ライフサイクル全体にわたる AI ガバナンス

AI の管理は、最初の需要と取り込みから展開、監視、価値実現に至るまで、AI 資産のライフサイクル全体にまたがる継続的なプロセスです。AI コントロールタワー (AICT) アプリケーションと AI のリスクおよびコンプライアンス (AIRC) アプリケーションを一緒に使用して、エンタープライズ AI ガバナンスへの調整されたアプローチをサポートできます。

AICT は、組織全体の AI イニシアチブを一元的に可視化し、ライフサイクル状況管理を提供します。AIRC は、AI システムが責任を持って倫理的に開発および運用されているかどうかを組織が評価するのに役立つ、リスク、規制、倫理ガバナンス機能を提供します。

新しい AI システムが導入されるか、既存のシステムが大幅に更新されてガバナンスに登録されると、管理されたライフサイクルに入ります。このライフサイクルは、取り込み、アセスメント、ビルド、レビュー、展開、および監視にまたがります。このライフサイクル全体にわたるガバナンスアクティビティは、組織がリスクを理解し、適切なコントロールを適用し、情報に基づいた展開を決定するのに役立ちます。

このライフサイクルの一環として、AI システムは通常、規制へのエクスポージャー、倫理的考慮事項、オペレーショナルリスクを評価するために影響度とリスクのアセスメントを受けます。アセスメント結果は、リスク分類、必要なコントロール、およびレビュールーティングを通知します。開発中、ガバナンスは、リスクとコンプライアンスの観点から、コントロール証明書、問題管理、およびポリシー例外処理に重点を置きます。

展開前に、AI システムがレビューされ、必要なアセスメントが完了したことが確認されます。未解決の問題とポリシー例外を解決するか正式に承認し、システムの残存リスク体制を理解する必要があります。このレビューに基づいて、AI システムは展開が承認されるか、修復のために返されるか、リリースがブロックされる可能性があります。

展開後、AI システムは運用監視フェーズに移行します。継続的なガバナンスモニタリングは、新たなリスク、使用状況の変化、進化するコンプライアンス要件の可視化を維持するのに役立ちます。重大な変更やインシデントでは、ガバナンスアクティビティが以前のライフサイクルフェーズに再入ることが必要になる場合があります。

AI ライフサイクル全体で一貫したガバナンスを適用することで、組織は AI の使用状況の可視化を一元化し、AI イニシアチブをビジネス戦略に合わせることができます。このアプローチは、組織が社内とサードパーティの両方の AI のリスクを評価および管理し、継続的な監視によりスケーラブルな展開をサポートするのにも役立ちます。

AICT と AIRC を調整されたガバナンスフレームワークとして扱うことで、デマンドから価値実現、ライフサイクルの終了に至るまで、すべてのライフサイクルプロセスにわたる一貫した監視が可能になります。

要約すると、各アプリケーションは次のように使用できます。

• AICT は AI ライフサイクルを管理し、記録システムとして機能します。

  詳細については、「AI Control Tower Home」、「AI asset lifecycle」、「Exploring AI Control Tower」を参照してください。

• AIRC は、独立したリスク、規制、およびコントロールのガバナンスを実行します。
• AICT におけるライフサイクルの進行は、AIRC で行われるリスクとコンプライアンスの意思決定によって異なります。

  AICT でこの情報がどのように表示されるかの詳細については、「 Risk and compliance tab in AI Control Tower」を参照してください。

• どちらのアプリケーションも他方を置き換えるものではありません。これらは連携して、調整されたガバナンスフレームワークをサポートします。

AI ガバナンスの役割と責任

AI ガバナンスのライフサイクルには、AICT と AIRC 全体で責任が明確に分離された個別の役割が含まれます。

AI 資産所有者 [sn_ai_asset_mgmt.ai_asset_owner] (製品所有者とも呼ばれます) は、AI システム、モデル、データセットを AI 資産として管理する責任を負います。アセスメント中に取り込みを開始し、ビジネスコンテキストを提供します。

