アセスメントテンプレートとリスクアセスメント方法

  • リリースバージョン: Australia
  • 更新日 2026年06月17日
  • 所要時間:26分

    • AI のリスクおよびコンプライアンスアプリケーションは、アセスメントテンプレートとリスクアセスメント方法論 (RAM) を使用して、AI 資産のリスク、規制コンプライアンス、倫理的整合性を評価します。

    アセスメントおよびリスクアセスメント方法論の概要

    アセスメントテンプレートは、AI アセスメント中に使用されるアンケートと評価基準を定義します。RAM は、リスクアセスメント中に使用される採点フレームワークと分類基準を定義します。

    スマートアセスメントエンジン

    SAE は、 AI のリスクおよびコンプライアンス (AIRC) がすべての AI アセスメントを作成、管理、完了するために使用する基盤となるアセスメントプラットフォームです。SAE は、アセスメントテンプレート、質問デザイン、セクションベースの編成、採点、および共同アセスメントワークフローのためのインフラストラクチャを提供します。

    AIRC は、AI リスクとコンプライアンスコンテンツ アプリケーションとともにインストールされた SAE コンポーネントを使用して、アセスメントの作成、採点、および自動化をサポートします。

    アセスメントワークスペース

    AIRC マネージャー [sn_grc_ai_gov.ai_risk_and_compliance_manager] アセスメントワークスペースを使用してアセスメントテンプレートを管理します。移動先 ワークスペース > アセスメントワークスペース アセスメントテンプレートを表示、編集、公開します。ワークスペースには、各テンプレートのテンプレート名、公開ステータス、および関連するメタデータが表示されます。

    アセスメントワークスペースを使用して、次のアクションを実行します。

    • 利用可能なすべてのアセスメントテンプレートとその公開ステータスを表示します。
    • テンプレートを開いて、そのセクション、質問、および採点ロジックを確認または編集します。
    • ドラフトテンプレートを公開して、アセスメントで使用できるようにします。
    • カスタムアセスメント要件をサポートするアセスメントテンプレートを作成します。
    注:
    テンプレートを使用するアセスメントを開始する前に、テンプレートを公開する必要があります。詳細については、「アセスメントテンプレートを公開する」を参照してください。スマートアセスメントエンジン を使用したアセスメントの作成と編集の詳細については、「アセスメントテンプレートを作成するアセスメント後の自動化」を参照してください。

    アセスメントテンプレートの構造

    各アセスメントテンプレートは、次のコンポーネントを定義します。

    セクション
    アセスメント内の関連する質問を整理する論理グループ。セクションは、アセスメント完了時の構造とナビゲーションを提供します。
    質問
    アセスメント中に査定人が応答する個々の評価基準。質問には、複数選択肢、自由形式のテキスト、評価スケール、およびその他の回答タイプを含めることができます。
    採点ロジック
    アセスメント応答に基づいてスコアを計算するルール。採点ロジックは、個々の応答が全体的なアセスメント結果にどのように寄与するかを決定します。
    リスクとコントロールのマッピング
    特定の応答と事前定義されたリスクステートメントまたはコントロール目標との関連性。これらのマッピングは、アセスメント後のアクションを通じてガバナンスレコードの自動生成を促進します。

    アセスメント後のアクション

    スマートアセスメントのアセスメント後のアクション (sn_smart_imp_auto) は、アセスメント応答に基づいてガバナンスレコードを生成する自動化フレームワークを提供します。ユーザーがアセスメントを完了すると、システムは構成された自動化ルールに照らして応答を評価し、適用可能なリスク、コントロール、およびその他のレコードを作成します。

    事前定義されたリスクステートメントとコントロール目標はコンテンツライブラリを介して提供されますが、アプリケーションをトリガーする条件は構成可能であり、各組織がレビューおよび検証する必要があります。

    このフレームワークは、アセスメントワークフローにとって重要です。アセスメント後のアクションがない場合、アセスメント応答は、下流のガバナンスアクティビティを推進するリスクステートメントとコントロール目標を自動的に生成しません。

    スマートアセスメントのアセスメント後のアクションとともにインストールされる sn-reusable-impact-framework (sn_impact_fwk) アプリケーションは、アセスメント後のアクションが AI のリスクおよびコンプライアンス で使用する再利用可能なフレームワークコンポーネントを提供します。

