【2026年最新】AI内部統制30日プラン|J-SOX対応・上場企業の必読ガイド
結論: AIガバナンスの内部統制は「規程を作って終わり」ではなく、J-SOXの統制フレームワークに沿ったモニタリング・監査・経営報告の30日サイクルで初めて機能します。
この記事の要点:
- 2024年4月施行のJ-SOX改訂版は「IT活用に関するセキュリティの確保」を明記。生成AI利用の統制が監査上の新論点に浮上した
- 2026年3月公表の「AI事業者ガイドライン第1.2版」(総務省・経産省)では、AIリスクの組織的管理と記録保持が利用事業者の責務として整理された
- 30日で基盤・実装・監査改善の3フェーズを回すことで、中規模上場企業でも最初の内部監査報告書に間に合う体制が組める
対象読者: 上場企業・上場準備中のコンプライアンス担当者、内部監査部門長、情報システム部門長、CFO・法務部門
読了後にできること: 今日、自社の生成AI利用台帳のひな型をExcelで開いてセルを埋め始められる
「ChatGPTを使っていいかどうか、うちの社内規定には何も書いていない。でも現場はもう使い始めている——」
企業向けAI研修に入ると、この状況に出くわすことが本当に多いんです。ある上場製造業(売上1,000億円規模)の内部監査部門長が、苦笑いしながら話してくれました。「監査法人から『生成AI利用の統制はどうなっていますか』と聞かれたんだけど、何も整備できていなかった」——。
ちょうど2024年4月からJ-SOXが15年ぶりに改訂され、IT活用に関するセキュリティの確保が実施基準に明記されました。そこに2025年9月のAI推進法施行、2026年3月のAI事業者ガイドライン第1.2版公表が重なって、「もう待てない」という空気が急速に広がっています。
この記事では、100社以上の企業向けAI研修・コンサル経験をもとに構成した「30日でAI内部統制を立ち上げる実装プラン」をお伝えします。規程テンプレート例・チェックリスト・経営報告書のひな型も含めて全公開しますので、今日から使ってください。
AI導入の戦略的な全体像については、AI導入戦略完全ガイドで体系的にまとめています。あわせてご確認ください。
1. 結論ファースト:30日で完成するAI内部統制の全体像(フェーズ別マップ)
まず結論から言います。AI内部統制は「難しい規程を1本作る」作業ではありません。既存の内部統制フレームワーク(COSO/J-SOX)に「AIリスク」という新しいリスクカテゴリを追加する作業です。
30日を3つのフェーズに分けると、こう整理できます。
| フェーズ | 期間 | やること | 完成物 |
|---|---|---|---|
| 基盤フェーズ | Day 1〜10 | 規程整備・リスク評価・組織設計 | 生成AI利用規程、AIリスク台帳(初版)、AI管理責任者の任命 |
| 実装フェーズ | Day 11〜20 | モニタリング・教育・台帳整備 | 利用ログ収集の仕組み、全社向け研修実施、データ分類台帳 |
| 監査・改善フェーズ | Day 21〜30 | 内部監査・経営報告・PDCA | 内部監査報告書(初版)、取締役会向け報告資料、PDCA計画 |
「30日は短すぎる」と思った方、安心してください。ここで目指すのは「完璧な統制」ではなく「監査法人に説明できる状態」です。PwC Japan監査法人が2025年に公表したJ-SOX×生成AI実証実験でも、まず「存在している統制」を可視化してから評価するアプローチが推奨されています。
「内部統制の評価範囲を選定する際に、数値基準の機械的な適用ではなく、財務報告の信頼性に及ぼす影響の重要性を考慮すべき」——金融庁「内部統制報告制度に関する実施基準」(2023年改訂、2024年4月施行)
つまり、AIリスクが財務報告の信頼性に影響を及ぼすかどうか、その「重要性」を評価するプロセス自体が内部統制の一部なのです。
全体フェーズの構造図(想定シナリオ)
事例区分: 想定シナリオ
以下は100社以上のAI研修・コンサル経験をもとに構成した典型的なシナリオです。
上場製造業A社(売上1,000億円規模、従業員2,000名)の想定スケジュール:
- Day 1: 代表取締役がAI内部統制プロジェクトをキックオフ。CFOをAI管理執行役員(AI Officer)に任命
