AIMOaaSにおける監査・統制:証憑(Proof)と保証(Assurance)の責任分界
本ページでは、AIモデルの運用における監査・統制の実務について、AIMOaaSが提供する証憑(Proof)と保証(Assurance)の責任分界点を明確化します。AIMOaaSは証跡の生成・目次整備を支援し、企業は証跡の確認と採用を、監査法人は検証と保証結論を担います。監査で問われやすい質問への対応観点、SLAで明文化すべき項目、欠落しやすいポイントと是正の観点を整理することで、効率的かつ効果的な監査対応を支援します。保証は監査法人等の責任範囲であり、本ページは観点整理と支援に徹します。
責任分界—Proof(証憑)と Assurance(保証結論)
役割の整理(断定なし)
| 主体 | 提供・実施するもの | 判断・観点の整理・支援であり、保証は行いませんもの | 備考 |
|---|---|---|---|
| AIMOaaS | ログに基づく証跡の生成、Evidence Pack の雛形・目次、運用記録の整備支援 | — | 証憑(Proof)の提供。保証結論は出さない。 |
| 利用企業 | 方針決定、例外承認、運用の実施、証跡の保管・提出 | 自社の統制の有効性に関する説明責任 | 監査人への説明は企業の責任。 |
| 監査法人・保証提供者 | 監査計画・証跡の受領・検証 | 保証結論(意見) | Assurance は監査法人等の責任。 |
フロー(証跡の流れ)
- AIMOaaS:ログ収集・分析 → 証跡の生成・目次の整備支援
- 企業:証跡の確認・採用判断・監査調書への貼付判断
- 監査法人:証跡の受領・検証・保証結論
許容表現(使用してよい)
- 「AIMO=証憑、貴社/貴法人=保証結論」
- 「証跡整備を支援する」「監査で説明可能にするための観点を整理する」
- 「保証は監査法人等の責任範囲です」
Proof と Assurance の責任分界
監査法人との役割確認 証跡整備支援と保証結論の範囲を文書で整理した。
- 責任分界の文書
- 契約・SOW
Proof 側の範囲を明確にする整理を支援します。保証判断は監査・御社側です。
申請・承認ログの監査観点
- 申請者・承認者が識別できる
- 日付・理由が記録されている
- 例外の有効期限が分かる
- 再審査手順が定義されている
指摘と是正の観点(例)
指摘例: 保証と証跡支援の範囲が混同されやすい
是正観点: 責任分界を明文化し、Proof は証跡整備・Assurance は御社・監査側と整理します。
SLA観点サンプル(抜粋)
| 項目 | 観点 | 備考 |
|---|---|---|
| ログ取得 | 頻度・保持期間 | 規制・契約による |
| 承認 | 誰が・いつ | 記録が残るように |
AIMOaaS は保証を提供しますか?
いいえ。Proof(証跡の整備支援)を提供し、保証結論は出しません。保証は御社および監査側の範囲です。
References
- AIMO Standard
- 監査法人の皆さまへ
- 表現規約:
_policy/content-claims.md
Proof と Assurance の対応表
対応表(断定なし)
| 主体 | 役割の観点 | 提供・判断するもの |
|---|---|---|
| AIMOaaS | 証跡の生成・整備支援 | ログに基づく証跡、Evidence Pack 雛形・目次。保証結論は出さない。 |
| 利用企業 | 運用の実施・説明責任 | 方針決定、証跡の採用・提出、監査人への説明。保証結論は出さない。 |
| 監査法人・保証提供者 | 保証結論 | 証跡の受領・検証・保証意見。Assurance は当該主体の責任。 |
許容表現
- 「AIMO=証憑、貴社/貴法人=保証結論」
- 「証跡整備を支援する」「監査で説明可能にする観点を整理する」
SLA と責任のマトリクス観点
責任のマトリクス(観点)
| 項目 | AIMOaaS の役割の例 | 企業の役割の例 | 備考 |
|---|---|---|---|
| 証跡の生成 | ログに基づく証跡・目次の整備支援 | — | 保証はしない |
