LASSIC Media らしくメディア

2026.06.19 らしくコラム

AIガバナンス体制の構築を支援で進める方法|AI事業者ガイドライン対応の進め方

LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託

AIガバナンスのダッシュボード

この記事のポイント

  • AIガバナンス体制の構築には、AI事業者ガイドライン第1.2版が示すポリシー策定・HITL設計・データ管理・透明性確保の4領域が土台となります
  • 自社の主体区分(AI開発者・AI提供者・AI利用者)を確認することが、対応の優先順位を決める最初の判断軸です
  • 外部支援を活用することで、ガイドライン改訂への継続対応とリスク管理の両立が期待できます

目次

AIガバナンス体制の構築とは

ルール文書の整備

AIガバナンス体制の構築とは、企業がAIを適正かつ責任ある形で開発・提供・利用するために、組織としてのルール・責任体制・リスク管理プロセスを整備する取り組みを指します。単に社内ガイドラインを作るだけでなく、誰がどのリスクに対して責任を持ち、どのように監視・是正するかを継続運用できる仕組みとして実装することが求められます。

総務省・経済産業省が2026年3月31日に公表した「AI事業者ガイドライン(第1.2版)」*1は、AIに関わるすべての事業者が参照すべき実務上の指針です。同ガイドラインは、企業の立場を3つの主体区分(AI開発者・AI提供者・AI利用者)に整理したうえで、各主体に共通する10の原則と、主体ごとの対応事項を定めています。

現状把握 AI利用実態 主体区分の 確認 優先選定 リスクベースで 対応項目を 絞り込む 体制実装 ポリシー策定 HITL設計 データ管理 運用開始 責任者設置 従業員研修 ログ保管 継続改善 改訂情報の 監視・更新 半年ごとに
図1:AIガバナンス体制構築の5ステップ(AI事業者ガイドライン第1.2版に基づく実務フロー)

AI事業者ガイドライン第1.2版が定める3つの主体区分

ガイドライン第1.2版は、AIに関わる事業者を3区分に分類しています。AI開発者は基盤モデルやAIシステムを設計・構築する主体です。AI提供者はAI機能を組み込んだサービスを顧客に提供する主体です。そしてAI利用者は、業務でAIツールを活用する事業者を指します。

同一企業が複数の区分に該当する場合もあります。たとえば、ChatGPT等のAPI(Application Programming Interface:外部システムと連携するためのインターフェース)を使って社内向けRAG(Retrieval-Augmented Generation:社内文書を参照してAIの回答精度を高める手法)を構築した企業は、AI利用者でありながらAI開発者の責務も負います。自社の立場を正確に把握することが体制設計の出発点となります。

ガイドライン第1.2版が求める体制整備の4領域

AI事業者ガイドライン第1.2版*1は、特にAI利用者が整備すべき事項を4つの領域に整理しています。各領域の対応が不十分なまま生成AIを業務利用すると、情報漏洩・誤出力による意思決定ミス・コンプライアンス違反のリスクが生じます。

ポリシー策定とルール文書化

AIをどの業務に・どの範囲で利用するかを文書化するのが最初の柱です。具体的には、AI利用ポリシーの策定、入力禁止情報(個人情報・機密情報等)の明文化、従業員への周知体制の構築、そして定期更新プロセスの設計が含まれます。

文書化が不十分だと、部門によって運用がばらつき、インシデント発生時に責任の所在が曖昧になります。ポリシーは「作れば終わり」ではなく、ガイドラインの改訂や業務変化に合わせて更新し続ける仕組みとして設計する必要があります。

Human-in-the-Loop(HITL)設計

第1.2版の改定で強化された点の一つが、HITL(Human-in-the-Loop:AI出力の意思決定プロセスに人間が介在する仕組み)の設計です。特にAIエージェントが外部システムへのアクションを自律実行するケースでは、リスクレベルに応じた介在設計が求められます。

実務上は、業務ごとに3段階のリスク区分で設計するアプローチが推奨されています。取引実行・データ削除など高リスク業務では事前承認を必須とします。ドラフト出力・メール案作成などの中リスク業務では事後ログ確認を設定します。要約・翻訳などの低リスク業務ではサンプリング確認で対応します。

