| Guidance for AI Adoption: Implementation practices |
AI導入のためのガイダンス:実践編 |
| On this page |
このページの内容 |
| Introduction |
はじめに |
| 1. Decide who is accountable |
1. 責任の所在を明確にする |
| 2. Understand impacts and plan accordingly |
2. 影響を理解し、それに応じて計画する |
| 3. Measure and manage risks: implement AI-specific risk management |
3. リスクを測定・管理する:AIに特化したリスク管理を実施する |
| 4. Share essential information |
4. 重要な情報を共有する |
| 5. Test and monitor |
5. テストと監視 |
| 6. Maintain human control |
6. 人間による制御を維持する |
| Download a copy of the guidance |
ダウンロード |
| Contact us |
お問い合わせ |
| Introduction |
はじめに |
| The Guidance for AI Adoption sets out 6 essential practices for responsible AI governance and adoption. |
「AI導入のためのガイダンス」は、責任あるAIガバナンスと導入のための6つの必須実践を定めている。 |
| There are 2 versions of the guidance. This version, Implementation practices, is for: |
本ガイダンスには2つのバージョンがある。本バージョン「実装実践」は以下を対象とする: |
| ・organisations who are developing AI models or systems, or using them in multiple ways |
・AIモデルやシステムを開発中、または多様な方法で利用中の組織 |
| ・organisations operating in high-risk or sensitive environments |
・高リスクまたは機密性の高い環境で活動する組織 |
| ・governance professionals |
・ガバナンス専門家 |
| ・professionals with technical AI expertise |
・AI技術専門知識を有する専門家 |
| ・professionals looking to align with best-practice AI governance. |
・ベストプラクティスに基づくAIガバナンスの整合を目指す専門家 |
| Organisations just starting out in AI adoption and professionals who are new to AI and AI governance should use the use the other version of the guidance, Foundations. |
AI導入を始めたばかりの組織や、AI・AIガバナンスに不慣れな専門家は、別のバージョンである「基礎編」を使用すべきである。 |
| How to use this guidance |
本ガイダンスの使用方法 |
| This guidance applies to both developers and deployers of AI systems. Where practices are particularly relevant to either developers or deployers, this is marked with a corresponding (DEP) or (DEV). |
本ガイダンスは、AIシステムの開発者と運用者の双方に適用される。実践事項が開発者または運用者のいずれかに特に関連する場合には、対応する(DEP)または(DEV)で明示されている。 |
| Find all the definitions for this guidance in the terms and definitions. |
本ガイダンスの全定義は「用語と定義」で確認できる。 |
| 1. Decide who is accountable |
1. 責任の所在を明確にする |
| AI systems can make automated decisions that significantly impact people, communities and businesses. Overall, your organisation is ultimately accountable for how and where AI is used, AI complexity can create gaps where no one takes clear responsibility for outcomes. |
AIシステムは、個人・コミュニティ・企業に重大な影響を与える自動化された意思決定を行う可能性がある。組織全体として、AIの使用方法と使用場所について最終的な責任を負うが、AIの複雑さゆえに結果に対する明確な責任の所在が不明確になる場合がある。 |
| Accountability is the first step to using AI responsibly. |
責任あるAI利用の第一歩は、責任の所在を明確にすることである。 |
| 1.1 Accountable people |
1.1 責任を負う者 |
| Understanding your role in the supply chain and identifying clear roles for how AI is governed, developed and deployed in the organisation supports accountability and effective oversight. |
サプライチェーンにおける自身の役割を理解し、組織内でAIがどのように統治・開発・展開されるかについて明確な役割を特定することは、説明責任と効果的な監督を支える。 |
| 1.1.1 To ensure AI systems perform as required and obligations are met, assign, document and clearly communicate who is accountable across the organisation (including contractors and third‑party providers/systems) for the operation of the AI management system, including: |
1.1.1 AIシステムが要求通りに動作し義務が履行されるよう、組織全体(請負業者や第三者の提供者/システムを含む)において、以下のAI管理システムの運用について誰が責任を負うかを割り当て、文書化し、明確に伝達すること: |
| ・safe and responsible policies, practices and procedures |
・安全かつ責任ある方針、慣行、手順 |
| ・the development and deployment of every AI system, including ongoing human control and oversight |
・継続的な人的管理・監督を含む、あらゆるAIシステムの開発と導入 |
| ・oversight of the development and use of AI systems by third parties |
・第三者によるAIシステムの開発・利用の監督 |
| ・testing of AI systems across the organisation |
・組織全体でのAIシステムのテスト |
| ・oversight of concerns, challenges and requests for redress |
・懸念事項、課題、是正要求の監督 |
| ・the performance and continual improvement of the AI management system. |
・AI管理システムの運用と継続的改善 |
| 1.1.2 For each accountable person, define and communicate the required competencies and their authority. Ensure they are staffed with appropriately skilled people and have the necessary resources. |
1.1.2 各責任者に対し、必要な能力と権限を定義し伝達する。適切なスキルを持つ人材を配置し、必要なリソースを確保する。 |
| 1.2 Supply chain accountabilities |
1.2 サプライチェーンにおける責任範囲 |
| Understanding your role in the AI supply chain and identifying which parties are responsible for maintaining the performance, safety and integrity of AI systems throughout their lifecycle is key to effective accountability. |
AIサプライチェーンにおける自社の役割を理解し、AIシステムのライフサイクル全体を通じて性能・安全性・完全性を維持する責任主体を特定することが、効果的な責任分担の鍵である。 |
| 1.2.1 Identify, document and communicate accountability for shared responsibility across the AI supply chain (model developers, system developers and system deployers) for: |
1.2.1 AIサプライチェーン全体(モデル開発者、システム開発者、システム導入者)における共有責任の責任範囲を特定し、文書化し、伝達する。対象は以下の通りである: |
| ・monitoring and evaluation of model and system performance, quality and safety |
・モデル及びシステムの性能、品質、安全性の監視と評価 |
| ・human oversight and intervention |
・人間の監視と介入 |
| ・processes to raise issues, faults, failures incidents, contested outcomes, issue resolution and system updates. |
・問題、故障、障害、インシデント、争議のある結果、問題解決、システム更新を報告するプロセス |
| 1.2.2 Clearly document and communicate the accountability and obligations that developers have towards downstream organisations when integrating, customising, enhancing developer provided AI models or systems. This includes transparency of AI model and system risks, expected behaviours, outcomes under expected use cases and changes to the model or system, paying particular attention to any specific contractual obligations, which could vary by customer (DEV). |
1.2.2 開発者が提供するAIモデルやシステムを統合・カスタマイズ・強化する下流組織に対する開発者の説明責任と義務を明確に文書化し、伝達する。これにはAIモデル・システムのリスク、想定動作、想定使用ケースにおける結果、モデル・システム変更に関する透明性を含み、顧客ごとに異なる可能性のある特定の契約上の義務に特に注意を払う(DEV)。 |
| 1.3 AI literacy and training |
1.3 AIリテラシーとトレーニング |
| Delivering effective training in AI across the organisation can build confidence, support AI adoption and ensure accountable people have the right capabilities to perform their roles. |