AI 資産所有者は、展開と廃止の決定を承認します。これらの決定は、該当するリスクとコンプライアンスの承認の対象となります。AI 資産オーナーは、価値実現やライフサイクルのクローズなどの成果も所有します。

AI リスクおよびコンプライアンスマネージャー [sn_grc_ai_gov.ai_risk_and_compliance_manager] は、独立したリスクおよび規制の監督を提供します。影響度とリスクのアセスメントを開始および監督し、リスク分類を決定し、コントロールの実装を検証し、ライフサイクルの進行を承認またはブロックします。

AI リスクとコンプライアンスビジネスユーザー [sn_grc_ai_gov.ai_risk_and_compliance_business_user] と AI スチュワード [sn_ai_governance_ai_steward] は、ガバナンスアクティビティを実行します。これらのロールは、アセスメント入力を提供し、コントロール証明書などのアサインされたタスクを実行し、修復と問題管理をサポートします。また、ライフサイクル全体を通じてインベントリレコードを正確に保つのにも役立ちます。

必要に応じて、セキュリティ、法務、プライバシー、データガバナンスチームなどの他のガバナンスステークホルダーが参加します。アセスメント、レビュー、および調査アクティビティ中に専門知識を提供します。これらのステークホルダーは、ライフサイクルの意思決定を所有していません。

AICT および AIRC のロールの詳細については、「 AI のリスクおよびコンプライアンスとともにインストールされるロール と AI Control Tower roles」を参照してください。

AI ガバナンスライフサイクルのフェーズとプロセス

これらのフェーズは、概念レベルでの AI ガバナンス活動を表しており、AICT および AIRC 内の複数のワークフローステップにまたがる場合があります。

デマンド:取り込みまたはオンボーディング

ライフサイクルは取り込みから始まり、新しい AI ユースケース、機能拡張、アイデアがガバナンスのために送信されます。Intake は、AI システムの目的、スコープ、意図する結果、および使用状況コンテキストをキャプチャするための一元化されたエントリーポイントを確立します。このフェーズでは、AI の需要を早期に可視化できるため、組織は開発を開始する前に潜在的なリスク、重複、または不整合を特定できます。

AI 資産所有者、AI スチュワード、または AIRC ビジネスロールを持つチームメンバーは、 従業員センター を使用して取り込み要求とともに取り込み関連情報を送信し、その意図、スコープ、および組織の配置に基づいて AI イニシアチブを管理ライフサイクルに入る必要があるかどうかを判断できます。AI 資産所有者または AI スチュワードロールを持っている場合は、従業員センター を介して要求を送信した後、AI コントロールタワーワークスペースを使用して取り込み要求を確認して進めることができます。

AIRC および AICT での取り込み要求の詳細については、「 要求を取り込む、 AI ユースケースの要求、 AI モデルを要求する、および データセットを要求する」を参照してください。

取り込み時に、AI 取り込み要求、初期 AI システムレコード、および AI イニシアチブのビジネスコンテキストが作成されるか、必要になります。

社内とサードパーティの両方の AI ユースケースを含む、すべての AI ユースケースの取り込みは、 AI コントロールタワー アプリケーションでライフサイクル管理されます。 AI コントロールタワー は、管理された AI ライフサイクルに入る必要があり、ライフサイクル追跡とポートフォリオの可視化のための記録システムとして機能する AI システムとユースケースを登録する必要があります。

AIRC は AI ユースケースの取り込みを所有していません。AIRC を持っている場合は、AI ユースケースが AICT に登録されると、影響度評価や規制評価などのリスクとコンプライアンスガバナンスのコンテキストを提供することで、取り込み後に参加できます。

従業員センター を使用してレビュー用に AI ユースケースを要求するか、AICT を使用して、履行者による承認されたオンボーディングの一部として AI 資産を直接追加します。詳細については、「 Create AI system assets」、「 Create an AI case in the AI Control Tower」、「 Create AI model assets」、「 Create prompt assets」、「 Create dataset assets」を参照してください。