    注:
    製品に付属するコンテンツは、使いやすさのみをサポートすることを目的としています。組織は、適用される法律、規制、指令、および標準へのコンプライアンスを確保し、使用されているコンテンツが正確かつ最新であることを検証する責任を負います。組織は、規制、ガバナンス、および運用の要件に合わせて、提供されたコンテンツを置き換えたり、適応させたりすることができます。

    AI リスクとコンプライアンスにおけるアセスメント後のアクションの仕組み

    AI 資産所有者 [sn_ai_asset_mgmt.ai_asset_owner] が基本的人権への影響評価 (FRIA) の質問に回答すると、アセスメント後のアクションで構成された自動化ルールに照らして応答を評価できます。ルール基準が満たされると、次の順序が発生します。

    1. システムは、アセスメントテンプレート用に設定された自動化ルールに照らしてアセスメント応答を評価します。
    2. 応答に基づいて、システムはコンテンツライブラリから該当するリスクステートメントとコントロール目標を特定します。
    3. 識別されたリスクステートメントとコントロール目標は、アセスメントレコードに関連付けられます。
    4. AI リスクとコンプライアンスアナリスト [sn_grc_ai_gov.ai_risk_and_compliance_analyst] がアセスメントを完了してクローズとマークすると、リスクレコードとコントロールレコードが生成され、AI 資産にマッピングされます。

    ガバナンスレコードが最終決定される前に、AI リスクとコンプライアンスアナリストが、生成されたリスクとコントロール目標の所定のリストをレビューします。このレビューステップは、自動生成されたレコードが正確で、関連性があり、特定の AI システムに適切であることを確認するのに役立ちます。

    注:
    カスタムアセスメントテンプレートには、自動化ルールを個別に構成する必要があります。

    ビジネス構成

    ビジネス構成により、組織はアセスメントの自動化とリスク評価の動作をガバナンス、規制、および運用の要件に合わせて調整できます。これらの構成は通常、AI リスクおよびコンプライアンスアドミニストレーターによって実行されます。

    アセスメント後のアクション構成

    AI リスクとコンプライアンスアドミン [sn_grc_ai_gov.ai_risk_and_compliance_admin] は、アセスメント応答が AI システムのガバナンス要素の関連付けと分類をトリガーする方法を決定するアセスメント後の自動化ルールを構成します。これらのルールは、アセスメントが完了して [完了してクローズ] としてマークされた後に、コントロール目標、リスクステートメント、およびシステム特性を自動的に適用する方法を管理します。