この区分設計を整備せずにAIエージェントを導入すると、誤った外部アクションが自動実行されるリスクがあります。特に稟議・発注・外部送信を伴う業務では、HITL設計の欠如が直接的な業務損害につながる可能性があります。

データ管理とインシデント対応

AI利用に伴うログ保管と、インシデント発生時の対応手順の整備がこの領域の核心です。具体的には、AI利用ログ(何を入力し何が出力されたか)の保管ルール、社内RAGやカスタムAI開発時のデータ把握、そしてインシデント対応手順書の策定が含まれます。

ログ保管は、問題発生後の原因調査と再発防止のために不可欠です。特に個人情報を含むデータがAIサービスに送信されていた場合、個人情報保護法上の報告義務が生じることもあります。法務部門と連携した体制設計が求められます。

透明性・説明責任の確保

AI生成物に対する開示ルール(どの成果物がAI生成か)、外部委託先のAI利用状況の把握、そして定期的なAI利用状況レビューが、透明性確保の主要な対応事項です。

取引先・顧客に対してAIを用いた成果物を提供する場合、その旨を開示するルールを社内で統一しておく必要があります。開示ルールを定めないまま運用すると、後から問題が発覚した際に信頼損失につながります。

体制構築の進め方・3ステップ

実務上、AIガバナンス体制の構築は段階的に進めることが現実的です。全社一斉に完璧な体制を整備しようとすると、対応範囲が広がりすぎて着手できない状態に陥ります。以下の3ステップで優先度を絞りながら進めることが、継続運用につながります。

ステップ1:現状把握と自社の主体区分の確認(目安1〜2週間)

まず、社内でどのようなAIツール・AIシステムが利用されているかを全社横断で把握します。部門ごとの利用状況、使用しているサービス名、入力されているデータの種類を一覧化します。

次に、自社がAI開発者・AI提供者・AI利用者のどの区分に該当するか(または複数該当するか)を確認します。区分によって求められる対応の範囲が異なるため、この確認を省略すると後工程で対応漏れが発生します。既存の契約書・利用規約の確認も同時に行います。

ステップ2:リスクベースで優先項目を絞り込む(目安1〜3か月)

全対応項目を一度に実施しようとすれば、リソース不足で頓挫します。ガイドライン第1.2版が認めるリスクベースアプローチを活用し、自社の事業規模・AIの利用用途に応じて高リスクの未対応項目から着手します。

優先度の判断軸は「外部への影響範囲」と「AI出力の業務決定への関与度」です。顧客データを含む業務、外部公開を伴う出力、意思決定に直結するアウトプットは、優先度を高く設定します。

ステップ3:外部支援を活用した体制の実装と運用(目安1〜3か月・以降継続)

体制設計・ポリシー文書の作成・HITL設計の実装を経て、運用フェーズに移行します。責任者の設置、従業員研修の実施、ログ保管ルールの施行を順次行います。

体制構築には法務・IT・業務部門の横断的な知識が必要です。内製で対応しようとすると、専門人材の確保と各部門の調整に相当な工数がかかります。外部支援を活用することで、設計品質を維持しながら立ち上げ期間を短縮できます。継続フェーズ(ガイドライン改訂対応・半年ごとのレビュー)まで伴走できる支援先を選ぶことが、長期的なコスト効率につながります。

