図表1:企業のAIガバナンスを構成する共通要件
1.企業のAIガバナンスを構成する共通要件
生成AIの基幹業務への実装や、AI搭載アプリケーションの開発が急速に進展するなか、企業におけるAIガバナンスの整備が加速している。その設計にあたっては、各国の規制機関や標準化団体、あるいは先行するグローバル企業が策定した規制・標準・実務規範が広く参照されている。これら諸指針は策定主体こそ異なるものの、相互に影響し合いながら洗練されてきた。結果として、現在は組織の規模や業種を超えて共通する4つの要件として整理できる。
各要件は、有機的に連動しながら強固なガバナンス体系を形作っている。組織統制の構築と責任の明確化が意思決定の基盤を整え、ライフサイクル管理が統制の時間軸を定め、技術的信頼性の評価が品質の尺度を確立する。実務支援ツールはこれらを現場のオペレーションに落とし込む手段として機能する。
国内の先進企業においても、こうした要件に沿ったガバナンス整備は着実に進んでいる。ただし、組織づくりや運用ルールの作成といった形式面が先行し、技術的なリスク対策や透明性の確保といった実行面には改善の余地が残る。AIの社会実装が本格化するなか、現行の枠組みだけでは対応しきれない課題も顕在化しつつある。こうした状況を踏まえ、自社のガバナンス設計に必要な要件を見極めるには、企業が参照・準拠すべき規制・標準・規範の整備状況を俯瞰することが出発点となる。
2.AI関連ルール形成の現在地
AIをめぐる規制・標準・国際規範は、策定主体や法的性格が異なるだけでなく、それぞれが企業に対して異なる問いを投げかけている。どの指針が自社にどのように関係するかを把握することが、現行フレームワークの有効活用と変化する制度環境への適応力を高める鍵となる。
図表2:AIガバナンスの多層構造
※ISO/IEC 42001は第三者認証という外部証明の性格を持つが、その本質は組織内部のマネジメントシステムを構築・運用することにあるため、内部管理寄りに位置づけている。
(1)内部ガバナンスの実装基盤――NIST AI RMF
米国国立標準技術研究所(NIST)が2023年に公表したAI Risk Management Framework(AI RMF 1.0)は、組織がAIリスクを管理するための任意フレームワークである1。ガバナンスの方針・体制を整備する「Govern」、リスクを特定・分類する「Map」、測定・評価する「Measure」、対処・監視する「Manage」の4機能を中心に構成され、AIシステムの台帳整備や継続的な試験・評価・検証(TEVV)のための共通言語として機能する。特定のユースケースに応じた実装指針を「プロファイル」として追加できる拡張性を持ち、2024年には生成AI固有のリスクに対応する「Generative AI Profile」も公表されている2。
(2)監査可能なマネジメントシステムの構築――ISO/IEC 42001
ISO/IEC 42001は、組織がAIマネジメントシステム(AIMS)を確立・運用・改善するための要求事項を定める国際標準である3。ISO 9001(品質)やISO 27001(情報セキュリティ)と同様の構造を持ち、方針・責任分担・リスク管理・監視・改善を証跡付きで示すことを組織に求める。「原則の採択」ではなく「仕組みが機能していることの証明」が問われる点が特徴的で、第三者審査機関による認証取得にはAIMSの実効的な運用の実証が必要となる。リスクベースアプローチを基本とし、付属書(Annex A)にはAI方針の策定からデータ管理、第三者との関係管理まで多岐にわたる管理策が列挙されている。EU AI Actが高リスクAIに求めるガバナンスインフラの多くを本規格で整備できることから、規制対応の実務基盤としての位置づけが強まっている。
(3)事業者が実践すべき行動指針――AI事業者ガイドライン・AI推進法
日本のAIガバナンスは、長らくソフトローを中心に形成されてきた。今日その中核をなすのが、経済産業省・総務省が2024年4月に公表し、2025年3月に第1.1版へと更新された「AI事業者ガイドライン」である4。法的拘束力は持たないが、AI開発者・提供者・利用者の三者それぞれに共通指針と個別留意事項を示し、ライフサイクル全体にわたるリスクベースアプローチを採用することで、国際的な規範との整合を図りながら国内事業者の自主的な対応を促している。さらに2025年5月には、日本初のAI関連法となる「人工知能関連技術の研究開発及び活用の推進に関する法律」(AI推進法)が成立した。罰則規定を持たない基本法として努力義務と政府の調査・指導権限の整備を主眼に置いており、ハードローとソフトローの中間的なアプローチと評される。