| 証跡の採用・提出 | — | 採用判断、監査調書への貼付 | 企業の責任 |
| 保証結論 | 出さない | 出さない | 監査法人等の責任 |
| 更新頻度・形式 | 契約・SLA で定義 | 要請・受領・確認 | 明文化を推奨 |
契約・SLA で整理する観点(例)
- 成果物の範囲(目次・形式・サンプル等)
- 納品・更新のタイミング
- 責任分界(Proof / Assurance)の記載
- 秘密保持・データ取り扱い
よくある欠落と是正の観点
欠落と是正の観点(例)
| よくある欠落の例 | 是正の観点(例) |
|---|---|
| 証跡の頻度不足 | 規制・監査要請に合わせた取得頻度の定義と記録 |
| 形式・項目の不備 | 目次・形式のテンプレート整備と運用での遵守 |
| 責任者・承認者の不明確さ | RACI の明文化、申請・承認ログの一貫した記録 |
| 例外の記録漏れ | 例外申請・理由・有効期限・承認者を必ず記録する手順 |
| 棚卸とログの突合不足 | 棚卸周期とログ集計の紐づけ、突合結果の記録 |
| 方針と実態の乖離 | 棚卸・レビューで乖離を検知し、方針更新または運用是正 |
| 更新サイクルの未定義 | 方針・リスト・証跡の更新頻度を定義し記録 |
注意
- 「必ず是正すれば合格」等の保証はしない。組織の状況・規制に応じて必要な対策は異なる。
監査で聞かれる質問と必要証跡の対応表
質問と証跡の観点(例)
| 監査で聞かれやすい質問(例) | 説明に使う証跡・記録の観点 |
|---|---|
| 利用している AI は何か、どこで使っているか | 棚卸一覧、ログに基づく利用可視化 |
| 方針はあるか、周知されているか | 方針文書、教育・同意の記録 |
| 誰が承認しているか、例外はどう管理しているか | 申請・承認ログ、例外一覧・承認者 |
| 変更は記録されているか | 変更履歴、版管理された手順 |
| 定期的に見直しているか | 棚卸・レビュー記録、更新日付 |
Evidence Pack 表テンプレート(項目・形式・保持期間)
表テンプレート(観点)
| 項目 | 形式の例 | 保持期間の例 | 備考 |
|---|---|---|---|
| 棚卸一覧 | 一覧表(CSV/スプレッドシート等) | 規制・契約による | 更新日を記録 |
| 変更履歴 | 日付・変更内容・承認者 | 規制・契約による | 証跡と紐づけ可能に |
| 方針・手順 | 版管理された文書 | 有効期間+α | 廃止版も保管する場合あり |
| ログ・利用記録 | ログまたは集計結果(改ざん防止の観点) | 規制・監査要請による | 誰が・いつ・何を利用したかの再構成可能性 |
| 申請・承認記録 | 申請ID、日付、承認者、条件 | 事象+保持期間 | 例外は有効期限を明示 |
| レビュー・棚卸記録 | 実施日、担当、結果サマリ | 監査周期に合わせる |
最小要件表
組織・規制により要否は異なる。頻度は例。
| 統制項目 | 必要証跡の観点 | ログ/運用記録 | 頻度の例 |
|---|---|---|---|
| 利用の可視化 | 誰が・何を・いつ利用したかの説明可能性 | ログ、集計レポート | 継続または定期 |
| 方針の周知 | 周知・同意の記録 | 教育記録、同意ログ | 導入時・更新時 |
| 申請・承認 | 申請と承認の記録 | 申請ログ、承認者・日付 | 事象ごと |
| 例外管理 | 例外の理由・期限・承認者 | 例外一覧、承認記録 | 事象ごと |
| 変更管理 | 変更内容・承認 | 変更履歴、版管理 | 変更ごと |
| 棚卸 | 実態の把握と方針との整合 | 棚卸一覧、突合結果 | 四半期等、組織で定義 |
監査質問集(抜粋)
観点の整理。保証・合格を約束するものではない。
| 監査で聞かれやすい質問(例) | 説明に使う証跡・記録の観点 |
|---|---|
| 利用している AI は何か、どこで使っているか | 棚卸一覧、ログに基づく利用可視化 |
| 方針はあるか、周知されているか | 方針文書、教育・同意の記録 |
| 誰が承認しているか、例外はどう管理しているか | 申請・承認ログ、例外一覧・承認者 |