組織全体で効果的なAIトレーニングを実施することは、信頼性を構築し、AI導入を支援し、責任ある担当者が役割を遂行するための適切な能力を確保する。 |
| 1.3.1 Evaluate and document the training needed to build broad AI understanding and a culture of accountability across the organisation. Source or deliver training to bridge any identified gaps. Regularly check skills are up‑to‑date as AI development and deployment evolves. |
1.3.1 組織全体で幅広いAI理解と説明責任の文化を構築するために必要なトレーニングを評価し文書化する。特定されたギャップを埋めるためのトレーニングを調達または提供する。AIの開発と展開が進化するにつれ、スキルが最新であることを定期的に確認する。 |
| 1.3.2. Evaluate the training needs of accountable people and provide appropriate up‑to‑date training to address gaps, such as those responsible for: |
1.3.2 責任ある立場にある者の研修ニーズを評価し、以下の責任を負う者など、ギャップを解消するための適切な最新研修を提供する: |
| ・meeting legal and regulatory obligations |
・法的・規制上の義務の遵守 |
| ・handling personally identifiable information |
・個人識別情報の取り扱い |
| ・operation, control, intervention or termination of each AI system |
・各AIシステムの運用、制御、介入、停止 |
| ・oversight and monitoring of each AI system |
・各AIシステムの監視・管理 |
| ・procurement, development or deployment of third‑party AI systems |
・第三者AIシステムの調達、開発、導入 |
| ・safe and responsible development of AI systems (DEV). |
・AIシステムの安全かつ責任ある開発(開発部門)。 |
| 1.4 AI governance framework |
1.4 AIガバナンスの枠組み |
| Implementing policies, processes and an overall management system for the development and deployment of AI across the organisation is fundamental to effective and responsible governance of AI. |
組織全体におけるAIの開発と導入のためのポリシー、プロセス、および総合的な管理システムを実施することは、効果的かつ責任あるAIガバナンスの基本である。 |
| 1.4.1 Document and communicate: |
1.4.1 以下の事項を文書化し、周知する: |
| ・the organisation’s strategic intent to develop and deploy AI systems in line with organisational strategy and values |
・組織の戦略と価値観に沿ったAIシステムの開発・導入に関する組織の戦略的意図 |
| ・the regulations relevant to the development and deployment of AI systems and how the organisation will comply |
・AIシステムの開発・導入に関連する規制及び組織の遵守方法 |
| ・appropriately detailed policies, processes and goals for the safe and responsible development and deployment of AI systems which align to the strategy, including: |
・戦略に沿った、安全かつ責任あるAIシステムの開発・導入のための適切に詳細化された方針、プロセス及び目標。これには以下を含む: |
| ・・an end‑to‑end process for AI system design and development (DEV) |
・・AIシステム設計・開発のためのエンドツーエンドプロセス (DEV) |
| ・・goals for AI systems to meet organisational policies for the safe and responsible use of AI |
・・AIシステムの目標:AIの安全かつ責任ある利用に関する組織の方針を満たすこと |
| ・・the consequences for people who act outside of the organisation’s policies and defined risk appetite. |
・・組織の方針および定義されたリスク許容度を超えて行動する者に対する結果。 |
| 1.4.2 Ensure effective operation of the AI management system by: |
1.4.2 AI管理システムの有効な運用を確保するため、以下の措置を講じる: |
| ・documenting and implementing a process to proactively identify deficiencies in the AI management system. This includes instances of non‑compliance in AI systems or in their development or deployment, documenting root causes, corrective action and revisions to the AI management system. |
・AI管理システムの不備を積極的に特定するプロセスを文書化し実施する。これには、AIシステムまたはその開発・導入における不適合事例、根本原因の文書化、是正措置、AI管理システムの改訂が含まれる。 |
| ・appropriately planning changes to the AI management system |
・AI管理システムへの変更を適切に計画する |
| ・identifying and documenting the internal and external factors (such as infrastructure or the deployment context) that may affect the organisation’s ability to meet its responsibilities through the overarching AI management system |
・包括的なAI管理システムを通じて組織が責任を果たす能力に影響を与え得る内部・外部要因(インフラや導入環境など)を特定し文書化する |
| ・providing sufficient resources such as human effort and compute to deploy AI systems safely and responsibly over the lifecycle. |
・AIシステムをライフサイクルを通じて安全かつ責任を持って導入するために、人的リソースや計算リソースなどの十分な資源を提供する。 |
| 1.4.3 Monitor compliance with organisational policies to identify and address any gaps between leadership expectations and staff understanding of how to develop and deploy AI safely and responsibly. |
1.4.3 組織方針への遵守状況を監視し、リーダーシップの期待と、AIを安全かつ責任を持って開発・展開する方法に関するスタッフの理解との間のギャップを特定し、対処する。 |
| 2. Understand impacts and plan accordingly |
2. 影響を理解し、それに応じて計画する |
| Because AI systems can operate at speed and scale, their potential impacts are often magnified. Without careful planning, a single AI system can lead to widespread negative outcomes, such as unfair decisions or the provision of inaccurate information. |
AIシステムは高速かつ大規模に動作するため、その潜在的な影響はしばしば増幅される。慎重な計画なしに、単一のAIシステムが不公平な決定や不正確な情報の提供など、広範な悪影響を招く可能性がある。 |
| For example, AI systems can learn from and amplify existing issues such as unwanted bias in data. This can lead to unfair decisions or inappropriate generated content that could affect many people. If an AI system used for shortlisting in hiring has a bias problem, it could unfairly reject hundreds of qualified candidates before anyone notices. |
例えば、AIシステムはデータ内の望ましくないバイアスといった既存の問題を学習し増幅させる可能性がある。これにより不公平な決定や不適切な生成コンテンツが生じ、多くの人々に影響を及ぼしうる。採用選考の候補者絞り込みに用いるAIシステムにバイアス問題があれば、誰にも気付かれる前に数百人の適格な候補者を不当に排除する恐れがある。 |
| To use AI responsibly, organisations need to understand, plan for and monitor potential impacts of AI systems. Those affected should be able to raise complaints and get help. |
AIを責任を持って活用するには、組織はAIシステムの潜在的影響を理解し、計画を立て、監視する必要がある。影響を受ける者は苦情を申し立て支援を得られるべきである。 |
| 2.1 Identify and engage stakeholders |
2.1 ステークホルダーの特定と関与 |
| Engaging potentially impacted stakeholders is an important way to identify and understand the impacts of AI systems. |
影響を受ける可能性のあるステークホルダーと関わることは、AIシステムの影響を特定し理解する重要な方法である。 |
| 2.1.1 Identify and document key types of stakeholders (such as employees and end users) that may be impacted by the organisation’s development and deployment of AI, and their needs. |
2.1.1 組織のAI開発・導入によって影響を受ける可能性のある主要なステークホルダー(従業員やエンドユーザーなど)とそのニーズを特定し文書化する。 |
| 2.1.2 Prioritise, select and document which stakeholder needs will be addressed in organisational policies and procedures. |
2.1.2 組織の方針や手順で対応するステークホルダーのニーズを優先順位付けし、選択し、文書化する。 |
| 2.1.3 Document and communicate the organisation’s commitment to preventing harms to people from AI models and systems and upholding diversity, inclusion and fairness. |
2.1.3 AIモデルやシステムによる人への危害防止、多様性・包摂性・公平性の維持に対する組織の取り組みを文書化し、周知する。 |