(4)法的拘束力を持つ適合性評価と開示義務――EU AI Act
2024年に成立したEU AI Actは、AIシステムをリスクレベルに応じて「禁止」「高リスク」「限定リスク」「僅少リスク」の4段階に分類し、それぞれに異なる義務を課す世界初の包括的なAI法規制である5。高リスクに分類されたAIシステムには、リスク評価・データガバナンス・文書化・透明性確保・市場投入後の継続モニタリングが義務付けられている。制裁金はリスク分類に応じて段階化されており、禁止AI(許容できないリスク)に関する違反では最大3,500万ユーロまたは全世界売上高の7%、高リスクAIに関する義務違反等では最大1,500万ユーロまたは全世界売上高の3%が科される。ISO/IEC 42001はこれらの要求事項の多くをカバーする基盤として活用できるが、EU AI Act固有の適合確認プロセスを代替するものではない。
同規制のもう一つの重要な特徴は、汎用AI(GPAI)提供者向けの報告制度の整備である6。EU AI Officeが策定を進める行動規範のもと、GPAIモデルの提供者には、安全性・セキュリティに関するモデル報告書の作成・提出、継続的なリスク評価、学習データの種類・出所・権利処理状況等の標準様式での開示が求められる。これは独自のモデルカードとは異なり、規制当局への説明責任に直結した制度であり、AIガバナンスにおける文書化プロセスの重要性を高めている。
(5)業界横断の文書化標準――PAI(Partnership on AI)
PAIは、Google、Microsoft、Anthropicなどの主要AI企業や研究機関が参加する業界横断の非営利団体であり、AIの責任ある開発・運用に向けた実務標準の共通化を推進している。中心的な取り組み「ABOUT ML」は、AIモデル・学習データ・システム全体について何をどのように記録すべきかを示す文書化ガイダンスであり、2025年の報告書「Documenting the Impacts of Foundation Models」では、文書化の対象を実装後の運用フェーズ(利用状況・ユーザーフィードバック・ポリシー違反・インシデント・環境影響)にまで拡張する方向性が示されている7。あわせて公表されている「Deployment Guidance for Foundation Model Safety」は、モデルの能力や提供形態に応じてモニタリング体制や安全対策の水準を段階的に引き上げるべきという原則を示し、業界団体レベルで「能力に応じて統制を段階化する」という共通原則が確立されつつあることを示している8。
(6)先端AI開発者の国際的透明性報告――G7広島AIプロセス報告フレームワーク
G7広島AIプロセス報告フレームワークは、2023年のG7広島サミットで合意された国際行動規範の実効性を担保するモニタリング機構として、2025年2月に運用が開始された9。先端AIシステムを開発する組織を対象とした任意の報告枠組みであり、OECDが事務局機能を担っている。企業に求められる主な開示内容は、重要な新規リリースごとの透明性報告書、安全・セキュリティ・人権リスクの評価結果、モデルの能力と重大な制約、バイアス・プライバシー・公平性への影響、AIシステムの脆弱性や有害な出力を意図的に引き出す安全性検証の結果である。本フレームワークは、内部のリスク管理基盤であるNIST AI RMFや、第三者認証を通じて内部の仕組みを証明するISO/IEC 42001とは性質を異にし、先端AI開発企業が国際社会に対して何をどのように開示するかを定める「外部透明性・説明責任の層」として機能する。
(7)外部からの透明性評価――Stanford FMTI
スタンフォード大学が主導するFoundation Model Transparency Index(FMTI)は、主要AI企業が自社モデルに関する情報をどの程度開示しているかを外部から定量的に評価する指標である10。学習データの取得方法・モデルへのアクセス条件・デプロイ後のモニタリング体制などを網羅し、企業の自主開示の実態を可視化する役割を担う。2025年版FMTIの結果は、自主開示の限界を実証的に示すものとなった。透明性報告書を提出した企業の割合は2024年の74%から30%へと大幅に低下し、AI企業の平均透明性スコアは100点中41点で前年を下回った。任意フレームワークのみでは透明性が安定して確保されないことがデータで示されており、EU AI ActがGPAI提供者向けの報告制度を法的に制度化する背景にも、こうした自主開示の構造的な限界がある。