    アセスメント後のアクションは、アセスメント応答を AI システムのガバナンス分類と関連付けに変換する次のアクションタイプをサポートしています。

    アクション 説明
    コントロール目標を AI システムにマッピング 影響度評価のためにプロファイルされた質問に回答して、該当するコントロール目標をインベントリから AI システムにリンクします。
    リスクステートメントを AI システムにマッピング 影響度評価のためにプロファイルされた質問に回答して、該当するリスクステートメントをレジストリから AI システムにリンクします。
    AI システムが使用されているマップエリア:カスタマーサービス AI システムを、影響度評価、規制リスク分類、ガバナンスレポートをサポートするためにカスタマーサービスで使用されるものとして分類します。
    AI システムが使用されているマップエリア:外部パートナーエコシステム AI システムを、リスク分析、サードパーティの影響度評価、およびコンプライアンスレポートをサポートするために外部パートナーエコシステム内で使用されるものとして分類します。
    AI システムが使用されているマップエリア:ファイナンスと会計 AI システムを財務と会計アクティビティをサポートするものとして分類し、規制リスクの分類、コントロールの適用性、ガバナンスの監視をサポートします。
    AI システムが使用されているマップエリア:HR および人員 AI システムを、HR および人員のコンテキストで使用されるものとして分類し、人員の影響度評価、コンプライアンス義務、ガバナンス要件をサポートします。
    AI システムが使用されているマップエリア:内部運用 AI システムを内部運用をサポートし、影響度評価、コントロール要件、ガバナンスレポートをサポートするものとして分類します。
    AI システムが使用されているマップエリア:IT とセキュリティ AI システムを IT およびセキュリティ機能で使用されるものとして分類し、オペレーショナルリスク、コントロール適用性、ガバナンスの準備状況のアセスメントをサポートします。
    AI システムが使用されているマップエリア:営業およびマーケティング AI システムを、影響度評価、リスク評価、ガバナンスレポートをサポートするために営業およびマーケティングで使用されるものとして分類します。
    AI システムが使用されているマップエリア:サプライチェーン AI システムを、影響度評価、規制リスク分類、ガバナンスの監視をサポートするためにサプライチェーンアクティビティで使用されるものとして分類します。
    システムで使用されるマップデータ:行動データまたは使用データ 行動データまたは使用状況データを AI システムに関連付けて、影響度評価、リスク評価、およびコンプライアンス分析に使用されるデータカテゴリを文書化します。
    システムで使用されるマップデータ:ビジネスオペレーショナルデータ ビジネスオペレーショナルデータを AI システムに関連付けて、データ関連のリスク、コントロール適用性、およびコンプライアンス要件のアセスメントをサポートします。
    システムで使用されるマップデータ:顧客インタラクションデータ 顧客インタラクションデータを AI システムに関連付けて、顧客への影響、データ保護に関する考慮事項、ガバナンスレポートの評価をサポートします。
    システムで使用されるマップデータ:プロファイルまたはアカウントデータ プロファイルまたはアカウントデータを AI システムに関連付けて、リスク、影響度、およびコンプライアンスアセスメントのための識別可能なデータの使用を文書化します。
    システムで使用されるマップデータ:公開または一般情報 公開情報または一般情報を AI システムに関連付けて、使用されるデータソースを文書化し、透明性とリスク評価をサポートします。
    システムで使用されるマップデータ:機密業務データ 機密ビジネスデータを AI システムに関連付けて、リスク評価、コントロール要件、ガバナンス監視の強化をサポートします。
    AI システムの意図した結果をマッピングする 影響度評価、リスク分類、ガバナンスの意思決定をサポートするために、AI システムの意図する結果と目的をキャプチャします。
    インタラクションタイプをエンドユーザーとマッピング エンドユーザーが AI システムとやり取りする方法をキャプチャして、透明性、ユーザーへの影響、ガバナンス要件のアセスメントをサポートします。
    人間の関与のレベルをマッピングする 説明責任、コントロールの適用性、ガバナンスの準備状況をサポートするために、AI システムに関連する人間の監視または介入の程度をキャプチャします。
    AI システムの影響を受けるユーザー:外部パートナー 影響を受けるステークホルダーとして外部パートナーを特定し、影響度評価、リスク評価、および説明責任分析をサポートします。
    AI システムの影響を受けるユーザー:一般顧客ベース 顧客への影響、リスク、およびコンプライアンス義務の評価をサポートするために、影響を受けるステークホルダーとして一般顧客ベースを特定します。
    AI システムの影響を受けるユーザー:内部チーム 影響を受けるステークホルダーとして内部チームを特定し、人員の影響度評価とガバナンスの説明責任をサポートします。
    AI システムの影響を受けるユーザー:一般の対象者または大規模な対象者 影響を受けるステークホルダーとして一般または大規模な対象者を特定し、広範な影響、規制へのエクスポージャー、およびガバナンスリスクの評価をサポートします。
    生成された出力のタイプ:自動意思決定 AI システムを、規制リスク、人間による監視要件、ガバナンスコントロールのアセスメントをサポートする自動デシジョンを生成するものとして分類します。
    生成された出力のタイプ:生成されたコンテンツ AI システムを生成済みコンテンツの生成として分類し、透明性、誤用リスク、コンプライアンス要件の評価をサポートします。
    生成された出力のタイプ:インサイトとサマリー AI システムを、意思決定支援リスクとガバナンスの監視の評価をサポートするインサイトまたはサマリーを生成するものとして分類します。
    生成された出力のタイプ:ランキングとスコア 公平性、バイアスリスク、ガバナンス要件の評価をサポートするランキングまたはスコアを生成するものとして AI システムを分類します。
    生成された出力のタイプ:推奨事項 AI システムを、下流の影響、監視の必要性、コンプライアンス義務の評価をサポートする推奨事項を生成するものとして分類します。
    生成される出力のタイプ:簡易アラート AI システムを、運用への影響度とガバナンスの関連性の評価をサポートする簡易アラートを生成するものとして分類します。
    生成された出力のタイプ:システムアクション 自動化リスク、コントロール要件、ガバナンスの準備状況のアセスメントをサポートするシステムアクションを開始するものとして AI システムを分類します。