| 2.1.4 Document the scope for each AI system, including intended use cases, foreseeable misuse, capabilities, limitations and expected context. |
2.1.4 各AIシステムの適用範囲(想定用途、予見可能な誤用、機能、制限、想定される使用環境を含む)を文書化する。 |
| 2.1.5 For each AI system, engage stakeholders to identify and document the potential benefits and harms to different types of stakeholders, including: |
2.1.5 各AIシステムについて、ステークホルダーと協力し、以下の潜在的な利益と危害を特定・文書化する。対象ステークホルダーの種類には以下が含まれる: |
| ・impacts to vulnerable groups |
・脆弱なグループへの影響 |
| ・risks of unwanted bias or discriminatory outputs |
・望ましくないバイアスや差別的出力のリスク |
| ・use of an individual’s personal information |
・個人の個人情報利用 |
| ・where the system makes or influences a decision about a person or group of people. |
・システムが個人または集団に関する決定を行う、または影響を与える場合 |
| 2.1.6 For every documented risk of harm to affected stakeholders, conduct appropriate stakeholder impact analysis. |
2.1.6 影響を受けるステークホルダーへの危害リスクが文書化された場合は、適切なステークホルダー影響分析を実施する。 |
| 2.1.7 Monitor for potential harms by engaging affected stakeholders for each AI system on an ongoing basis to identify new stakeholders, including end users throughout the AI lifecycle. |
2.1.7 AIシステムの全ライフサイクルを通じ、影響を受けるステークホルダー(エンドユーザーを含む新たなステークホルダーの特定を含む)を継続的に関与させ、潜在的な危害を監視する。 |
| 2.1.8 Create processes to support ongoing engagement with stakeholders about their experience of AI systems. Identify vulnerable groups and support appropriately. Equip stakeholders with the skills and tools necessary to give meaningful feedback. |
2.1.8 AIシステムに関するステークホルダーの体験について、継続的な関与を支援するプロセスを構築する。脆弱なグループを特定し、適切に支援する。ステークホルダーが有意義なフィードバックを提供するために必要なスキルとツールを装備させる。 |
| 2.2 Establish feedback and redress processes |
2.2 フィードバックと救済プロセスの確立 |
| Establishing processes for people affected by AI systems to give feedback, ask questions, and challenge decisions easily and safely can ensure issues are identified and resolved. |
AIシステムの影響を受ける人々が、容易かつ安全にフィードバックを提供し、質問し、決定に異議を申し立てられるプロセスを確立することで、問題の特定と解決が保証される。 |
| 2.2.1 Create, document and communicate a process for: |
2.2.1 以下のプロセスを作成、文書化し、周知する: |
| ・Potentially affected stakeholders to raise concerns, challenges, or requests for remediation and receive responses (for example, a human rights grievance and remediation mechanism). This includes when and how frequently to communicate, the level of detail to provide and the communication needs of stakeholders, considering the level of AI knowledge and any regulatory requirements. |
・影響を受ける可能性のあるステークホルダーが懸念事項、異議、是正措置の要求を提起し、回答を受け取るためのプロセス(例:人権苦情処理・是正メカニズム)。これには、AIの知識レベルや規制要件を考慮した、連絡の頻度・方法、提供すべき詳細度、ステークホルダーのコミュニケーションニーズが含まれる。 |
| ・Evaluation of contestability requirements of both internal and external stakeholders and interested parties including accessibility needs. |
・内部・外部のステークホルダーおよび利害関係者(アクセシビリティのニーズを含む)の異議申立要件の評価。 |
| 2.2.2 Implement and document system‑level mechanisms to enable contestability of AI use and decisions, enabling stakeholders to understand, challenge and appeal AI use and decisions. These mechanisms must be accessible, understandable and available to users at the appropriate time during interaction with an AI system. Consider mechanisms to share information regarding end user contests and any redress with deployers of AI systems and models (DEV). |
2.2.2 AIの使用と決定に対する異議申立を可能にするシステムレベルの仕組みを実施・文書化する。これによりステークホルダーはAIの使用と決定を理解し、異議を申し立て、上訴できる。これらの仕組みは、AIシステムとのやり取り中に適切なタイミングで、利用者がアクセス可能、理解可能、利用可能な状態でなければならない。エンドユーザーの異議申し立てや救済措置に関する情報を、AIシステム・モデルの開発者(DEV)と共有する仕組みを検討する。 |
| 2.2.3 Implement and document mechanisms to enable deployers to escalate feedback, report unexpected behaviours, performance concerns or realised harms and support improvements to models or systems (DEV). |
2.2.3 開発者がフィードバックをエスカレートし、予期せぬ動作、性能上の懸念、または発生した被害を報告し、モデルやシステムの改善を支援できる仕組みを実施し、文書化する(DEV)。 |
| 2.2.4 Ensure people who monitor and review affected stakeholder feedback can trigger recourse and redress processes where there is an obligation to do so. |
2.2.4 影響を受けるステークホルダーのフィードバックを監視・審査する担当者は、義務がある場合に救済・是正プロセスを発動できることを保証する。 |
| 2.3 Monitor for systemic issues |
2.3 システム的問題の監視 |
| Ongoing monitoring of stakeholder feedback and redress processes can ensure that systemic issues are identified and addressed. |
ステークホルダーのフィードバックと救済プロセスを継続的に監視することで、システム的問題を特定・対処できる。 |
| 2.3.1 Monitor and evaluate contestability and redress processes to identify and address systemic risks as well as improve effectiveness of these processes. |
2.3.1 異議申立・救済プロセスを監視・評価し、システム的リスクを特定・対処するとともに、これらのプロセスの有効性を向上させる。 |
| 2.3.2 Create, document and communicate a process to review and evaluate stakeholder contests of AI system use across the organisation including any concerns raised by affected stakeholders and requests for information. |
2.3.2 組織全体におけるAIシステム利用に関するステークホルダーの異議申し立て(影響を受けたステークホルダーからの懸念事項や情報開示請求を含む)を審査・評価するプロセスを策定し、文書化し、周知する。 |
| 3. Measure and manage risks: implement AI-specific risk management |
3. リスクの測定と管理:AI特化型リスク管理の実施 |
| AI risks fundamentally change depending on the type and complexity of your AI systems. Risks often emerge from how the AI system behaves in different situations and use-cases, rather than only from software updates. They can rapidly amplify smaller issues into significant problems. |
AIリスクは、AIシステムの種類や複雑性によって根本的に変化する。リスクは、ソフトウェア更新だけでなく、AIシステムが様々な状況やユースケースでどのように振る舞うかから生じる場合が多い。それらは小さな問題を急速に拡大させ、重大な問題へと発展させる可能性がある。 |
| For example, an AI chatbot that answers simple questions during business hours, when it can be monitored by a staff member, is a low-risk use of AI. The risks expand, however, if that chatbot operates 24/7, without human oversight, and answers more complex questions. |
例えば、業務時間中に簡単な質問に回答するAIチャットボットは、スタッフが監視できるため、リスクの低いAI利用である。しかし、そのチャットボットが24時間365日稼働し、人間の監視なしに、より複雑な質問に回答する場合、リスクは拡大する。 |
| To use AI responsibly, organisations need to be able to identify and manage its risks. |
AIを責任を持って活用するには、組織はそのリスクを特定し管理できる必要がある。 |
| 3.1 Establish a fit-for-purpose risk management framework |
3.1 目的に適合したリスク管理フレームワークの構築 |