- Day 5: 全部署に「現在使っているAIツール申告シート」を配布・回収。把握ゼロから一気に可視化
- Day 10: 生成AI利用規程(第1版)を制定・公布
- Day 15: 全社向けeラーニング(30分)を完了。受講記録をHRシステムに格納
- Day 20: AIリスク台帳(第1版)を完成させ、重点統制対象を特定
- Day 25: 内部監査部門が統制評価を開始
- Day 30: 取締役会に「AI内部統制導入状況報告」を提出
2. なぜ今、AI内部統制が必要か(J-SOX 2024改訂+AI事業者ガイドライン+AI推進法)
「うちはまだ本格的なAI導入をしていないから関係ない」——研修でよく聞くセリフですが、これが一番危ない思い込みです。
現場の担当者が個人のChatGPT無料版(データ学習オプトアウトされない設定)に機密情報を貼り付けている事例は、すでに複数の上場企業で発生しています。「本格導入していない」ではなく「野良利用が管理されていない」というのが実態なのです。
J-SOX 2024年改訂の3つのポイント(AI視点)
2024年4月1日以降の事業年度から適用される改訂J-SOXは、AI内部統制の観点から3つの重要な変更があります。
| 改訂項目 | 変更内容 | AIへの含意 |
|---|---|---|
| ①報告の範囲の拡大 | 「財務報告の信頼性」→「報告の信頼性」(非財務情報を含む) | ESGデータ・KPI報告でAIを使う場合も統制対象に |
| ②IT活用とセキュリティ | 「IT活用に関するセキュリティの確保が重要な旨を追記」 | 生成AI利用時のデータ漏洩リスクが明示的な評価対象に |
| ③不正リスクの評価 | 不正リスクへの評価・対応の重要性を明記 | AIによるレポート改ざん・ディープフェイクへの統制が必要 |
AI事業者ガイドライン第1.2版(2026年3月)の要点
2026年3月31日に公表されたAI事業者ガイドライン第1.2版(総務省・経済産業省)では、「AI利用事業者の責務」が初版(2024年4月)より詳細に規定されました。
企業が特に注意すべき点は以下の3つです。
- リスクの組織的管理: AIリスクを「個人の判断」ではなく組織的なプロセスで評価・管理すること
- 記録の保持: AIの利用目的・使用したモデル・入力データの種類について記録を保持すること
- 人間によるレビュー: 重要な意思決定にAI出力を使う場合は人間によるレビューを確保すること
AI推進法(2025年9月全面施行)が上場企業に求めること
2025年5月28日に成立・同年9月に全面施行されたAI推進法(人工知能関連技術の研究開発及び活用の推進に関する法律)は、罰則のない「ソフトロー」型です。ただし、活用事業者の責務として「国や自治体の施策への協力」が明記されました。
EY Japanの2025年10月レポート「AIが進展する社会において、企業に求められるガバナンス対応」では、上場企業が2026年3月期以降の有価証券報告書でAIリスク対応を開示することが事実上求められる可能性を指摘しています。
つまり「AI内部統制がない = 開示リスク」という構造が生まれつつあります。
3. Day 1-10:基盤フェーズ(規程整備・リスク評価・組織設計)
Day 1-2:まず「AI利用実態調査」から始める
規程を作る前に、現場が何を使っているかを把握しないと、机上の空論になります。
研修に入ると「規程を作りたい」という要望から始まることが多いのですが、現場のAI利用実態を把握しないまま作った規程は、誰にも読まれないペーパーになる——これを何度も見てきました。
まずAI利用実態申告シートを全部署に配布します。
■ 生成AI利用実態申告シート(テンプレート)
部署名: [ ]
回答者名: [ ]
回答日: [ ]
Q1. 業務で使用している生成AIツールをすべて記入してください
ツール名 | 用途 | 使用頻度 | 入力するデータの種類
例: ChatGPT Plus | メール文案作成 | 週3回 | 顧客名・案件概要
Q2. 以下の情報をAIツールに入力したことがありますか?(該当するものに○)
□ 顧客の個人情報
□ 取引先の機密情報
□ 未公開財務データ
□ 社内の人事情報
□ 特になし
Q3. AI出力を確認せずにそのままドキュメントに使用したことがありますか?