内製と外部支援の比較

AIガバナンス体制の構築を内製で進めるか、外部支援に依頼するかは、自社のリソースと求める体制水準によって判断が分かれます。以下の比較表を参考にしてください。

比較項目 内製 外部支援
必要な専門知識 法務・IT・コンプライアンスの横断知識が社内に必要。
担当者が複数の専門領域をカバーしなければならない。		 支援先が専門知識を保有。
社内担当者は窓口・意思決定役に集中できる。
立ち上げ工数 体制設計から文書化まで、実務担当者の工数が大きくなる傾向がある。
部門間調整も内製で担う。		 設計・文書作成の工数を外部が担うため、社内負荷を抑えやすい。
立ち上げ期間を短縮できる。
ガイドライン改訂への追随 改訂情報の収集・体制の更新を自社で行う必要がある。
担当者の異動等でノウハウが失われるリスクがある。		 支援先が改訂情報を把握し、適宜アップデートを提案できる。
継続契約で対応力を維持しやすい。
コスト構造 直接費用は抑えられるが、担当者の工数コストと機会損失が発生する。
体制品質にばらつきが生じるリスクがある。		 委託費用が発生する。
一方で、体制設計の品質が担保されやすく、インシデント時のリスクコストを抑えやすい。
向いているケース AI利用範囲が限定的で、法務・IT双方の専門人材が既に社内にいる場合。 AI活用を本格展開する段階で、専門知識を補完しながら体制を整備したい場合。

内製が失敗しやすいのは、担当者が異動したときにノウハウが引き継がれず、ガイドライン改訂への追随が止まるケースです。AIガバナンスは一度構築したら終わりではなく、継続的な更新が前提となります。その点で、外部支援を活用した「伴走型」の体制整備は、持続性の面で優位性を持ちます。

支援先を選ぶ際の3つの判断軸

AIガバナンス体制の構築支援を外部に依頼する場合、支援先の選定が体制の品質を左右します。以下の3軸で候補先を評価することを推奨します。

ガイドライン対応実績と法務連携力

AI事業者ガイドラインへの対応は、IT技術だけでなく法務・コンプライアンスの知識を要します。支援先がガイドライン対応の実績を持ち、かつ法務機能(自社内または提携先)と連携して対応できるかを確認します。

ガイドラインの解釈は業種・事業モデルによって異なります。自社のAI利用実態に即した解釈と適用ができるかどうかが、形式的な文書作成に終わらないための条件です。

元請として責任を持つ体制か

AIガバナンス支援では、複数のベンダーが関与する場合があります。コンサルティング会社が設計し、ITベンダーが実装し、法務事務所が確認する、という分業体制では、最終的な責任の所在が曖昧になりがちです。

元請(プライムベンダー)として設計から実装・運用支援まで一貫して担う体制を持つ支援先を選ぶことで、責任体制の明確化と部門間調整コストの削減が期待できます。分業体制をとる場合は、窓口となる元請の役割を明確に定めた契約を交わすことが重要です。

継続的なアップデート対応力

AI事業者ガイドラインはこれまでに複数回改訂されており、今後も更新が見込まれます。第1.0版(2024年4月)、第1.01版(2024年11月)、第1.1版(2025年3月)、第1.2版(2026年3月)と改訂が重なってきた経緯からも、継続的な対応が必要です。

支援先がガイドライン改訂情報を継続的にモニタリングし、体制への反映を提案できる仕組みを持っているかを確認します。スポット対応のみの支援よりも、定期レビューを含む継続契約の枠組みを設けている支援先の方が、長期的な体制維持に適しています。

支援先の評価において、過去の支援事例を参照できる場合は、AIガバナンス体制の整備に具体的に関与した案件があるかを確認することも有効です。ただし、守秘義務のある案件が多いため、事例の詳細が開示できないことは珍しくありません。その場合は、担当者の専門知識・資格・ガイドライン解説実績等を評価の参考にします。

まとめ:AIガバナンス体制構築の3つの要点

本稿では、AIガバナンス体制の構築における実務上の進め方と外部支援の活用方法を整理しました。要点を3点にまとめます。

第一に、AI事業者ガイドライン第1.2版(2026年3月公表)が求める4領域(ポリシー策定・HITL設計・データ管理・透明性確保)を理解し、自社の主体区分(AI開発者・AI提供者・AI利用者)を正確に確認することが体制設計の土台です。

第二に、全対応を一度に進めようとせず、リスクベースで優先項目を絞り込む段階的なアプローチが、持続可能な体制構築につながります。高リスク業務のHITL設計とインシデント対応手順を先行して整備することが、実務上の優先度が高い取り組みです。

第三に、ガイドラインは今後も改訂が続く見通しです。外部支援を活用する際は、スポット対応ではなく継続的な伴走体制を持つ支援先を選ぶことが、長期的なコスト効率と体制品質の両立につながります。元請として責任を一元化できる支援体制を選ぶことも、実務上の重要な判断軸です。

よくある質問

AI事業者ガイドラインへの対応は法的義務ですか?