| An effective risk management framework supports organisations to identify and manage the risks of using AI, set clear rules about what risks are acceptable, and regularly check how AI systems are working over the lifecycle. |
効果的なリスク管理フレームワークは、組織がAI利用のリスクを特定・管理し、許容可能なリスクに関する明確なルールを設定し、AIシステムのライフサイクル全体にわたる動作を定期的に確認することを支援する。 |
| 3.1.1 Create and document: |
3.1.1 以下の作成と文書化 |
| ・a risk management framework that addresses the specific characteristics and risks of AI systems |
・AIシステムの特性とリスクに対応したリスク管理フレームワーク |
| ・organisational‑level risk tolerance and criteria to determine acceptable / unacceptable risks for the development and deployment of AI systems. This should include the significance and likelihood of potential harms to affected stakeholders in line with the AI policy and objectives. |
・AIシステムの開発・導入における許容リスク/非許容リスクを判断するための組織レベルのリスク許容度と基準。これには、AI方針と目標に沿った、影響を受けるステークホルダーへの潜在的な危害の重大性と発生可能性を含めるべきである。 |
| ・AI impact assessment, risk assessment and risk treatment processes, including criteria for reassessment over the lifecycle of an AI system. Identify and document any specific use cases or qualities of AI systems that represent an unacceptable risk to stakeholders or the organisation, in line with the organisation’s risk tolerance. |
・AIシステムライフサイクルにおける再評価基準を含む、AI影響評価、リスク評価、リスク対応プロセス。組織のリスク許容度に基づき、ステークホルダーや組織にとって許容できないリスクをもたらすAIシステムの特定ユースケースや特性を特定し文書化する。 |
| 3.1.2 Ensure that risk management processes include steps to identify, assess and treat risks arising from other parties in the AI supply chain, such as third‑party developers and third party deployers. Specific risks relating to open‑source AI models, systems and components should be considered by both providers and consumers of these technologies. |
3.1.2 リスク管理プロセスには、サードパーティ開発者やサードパーティ導入者など、AIサプライチェーン内の他者から生じるリスクを特定・評価・対応する手順を含めること。オープンソースAIモデル・システム・コンポーネントに関連する特定リスクは、これらの技術の提供者と利用者の双方が考慮すべきである。 |
| 3.1.3 Adopt or develop clear and consistent reporting formats, such as data sheets, model cards, or system cards, to communicate appropriate risk management outcomes, including residual risks, to relevant stakeholders (DEV). |
3.1.3 データシート、モデルカード、システムカードなど、明確かつ一貫性のある報告形式を採用または開発し、残存リスクを含む適切なリスク管理の結果を関連する利害関係者に伝達する(開発)。 |
| 3.2 Assess AI system risks |
3.2 AIシステムのリスク評価 |
| Using proportionate, robust methods to assess AI system risks is a key part of the operation of the risk management framework. |
AIシステムのリスクを評価するための比例的で堅牢な手法の使用は、リスク管理フレームワークの運用における重要な要素である。 |
| 3.2.1 Establish a triage system to determine which AI systems may pose an enhanced or unacceptable risk, aligned to the organisation’s context and risk tolerance (see Foundations Triage template). |
3.2.1 組織の状況とリスク許容度に合わせて、強化されたリスクまたは許容できないリスクをもたらす可能性のあるAIシステムを特定するためのトリアージシステムを確立する(基礎トリアージテンプレート参照)。 |
| 3.2.2 Perform and document a risk assessment and evaluation for the specific requirements, characteristics and documented use cases of each AI system, including systems developed or procured from third party suppliers. |
3.2.2 第三者サプライヤーから開発または調達したシステムを含め、各AIシステムの特定の要件、特性、文書化されたユースケースについて、リスク評価と評価を実施し、文書化する。 |
| 3.2.3 In undertaking AI system risk assessments, take the following steps to evaluate the likelihood and consequence of each risk as well as the consequence of not deploying the AI system: |
3.2.3 AIシステムリスク評価を実施する際には、以下の手順で各リスクの発生確率と影響度、ならびにAIシステムを導入しない場合の影響度を評価する: |
| ・Identify potential severity and likelihood of harms to stakeholders, drawing on the Stakeholder Impact Assessment (see 2.1.1 – 2.1.6). |
・ステークホルダーへの潜在的な危害の深刻度と発生確率を特定する。この際、ステークホルダー影響評価(2.1.1~2.1.6参照)を活用する。 |
| ・Identify legal, commercial and reputational risks such as failing to meet legal obligations, organisational commitments to ESG, diversity, inclusion and accessibility or programs supporting diversity, equity and fairness. |
・法的義務、ESGへの組織的コミットメント、多様性・包摂性・アクセシビリティ、あるいは多様性・公平性・公正性を支援するプログラムへの不履行など、法的・商業的・評判リスクを特定する。 |
| ・Consider the potential amplified and emerging data governance risks across each phase of the AI system lifecycle including before and after model training. |
・モデル訓練前後の各フェーズを含む、AIシステムライフサイクル全体における増幅・新興データガバナンスリスクの可能性を考慮する。 |
| ・Analyse risks systemically using risk models to identify the sources and pathways through which AI systems could produce the identified risks. |
・リスクモデルを用いて体系的に分析し、特定されたリスクをAIシステムが生み出す可能性のある発生源と経路を特定する。 |
| ・Compare the estimated value or level of identified risks to pre‑determined organisational risk criteria (see 3.1.1) or those defined by regulatory bodies or stakeholders. |
・特定されたリスクの推定値またはレベルを、事前に定められた組織のリスク基準(3.1.1 参照)または規制機関やステークホルダーが定義した基準と比較する。 |
| ・Document any specific use cases or qualities that represent an unacceptable level of risk to stakeholders or the organisation. |
・ステークホルダーや組織にとって許容できないリスクレベルを示す特定のユースケースや特性を文書化する。 |
| ・Communicate risk assessments in clear reporting formats to relevant stakeholders. |
・リスク評価結果を明確な報告形式で関連ステークホルダーに伝達する。 |
| 3.3 Implement controls for AI system risks |
3.3 AIシステムリスクに対する統制の実施 |
| Where risks are identified, risk treatment plans make it clear how risks will be mitigated. |
リスクが特定された場合、リスク対応計画によりリスク軽減方法を明確化する。 |
| 3.3.1 Create, document and implement a risk treatment plan to prioritise, select and implement treatment options (e.g. risk avoidance, transfer, acceptance, reduction) and controls to mitigate identified risks. Reassess risks after controls are implemented to verify their effectiveness. |
3.3.1 特定されたリスクを軽減するため、対応策(例:リスク回避、移転、受容、低減)および統制を優先順位付け・選定・実施するリスク対応計画を作成、文書化、実施する。統制実施後はリスクを再評価し、その有効性を確認する。 |
| 3.3.2 Communicate risk treatment plans in clear reporting formats to relevant stakeholders. |
3.3.2 リスク対応計画を明確な報告形式で関係者に伝達する。 |
| 3.3.3 Create and document a deployment plan which includes the response, recovery and communications for the realization of residual risks. |
3.3.3 残存リスク発生時の対応、復旧、連絡手順を含む展開計画を作成し文書化する。 |
| 3.3.4 Research, document and implement leading practices in safety measures as safeguards, as appropriate for identified risks (DEV). |