戦略的ポートフォリオ管理 (SPM) がインストールされている場合は、拡張要求、アイデア、フィードバックを送信して管理できます。拡張要求、アイデア、フィードバックは、AICT または AIRC を介して AI ガバナンスライフサイクルに入ることはありません。戦略的ポートフォリオ管理 (SPM) の詳細については、「Strategic Portfolio Management」を参照してください。

注:

取り込み要求は、AI ユースケースを導入または管理するための提案を表します。取り込み要求を送信しても、AI 資産は作成または展開されません。取り込みレビューの後、AI システム、モデル、データセットは、承認されたオンボーディングとライフサイクルの開始の一環として AICT に登録できます。取り込み時に選択された AI システムまたはモデルカテゴリ (エージェント型や生成型など) は、説明的なコンテキストのみを提供します。ライフサイクルの進行状況、アセスメント要件、およびガバナンスの決定は、カテゴリの選択ではなく、リスク分類、アセスメント結果、および構成されたガバナンスルールによって決定されます。

AI 資産のインベントリとディスカバリーは、デマンドフェーズで開始され、管理対象の AI ライフサイクルのすべてのステージにわたって存続するライフサイクル全体の機能です。取り込みと承認されたオンボーディングの一環として、AI システム、モデル、データセット、プロンプト、および関連するアーティファクトが登録または検出され、一元化された AI インベントリに記録されます。

AI 資産インベントリは、社内で開発された AI やサードパーティの AI を含む、企業全体の AI 資産の信頼できるビューを提供します。インベントリレコードは取り込みから展開、廃止まで保持されるため、ライフサイクルワークフローを通じて資産が進行するにつれて、トレーサビリティ、可視化、ガバナンスが可能になります。

AI 資産は、取り込み時やオンボーディング時の手動登録、およびサポートされているクラウドおよびサードパーティプラットフォームとの構成済みの統合を使用した自動検出を通じて、インベントリに追加できます。検出された資産と関係は、AI 資産所有者と AI スチュワードによってレビューおよび完了され、インベントリの正確性とガバナンスの準備状況が確保されます。

AICT は、AI 資産インベントリを所有および管理し、AI 資産レコード、関係、およびライフサイクルステータスの記録システムとして機能します。AIRC は、影響度評価、リスク分類、コントロール評価、規制レポートなどの下流のガバナンスアクティビティのためにインベントリデータを消費しますが、インベントリレコードを作成または所有することはありません。

注:

自動ディスカバリーには、サポートされている統合を構成する必要があります。エンタープライズ AI ディスカバリーと自動インベントリ取り込みの詳細については、「 AI connections と AI connections setup」を参照してください。

構築と検証:評価

このフェーズでは、ライフサイクルプレイブックを通じてガバナンスアクティビティが実行されます。プレイブックは AICT の AI 資産レコードに添付され、ガバナンスロール全体で必要なアセスメントタスク、承認、および引き継ぎを定義します。ライフサイクルプレイブックは、AICT および AIRC アプリケーション全体で必要なタスクと引き継ぎを調整します。

ライフサイクルプレイブックは、アセスメントプロセスを通じて次のロールをガイドします。

AI スチュワードは、ライフサイクルレビューを開始し、プレイブックタスクをアサインし、AI システム全体のライフサイクル全体の進行状況を監視することで、AICT のアセスメントフェーズを開始および管理します。

AI 資産所有者は、AICT でシステムの詳細とビジネスコンテキストを提供し、AI 資産インベントリでキャプチャされた情報を使用して必要なアセスメント (影響度やリスクアセスメントなど) を完了します。

AIRC アナリストは、AIRC でガバナンス評価を実行します。これらの評価には、規制の影響度アセスメント、リスク分類、および AICT からのシステムおよびビジネス情報に基づく必要なコントロールの特定が含まれます。

