🏛️ AIガバナンス&主権
ポリシーから証跡へ:監査できるAIガバナンス
政府・大企業が調達するのは「モデル」ではなく統制されたシステムです。測定でき、監査でき、ロールバックでき、退出(リバーシビリティ)できること。本ページはGeniuspace®の運用モデルを要約します:役割、統制、証跡、レビュー運用。
🛡️ セキュリティ/アクセス制御
📜 監査証跡とエビデンス
☁️ オンプレ/VPC/隔離/エッジ
🧾 調達/RFP
エグゼクティブサマリー
狙い:「コンプライアンスの主張」から証拠へ(成果物+テスト+ログ+レビュー)。
- ポリシー:データ、モデル、セキュリティ、利用、インシデント、退出/可逆性。
- RACI:誰が決め、誰が実行し、誰が監査し、誰が承認するか。
- 統制:アクセス、外部流出、サプライチェーン、レッドチーム、監視。
- エビデンス:再現可能な評価レポート、ログ出力、変更管理チケット。
注意:本ページのテンプレートは実務の出発点です。最終条項・統制は法務/セキュリティ/プライバシーで確認してください。
運用モデル(ライフサイクル)
範囲定義 → 設計 → 評価 → デプロイ → 運用 → 継続改善。
最低限の統制(Baseline)
- 認証/認可(RBAC、MFA、最小権限)+アクセスログ。
- データ(分類、最小化、暗号化、保持)+DLP。
- モデル(台帳、ライセンス、依存、SBOM)+リスク管理。
- 安全性(ガードレール、レッドチーム、脱獄テスト)+停止スイッチ。
- 可観測性(遅延、品質、ドリフト、コスト)+アラート。
- インシデント(手順書、時限、振り返り)+通知。
RACI(調達向けサンプル)
| 事項 | R(実行) | A(責任) | C / I |
|---|---|---|---|
| ユースケース選定と成功指標 | プログラム/事業 | スポンサー | C:業務 · I:調達 |
| データ分類と法的根拠 | データ責任者+プライバシー | プライバシー | C:セキュリティ · I:業務 |
| アーキテクチャ(オンプレ/VPC/エッジ) | IT/MLOps | CIO/CTO | C:セキュリティ · I:調達 |
| 評価とgo/no‑go閾値 | AI/MLOps | プログラム責任者 | C:業務 · I:スポンサー |
| セキュリティ統制(DLP、鍵、分割、レッドチーム) | セキュリティ | CISO | C:IT · I:プライバシー |
| インシデントと広報 | セキュリティ+運用 | プログラム責任者 | C:法務 · I:スポンサー |
| 退出(リバーシビリティ) | IT+調達 | 調達 | C:法務 · I:スポンサー |
レビュー運用(Cadence)
- 週次:インシデント、ドリフト、コスト、性能(運用/MLOps)。
- 月次:コンプライアンス、リスク、モデル/データ変更。
- 四半期:内部監査、レッドチーム、ベンダー評価、退出計画。
適用すべき枠組み(法域/業界により異なる)は、プロジェクト範囲とデータ感度に合わせてマッピングします。