3.3.4 特定されたリスクに応じて、安全対策のベストプラクティスを調査、文書化し、保護手段として実施する(開発部門)。 |
| 3.4 Monitor and report incidents |
3.4 インシデントの監視と報告 |
| Reporting incidents when they happen and communicating the steps you’ve taken is essential to build trust with stakeholders and meet regulatory obligations. |
インシデント発生時の報告と対応措置の伝達は、ステークホルダーとの信頼構築と規制義務の履行に不可欠である。 |
| 3.4.1 Track, document and report relevant information about serious incidents and possible corrective measures to relevant regulators and/or the public in a reasonable timeframe. Reporting near‑misses and corrective measures is good practice. Communication of corrective measures should consider privacy and cybersecurity risks. |
3.4.1 重大なインシデントに関する情報と可能な是正措置を、合理的な期間内に追跡・文書化し、関連規制当局および/または公衆に報告する。ニアミスと是正措置の報告は良い慣行である。是正措置の伝達では、プライバシーとサイバーセキュリティリスクを考慮すべきである。 |
| 3.4.2 Create and document a process to evaluate and fulfil reporting and disclosure obligations such as those under the Online Safety Act relevant to AI systems usage, including documentation of safety measures implemented such as notices and incident reporting. |
3.4.2 AIシステム利用に関連するオンライン安全法などの報告・開示義務を評価・履行するプロセスを作成・文書化する。これには通知やインシデント報告などの実施済み安全対策の文書化を含む。 |
| 3.4.3 Conform to and document data breach reporting requirements and liabilities from related standards. For example, under the Notifiable Data Breaches scheme of the Office of the Australian Information Commissioner. |
3.4.3 関連規格に基づくデータ侵害報告要件と責任を順守し文書化する。例:オーストラリア情報コミッショナー事務局の「報告義務のあるデータ侵害」スキーム。 |
| 3.4.4 Maintain two‑way communication between developers and deployers for incident reporting, sharing performance insights and coordinating responses to identified issues. |
3.4.4 インシデント報告、パフォーマンス情報の共有、特定された問題への対応調整のため、開発者と運用者間の双方向コミュニケーションを維持する。 |
| 3.4.5 Monitor and evaluate risk assessments and treatment plans on a regular, periodic basis or when a significant change to the use case or the system occurs, or new risks are identified. This includes responding to impact assessments or insufficient risk treatment plans. |
3.4.5 リスク評価と対応計画を、定期的またはユースケース・システムに重大な変更が生じた時、新たなリスクが特定された時に監視・評価する。これには影響評価への対応や不十分なリスク対応計画への対応も含まれる。 |
| 3.4.6 Monitor and evaluate the overall effectiveness of risk management processes and continually improve them. |
3.4.6 リスク管理プロセスの全体的な有効性を監視・評価し、継続的に改善する。 |
| 4. Share essential information |
4. 重要な情報の共有 |
| People should know when they’re interacting with AI and understand when AI decisions affect them. For example, when a customer is receiving services and guidance from a chatbot, they should know this is not a human specialist. |
人は、AIとやり取りしていることを認識し、AIの判断が自身に影響を与える状況を理解すべきだ。例えば、顧客がチャットボットからサービスやガイダンスを受けている場合、それが人間の専門家ではないことを知る必要がある。 |
| To use AI responsibly, organisations need to tell users and stakeholders when and how they’re interacting with AI. |
責任あるAI利用のためには、組織はユーザーや関係者に、いつ、どのようにAIとやり取りしているかを伝える必要がある。 |
| 4.1 Maintain an AI register |
4.1 AI登録簿の維持 |
| An AI register is a central place that records important details about all of the AI systems across the organisation. |
AI登録簿とは、組織全体のすべてのAIシステムに関する重要な詳細を記録する一元的な場所である。 |
| 4.1.1 Create and maintain an up‑to‑date, organisation‑wide inventory of each AI model and system, with sufficient detail to inform key stakeholders and support future conformance assessments, including: |
4.1.1 組織全体で各AIモデル・システムの最新のインベントリを作成・維持する。主要な利害関係者に情報を提供し、将来の適合性評価を支援するのに十分な詳細を含める。具体的には: |
| ・accountable people |
・責任者 |
| ・purpose and business goals |
・目的と事業目標 |
| ・capabilities and limitations of the AI model and/or system |
・AIモデル・システムの能力と限界 |
| ・origin, fine‑tuning and updates where applicable |
・適用される場合の起源、微調整、更新 |
| ・technical requirements and components |
・技術要件と構成要素 |
| ・datasets and their provenance used for training and testing |
・トレーニングとテストに使用されたデータセットとその出所 |
| ・acceptance criteria and test results |
・受け入れ基準とテスト結果 |
| ・any impact and risk assessments and outcomes |
・影響・リスク評価とその結果 |
| ・identified risks, potential impacts and the risk treatment plan |
・特定されたリスク、潜在的影響、リスク対応計画 |
| ・any system audit requirements and outcomes |
・システム監査要件とその結果 |
| ・dates of review. |
・レビュー実施日 |
| See the AI register template for additional guidance. |
詳細はAI登録テンプレートを参照のこと。 |
| 4.2 AI system transparency and explainability |
4.2 AIシステムの透明性と説明可能性 |
| Clearly communicating when and how AI is being developed or deployed by the organisation and explaining the impacts to users and stakeholders is important to build accountability and trust. |
組織がAIを開発・導入する時期と方法を明確に伝達し、ユーザーやステークホルダーへの影響を説明することは、説明責任と信頼構築に重要である。 |
| 4.2.1 Create, document, implement and communicate a policy and process for how to transparently communicate: |
4.2.1 以下の事項を透明性をもって伝達するためのポリシーとプロセスを作成、文書化、実施、および伝達する。 |
| ・to AI users, and affected stakeholders that engage directly with AI systems, AI‑enabled decisions or AI‑generated content about when and how they will be informed about AI development, deployment and use in the organisation. |
・AIユーザーおよびAIシステム、AIを活用した意思決定、AI生成コンテンツと直接関わる影響を受けるステークホルダーに対し、組織におけるAIの開発、導入、使用についていつ、どのように通知されるかを伝えること。 |
| ・the capabilities, limitations and potential risks of the AI systems that users and affected stakeholders may engage with. This should include when and how frequently to communicate, the level of detail and the level of AI knowledge of AI users and affected stakeholders. It should also address communication obligations and the accessibility needs of AI users and affected stakeholders and incorporate feedback mechanisms where appropriate. |
・ユーザーや影響を受けるステークホルダーが関与する可能性のあるAIシステムの能力、限界、潜在的なリスクについて。これには、いつ、どの頻度で伝えるか、詳細度、AIユーザーや影響を受けるステークホルダーのAI知識レベルを含めるべきである。また、AIユーザーや影響を受けるステークホルダーのコミュニケーション義務やアクセシビリティのニーズにも対処し、適切な場合にはフィードバックメカニズムを組み込むべきである。 |
| 4.2.2 For each AI system, evaluate and document: |
4.2.2 各AIシステムについて、以下を評価し文書化する: |
| ・the transparency requirements for each user and affected stakeholder group (see 2.1.1 and 2.2.1) |
・各ユーザー及び影響を受けるステークホルダーグループに対する透明性要件(2.1.1及び2.2.1参照) |
