AIガバナンスポリシー

1. 理念と目的

CYBER-SECURE（以下「当組織」）は、AI技術の活用が持続可能な社会の実現と業務品質向上に不可欠であると認識しています。

当組織は、国内外の法令・ガイドラインおよび国際標準の考え方を参照し、責任あるAIの利活用を実現するためのガバナンス体制を構築します。

本ポリシーは、透明性・安全性・公平性・倫理性を確保し、利害関係者の期待を検証可能な方法で満たす信頼性を追求するための指針です。

達成目標

• クライアントへの高品質な分析・提案の提供

• セキュリティコンサルティング業務の効率化と正確性向上

• 知見共有における透明性と説明責任の確保

2. AIシステムにおける役割と適用範囲

当組織は、AIライフサイクルにおいて以下の役割を担うことを特定し、それぞれの責任を明確にします。

役割

主にAI利用者として活動し、一部の業務において自社向けにカスタマイズや微調整を行うAIプロデューサーの役割を担います。

当組織はAIシステムのプロバイダー（第三者への提供者）ではありません。

適用範囲

本ポリシーは、当組織が関与する以下の活動に適用されます：

• 自社ウェブサイト・SNS等での発信コンテンツ生成

• クライアント向けの分析・報告・提案活動

• 講義・講演等の知見提供

• セキュリティ分析・DPIA補助・対策検討支援

• その他、AIを活用して生成・支援された成果物のうち、第三者への提供・開示を伴うもの

3. AI活用方針と人間による監督

当組織は、業務効率化と品質向上のためにAIを以下の目的で活用します：

• 情報整理・文章生成・翻訳・構成支援

• データの要約・分類・可視化

• セキュリティ分析・DPIA補助・対策検討支援

• 社内業務の効率化

ただし、「最終判断および対外的な説明責任は必ず人が担う」ことを原則とします。

AIシステムの出力を無批判に受容せず、人間による監督と介入が可能な制御可能性を常に維持します。

4. リスク管理とAI影響評価

AI活用に伴うリスクに対し、NIST AI RMFの考え方に基づくリスクベースアプローチを適用します。

リスク評価プロセス

• リスク識別（MAP）: ハルシネーション、バイアス、権利侵害、セキュリティ脅威、プライバシー侵害等を特定

• 影響評価（MEASURE）: 新たなAIツール導入時や用途変更時には、当組織独自のAI影響評価を実施

• 対策選択（MANAGE）: リスクレベルに応じた管理策の実装

• モニタリング: 継続的な出力品質確認と定期的なレビュー

リスク分類と管理策

高リスク活用（クライアント向け正式報告書・DPIA支援等）

• 二段階の人的レビュー（専門家による事実確認＋法的妥当性確認）

• 複数ソースによるクロスチェック

• AI利用の明示

中リスク活用（講演資料・技術記事・セキュリティ分析等）

• 専門家による事実確認と出力検証

• バイアス・公平性の確認

• 必要に応じてAI利用の明示

低リスク活用（社内メモ・下書き・構成案等）

• 最終確認による品質担保

• 個別の明示は不要

実務的フレームワークの適用

• MITRE ATLAS: 敵対的攻撃への耐性評価

• OWASP Top 10 for LLM: プロンプトインジェクション、データリーク等への対策

• NIST AI RMF: 信頼できるAIの主要特性（妥当性・安全性・セキュリティ・説明責任・透明性・公平性等）に基づく定期チェック

セキュリティ対策

• 入力データにおける機密情報の匿名化・非特定化

• プロンプトインジェクション等のAI特有の攻撃への防御

• 学習データの由来確認とトレーサビリティ確保

5. データガバナンスと品質管理

AIシステムの信頼性はデータに依存することを認識し、以下の管理策を講じます。

データの出所管理（Provenance）

• 利用するデータの取得経路や処理履歴を記録

• 権利関係（著作権、個人情報等）を確認

• トレーサビリティを確保し、監査可能性を維持

データ品質の維持

• 正確性、完全性、適時性の確認

• バイアスの有無を評価（性別、人種、年齢等の偏りチェック）

• 目的に適したデータのみを学習・推論に利用

個人情報・機密情報の保護

• クライアント情報は匿名化後にのみAI処理

• 機密度分類に応じた取扱い制限

• 生成物に対する適切な保管・再利用制限のガイドライン適用

6. 透明性と説明責任

当組織は、AI利用に関する透明性を以下の方針で確保します：

• 高リスク成果物: AI補助の有無を明示し、AIと人の役割分担を明確化

• 中リスク成果物: セキュリティ・プライバシー・倫理に関する記事等では、AIと人の役割分担を明記

• 低リスク成果物: 日常的な文案整理や草案補助については、最終確認を人が行うことを前提とし、個別明示は行わない

7. 法制度・ガイドラインへの適応

当組織は、以下の法令・ガイドライン等を遵守します：

国内法規制

• 著作権法、個人情報保護法

• 人工知能関連技術の研究開発及び活用の推進に関する法律（令和7年法律第53号、通称：AI法）：2025年6月4日公布、同年9月1日全面施行

• 経済産業省・総務省「AI事業者ガイドライン」

• デジタル庁「生成AIリスク対策ガイドブック（α版）」

国際的枠組み（参照）

• EU AI Act（リスク分類アプローチを参考）

• ISO/IEC 42001（AIマネジメントシステム）

• ISO/IEC 22989（AI概念・用語）

• NIST AI RMF（リスク管理フレームワーク）

これらの動向を継続的にモニタリングし、規制環境の変化に応じて当組織のガバナンス方針を適時見直します。

8. 力量管理と責任体制

専門性の維持

• AI担当者（代表者）は、AIガバナンス・プライバシー・セキュリティ関連の専門資格（AIGP、CIPP/E、CISSP、情報処理安全確保支援士等）およびISMS事務局等の実務経験を保持

• 継続的な学習により、最新の技術動向と規制動向をキャッチアップ

懸念の報告

内部または外部からのAIガバナンスに関する懸念事項（苦情、指摘、潜在的リスク等）は、以下の窓口で受け付け、適切にエスカレーション・対応します。

窓口は本ポリシー末尾に記載します。 

9. パフォーマンス評価と継続的改善

当組織は、AIマネジメントシステムの有効性を以下の指標で定期的に評価します：

評価指標（四半期ごと）

• AI活用案件数とインシデント発生率

• クライアントフィードバックスコア

• 出力品質に関する内部レビュー結果

• 規制動向の変化と対応状況

継続的改善

技術進展、社会情勢の変化、利害関係者からのフィードバックに基づき、ガバナンス体制および本ポリシーをPDCAサイクルにより継続的に改善します。

10. 本ポリシーの見直し

本ポリシーは、少なくとも年1回、または重大な技術的・規制的変化が生じた際に見直しを行います。

お問い合わせ先

CYBER-SECURE｜AIガバナンス窓口

制定日：2025年06月30日 
最終更新日：2026年01月16日 

CYBER-SECURE
代表 黒瀬健太郎