(8)国際規範の価値的基盤――OECD/AI原則、UNESCO AI倫理勧告
OECDは2019年にAI原則を採択し、2024年に更新した。透明性・説明可能性・頑健性・安全性・公平性といった信頼できるAIに共通する価値基準を国際的に定義したものであり、各国の規制・ガイドラインが参照する規範的根拠として機能している11。近年OECDは、AIの学習・推論に伴う電力消費や炭素排出といった環境負荷の測定標準整備も政策課題として提起し、AIガバナンスの対象領域を環境影響へと拡張する議論をリードしている。
同じく国際規範の基盤をなすものとして、UNESCOが2021年に公表した「AI倫理に関する勧告」も挙げられる。同勧告は、AIが社会・経済にとどまらず環境・生態系・人間の生活に対しても正負双方の影響をもたらすことを国際規範として明示した文書である12。AI倫理の射程を人権・公平性から環境保護へと拡張した点に独自の意義があり、導入前に社会的・倫理的影響を体系的に評価する「倫理的影響評価(EIA)」を公式ツールとして提供している。
3.AIガバナンスを深化させる5つの視点
AI関連ルール形成の進展は、企業に何を求め、何をもたらすか。KPMGジャパンは「KPMG Trusted AI」フレームワークのもと、AI Risk Assessment(AIリスクの評価・戦略および計画)、AI Regulation & Compliance(規制対応)、AI Risk Transformation(ガバナンス体制構築・開発環境整備)、AI Risk Monitoring(モニタリング体制構築)の4領域で、企業のAIガバナンスの構築・運用を支援してきた13。上述した規制・標準・規範の進展は、各領域において企業が対応すべき課題の内容と水準を具体的に示している。以下では、生成AIを基幹業務に実装する企業やAIを活用したサービスを提供する企業を念頭に置き、AIガバナンスを構築するうえで考慮すべき5つの視点を整理する。
図表3:企業のAIガバナンス深化に関わる5つの視点
視点1:フロンティアリスク管理体制の構築
AIガバナンスの実効性を高めるためには、AI固有のリスクを企業全体のリスク管理(ERM)の枠組みに統合することが起点となる。AIシステムの利用拡大に伴うリスクは、技術的な不具合や情報漏えいといった従来型のリスクから、説明可能性・公平性・安全性に関わる新たなリスク、さらには高度な能力を持つ基盤モデル固有のフロンティアリスクにまで及ぶ。これらを個別に扱うのではなく、既存のERMプロセスのなかで一貫した手順により評価・管理する仕組みを整えることが、AIを安全かつ持続的に活用する基盤となる。
特に基盤モデル固有のリスク管理においては、能力閾値型のガバナンスが確立しつつある点に留意が必要である。Anthropicの「Responsible Scaling Policy」14、OpenAIの「Preparedness Framework」15、Google DeepMindの「Frontier Safety Framework」16はいずれも、モデルの能力が一定の閾値を超えた段階で開発・展開の条件を自動的に引き上げる仕組みを実装している。加えて、Anthropic・OpenAI・Google・Microsoftの4社は2023年に共同イニシアティブ「Frontier Model Forum」を設立し、業界横断の安全基準整備を推進している17。
こうした取り組みは基盤モデルを開発する企業だけでなく、調達・実装するあらゆる企業にも及ぶ。PAIの「Deployment Guidance for Foundation Model Safety」は、モデルの能力や提供形態に応じて安全対策の水準を段階的に引き上げるべきとする原則を示しており、調達側の企業にも相応の評価・管理責任があることを示唆している。
