AI利用チェックリスト|管理部門が確認すべき25項目
77509664生成AIの業務利用が広がる中、「自社の管理体制はどこまで整っているか」を点検したい管理部門担当者向けに、実務で使えるチェックリストをまとめた。全25項目を5つのカテゴリに分類している。
現時点で「できていない」項目があっても問題の深刻さをそのまま示すわけではないが、未整備の項目は優先的に対応を検討する材料として活用されたい。
チェックリストの使い方
各項目について、以下の3段階で評価する。
- ○:整備済み・運用中
- △:検討中・一部対応
- ×:未着手
カテゴリ1:利用実態の把握(5項目)
| # | 確認項目 | 評価 |
|---|---|---|
| 1 | 社内で使用されている生成AIツールを把握している | |
| 2 | 誰がどの業務でAIを使っているかを把握している | |
| 3 | 個人アカウントで業務利用されているAIツールの実態を確認した | |
| 4 | 部門単位での独自AI導入(シャドーIT)の有無を確認している | |
| 5 | AIツールのライセンス数・契約内容を管理している |
カテゴリ2:ルール整備(7項目)
| # | 確認項目 | 評価 |
|---|---|---|
| 6 | 生成AI利用に関する社内規程・ガイドラインが存在する | |
| 7 | 承認済みAIツールのリストが定義されている | |
| 8 | 入力禁止情報の範囲が明文化されている | |
| 9 | AI生成物の利用に際して人間によるレビューを義務付けている | |
| 10 | 新規AIツールの導入申請・承認フローが整備されている | |
| 11 | 外部委託先・業務委託先のAI利用に関するルールを定めている | |
| 12 | 利用規程を全社に周知・教育した記録がある |
カテゴリ3:情報セキュリティ・データ管理(6項目)
| # | 確認項目 | 評価 |
|---|---|---|
| 13 | 承認済みツールのデータポリシー(学習利用・保存期間)を確認している | |
| 14 | 法人向けプランの契約でDPA(データ処理補足契約)を締結している | |
| 15 | 個人情報をAIに入力しないよう周知・統制している | |
| 16 | 未公表の財務情報・M&A情報のAI入力を禁止している | |
| 17 | AI利用のログ・記録を一定期間保管する仕組みがある | |
| 18 | AIに関連するインシデント発生時の報告・対応手順がある |
カテゴリ4:内部統制・J-SOX対応(4項目)
| # | 確認項目 | 評価 |
|---|---|---|
| 19 | 財務報告に関わる業務プロセスでのAI活用を把握・評価している | |
| 20 | J-SOX評価スコープにAI関連の統制が含まれているか検討した | |
| 21 | AI利用が統制設計(RCM等)の見直しを要するか評価した | |
| 22 | 内部監査でAI利用状況を監査対象に含めている |
カテゴリ5:ガバナンス・経営報告(3項目)
| # | 確認項目 | 評価 |
|---|---|---|
| 23 | AI利用状況・リスクを取締役会・経営会議に定期報告している | |
| 24 | AIガバナンスの責任者・担当部署が明確になっている | |
| 25 | 利用規程の定期的な見直しサイクルが決まっている |
結果の読み方
○が20項目以上: AIガバナンス体制の基盤が整っている。引き続き定期的な見直しを実施されたい。
○が10〜19項目: 部分的に整備されている状態。「×」の項目から優先順位をつけて対応を進めることを推奨する。
○が9項目以下: ガバナンスの整備が遅れている状態。利用実態の把握とルール整備を先行させることを推奨する。
次のステップ
生成AI利用規程の整備についてはAI管理部門実務ナレッジで詳しく解説している。また、EU AI Actや日本の規制動向を踏まえた内部統制の観点については生成AI規制と内部統制への影響も参照されたい。
FAQ
Q1. チェックリストの全項目を一度に整備する必要がありますか?
すべてを一度に整備する必要はありません。まず「利用実態の把握」と「入力禁止情報の定義」から着手し、優先度の高い項目から段階的に対応することを推奨します。
Q2. このチェックリストをそのまま社内の監査資料として使えますか?
自社の業種・規模・AIの利用状況に応じた修正が必要です。本チェックリストは出発点として活用し、自社に合わせてカスタマイズしてください。
Q3. 外部委託先がAIを使っている場合、どう管理すればよいですか?
委託先のAI利用についても、委託契約の条項に情報管理・AI利用に関する制限を明記することが望ましいです。特に個人情報を委託している先については個人情報保護法上の安全管理措置の観点からも確認が必要です。
おすすめ関連記事
- AI規制と内部統制への影響が気になる方はこちら →
- ChatGPTの社内リスクを把握したい方はこちら →
- 生成AI利用規程を一から整備したい方はこちら →
- 取締役会・監査役向けの論点が気になる方はこちら →
企業管理部門AIライブラリ
管理部門向けのAI実務ナレッジを無料公開しています。
企業管理部門AIライブラリを見る →
CFOs LLC 管理部門向けリソース:
- AIガバナンス実務キット(近日公開)
- AI利用規程テンプレート(近日公開)
- AIガバナンス簡易診断(近日公開)
本記事は一般的な情報提供を目的としたものであり、個別企業の法務・会計・税務・監査上の判断を示すものではありません。実際の導入・運用にあたっては、最新の公式情報および専門家の確認を行ってください。
本ページには広告・アフィリエイトリンクを含む場合があります。
Follow me!