| 変更は記録されているか | 変更履歴、版管理された手順 |
| 定期的に見直しているか | 棚卸・レビュー記録、更新日付 |
| 証跡は監査調書に貼付可能な形式か | Evidence Pack 目次・形式の整備 |
RACI(簡易)
組織の体制に合わせて定義する。
| アクティビティ | R(実行) | A(説明責任) | C(相談) | I(報告) |
|---|---|---|---|---|
| 新規利用の申請 | 申請者(利用部門) | 部門責任者 | 情シス・法務 | ガバナンス担当 |
| リスク評価・審査 | 情シス/ガバナンス | 審査責任者 | 法務・リスク | 申請者 |
| 承認・却下 | 承認権限者 | 承認権限者 | — | 申請者・ガバナンス |
| 例外の申請 | 申請者 | 部門責任者 | 情シス | ガバナンス |
| 例外の承認 | 例外承認権限者 | 例外承認権限者 | 法務・コンプラ | ガバナンス |
| 棚卸・レビュー | ガバナンス/情シス | ガバナンス責任者 | 監査・法務 | 経営層 |
説明用の1枚サマリを用意しています。
役割分担の整理
AIMOaaS は Proof(証跡の生成・整備支援)を提供します。監査で説明可能にするための証拠の目次や雛形、ログに基づく可視化を整えるお手伝いをします。
保証判断(Assurance)は、御社および監査法人等の責任範囲です。当社は保証結論を出しません。役割分担を明確にしたうえで、証跡整備を伴走支援します。
よくある質問
AIMOaaSはAI監査の保証結論を出しますか?
AIMOaaSは監査の保証結論を出すものではありません。私たちは監査で必要となる証跡(Proof)の生成と整備を支援し、監査対応に必要な観点を整理します。保証結論は監査法人等の責任範囲となります。
AIMOaaSが提供する証跡は、そのまま監査に提出できますか?
AIMOaaSは証跡の生成と目次の整備を支援しますが、最終的な証跡の確認、採用判断、監査調書への貼付判断は貴社にて行っていただく必要があります。
証跡の保持期間はどのように決定すればよいですか?
証跡の保持期間は、貴社の組織状況、関連する規制要件、契約条件、および監査方針に従って決定する必要があります。AIMOaaSは一般的な観点を提供しますが、個別の保証はできません。
監査でよく聞かれる質問に対して、どのような証跡を用意すればよいですか?
内部監査や外部監査で問われやすい質問に対し、説明に用いるべき証跡の観点を表形式で整理しています。これにより、効率的な証跡準備を支援します。
AIMOaaSのサービスを利用すれば、必ず監査に合格できますか?
AIMOaaSは、監査対応を円滑に進めるための証跡整備支援と観点整理を提供しますが、監査の合格を保証するものではありません。監査の結論は監査人・保証提供者の責任範囲です。
SLAや契約で責任分界をどのように明記すればよいですか?
証跡提供・更新の責任や、成果物の範囲、納品タイミング、秘密保持・データ取り扱いなど、契約・SLAで明文化すべき観点について具体例を提示しています。
AI監査で指摘されやすい欠落点にはどのようなものがありますか?
監査や申請プロセスで指摘されやすい一般的な欠落点と、その是正のための観点を整理しています。これにより、事前にリスクを軽減するための検討を支援します。
「Human-in-the-Loop」に関する証跡はどのように準備すればよいですか?
Human-in-the-Loopに関する具体的な証跡の観点についても触れています。関連リソースを参照し、必要な証跡を整理する際の参考にしてください。
AIMO Standardとは何ですか?
AIMO Standardは、AIモデルの運用における信頼性、透明性、説明責任などを確立するためのフレームワークです。当社のサービスはこのStandardに基づき、証跡整備の観点を提供します。
複数のAIモデルを運用している場合でも、効果的に証跡を管理できますか?
はい、AIMOaaSはログ収集・分析を通じて複数のAIモデルからの証跡生成を支援し、目次の整備を行うことで、管理の効率化をサポートします。