実務上は、主要提供者のフレームワーク更新状況を継続的に追跡し、統制水準の変化を自社のERMプロセスへ反映させる仕組みの構築が求められる。前述のFMTIが示す通り、主要な先進モデル開発企業の透明性スコアは中位に横並びしており、自主規範だけでは透明性がある水準以上に引き上がりにくい構造的な限界もある。提供者側の自主規範の確認にとどまらず、外部評価指標も組み合わせた多角的な評価が、AIリスクをERMに統合するうえで欠かせない。
視点2:証明可能な管理体制への移行
企業のAIガバナンスは、内部統制の整備という段階を超え、外部に対して証明可能な管理システムの構築へと移行しつつある。NIST AI RMFが組織内部のリスク管理の実装言語として機能する一方、ISO/IEC 42001はその実装を外部に可視化・証明する役割を担う。後者は「方針を持っている」ことではなく「仕組みとして機能していることを証明できる」ことを組織に求めており、両者を組み合わせることで初めて「証明可能な管理体制」が成立する。
実務上重要なポイントは、AIシステムの判断・承認・変更の記録を、第三者が追跡可能な証跡として設計段階から組み込むことにある。事後的な証跡整備は多大なコストを要するため、証跡設計を導入プロセスの標準工程に位置づけることが求められる。認証審査をガバナンスの継続的改善サイクルの起点として捉えることも重要である。
ISO/IEC 42001の認証取得企業はまだ限定的だが、認証は取引先・規制当局・投資家といったステークホルダーに対してAIガバナンスの実効性を客観的に示す手段として機能する。特にBtoB領域においては、認証取得を通じた証明可能性(Assurance)の確保が、AI関連リスクへの取り組み姿勢を可視化し、信頼性を示す重要な意義を持つ。
視点3:文書化アーティファクトの体系化
AIガバナンスにおいて文書化は、監査対応のための副産物から、ガバナンスの独立した基盤要素へと位置づけが変化している。PAIのABOUT MLが業界横断の文書化標準として定着しつつあるほか、AnthropicやOpenAIが公開するSystem Card(モデルの能力・限界・安全性評価・用途制限を体系的に記録したもの)は実務の雛形としてAIを開発・提供・利用する企業や実務担当者に参照されている。こうした枠組みを自社の導入・運用プロセスに組み込むことが、AIの説明可能性・追跡可能性を担保するうえで欠かせない要素になってきている。
実務上重要なポイントは、導入・実装・監視の各段階において意図された用途・既知の限界・評価結果・運用上の制約を標準フォーマットで記録する工程を組み込むとともに、内部向け(監査証跡・リスク管理連携用)と外部向け(対外説明・顧客向け)の文書を明確に分離し、更新管理を制度化することにある。
文書化の体系化は、AIシステムの運用における属人化を排除し、監査対応やインシデント調査のリードタイムを大幅に短縮する。蓄積された文書は組織のアセットとして再利用可能であり、新たなAIシステムの導入や規制対応の効率化にも寄与する。
視点4:国際的報告制度への接続
AIガバナンスは企業の自主的取り組みの枠を超え、国際的な共通報告様式への接続が新たな論点として浮上しつつある。EU AI OfficeはGPAI提供者向けのモデル報告書と学習データ開示テンプレートを制度化しており、G7広島AIプロセス報告フレームワークは先端AI開発者向けの国際的な透明性報告の枠組みとして運用が開始された。現時点では任意の取り組みにとどまっているものの、調達する基盤モデルがこれらの報告制度の対象となる場合、その開示内容と自社のガバナンス文書との整合を確保していく視点が、今後重要性を増していくと考えられる。
社内における記録の粒度・形式を、外部報告が求めるテンプレートへそのまま転記・接続できる水準で設計することが実務上の鍵となる。事後的に社内記録を外部様式に変換するコストは大きく、内部管理と外部報告の整合性をAIシステムの導入設計の段階から組み込むことが重要となる。
国際的な報告様式への対応能力は、グローバル展開における規制対応の障壁を下げることにつながる。複数の法域にわたる規制要件に対して迅速かつ正確に報告できる体制は、越境事業や海外顧客との取引における信頼獲得に直結するとともに、規制変化への適応コストを抑制する。
視点5:継続的なモニタリング
AIガバナンスの実効性は、運用フェーズにおける継続的なモニタリングを通じて初めて担保される。実務上は、AIシステムの精度・出力品質・公平性・セキュリティ等を定期的に評価し、想定外の挙動や品質劣化を早期に検知する仕組みが求められる。PAIのABOUT MLや、AnthropicやOpenAIが公開するSystem Cardは、デプロイ後のモニタリング項目を文書化対象として位置づけており、業界横断の枠組みが整いつつある。
