できる状態にしておく。ガイドライン自体に罰則はなくても、AIによる事故が起きたとき「ガイドラインに沿った対策をしていたか」は必ず問われる。事後の説明責任に備える意味でも、記録を残しておくことが重要である。

当社の見解

当社はAIの安全運用のために3層防御を設計・実装している。万が一インシデントが発生しても数分以内に復旧できるバックアップ体制を持つ。実際にAIが暴走してテスト環境を停止させた経験があり、その教訓から「失敗を防ぐ」だけでなく「失敗しても戻せる」設計が本質だと確信している。加えて、AIは事実でないことを断定する。この前提で事実/推測の強制分離とファクトチェックを実装した。安全性は仕組みで担保するものだ。

関連用語

NIST AI RMFリスクアセスメントデータガバナンスハルシネーションアラインメントAI活用AIモデルAIリスク管理CTEU AI Actファインチューニング生成AISaaS

同じ失敗を二度としないAIエージェント

今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。

当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。

古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。

相談する