| ・the transparency and explainability system requirements and measures – including for third‑party ‑provided systems – dependent on use case, stakeholder requirements and risks arising from disclosure. |
・ユースケース、ステークホルダー要件、開示に伴うリスクに応じた透明性及び説明可能性のシステム要件と対策(第三者提供システムを含む) |
| ・how accessibility obligations and commitments are met by implementing human‑centered design. |
・人間中心設計の実施によるアクセシビリティ義務及び約束の達成方法 |
| 4.2.3 Create, document and implement organisational processes and transparency mechanisms proportionate to the risks arising from the diverse, evolving, and alternative uses of GPAI beyond predefined applications, including their potential for unexpected and hard‑to‑explain behaviours. (GPAI DEV/DEP). |
4.2.3 事前定義された用途を超えた、多様で進化するGPAIの代替利用から生じるリスク(予期せぬ説明困難な動作の可能性を含む)に見合った組織プロセスと透明性メカニズムを作成・文書化・実施すること(GPAI開発/導入)。 |
| 4.2.4 Wherever possible choose more interpretable and explainable systems. |
4.2.4 可能な限り、解釈可能で説明性の高いシステムを選択すること。 |
| 4.2.5 Wherever possible, provide reasonably interpretable and explainable AI systems and models to accountable people within the organisation or downstream deployers to enable them to meet their own regulatory obligations (DEV). |
4.2.5 可能な限り、組織内の説明責任を負う者または下流の展開者に、合理的に解釈可能かつ説明可能なAIシステムとモデルを提供し、彼らが自らの規制義務を履行できるようにする(開発)。 |
| 4.2.6 Conduct internal testing of the AI model and/or system’s capabilities and limitations. Clearly communicate results to deployers prior to deployment. (DEV). |
4.2.6 AIモデルおよび/またはシステムの能力と限界について内部テストを実施する。展開前に結果を展開者に明確に伝える(開発)。 |
| 4.3 Supply chain transparency |
4.3 サプライチェーンの透明性 |
| Developers and deployers need to work together to share information and build mechanisms that can clearly communicate information about AI systems to all parties. |
開発者と導入者は協力し、情報を共有し、AIシステムに関する情報を全ての関係者に明確に伝達できる仕組みを構築する必要がある。 |
| 4.3.1 Document or request from upstream providers the technical details of the system or model that may be required to meet the needs of users within the organisation or stakeholders. |
4.3.1 組織内の利用者やステークホルダーのニーズを満たすために必要となる可能性のある、システムまたはモデルの技術的詳細を文書化するか、上流の供給者から要求すること。 |
| 4.3.2 Share as much of the following information as possible about AI models and systems with downstream deployers (while protecting commercially sensitive information and meeting legal compliance) (DEV): |
4.3.2 AIモデルおよびシステムに関する以下の情報を、可能な限り下流の展開者に共有すること(ただし、商業的に機密性の高い情報を保護し、法的コンプライアンスを満たすことを条件とする)(開発者向け)。 |
| ・Technical details such as model architecture, description of data, components and their characteristics |
・モデルアーキテクチャ、データ記述、構成要素とその特性などの技術的詳細 |
| ・Test methods, use cases and testing resulting |
・テスト方法、ユースケース、テスト結果 |
| ・Known limitations, risks and mitigations (such as potential bias and corrective actions) and external audit findings |
・既知の制限事項、リスク、緩和策(潜在的なバイアスや是正措置など)および外部監査結果 |
| ・Data management processes for training and testing data including data quality, meta data, and provenance |
・データ品質、メタデータ、プロバンスを含む、トレーニングおよびテストデータのためのデータ管理プロセス |
| ・Privacy and cybersecurity practices including conformance to standards and best practice |
・標準およびベストプラクティスへの準拠を含む、プライバシーおよびサイバーセキュリティ対策 |
| ・Transparency mechanisms implemented for AI‑generated content, interactions and decisions |
・AI生成コンテンツ、相互作用、意思決定に対して実装された透明性メカニズム |
| ・Document and share the following key information for GPAI systems with downstream organisations, stakeholders, researchers and regulators (GPAI DEV): |
・GPAIシステムに関する以下の重要情報を、下流組織、利害関係者、研究者、規制当局と文書化し共有すること(GPAI開発段階): |
| ・・Training data sources and compliance details with relevant privacy, intellectual property and copyright laws |
・・トレーニングデータソース及び関連するプライバシー、知的財産権、著作権法への準拠詳細 |
| ・・Model cards and system cards, including risk assessment results particularly evaluation of dangerous and emerging capabilities in the deployment and scaffolding context of tool access and agent design. |
・・モデルカード及びシステムカード(特に、ツールアクセスとエージェント設計の展開・構築環境における危険かつ新興機能の評価を含むリスク評価結果を含む) |
| ・Restricted and managed access to model weights and other associated artefacts. |
・モデル重み付け及び関連アーティファクトへの制限付き管理アクセス |
| 4.3.3 Share as much of the following information as possible about AI systems with upstream developers (while protecting commercially sensitive information and meeting privacy obligations) (DEP) (See also incident reporting 3.4.1 and 3.4.4). |
4.3.3 AIシステムに関する以下の情報を可能な限り上流開発者と共有する(商業的に機密性の高い情報を保護し、プライバシー義務を満たすことを条件とする)(DEP)(インシデント報告3.4.1および3.4.4も参照)。 |
| ・Issues, faults, failures, incidents and any other observed risks that can be addressed by developers |
・開発者が対処可能な問題、不具合、故障、インシデント、その他の観察されたリスク |
| ・Any unexpected and unwanted bias resulting from use of the system. |
・システム使用に起因する予期せず望ましくないバイアス |
| ・Ensure you’ve included the required information in contracts with suppliers of systems, including when to update information. |
・システム供給業者との契約には、情報の更新時期を含め、必要な情報を必ず記載すること。 |
| 4.4 AI-generated content transparency |
4.4 AI生成コンテンツの透明性 |
| Being clear about when and how content is AI-generated or modified is important to build trust in digital content with stakeholders. |
コンテンツがAIによって生成または修正された時期と方法を明確にすることは、ステークホルダーとのデジタルコンテンツへの信頼構築に重要である。 |
| 4.4.1 Implement fit‑for‑purpose and proportionate transparency mechanisms for AI generated content as set out in the Being clear about AI‑generated content guidance (forthcoming). |
4.4.1 「AI生成コンテンツの明確化に関するガイダンス」(近日公開予定)に定められた通り、AI生成コンテンツに対して目的に適合した比例原則に基づく透明性メカニズムを実施すること。 |
| 5. Test and monitor |
5. テストと監視 |
| AI systems can change their behaviour over time or act in ways that are less predictable than conventional software. For example, an AI system that worked well last month might start giving different answers today if it is trained on additional data. |
AIシステムは時間の経過とともに動作が変化したり、従来のソフトウェアよりも予測困難な挙動を示すことがある。例えば、先月は正常に動作していたAIシステムでも、追加データで学習させると今日から異なる回答を出し始める可能性がある。 |
| To use AI safely, organisations should test and monitor their AI systems. |
AIを安全に利用するためには、組織はAIシステムのテストと監視を行うべきである。 |
| 5.1 Pre-deployment testing |
5.1 導入前テスト |
| Conducting testing before an AI system is deployed and documenting the outcomes supports ongoing risk mitigation. |
AIシステムの導入前にテストを実施し、結果を文書化することは、継続的なリスク軽減を支える。 |