AIRC マネージャーは、AIRC でアセスメント結果をレビューし、特定されたリスクが許容可能かどうかを判断し、AI システムがライフサイクルを進める前に必要なコントロールまたは緩和策を承認します。

AICT は、アセスメントフェーズ全体を通じて、AICT と AIRC 間のタスクの実行、承認、およびステータスの移行を調整し、ライフサイクルが進行する前に必要なアセスメントが完了したかどうかを可視化します。

アセスメント中に、影響度評価結果、リスク分類、特定されたリスク、および推奨コントロールが作成または更新されます。これらの結果によって、AI システムが次のライフサイクルフェーズに進むことができるかどうかが決まります。

詳細については、「Playbooks」、「AI ユースケースの影響度評価を実行する」、「AI システムでリスクアセスメントを実行」を参照してください。

ビルドと検証:ビルドとテスト

ビルドおよびテストフェーズでは、定義されたコントロール、修復アクティビティ、および検証手順を通じて、アセスメント中に特定されたリスクに確実に対処することで、開発中にガバナンスを適用します。

プレイブックは、ビルド中とテスト中に修復、コントロール証明書、および証拠収集アクティビティを引き続きガイドします。ライフサイクルの進行は、必要なガバナンスタスクの完了に依存します。

AICT は引き続きライフサイクル状況を管理し、ガバナンスの進捗状況を追跡します。AIRC は、必要なコントロールが実装されていること、およびライフサイクル全体を通じて問題や例外が文書化され、対処されていることを検証します。

AI 資産所有者と開発チームは、必要なコントロールと修復アクティビティを実装します。AIRC のビジネスユーザーとアナリストは、コントロール証明書をレビューし、提出された証拠をレビューして、必要なコントロールが実装され、意図したとおりに動作していることを検証します。

コントロール証明書は、アセスメント、ビルドと検証、オフボーディングなど、ライフサイクルの複数のステージで発生する可能性があります。コントロール証明書の完了はガバナンスの準備に貢献しますが、それ自体が展開を承認するわけではありません。

AIRC マネージャーは、必要なコントロールと修復アクションが実装され、有効であることを確認します。

検証中に、コントロール証明書、問題レコード、修復証拠、および例外レコードのレコードが作成または更新されます。

詳細については、「AI のリスクおよびコンプライアンスを使用したコントロールの管理」、「AI 資産のコントロール証明書を作成」、「AI のリスクおよびコンプライアンス での問題の修正」を参照してください。

ビルドと検証:展開前のレビュー

展開前に、AI システムは展開前レビューを受け、必要なアセスメントが完了し、優先度の高い問題と例外に対処され、残存リスクが理解されて文書化されていることを確認します。

AICT は、展開前のライフサイクルゲートを管理します。AIRC は最終ガバナンスレビューを実施し、リスク体制、コントロールの実装、および残存リスクに基づいて展開の準備状況を判断します。

展開前のレビューでは、プレイブックは、アセスメントの完了、コントロールステータス、未解決の問題、文書化された残存リスクを表示することで、ガバナンスの準備状況を示します。プレイブックは展開を承認しません。承認または却下の決定は AIRC マネージャーによって行われ、AICT によって管理されるライフサイクル状況に反映されます。

AIRC マネージャーは、ガバナンスの準備状況と残存リスクに基づいて展開を承認またはブロックします。

ガバナンスの決定は AIRC で行われ、ライフサイクル状況の変更は AICT で記録されて適用されます。

詳細については、「Overview tab in AI Control Tower」と「[リスクとコンプライアンス] タブ」を参照。

価値の展開、監視、評価:監視

展開後、ガバナンスアクティビティは、報告されたイベント、運用の変更、ガバナンスシグナルについて AI システムを監視します。これらのアクティビティは、アセスメント、レビュー、および規制の更新を通じて、効果的なリスク管理と新たなリスクへの対応をサポートします。継続的な監視は、組織が新たなリスクを早期に特定し、展開後に監査可能なガバナンス体制を維持するのに役立ちます。

