この3階層構造により、日常業務のAI活用を妨げることなく、リスクの高い判断については適切なレベルで意思決定が行われる体制を構築できます。
AI利用に関する内部監査は、四半期ごとの実施を推奨します。監査の主な確認事項を以下のチェックリストで示します。
| 【A】ポリシー遵守状況の確認 | |
|---|---|
| AI利用ポリシーが全社員に周知されているか | Yes / No / 要改善 |
| 過去四半期にイエロー申請書が適切に提出・保管されているか | Yes / No / 要改善 |
| レッド情報の無断入力事例が報告されていないか | Yes / No / 要改善 |
| 新入社員・異動者がセキュリティ研修を受講しているか | Yes / No / 要改善 |
| 【B】利用状況・コストの確認 | |
| APIの利用量が予算内に収まっているか | Yes / No / 要改善 |
| 部門別の利用状況レポートを取得・確認しているか | Yes / No / 要改善 |
| 不審な利用パターン (深夜の大量入力など) がないか | Yes / No / 要改善 |
| 未承認のAIツールが使用されていないか | Yes / No / 要改善 |
| 【C】技術的セキュリティ対策の確認 | |
| APIキーが適切に管理 (部門別分割、上限設定) されているか | Yes / No / 要改善 |
| APIキーのローテーションが予定通り実施されているか | Yes / No / 要改善 |
| APIキーがコード等に直書きされていないか | Yes / No / 要改善 |
| 【D】インシデント管理の確認 | |
| 過去四半期のインシデント件数と対応結果を把握しているか | Yes / No / 要改善 |
| インシデント対応フローが最新の状態に保たれているか | Yes / No / 要改善 |
| インシデント連絡先 (担当者) が最新であるか | Yes / No / 要改善 |
| 【E】法規制対応の確認 | |
| 過去四半期の法規制動向変化を把握しているか | Yes / No / 要改善 |
| プライバシーポリシーがAI利用の実態に合致しているか | Yes / No / 要改善 |
| 業種固有の規制 (金融、医療など) への対応が適切か | Yes / No / 要改善 |