現時点(2026年6月)では、AI事業者ガイドライン(第1.2版)は法的拘束力を持つ義務ではなく、総務省・経済産業省が定めた実務上の指針です*1。ただし、EU AI Actなど海外規制との整合が強化されており、海外展開を持つ企業や国際取引が多い企業では、事実上の対応必要性が高まっています。今後の法制化の動向も踏まえ、早期に体制整備を進めることが推奨されます。

中小企業でもAIガバナンス体制の構築は必要ですか?

規模に関わらず、AIツールを業務利用する企業はAI利用者としての責務が生じます。ガイドライン第1.2版はリスクベースアプローチを認めており、自社の利用規模・リスクに応じた現実的な対応が可能です*1。たとえば、社内の生成AIツール利用ポリシーの文書化と入力禁止情報の明文化から始めるだけでも、体制整備の第一歩となります。全社一斉の完全対応よりも、リスクの高い業務から段階的に進めることが現実的です。

AIガバナンス体制の構築にはどのくらいの期間がかかりますか?

現状把握(1〜2週間)、優先項目の対応(1〜3か月)、体制実装・運用開始(1〜3か月)という段階で進める場合、最低限の体制を整えるまでに合計で3〜6か月程度を要することが一般的です。ただし、AI利用範囲の広さ・社内調整の複雑さ・専門人材の有無によって期間は前後します。外部支援を活用すると、体制設計・文書作成の工数を短縮できる場合があります。

Human-in-the-Loop(HITL)設計はすべての業務に必要ですか?

すべての業務に同じ水準のHITL設計が必要なわけではありません。ガイドライン第1.2版では、リスクレベルに応じた段階的な設計が求められています*1。取引実行・データ削除など外部影響が大きい高リスク業務では事前承認を設定し、要約・翻訳など低リスクの業務ではサンプリング確認で対応するなど、業務特性に合わせた設計が推奨されます。AIエージェントが自律的に外部アクションを行う業務については、特に慎重な設計が求められます。

外部支援を依頼する際に最初に確認すべき事項は何ですか?

支援先を選ぶ際にまず確認すべきは、AI事業者ガイドライン対応の具体的な支援実績と、法務機能との連携体制です。ガイドライン対応はIT設計だけでなく法務・コンプライアンスの判断が不可欠なため、両面を担える体制かどうかが品質を左右します。加えて、ガイドライン改訂への継続対応(定期レビュー・更新提案)を支援範囲に含められるかを確認することで、長期的な体制維持につながる支援関係を構築できます。

著者:テレリモ総研編集部 鈴木 亮佑

LASSICに相談するメリット

LASSICは元請(プライムベンダー)として、AIガバナンス体制の設計から運用支援まで一貫して担う体制を整えています。ガイドライン改訂情報の継続モニタリングと体制へのアップデート提案を支援範囲に含めており、スポット対応にとどまらない伴走型の支援が特徴です。

ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社のAIガバナンス体制構築・ガイドライン対応を支援します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:総務省・経済産業省「AI事業者ガイドライン(第1.2版)掲載ページ」(2026年3月31日公表)

LINEで送る

こちらの記事もおすすめ

地元で働くエンジニア、テレワークで東京の大規模システム開発に従事!?

2020.07.01
リモートワークコラム

海外リモートワーク、やってます-Vol.5

2016.12.21
リモートワークコラム

自宅だけじゃない!テレワーク効率がグッと上がる最新リモートワークスポット

2020.08.04
リモートワークコラム

クラウド移行事例から学ぶ|4パターンと失敗回避の論点

2026.05.18
らしくコラム

バックナンバー

判断軸
導入支援
生成AI
Category
Home/らしくメディア/らしくコラム/AIガバナンス体制の構築を支援で進める方法|AI事業者ガイドライン対応の進め方
View