□ ある(頻繁に) □ ある(たまに) □ ない
※ 回答内容は統制整備の目的のみに使用します。個人の評価には影響しません。
不足している情報があれば、最初に質問してから作業を開始してください。
ポイント: Q3の「確認せずにそのまま使用」という質問が肝です。ある研修先の情報システム部門で試したところ、回答者の約3割が「たまにある」と答えました。これが財務報告プロセスで起きていたら、J-SOX上の重大な問題になりかねません。
Day 3-5:AIリスク台帳(初版)の作成
実態調査の結果をもとに、AIリスク台帳を作成します。KPMGが公表する内部監査へのAI活用ガイドラインでは、「生成AIの得意な機能を活かせるタスクを選択し、各アウトプットに対してヒトがチェックするポイントを設ける(Human in the Loop)」ことが推奨されています。
| リスクID | リスクカテゴリ | 具体的リスク | 発生部署 | 影響度(H/M/L) | 現在の統制 | 目標統制 |
|---|---|---|---|---|---|---|
| AI-01 | 情報漏洩 | 機密情報のAIへの入力 | 営業・法務 | H | 口頭での注意喚起のみ | 利用規程+ログ監視 |
| AI-02 | 出力の信頼性 | AI出力の無検証利用(財務報告) | 経理・IR | H | なし | Human in the Loop必須化 |
| AI-03 | コンプライアンス | 著作権・個人情報保護法違反 | マーケ・制作 | M | なし | 利用規程+研修 |
| AI-04 | 業務継続 | AIベンダー停止による業務停止 | 全部署 | M | なし | マルチベンダー戦略+BCP |
| AI-05 | ガバナンス | AI利用状況の経営陣への未報告 | 全部署 | M | なし | 四半期報告の仕組み |
AI-04のリスク(AI BCP)については、AIエージェントセキュリティ完全ガイドに生成AIサービス停止リスクへの対策を詳しくまとめています。
Day 6-7:AI管理組織の設計
「誰が責任を持つか」を明確にしないまま規程を作っても、形骸化します。
推奨する組織設計は以下の3層構造です。
■ AI内部統制 組織設計(3層モデル)
【第1層:経営レベル】
・AI管理執行役員(CAIO/AI Officer): CFOまたはCIOが兼務。四半期に1回、取締役会に報告
・AI統制委員会: CAIO + 法務部門長 + 情報システム部門長 + 内部監査部門長
【第2層:管理レベル】
・AI管理者(部門別): 各部署の責任者が兼務。月1回の利用状況報告を提出
・AI利用申請の承認者: AI管理者が新ツール・新用途の承認を担当
【第3層:実務レベル】
・AI利用者(全従業員): 生成AI利用規程を遵守し、利用ログを残す
重要: AI管理執行役員は「AI推進の責任者」であると同時に「AI統制の責任者」であること。
推進と統制を別人が担当すると、コンフリクトが生じやすい。
仮定した点は必ず"仮定"と明記してください。
Day 8-10:生成AI利用規程(第1版)の制定
規程は「完璧な1本」より「すぐに適用できる1本」が重要です。最初から完璧を目指すと、制定に3ヶ月かかります。最初の30日では「最低限の禁止事項と承認フロー」を規定し、後でアップデートする設計思想が正解です。
■ 生成AI利用規程 基本テンプレート(第1版)
第1条(目的)
本規程は、[社名]における生成AI(大規模言語モデル等を活用したAIサービス)の適切な利用を確保し、
情報漏洩・コンプライアンス違反・財務報告の信頼性への悪影響を防止することを目的とする。
第2条(適用範囲)
本規程は、当社のすべての役職員(契約社員・派遣社員を含む)に適用する。
第3条(承認済みツール一覧)
業務で使用できる生成AIツールは、情報システム部門が承認した以下のツールに限定する。
(例:Claude Teamsプラン、Microsoft Copilot M365、Google Gemini for Workspace)
新しいツールの導入申請は、所属部門のAI管理者経由で情報システム部門に提出すること。
第4条(禁止行為)
以下の情報を生成AIツールに入力することを禁止する:
①個人情報(氏名・住所・電話番号・マイナンバー等)
②未公開の重要事実(インサイダー情報)
③取引先との秘密保持契約の対象情報
④財務報告・決算・予算に関する未公開数値
⑤業務委託先・外注先の機密に該当する情報
第5条(AI出力の利用)
(1)財務報告・株主向け開示・契約書等の重要文書にAI出力を使用する場合は、
必ず担当者本人が内容を確認・検証し、その事実をドキュメントに記録すること。
(2)AI出力をそのまま外部に送付することを禁止する。
第6条(利用記録)
(1)業務でAIツールを利用した場合、所属部門のAI利用台帳に記録すること。
(2)AI管理者は月次でAI利用台帳を集計し、AI管理執行役員に報告すること。
第7条(教育)
情報システム部門は年1回以上、生成AI利用に関する教育研修を実施する。
新入社員・中途入社者は入社後30日以内に研修を受講すること。
第8条(違反への対応)
本規程に違反した場合、就業規則に基づく懲戒処分の対象となる場合がある。
附則: 本規程は[施行日]より施行する。定期見直しは制定から6ヶ月後に実施する。
※ [社名][施行日]は必ず自社に合わせて変更してください。