    これらのアクションタイプにより、組織はアセスメントの質問への回答方法に基づいてガバナンス要件を AI システムに一貫して関連付けることができ、アセスメント結果とリスクおよびコンプライアンスアーティファクトの間のトレーサビリティを確保できます。

    ベースシステムの一部として提供されるアセスメントテンプレートには、コンテンツライブラリに事前定義されたコントロール目標とリスクステートメントが含まれています。ただし、マッピングロジックによって、AI システムに関連付けられるガバナンス要素が決定され、アセスメント後のアクション構成によって定義されます。

    注:
    製品に付属するコンテンツは、使いやすさのみをサポートすることを目的としています。組織は、適用される法律、規制、指令、および標準へのコンプライアンスを確保し、使用されているコンテンツが正確かつ最新であることを検証する責任を負います。組織は、規制、ガバナンス、および運用の要件に合わせて、提供されたコンテンツを置き換えたり、適応させたりすることができます。

    構成は、アセスメントワークスペースで、アセスメントテンプレートを編集し、アセスメントの応答を評価する自動化ルールを定義することで実行します。各ルールは、特定の応答条件が満たされたときに関連付けるコントロール目標またはリスクステートメントを指定します。

    構成後、テストアセスメントを完了し、アセスメントが [完了してクローズ] としてマークされたら、期待されるコントロール目標とリスクステートメントが生成され、AI システムにマッピングされていることを確認します。

    アセスメント後の自動化と構成の詳細については、「 アセスメント後の自動化アセスメント後のアクションの構成」を参照してください。

    アセスメント後のアクション構成例

    次の例は、アセスメントテンプレートでアセスメント後のアクションを構成し、アセスメントの完了後に適用する方法を示しています。

    アセスメントワークスペースでは、AI リスクとコンプライアンスアドミニストレーターが公開された AI 影響度アセスメントテンプレートをレビューし、プライバシー関連の質問への回答を評価するアセスメント後のアクションを構成します。

    条件:自動化ルールは、「AI システムは個人データを使用していますか?」というアセスメントの質問に対する回答を評価します。

    応答:はい。

    アクション:応答が [はい] の場合、アセスメント後のアクションは事前定義されたガバナンス要素を関連する AI システムに自動的にマッピングします。

    マッピングされたコントロール目標:

    • データ品質の確保
    • データの収集と分析
    • フィールドデータを分析

    マッピングされたリスクステートメント:

    • 運用の継続性とダウンタイム
    • 意図しない結果
    • 風評被害
    • 規制非準拠
    • プライバシー違反
    • 過学習と過小適合
    • モデルポイズニング
    • モデルのパフォーマンス低下 (モデルドリフト)
    • 透明性と説明責任の欠如
    • 透明性と説明可能性の欠如
    • 不十分なデータ保護
    • 倫理基準への対応の失敗
    • データセキュリティ
    • データバイアス
    • データ完全性
    • アルゴリズムの偏見と差別
    • データ侵害と盗難
    • 敵対的攻撃
    • AI モデルへの無許可のアクセス
    図 : 1. 影響度評価の自動化ルールビュー
    リスクステートメントマッピング自動化ルールの例

    アセスメントが送信され、完了してクローズとしてマークされると、これらのマッピングが評価され、対応するリスクレコードとコントロールレコードが AI システムに自動的に関連付けられます。

    注:
    製品に付属するコンテンツは、使いやすさのみをサポートすることを目的としています。組織は、適用される法律、規制、指令、および標準へのコンプライアンスを確保し、使用されているコンテンツが正確かつ最新であることを検証する責任を負います。組織は、規制、ガバナンス、および運用の要件に合わせて、提供されたコンテンツを置き換えたり、適応させたりすることができます。
    リスクアセスメント方法論の構成

