株式会社NTTデータグループ　グローバルガバナンス本部　Technology Governance部長　伏田　享平氏

• 印刷用PDFファイルをダウンロード
• 講演資料

株式会社NTTデータグループ（以下、NTT DATA）はAI提供者として、2025年11月にISO/IEC 42001（AIマネジメントシステム：AIMS）認証を取得しました。

ここでは、NTT DATAが提供する生成AIソリューション「LITRON® Generative Assistant」を対象としたAIMS認証取得に至った経緯や取り組みにより得た効果等についてご紹介します。既存のAIガバナンスとどうつなげていけばいいのか、の判断材料になる情報を、認証を取得した立場からご紹介します。

NTT DATAではAIガバナンスを「ブレーキ」ではなくAI活用を進めるための「ドライバー」として捉えており、この考え方が認証取得の判断や進め方のすべてにつながります。

NTT DATAのAIへの取り組み方針は、「積極的なAI活用推進」と「AIガバナンスの徹底」の両輪でビジネス拡大を図るという立場を明確にしています。（図1）

社会情勢はさまざまに変化しており、人の能力に迫るAI技術、たとえば司法試験レベルの試験を突破したり、社員一人ひとりが簡単に使える技術が生まれています。言い換えればビジネスチャンスが爆発的に拡大したということになります。一方で、活用が広がればリスクも同時に拡大していきます。各国での法規制や制裁金、不適切な利用による信頼低下など、非常に大きなインパクトを与える状況になっています。

このような社会情勢を踏まえ、当社が目指しているのはお客様およびNTT DATA自身のビジネス変革です。

重要なのはAIという技術をどう使い続けるかです。そのために、当社は「積極的なAI活用推進」と「AIガバナンスの徹底」の両輪でサポートするというアプローチを取っています。

●積極的なAI活用推進
先進的な顧客との事例創出、社内での技術適用、技術アセットの整備などを進めており、まさに攻めのAIと捉えています。

●AIガバナンスの徹底
予防→検知→評価→対応のサイクルを回しながらAIの信頼性、安全性、公正性の確保を目指しています。
ガバナンスはブレーキではなく、AIという技術のアクセルを踏みつけるための仕組みである、と捉えています。

NTT DATAは、Smart AI Agent®というコンセプトのもと、人の業務を横断的に支援するAgentic AIの活用を進めています。（図2）

AIは従来の人間が事前に定義したワークフローとした業務を遂行するAIエージェントから、AI自身が自動的にワークフローを設定し、考え、実行するエージェントへと進化を遂げてきています。さらに自律的に業務やビジネスを遂行する主体性の獲得により、AIエージェントの世界観の実現に至ろうとしています。

Smart AI Agent®はAI利用者の指示に応じて自律的にタスクを組み立てるパーソナルエージェントが、複数の専門性を持つ特化エージェントと連携し、対象業務のタスクを抽出、整理、実行します。これにより、これまで人が行ってきた業務プロセスを支援、または代替します。

Smart AI Agent®を活用することで、システム開発支援、業務営業活動支援、市場調査、BPO、全般業務など、単一業務では完結しない複雑なプロセスも実行可能となります。

AIの技術動向の進化に伴い、AIガバナンスの考え方そのものも変化しています。

従来のAIは機械学習、深層学習によるデータ分析、予測、画像、音声認識など、目的が比較的明確で、人が判断する前提のもと利用されてきたことから、ガバナンスもAIを作る前にチェックする、という考え方が中心となっていました。

2022年後半に登場したのが生成AI（ジェネラティブAI）です。誰でも文章、画像、動画を自然言語で生成できるAI技術が使えるようになりました。ここで大きく変わったのは、人が事前に想定しないアウトプットをAIが創造することで、使い方、結果が完全には事前には決められていない点がポイントとなります。

今注目されているのがAgent AIです。LLM（大規模言語モデル）と外部ツールが連携し、タスクを分解し、自動実行するという、単に何かを生成するのではなく、業務そのものを実行する、という存在になりつつあります。ここまで進化すると従来のような事前にチェックし安全を担保する、という考え方は成立しません。