継続的な監視では、調査や正式な意思決定を必要とするガバナンスイベントが生成される場合があります。AI ケース管理は、ライフサイクルの継続性を損なうことなく調査、例外処理、文書化、および再アセスメントを可能にすることで、これらのイベント駆動型ガバナンスアクティビティをサポートします。

AI ケース管理は、ガバナンスの決定で必要な場合を除き、AI システムのライフサイクルフェーズを変更することなく、調査、例外処理、規制対応をサポートする AIRC のライフサイクル横断型機能です。

AICT は、ライフサイクル状況と運用シグナルを追跡します。AIRC は、モニタリング出力を使用して、再評価、コントロールの更新、またはガバナンスの介入が必要なタイミングを特定します。

AIRC マネージャーは、運用またはガバナンスのシグナルに基づいて、変更、再評価、または介入が必要かどうかを判断します。ケースと問い合わせは、進行中の AI ガバナンスの通常の部分であり、必ずしも失敗または非準拠を示すわけではありません。

詳細については、「AI cases tab in AI Control Tower」、「AI ケースと照会」、「[操作] タブ」を参照してください。

価値の展開、監視、評価:価値

価値プロセスでは、アダプション、パフォーマンス、成果を測定して、AI イニシアチブが期待されるビジネス価値と戦略的影響をもたらしているかどうかを把握することに重点を置いています。価値の測定は、組織がリスクとコンプライアンスのレビューを通じて、AI 関連のリスクへの継続的なエクスポージャーが実現されたビジネス成果によって正当化されるかどうかを判断するのに役立ちます。

AICT は、価値、採用、および結果のメトリクスをキャプチャし、ライフサイクル全体を通じてそれらを AI システムとユースケースに関連付けます。

AI 資産所有者は、測定された結果とビジネス価値に基づいて、AI システムの維持、拡張、調整、または廃止のいずれを決定します。AIRC マネージャーは、この決定の一環として、継続的なリスクが引き続き許容されていることを確認します。

価値測定は、継続的なリスク受容を通知し、AI 関連リスクへの継続的なエクスポージャーを正当化するのに役立ちます。

AICT でキャプチャされた価値のある成果を 戦略的ポートフォリオ管理 (SPM) が利用できるようにして、個々の AI 資産を超えて、より広範なポートフォリオ計画、資金調達、優先順位付けの決定に役立てることができます。

監視中に特定されたガバナンスアクションは、AICT を介して管理される再評価、追加のコントロール、またはライフサイクルステータスの更新につながる場合があります。

詳細については、「Value tab in AI Control Tower」、「Adoption tab in AI Control Tower」、「AI リスクヒートマップワークベンチ」を参照してください。

ライフサイクルクローズ:廃止とオフボーディング

AI ガバナンスには、ライフサイクルクローズが含まれます。AI システム、モデル、データセットは、ビジネスニーズを満たさなくなった場合、許容できないリスクをもたらす場合、または期待される価値を提供できない場合、廃止またはオフボーディングされる可能性があります。ライフサイクルクローズは、AI 資産が正式に廃止され、文書化され、アクティブなガバナンス義務の対象でなくなるようにすることで、残存リスクを軽減します。

AICT はライフサイクルクローズを管理し、AI システムのライフサイクル状況を更新します。AIRC は、最終的なガバナンス義務が満たされていること、および未解決のリスクやコンプライアンス要件が残っていないことを検証します。

AI 資産所有者は、AIRC マネージャーからの確認を得て、廃止または退職の決定を承認します。

退職中に、更新されたライフサイクルステータス、廃止の理由、および最終的なガバナンスレコードが作成または更新されます。

詳細については、「Complete AI asset lifecycle」と「オフボーディング AI 資産レビュー」を参照。