| 5.1.1 Establish oversight mechanisms to review and approve testing methodologies and results, and to monitor system performance, user feedback and operational impacts post‑deployment. |
5.1.1 テスト手法と結果の審査・承認、および導入後のシステム性能・ユーザーフィードバック・運用影響の監視を行う監督メカニズムを確立する。 |
| 5.1.2 Define and communicate clear acceptance criteria and test methodologies that reflect the intended use, context and potential risks (as identified in Essential Practice 3). Conduct predeployment testing. |
5.1.2 意図された用途・文脈・潜在リスク(基本実践3で特定されたもの)を反映した明確な受入基準とテスト手法を定義し、伝達する。導入前テストを実施する。 |
| 5.1.3 Clearly document tests and outcomes to support external audits and oversight |
5.1.3 外部監査と監督を支援するため、テストと結果を明確に文書化する。 |
| 5.1.4 When testing is conducted by upstream providers during the development of the AI system and model, request test methodologies and results from the provider and ensure its alignment with your acceptance criteria. |
5.1.4 AIシステム及びモデルの開発段階で上流プロバイダーがテストを実施する場合、テスト手法と結果をプロバイダーから要求し、自社の受入基準との整合性を確保する。 |
| 5.1.5 Obtain documented deployment authorisation and rationale from the accountable person for the AI system based on test results. |
5.1.5 テスト結果に基づき、AIシステムの責任者から文書化された導入承認と根拠を取得する。 |
| 5.2 Monitor system performance |
5.2 システム性能の監視 |
| Setting performance metrics, closely monitoring and reviewing the performance of AI systems ensures that they operate as intended. |
性能指標を設定し、AIシステムの性能を厳密に監視・レビューすることで、意図した通りに動作することを保証する。 |
| 5.2.1 Establish monitoring systems for each AI system to track key performance metrics and indicators relevant to the identified risks. |
5.2.1 各AIシステムに対し、特定されたリスクに関連する主要なパフォーマンス指標と指標を追跡する監視システムを確立する。 |
| 5.2.2 Implement a deployment process for AI systems that maps business targets to system performance metrics for both internal and third‑party developed systems. |
5.2.2 社内開発システムおよび第三者開発システムの両方について、ビジネス目標をシステムパフォーマンス指標にマッピングするAIシステムの導入プロセスを実施する。 |
| 5.2.3 Establish and document response processes for addressing all foreseeable issues and harms during system operation. |
5.2.3 システム運用中に発生する可能性のあるすべての問題と危害に対処するための対応プロセスを確立し、文書化する。 |
| 5.2.4 Establish regular system performance review cycles with stakeholders and subject matter experts to evaluate testing criteria, effectiveness and outcomes. |
5.2.4 ステークホルダーや専門家と定期的なシステム性能レビューサイクルを確立し、テスト基準・有効性・成果を評価する。 |
| 5.2.5 For each AI system, create and document monitoring requirements including human oversight prior to deployment and evaluate as part of continuous improvement cycle. |
5.2.5 各AIシステムに対し、導入前の人間による監視を含む監視要件を作成・文書化し、継続的改善サイクルの一環として評価する。 |
| 5.3 Conduct additional testing proportionate to risk |
5.3 リスクに見合った追加テストの実施 |
| Determine whether AI systems require further safety evaluations, independent testing or auditing which are proportionate to their risks. |
AIシステムがリスクに見合った追加の安全性評価・独立テスト・監査を必要とするか判断する。 |
| 5.3.1 Conduct safety evaluations that scale with model capabilities (GPAI DEV), for example: assessment for cyber‑offensive capabilities and vulnerabilities; testing for potential chemical, biological, radiological and nuclear information risks; evaluation of model behaviours beyond intended use cases; testing for jailbreaking or prompt manipulation; data privacy risks; or comprehensive red teaming to identify vulnerabilities. |
5.3.1 モデルの能力に応じた安全評価を実施する(GPAI DEV)。例:サイバー攻撃能力と脆弱性の評価、化学・生物・放射線・核情報リスクの潜在的なテスト、意図された使用事例を超えたモデル行動の評価、脱獄やプロンプト操作のテスト、データプライバシーリスク、脆弱性特定のための包括的なレッドチームング。 |
| 5.3.2 For use cases requiring enhanced practices and GPAI systems, conduct independent (internal or external) and thorough review of testing and evaluation methodologies and results. Document and report any issues to the accountable person for the system. |
5.3.2 強化された実践とGPAIシステムを必要とするユースケースでは、テストおよび評価方法論と結果について、独立した(内部または外部)徹底的なレビューを実施する。問題を文書化し、システムの責任者に報告する。 |
| 5.3.3 Create a process for and determine whether an AI system requires regular auditing, appropriate to the level of risk identified by its risk assessment. Conduct audits when required. |
5.3.3 AIシステムが定期的な監査を必要とするかどうかを判断し、そのためのプロセスを確立する。監査はリスク評価で特定されたリスクレベルに応じて適切に行う。必要に応じて監査を実施する。 |
| 5.4 Implement robust data and cybersecurity measures |
5.4 堅牢なデータおよびサイバーセキュリティ対策を実装する |
| Effective data governance, privacy and cybersecurity practices are fundamental to supporting the responsible operation of AI systems. |
効果的なデータガバナンス、プライバシー、サイバーセキュリティ対策は、AIシステムの責任ある運用を支える基盤である。 |
| 5.4.1 Implement and evaluate the effectiveness of policies and procedures in addressing AI‑specific risks and adapt as necessary: |
5.4.1 AI固有のリスクに対処する方針と手順を実施し、その有効性を評価し、必要に応じて適応させること: |
| ・Data governance processes covering the use of data with AI models and systems. This includes the management of data usage rights for AI including intellectual property (including copyright), Indigenous Data Sovereignty, privacy, confidentiality and contractual rights. |
・AIモデルおよびシステムにおけるデータ利用をカバーするデータガバナンスプロセス。これには、知的財産権(著作権を含む)、先住民データ主権、プライバシー、機密性、契約上の権利を含む、AIのデータ利用権限の管理が含まれる。 |
| ・Privacy policies covering the collection, use and disclosure of personal or sensitive information by AI models and systems, including for model training purposes. This needs to support teams to comply with the Australian Privacy Principles for all AI systems. |
・AIモデル・システムによる個人情報や機微情報の収集・利用・開示(モデル訓練目的を含む)をカバーするプライバシーポリシー。これは全AIシステムにおいてオーストラリアのプライバシー原則への準拠を支援する必要がある。 |
| ・Cybersecurity processes to cover the emerging and amplified risks of AI systems interaction with existing systems and data, such as AI systems unintentionally exposing sensitive information or bypassing security controls. This includes application of the Essential Eight Maturity Model for cybersecurity risks to AI systems. |
・AIシステムが既存システムやデータと相互作用する際に生じる新たなリスクや増幅されたリスク(例:AIシステムによる意図しない機微情報の漏洩やセキュリティ制御の回避)をカバーするサイバーセキュリティプロセス。これにはAIシステム向けサイバーセキュリティリスク管理モデル「Essential Eight Maturity Model」の適用が含まれる。 |
| 5.4.2 For each AI use case: |
5.4.2 各AIユースケースにおいて: |
| ・Define and document the data quality, data/model provenance and data preparation requirements. |