さらに、ロボティクスやヒューマンインタラクションなどのPhysical AIは、AIの判断によりわれわれが生活する現実世界に直接AIが影響するため、リスクの重みがさらに変わっていきます。

したがって、AIガバナンスは作る前から使い続ける間も考え続けなければならない、という捉え方にシフトしなければなりません。

技術の進化に伴いAI活用に求められる視点が変わります。生成AIでは虚偽情報や不適切な判断、差別、テスト不足による事故など、AIリスクの種類そのものが増えています。機械学習的な視点が中心であったのに対し、さらにシステムの運用ができているか、AIが出した結果を説明できるか、社会的に受け入れられるか、というシステム的、社会的、倫理的な視点も強く求められています。

重要なのは現場だけでは十分な判断ができないということです。そのために組織としての共通ルールが必要なのです。

AIMS規格はこれらの求められる視点の拡大に対し、組織としてどう向き合うかを整理した規格であると当社は捉えています。

●技術的リスク
データ流出などのセキュリティ、AIモデルに内在するバイアス、生成AI の特徴としてもっともらしい偽情報が大量にすぐに拡散できてしまうなどのリスクがあります。

●社会的リスク
プライバシー侵害や差別・偏見につながる意思決定、不正目的での利用。財産権への影響をもたらすリスクがあります。信頼を回復することよりも説明に時間が取られてしまうという特徴があります。

●法的リスク
AIの誤作動による法的トラブルのリスクです。具体的に刑事訴訟や損害賠償にまで発展するケースも現実的になってきています。いまやAIがやったこととして責任逃れはできません。そのAIを使用したり提供した企業に責任が帰属します。

AIリスクは技術から社会、法的に連鎖的に拡大していくことから、技術部門だけで閉じた対策を取るのではなく、経営、法務、人事、現場を含めた全社的なガバナンスが必要になります。

AIの特性として、予測・説明の難しさ、信頼性の判断の難しさ、技術革新の速さ、未知のリスクが挙げられ、従来のIT管理の延長では十分にコントロールできない技術です。

一方、AIは新技術、新サービス、新マーケットなどのビジネス機会をもたらします。そして、倫理観・価値観、法規制、ガイドラインなどの社会的要請もあることから、企業はビジネス機会、社会的要請の制約を同時に満たすことが求められており、その中心にあるのがAIガバナンスとなります。

なお、AIガバナンスはAIを止めるためのルールではなく、社員が迷わずAIを使えるための共通の判断基準を示し、個人の判断に依存しない、組織として運用を回す仕組みであり、ルール、教育、仕組み・体制をセットで回すことが重要です。（図3）

図4は、NTT DATAがAIガバナンスをどう実装しているかを示した図です。

• ①AIガバナンス体制整備でAIリスクを専門に担う専任組織としてAIガバナンス室を設置し、グループ会社と連携してガバナンスを推進しています。
• ②方法・ルールの整備でグローバル共通ポリシーやガイドラインの整備、生成AI利用の判断基準を明確にし、現場を止めないためのコンサルテーションと教育を行っています。
• ③コンサルテーションで、AIの利用可否判断だけでなく、どうすればリスクを軽減して案件を進められるか一緒に考える体制を設けています。

AIMS認証取得の目的は、これらの活動を第三者の視点で整理・評価してもらうという位置づけでもあります。

NTT DATAがAIMS認証取得に期待した価値は次の三点です。

●AIガバナンス体制の高度化によるリスク軽減
認証取得対応を通じ、ルールや体制の抜け漏れを洗い出し、実運用に耐えられる形にブラッシュアップすることができます。

●AIサービスの品質担保における市場競争力強化
自社提供サービスの信頼性やサービス選定を左右することになります。

●AIリーディングカンパニ—プレゼンス向上
規格に準拠することで対外的な説明力、ブランド力向上が図れ、グローバル事業を展開するうえで非常に大きな意味を持つと考えています。

