対策を急げ！ラックが示す、「現場で本当に運用可能」かつ実効性ある生成AIガイドライン策定のポイント

2026年度は要注目、AIガバナンスに変化をもたらす3つのトレンド

　藤井氏は最後に、生成AIのガバナンスに影響を及ぼす今後の注目トレンド3つを説明した。

　第一に、「AIエージェントへの対応」。2026年度中に本格的な普及が見込まれるAIエージェントだが、NHI（Non Human Identity＝人間でないID）の権限管理、データへのアクセス制御、加えてエージェントが収集・作成した情報の利用範囲を明確できなければ、機密情報が意図せず社内外に広がってしまう恐れがある。データの質がAIの出力を左右するという原則が、“AIエージェント時代”により一層重みを持つからこそ、「AIが読み込めるデータ」を整備するデータガバナンスが急務となる。

　第二のトレンドは、「AIMS認証とAI監査の台頭」だ。AIマネジメントシステムの国際規格（ISO/IEC 42001:2023）を受け、日本でも「JIS Q 42001:2025」が発行された。これによりISMSと同様に、対外的な信頼確保の観点からAIMS認証取得の動きが広がると藤井氏は予測する。ISACAでも、CISAの高度AI専門資格「AAIA（Advanced in AI Audit）」が2025年から開始されており、AI特有の監査スキルを持つ人材への需要が高まっていることは明白である。

　そして第三は、国内における「個人情報保護法の見直し」だ。検討中の改正案では、統計情報やAI開発を目的とした個人データ活用における“本人同意の緩和”が記されている。もちろん、改正案はまだ未確定の要素も多く、今後の審議で変わる可能性もあるが、たとえば想定されるケースとして、ある事業会社が顧客データをベンダーに渡し、そのデータを学習させて自社に特化したAIモデルを作ろうとする場合があるだろう。そうしたことが可能な法体系となった場合に備え、今のうちから適切なガバナンス体制を整えておくことが重要だ。

　将来の展望までを述べた後に、藤井氏は企業が最初に着手すべきこととして、「まずは自社の生成AI利用の状況を把握するところから始めよう」と再び呼びかけた。そして、講演の内容を次のように総括する。

　「シャドーAIがあれば当然ガバナンスにも穴があき、致命的なセキュリティホールとなることは大前提として押さえておきましょう。そしてガイドラインですが、生成AIの利用状況や方針は企業ごとに異なるため、策定の際は公的ガイドラインやフレームワークを参考としつつも、自社のビジネス・業務・リスクを考慮して、現実的な施策・運用に落とし込むことが重要です」（藤井氏）