特に基盤モデルを利用する企業においては、提供者によるモデル更新時の挙動変化を継続的に検証する体制が欠かせない。運用上のインシデント・ユーザーフィードバック・ポリシー違反の発生状況を体系的に記録し、定期的なレビュー会議を通じて改善サイクルに反映させる仕組みの構築が、信頼性確保の鍵となる。
さらに、OECDやUNESCOの動向は、AIガバナンスの対象領域を環境影響(エネルギー消費・炭素排出等)へと拡張しつつある。現時点では制度化は途上にあるが、AI Energy Scoreのような比較可能なベンチマークの整備も進んでおり、将来的にはモニタリングの対象に環境影響が組み込まれる可能性も高い。継続的モニタリングの枠組みを構築する際には、こうした将来的な評価軸の拡張も視野に入れておくことが望ましい。
4.おわりに
企業を取り巻くAIガバナンスに関する制度環境は刻々と更新されている。この動きは一過性のものではなく、AIが産業や社会のインフラとして定着するにつれて、さらに精緻化・複雑化していくと考えられる。5つの視点はいずれも、現時点で対応が確立しているわけではなく、企業のガバナンス運用に落とし込んでいくべき今後の課題である。AIガバナンスへの取り組みを「規制対応のコスト」として捉えるか、「次世代のAI活用を支える基盤投資」として捉えるかという発想の転換が、経営レベルでの意思決定を左右することになるだろう。
参考資料
1 Artificial Intelligence Risk Management Framework (AI RMF 1.0)
2 Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile | NIST
3 ISO/IEC 42001:2023 - AI management systems
4 AI事業者ガイドライン(METI/経済産業省)
5 EU Artificial Intelligence Act | Up-to-date developments and analyses of the EU AI Act
6 Drawing-up a General-Purpose AI Code of Practice | Shaping Europe’s digital future
7 Documenting the Impacts of Foundation Models: A Progress Report on Post-Deployment Governance Practices - Partnership on AI
8 PAI's Deployment Guidance for Foundation Model Safety
9 Reporting Framework|Hiroshima AI Process
10 Foundation Model Transparency Index
11 AI Principles Overview - OECD.AI
12 Recommendation on the Ethics of Artificial Intelligence - UNESCO Digital Library
13 KPMGジャパン、AIの積極的な利活用に欠かせないAIガバナンス構築を支援
14 Responsible Scaling Policy Version 3.0 | Anthropic
15 Our updated Preparedness Framework | OpenAI
16 Introducing the Frontier Safety Framework — Google DeepMind
17 Frontier Model Forum
※文中の社名、商品名等は各社の商標または登録商標である場合があります。
執筆者
KPMGアドバイザリーホールディングス
アドバイザリーライトハウス
シニアアソシエイト デジタルインテリジェンスストラテジー
加納 寛之
監修者
あずさ監査法人
Digital Innovation & Assurance統轄事業部/Digital Innovation事業部
パートナー
宇宿 哲平
KPMGアドバイザリーホールディングス
アドバイザリーライトハウス
マネジャー デジタルインテリジェンスインスティテュートリード
佐藤 昌平