    アドミニストレーターは、取り込み、アセスメント、およびリスク評価ワークフロー中にどのリスクアセスメント方法論 (RAM) を適用するかを構成できます。

    構成オプションには、AI システム、モデル、データセットのデフォルトの RAM の指定や、自動または高度なリスク計算動作の有効化が含まれます。

    取り込み時に AI システムリスク分類のデフォルト RAM を構成するには、 sn_grc_ai_gov.ai_system_risk_classification_ram プロパティを設定します。

    取り込み時に自動リスク分類を構成するには、 sn_grc_ai_gov.ai_system_automated_risk_classification_asmt_ram プロパティを指定します。

    AI システム全体のリスクアセスメントに使用されるデフォルトの RAM を定義するには、 sn_grc_ai_gov.aisystem_primary_ram プロパティを設定します。

    詳細については、「AI のリスクおよびコンプライアンス プロパティの設定」を参照してください。

    重要:
    AI 資産全体のリスクスコアロールアップを有効にするには、高度なリスクアプリケーションをインストールし、[高度なリスクアセスメントに移行] プロパティを [はい] に設定します。これは、リスク計算とロールアップ動作を高度なリスクフレームワークに永続的に移行する一方向の構成変更です。「高度なリスクアセスメントプロパティの設定」を参照してください。

    アセスメントテンプレート

    次の表に、AI システム、AI モデル、および AI ケースで利用可能なアセスメントテンプレートを示します。AI のリスクおよびコンプライアンスとともに提供されるテンプレートは、[ドラフト] ステータスで提供されます。AI リスクおよびコンプライアンスマネージャー [sn_grc_ai_gov.ai_risk_and_compliance_manager] ロールを持つユーザーは、アセスメントワークスペースからドラフトテンプレートを公開します。手順については、「アセスメントテンプレートを公開する」を参照してください。