今回、認証取得対象は生成AIソリューション「LITRON® Generative Assistant」の開発・提供プロセスに限定しました。会社全体で認証を取得しようとはせず、生成AIを事業として提供し、AIのリスクと価値の双方が明確であるプロダクトに焦点を絞ったため、実態に即した運用と無理のない立ち上げが可能でした。

認証取得に至るまで六つのステップで進めていきました。

①GAP分析と現状把握
社内の既存ルールや開発プロセス、関連ドキュメントの整理、AIMS規格の要求事項との照合による差分分析の実施と対応が必要な項目の洗い出し。

②AIMS運用マニュアル作成
①の結果を踏まえたAIMS運用マニュアルの作成。規格の要求事項を満たすための運用ルールの整備と関連する手順書やドキュメントの整理。

③対応アクションの実施
ルールの整備に加え、運用として定着させるため、内部監査等を通じ運用が適切に機能しているか等の対応アクションの実施。

④一次審査対応
AIMS規格の要求事項と社内ルール、ドキュメント類の整合性の確認を中心とした審査の受審。

⑤推奨改善事項への対応
指摘事項に対する追加ドキュメント整備等による改善対応。

⑥二次審査対応
ルール、ドキュメント類と運用の適切性の審査の受審。

AIMS体制については、管理主管であるAIガバナンス室と運用主体であるソリューション開発チームの連携体制を構築しました。重要なのは、ガバナンス側が全体設計やルール整備を、開発チームが実際の運用を回す主体となるよう、ガバナンス側と開発・運用側で役割を明確に分けた点です。

規格では、誰が責任者で、誰が判断するかといった点が非常に重視されるため、役割と責任を明確にし、属人化しない体制を意識して構築しています。

既存のルールやガイドラインを活用しつつ、規格で定義されている要求事項と社内ルールを繋ぐ文書として、AIMS運用マニュアルを作成しました。運用マニュアルは、適用範囲やAI方針、法令管理、プロジェクト体制、教育、内部監査、マネジメントレビュー等、AIMS運用に必要な項目を体系的に整理しています。運用マニュアルを中心として、ドキュメント体系を整備することで、実運用と規格要求の両立を図っています。この運用マニュアルを丁寧に作ったことで、審査対応のみならず、その後の運用も非常に楽になったと感じています。

認証取得にあたり苦労した点として、三つのポイントが挙げられます。

●規格の解釈
規格では、どのようにすればよいかの手順ではなく、どういう状態を実現すべきかが求められているため、どこまでを自社の適用範囲と定めるかを規格の意図を読み解きながら整理していく必要がありました。

●ルール整備
組織横断で実効性のあるルール整備と、誰が何をするかの役割と最終判断者とするかの役割分担を明確にすることが重要でした。

●運用への落とし込み
AI開発はスピードも重要となるため、既存の開発プロセスを活かしつつ、いかに実効性のある運用に落とし込むかが重要でした。

認証取得にあたり評価された点として、三つのポイントが挙げられます。

●AIリスクマネジメントの確実な実施

●AIガバナンスのリーダ—シップ

●AIリスクマネジメントの高度化

NTT DATAは社内での取り組みをベースに”Responsible & Secure AI“という考え方のもと、AIの安心・安全な活用支援サービスを展開しています。（図5）

AIモデルの脆弱性や誤情報バイパス、法規制、リスク、ディープフェイクなど、新たな脅威に向け、AIMS認証取得の経験がこのようなサービス提供の上での説得力の源泉となっていると考えています。

認証取得は一度取れば終わり、とは考えていません。AI技術、規制、社会の受け止め方もこれから確実に変わっていきますので、変化に耐えうるガバナンスの仕組みを持つことが重要と考えています。

今回の認証取得はそのための共通土台言語として、今後ますます重要になってくると考えています。

本内容は、2026年3月30日から4月20日にかけてオンデマンド配信されたJIPDECセミナー「AIのリスクマネジメントとAIマネジメントシステム（AIMS）認証の最新動向」での講演内容を取りまとめたものです。