プレビュー環境のため、すべての決済はテストモードで実行されます。
AllAI
オールAI
AI講座へ戻る
Learning articleAI講座ガイド2026/7/8

内部監査・AIリスク担当向け学習ロードマップ

内部監査やリスク管理担当者がAI利用状況、権限、ログ、委託先、説明責任を確認するための90日ロードマップです。

内部監査・AIリスク担当がAI利用棚卸し、権限、ログ、委託先、改善計画を確認する流れを示す文字なしの図解
Image: Image 2.0 one-shot generated editorial image

結論

内部監査・AIリスク担当者がAIを学ぶ目的は、AIを禁止することではありません。社内でどのAIが使われ、どのデータが入力され、誰が承認し、ログがどこに残り、委託先がどこまで関与し、問題が起きたときにどう止めるかを確認できる状態にすることです。生成AIは部門ごとに使い始められるため、正式導入前から利用実態の把握が必要です。

90日で目指すのは、AI利用台帳、リスク分類、監査観点、委託先確認、改善計画の初版を作ることです。最初の30日は利用状況を棚卸しし、60日目までにリスク分類と確認項目を作り、90日目までに監査手続きと改善フォローを回せる状態にします。

30日目までに利用状況を棚卸しする

まず、社内で使われているAIを一覧にします。公式契約しているSaaSだけでなく、個人利用、ブラウザ拡張、議事録ツール、チャットボット、文書要約、社内検索、開発支援ツールも含めます。部署、利用目的、入力する情報、出力の利用先、管理者、契約形態を確認します。

棚卸しでは、AIツール名だけでなく、業務での使われ方を見ます。同じツールでも、公開情報の要約に使う場合と、顧客情報を含む問い合わせ回答に使う場合ではリスクが違います。内部監査では、利用目的とデータの組み合わせを確認します。

60日目までに監査観点を作る

監査観点は、データ、権限、委託先、出力利用、ログ、インシデント対応に分けます。AIの仕組みを細かく理解するよりも、組織として説明できる状態かを確認することが重要です。誰が承認し、どのルールで使い、問題時にどの記録から確認するのかを見ます。

観点確認すること
データ個人情報、機密情報、社外秘資料の入力可否
権限利用者、管理者、外部共有、退職者の扱い
委託先契約、再委託、学習利用、保存期間
出力利用社外提出、意思決定、レビュー責任
ログ入力、出力、承認、削除、改善履歴
停止手順問題時の利用停止、連絡先、再開条件

監査では、禁止事項を並べるだけではなく、現場が守れる運用かも確認します。ルールが厳しすぎて現場が別ツールを使う状態になると、実態把握が難しくなります。

90日目までに改善計画へつなげる

監査結果は、重大リスク、改善必要、運用改善、教育不足に分けます。たとえば、個人情報を入力している、権限管理がない、委託先の利用条件が未確認、ログが残らない、社外提出前レビューがない場合は優先度を上げます。

改善計画には、対応責任者、期限、暫定対応、恒久対応、再確認方法を入れます。AIは導入後も機能が変わるため、1回の監査で終わらせず、定期的な棚卸しとルール見直しを行います。

学習の進め方

内部監査・AIリスク担当者は、AIの技術用語を暗記するよりも、業務利用の流れを追えることが重要です。利用者に対して、何を入力し、何を出力し、誰が確認し、どの記録が残るかを聞けるようにします。委託先には、データ保存、学習利用、ログ、障害時対応、契約終了時の削除を確認します。

AI利用ガイドラインを読むときは、抽象原則を自社の確認項目へ落とし込みます。「透明性」「説明責任」「安全性」を、利用台帳、承認記録、レビュー責任、ログ、インシデント対応へ変換すると、監査で使いやすくなります。

図解で確認するポイント

この記事の画像は、AI利用棚卸し、リスク分類、監査観点、委託先確認、改善計画、再確認の流れを示す図解です。画像内にタイトルや売り文句を入れず、内部監査で確認する順序を把握できるようにしています。

AllAI内での次の行動

AIリスク管理を学ぶ場合はAI講座を確認します。利用台帳や監査ログをシステム化する場合はAI/SaaS比較、独自のAI利用管理を作る場合はAI開発会社一覧で候補を探します。

FAQ

Q. 内部監査ではAIのモデル精度まで確認すべきですか? A. 用途によります。まずは利用目的、入力データ、出力利用、レビュー責任、ログ、委託先条件を確認します。

Q. シャドーAI利用はどう見つけますか? A. 部門ヒアリング、支払い情報、ブラウザ拡張、業務資料、情報システムの利用ログ、アンケートを組み合わせます。

Q. AI利用台帳に入れる項目は何ですか? A. ツール名、部署、目的、入力情報、出力の利用先、管理者、契約、ログ、リスク分類、承認状況です。

出典:

次に見る

Related

関連する記事・ガイド