    表 : 1. アセスメントテンプレート
    名前 説明 適用先 デフォルトのステータス 使用するタイミング
    AI 影響度アセスメント AI システムが個人、社会、組織に与える潜在的な影響を評価します。アンケートベースのアプローチを使用して、プライバシー、差別の禁止、公平性、およびその他の基本的権利に関連するリスクを特定します。応答は、アセスメント後のアクションを通じて、コンテンツパックから事前定義されたリスクステートメントとコントロール目標に自動的にマッピングされます。自動的に生成されたリスクステートメントとコントロール目標について、組織内での使用状況と適用性を確認します。必要なロール:AI 資産所有者または AI リスクおよびコンプライアンスビジネスユーザー [sn_grc_ai_gov.ai_risk_and_compliance_business_user]。 AI システム ドラフト AI ユースケース送信後、評価フェーズ中。
    EU AI 法適合性アセスメントの AI 影響度アセスメント AI システムが EU 人工知能法 (AI 法) の対象となる可能性があるかどうかを評価します。リスク分類、基本的権利、安全性、透明性の要件に焦点を当てています。アセスメント結果は、完全な EU AI 法適合性アセスメントや基本的人権影響評価 (FRIA) など、追加のガバナンスアクティビティが必要かどうかを判断します。必要なロール:AI 資産所有者または AI リスクおよびコンプライアンスビジネスユーザー [sn_grc_ai_gov.ai_risk_and_compliance_business_user]。 AI システム ドラフト AI システムが EU AI 法の対象となる可能性がある場合、特に高リスク分類が可能な場合。
    EU AI 法適合性アセスメント ハイリスク AI システムが、リスク管理、データガバナンス、技術文書、透明性、人間による監視、正確性、堅牢性など、適用される EU AI 法の要件を満たしているかどうかを包括的に評価します。必要なロール:AI リスクおよびコンプライアンスアナリスト [sn_grc_ai_gov.ai_risk_and_compliance_analyst] または AI リスクおよびコンプライアンスマネージャー [sn_grc_ai_gov.ai_risk_and_compliance_manager]。 AI システム ドラフト 最初の EU AI 法のアセスメントにより、システムが高リスクに分類され、展開前のレビューが行われます。
    基本的人権への影響評価 (FRIA) ハイリスク AI システムがプライバシー、差別禁止、表現の自由、司法へのアクセス、人間の尊厳などの基本的権利にどのように影響するかを評価します。展開前に FRIA を完了して、潜在的な悪影響を文書化して軽減します。必要なロール:AI リスクおよびコンプライアンスアナリスト [sn_grc_ai_gov.ai_risk_and_compliance_analyst] または AI リスクおよびコンプライアンスビジネスユーザー [sn_grc_ai_gov.ai_risk_and_compliance_business_user]。 AI システム ドラフト 適合性アセスメントの後、潜在的な基本的権利への影響を特定し、展開前に行うことができます。
    高リスク AI アセスメントアンケート 設計、データ処理、意思決定、潜在的な害など、潜在的に高リスクとしてフラグが付けられた AI システムの詳細情報をキャプチャします。結果によって、AI システムのライフサイクル全体を通じて適用されるガバナンスコントロール、監視要件、およびレビュープロセスが決まります。必要なロール:AI 資産所有者または AI リスクおよびコンプライアンスビジネスユーザー [sn_grc_ai_gov.ai_risk_and_compliance_business_user]。 AI システム ドラフト 取り込みスクリーニングまたは影響度評価中に AI システムに潜在的高リスクとしてフラグが付けられた場合。
    AI 資産インベントリに対する AI 影響度アセスメント 親 AI システムとは無関係に、特定の AI モデルに関連するリスクを評価します。モデルがシステム間で共有されている場合、または個別のリスクプロファイルがある場合に、モデルレベルのガバナンスをサポートします。必要なロール:AI 資産所有者または AI リスクおよびコンプライアンスアナリスト [sn_grc_ai_gov.ai_risk_and_compliance_analyst]。 AI モデル ドラフト モデルに独立したガバナンス評価が必要な場合 (共有モデルや個別のモデルリスク要因など)。
    AI ケースアセスメントアンケート AI リスクとコンプライアンスワークスペース従業員センター、またはメールを通じて報告された AI ケースの標準化された評価フレームワークを提供します。一貫性のある評価、ケースの優先順位付け、および根本原因分析をサポートします。必要なロール:AI ケースアナリスト [sn_ai_case_mgmt.ai_case_analyst] または AI リスクおよびコンプライアンスアナリスト [sn_grc_ai_gov.ai_risk_and_compliance_analyst]。 AI ケース ドラフト 調査フェーズ中に、ケースがトリアージされてアナリストにアサインされた後。
    注:
    AI ケースアセスメントテンプレートは、AI ケース管理アプリケーションの一部として提供され、 AI のリスクおよびコンプライアンス アセスメントテンプレートには含まれていません。

    リスクアセスメント方法

    リスクアセスメント方法論 (RAM) は、AI 資産に関連するリスクを評価するために使用される採点フレームワーク、分類基準、および寄与要因を定義します。

    RAM は、取り込み、資産レベルのリスクアセスメント、および一括リスクアセスメントプロジェクトで使用されます。コンテンツパックにはデフォルトの RAM が用意されており、アドミニストレーターは組織の要件を満たすカスタム RAM を作成できます。

    表 : 2. デフォルトのリスクアセスメント方法
    RAM 適用先 目的 使用する場合
    AI システムのリスク分類 AI システム 取り込みまたはアセスメント中にキャプチャされた要素に基づいて、規制リスクレベル別に AI システムを分類します。 初期規制リスク分類を決定するための取り込みスクリーニング中または早期アセスメント中。

    構成して AI ユースケース要求フォームに適用すると、この RAM は [用途と目的] セクションの応答を評価し、高、中、低、許容できないなどのリスク分類をアサインします。

    AI リスクとコンプライアンスアドミニストレーターが必要な構成手順を完了していない場合、分類はデフォルトで [未 ] になります。
    AI システムの自動リスク分類 AI システム 用途と目的の応答に基づいて、初期の規制リスク分類を自動的にアサインします。 自動スクリーニングが有効になっている場合の取り込み中。
    AI インベントリのリスクアセスメント AI システム、モデル、データセット 可能性、影響度、およびコントロール有効性を使用して個々のリスクを評価し、固有リスクスコアと残存リスクスコアを計算します。 資産レベルおよび一括リスクアセスメントプロジェクト中。