・データ品質、データ/モデルの出所、データ準備要件を定義し文書化する。 |
| ・Understand and document the data sources and collection processes each AI model / system relies on to function including personal and sensitive data. Put in place systems to manage the data and document the data used to train and test each AI model or systems and data used for inference. |
・各AIモデル/システムが機能するために依存するデータソースと収集プロセス(個人情報および機微データを含む)を理解し文書化する。各AIモデルまたはシステムの訓練・テストに使用されたデータ、および推論に使用されたデータを管理するシステムを整備し、文書化する。 |
| ・Define and document processes for protecting AI models and systems to address emerging cybersecurity and privacy risks (DEV). |
・新たなサイバーセキュリティおよびプライバシーリスクに対処するため、AIモデルおよびシステムを保護するプロセスを定義し文書化する(開発段階)。 |
| ・Where appropriate, report to relevant stakeholders on data, model and system provenance. |
・適切な場合には、データ、モデル、システムの由来について関連する利害関係者に報告する。 |
| ・Document how the Australian Privacy Principles have been applied including in models and systems developed by third parties. |
・第三者が開発したモデルやシステムを含め、オーストラリアのプライバシー原則がどのように適用されたかを文書化する。 |
| ・Document data usage rights including intellectual property (including copyright), indigenous data sovereignty privacy confidentiality and contractual rights. |
・知的財産権(著作権を含む)、先住民データの主権、プライバシー、機密性、契約上の権利を含むデータ使用権を文書化する。 |
| ・Monitor for and detect any leakage of personal and sensitive information from AI models and systems. |
・AIモデルやシステムからの個人情報および機密情報の漏洩を監視・検知する。 |
| 6. Maintain human control |
6. 人間の管理を維持する |
| Unlike traditional software that follows explicit instructions, AI systems learn patterns from data and make their own opaque decision logic. This means they need human oversight to make sure they operate safely. For example, while regular software does exactly what you program it to do, AI might interpret your instructions differently than you intended. |
従来の明示的な指示に従うソフトウェアとは異なり、AIシステムはデータからパターンを学習し、独自の不透明な意思決定ロジックを構築する。これは安全な運用を確保するため、人間の監視が必要であることを意味する。例えば、通常のソフトウェアはプログラム通りに動作するが、AIは意図とは異なる方法で指示を解釈する可能性がある。 |
| To responsibly use AI, organisations need to make sure a human appropriately oversees any AI systems in use. The person overseeing your AI systems should know how to do so appropriately, and what they need to do to override the system if something goes wrong. |
AIを責任を持って利用するには、組織は使用中のAIシステムを人間が適切に監督することを保証する必要がある。AIシステムを監督する者は、適切な監督方法と、問題発生時にシステムをオーバーライドするための手順を理解しているべきだ。 |
| 6.1 Maintain human oversight and control |
6.1 人間の監督と制御の維持 |
| Ensuring that people in the organisation retain oversight of AI systems, with the ability to intervene where necessary is important to the safe ongoing operation of the system. |
組織内の人間がAIシステムに対する監督権限を保持し、必要に応じて介入できることは、システムの安全な継続的運用にとって重要である。 |
| 6.1.1 Maintain operational accountability, capability and human oversight throughout the lifecycle of AI systems. |
6.1.1 AIシステムのライフサイクル全体を通じて、運用上の説明責任、能力、人間の監督を維持する。 |
| 6.1.2 Implement mechanisms to enable human control and intervention during the operation of the AI system (DEV). |
6.1.2 AIシステムの運用中に人間による制御と介入を可能にする仕組みを導入する(開発)。 |
| 6.1.3 Implement mechanisms to enable human oversight and intervention to address systemic risks and emerging capabilities such as capability evaluation, training, pause, independent oversight, dynamic guardrails and tool/system access controls (DEV). |
6.1.3 能力評価、トレーニング、一時停止、独立した監視、動的なガードレール、ツール/システムへのアクセス制御など、システムリスクや新たな能力に対処するため、人間の監督と介入を可能にする仕組みを導入する(開発)。 |
| 6.1.4 Ensure appropriate training is provided to anyone overseeing or using AI systems to understand each system’s capabilities, limitations and failure modes and when human intervention is needed. |
6.1.4 AIシステムを監督または使用する者に対し、各システムの能力、限界、故障モード、および人的介入が必要なタイミングを理解するための適切な訓練を提供する。 |
| 6.2 Decommission when appropriate |
6.2 適切な時期に廃止する |
| Establishing processes to decommission AI systems when they are no longer needed or performing as intended can protect ongoing service delivery and data assets. |
AIシステムが不要になった場合、または意図した通りに機能しなくなった場合に廃止するプロセスを確立することは、継続的なサービス提供とデータ資産を保護できる。 |
| 6.2.1 Define and determine: |
6.2.1 以下の事項を定義し決定する: |
| ・the criteria or reasons that termination of an AI model or system might need to occur, and at what point intervention should take place |
・AIモデルまたはシステムの終了が必要となる基準または理由、および介入を行うべき時点 |
| ・the most appropriate role or person to oversee the intervention and decommissioning process |
・介入および廃止プロセスを監督する最も適切な役割または担当者 |
| ・whether the model or system is essential to any critical infrastructure or service delivery |
・当該モデルまたはシステムが重要インフラやサービス提供に不可欠かどうか |
| ・・Assess the risks and impacts of shutting down the AI model or system, including impacts on end‑users and interdependencies with other integrated systems on which the model, data or outputs rely to function. |
・・AIモデルまたはシステムの停止に伴うリスクと影響を評価する。これにはエンドユーザーへの影響、およびモデル・データ・出力が機能するために依存する他の統合システムとの相互依存関係への影響が含まれる。 |
| ・・Develop a timeframe and treatment plan to minimise impacts or disruption caused by the decommissioning process. |
・・廃止プロセスによる影響や混乱を最小限に抑えるための時間枠と対応計画を策定する。 |
| ・・Determine a method to extract data and for the return or deletion of assets. Establish which information should be preserved for record keeping purposes. |
・・データの抽出方法、資産の返却または削除方法を決定する。記録保管のために保存すべき情報を特定する。 |
| 6.2.2 Create a process for how your organisation will inform relevant parties (such as employees, customers, and upstream or downstream parties) within a reasonable timeframe of the retirement or shutdown of an AI model or system. Establish a channel for people to raise concerns, request support and receive responses. |
6.2.2 AIモデルまたはシステムの廃止・停止について、組織が関係当事者(従業員、顧客、上流・下流の当事者など)に合理的な時間枠内で通知するプロセスを構築する。懸念事項の提起、支援要請、回答受領のためのチャネルを確立する。 |
| 6.2.3 Determine whether alternative systems or processes will need to be provided to address any issues or gaps. |
6.2.3 問題や不足に対処するため、代替システムやプロセスの提供が必要かどうかを判断する。 |
| 6.2.4 Maintain alternative pathways for critical functions so operations can continue if AI systems malfunction and/or are taken offline. |
6.2.4 AIシステムの故障やオフライン化時でも業務を継続できるよう、重要機能に対する代替経路を維持する。 |
Recent Comments