    個々のリスクスコアがロールアップされ、AI 資産レコードと [リスクとコンプライアンス] ダッシュボードに表示される集計リスクスコアが形成されます。

    この RAM は、一括リスクアセスメントプロジェクトのデフォルトです。また、sn_grc_ai_gov.aisystem_primary_ram プロパティを使用して、すべてのリスクアセスメントのデフォルトのプライマリ RAM として指定することもできます。
    AI モデルまたはデータセットのリスク分類 AI モデル、データセット 特性、データの機密性、および使用目的に基づいて、リスクレベル別にモデルとデータセットを分類します。 モデルまたはデータセットに独立したガバナンス評価が必要な場合。

    AI システム分類 RAM とは異なり、この RAM はグローバルプロパティを介して適用されません。

    これは、AI モデルまたはデータセットのリスクアセスメントを開始するときに選択され、データの機密性、使用目的、関連するリスク要因などの特性を評価します。

    複数のリスクアセスメントをまとめて調整する方法については、「 AI のリスクおよびコンプライアンスのリスクアセスメントプロジェクト」を参照してください。

    重要:
    自動および高度なリスクスコアリングの動作は、RAM 構成によって異なります。AI 資産全体でリスクスコアのロールアップを有効にするには、高度なリスクアプリケーションをインストールし、高度なリスクアセスメントに移行します。これは一方向の構成変更です。

    使用目的の送信、スマートアセスメント、リスクアセスメントを利用した自動リスク分類

    自動リスク分類は、取り込みスクリーニング、アセスメント、およびリスク評価を単一のガバナンスフローに統合します。取り込み要求中に取得された情報、特に [用途と目的] セクションでプロダクトオーナーから提供された応答は、後続のアセスメントで再利用され、AI システムを高リスク、中リスク、低リスクに分類する方法に直接貢献します。

    アセスメントテンプレート、RAM、およびアセスメント後アクションを連携させることで、定性的コンテキスト、規制の影響、定量的リスクスコアリングが、AI ガバナンスのライフサイクル全体にわたって一貫して適用されるようになります。

    AI システムの一般的なアセスメントシーケンスは、これらのコンポーネントがどのように相互接続されているかを示しています。

    1. 取り込み中に、AI システム RAM の自動リスク分類は、AI ユースケース要求の [用途と目的] セクションでキャプチャされた応答を評価し、初期の規制リスク分類をアサインします。
    2. 評価フェーズでは、リスクアセスメントで、プライバシー、公平性、およびその他の基本的権利に対するシステムの潜在的な影響に関する情報が取得されます。[用途と目的] セクションからの回答は引き継がれ、継続性を確保し、重複したデータ入力を減らします。
    3. アセスメント後のアクションは、リスクアセスメント応答を評価し、構成された自動化ルールに基づいて、該当するリスクステートメントとコントロール目標をアセスメントレコードに自動的に関連付けます。
    4. AI リスクとコンプライアンスアナリストは、生成されたリスクとコントロール目標の所定のリストをレビューして、ガバナンスレコードが最終決定される前に、正確性、関連性、および適用性を検証します。
    5. アセスメントが完了してクローズとしてマークされると、リスクレコードとコントロールレコードが生成され、AI 資産にマッピングされます。AI インベントリ RAM のリスクアセスメントは、定量的スコアリングを使用して特定された各リスクを評価し、固有リスクスコアと残存リスクスコアを計算します。
    6. EU AI 法の対象となる AI システムの場合、EU AI 法適合性アセスメントや基本的権利影響評価 (FRIA) などの追加アセスメントにより、専門的な規制評価が提供されます。

    この進行全体を通じて、アセスメント結果とリスクスコアは、AI システムが次のライフサイクルフェーズに進むことができるかどうかに関するガバナンスの決定に役立ちます。これらのアクティビティがライフサイクルステージにどのように連携しているかの概要については、「 AI ガバナンスライフサイクル」を参照してください。

    注:
    自動リスク分類は、初期リスクコンテキストのみを提供します。展開の承認、ライフサイクルワークフローの開始、下流の影響度やリスクアセスメントの置き換えは行われません。