不足している情報があれば、最初に質問してから作業を開始してください。
4. Day 11-20:実装フェーズ(モニタリング・教育・台帳整備)
Day 11-13:利用ログの収集体制を整える
「規程は作ったけど、誰も守っているか分からない」——この状態が一番怖いです。統制を「実装」するには、モニタリングの仕組みが必要です。
小規模で始めるなら、以下のシンプルなAI利用台帳で十分です。
■ AI利用台帳(月次記録用)Excelテンプレート
列A: 記録日
列B: 部署名
列C: 担当者名
列D: 使用ツール名(例: Claude Teams)
列E: 利用目的(例: 議事録要約・メール文案・報告書作成)
列F: 入力データの分類(①一般情報 ②社内情報 ③重要情報)
列G: AI出力の確認実施(○/×)
列H: 最終成果物への使用有無(○/×)
列I: 備考
【分類基準】
①一般情報: 公開情報・外部に公開しても問題ない情報
②社内情報: 社外秘だが禁止情報に該当しないもの(議事録・内部手順書等)
③重要情報: 第4条の禁止行為に該当する可能性がある情報 → 使用禁止
毎月末日にAI管理者へ提出。記録はAI管理者が3年間保存する。
仮定した点は必ず"仮定"と明記してください。
より高度なモニタリングが必要な場合は、Microsoft PurviewやGoogle Workspace管理コンソールでAPI利用ログを取得する方法があります。ただし最初の30日では「Excelベースの台帳」から始めて、運用が定着した段階でツール化するのがベストプラクティスです。
Day 14-16:全社向け研修の実施
規程を周知するだけでは不十分です。「なぜルールが必要か」を理解させないと、現場は守りません。
研修で特に力を入れるべきは「悪い例・良い例の対比」です。
■ 生成AI利用 Before / After 研修プロンプト
【NG例】
「先月の顧客A社との商談内容を整理して、提案書を作ってください。
A社の担当者は田中部長、予算は5,000万円、秘密保持契約は2025年12月31日まで有効です。」
→ 何が問題?: 顧客名、担当者名、予算額、秘密保持契約の存在が第4条③に該当
【OK例】
「以下の商談メモをもとに提案書の構成案を作ってください。
業界: 製造業、ニーズ: 業務効率化、規模: 中規模企業
※機密情報は含めていません」
→ 情報を抽象化することで、提案書の構成案だけAIに考えさせる。
具体的な機密事項は自分で埋める。
研修後確認プロンプト(AIで試してみましょう):
「以下の情報のうち、生成AIに入力してはいけない情報を指摘してください:
・会社名: [匿名化]
・取引金額: [金額]
・担当者名: [氏名]
・会議の内容: [要約]
禁止事項に該当する可能性があれば、代替の書き方も提案してください。」
不足している情報があれば、最初に質問してから作業を開始してください。
研修の実施記録(氏名・受講日・確認テスト結果)は必ずHRシステムか専用スプレッドシートに格納します。監査法人に「研修を実施した証拠を見せてください」と言われた時、即座に出せることが重要です。
Day 17-20:データ分類台帳とAI BCP計画の整備
AI利用規程の第4条(禁止行為)を実際に機能させるには、「どのデータが重要情報か」を組織として定義する必要があります。
■ データ分類台帳(AI利用適否判断表)
分類レベル | 定義 | AI入力 | 具体例
公開情報 | 既に外部公開済み | ○ 可 | プレスリリース、公開IR情報
社内情報 | 社外秘だが禁止情報でない | △ 要注意 | 議事録、内部手順書、社内統計
機密情報 | 秘密保持義務あり | ✕ 禁止 | 顧客契約情報、未公開財務数値
個人情報 | 個人を特定できる情報 | ✕ 禁止 | 氏名+メール、採用候補者情報
インサイダー情報 | 重要事実に該当 | ✕ 禁止 | 決算前の業績予想、M&A計画
【AI BCP(事業継続計画)の追加記載事項】
・主要AIツールが72時間以上停止した場合の代替手順
・マルチベンダー戦略(例: Claude停止 → Gemini Workspaceで対応)
・AI依存度高い業務プロセスの優先復旧順位
仮定した点は必ず"仮定"と明記してください。
生成AIベンダーの停止リスクは、KPMGが2026年2月に公表した「AIはBCM/BCPをどう変えるのか」でも「AIが電力・通信と同様のインフラになりつつある」として警告されています。単一ベンダー依存はコスト面では有利ですが、停止時に全社業務が止まるリスクがあります。
5. Day 21-30:監査・改善フェーズ(内部監査・経営報告・PDCA)
Day 21-24:内部監査の実施
30日プランの仕上げは、整備した統制が実際に機能しているかを内部監査で確認することです。
AIガバナンスに特化した内部監査の評価ポイントは以下の6項目です。
■ AI内部統制 内部監査チェックリスト(初回評価版)
【規程の整備状況】
□ 生成AI利用規程が制定・公布されているか
□ 規程の適用範囲が明確になっているか(派遣・委託含む)
□ 禁止行為が具体的に定義されているか
【組織・権限】
□ AI管理執行役員が任命されているか
□ 部門別AI管理者が任命されているか
□ AI利用申請の承認フローが機能しているか
【モニタリング】
□ AI利用台帳が実際に記録・更新されているか
□ 承認されていないツールの利用を検知する仕組みがあるか
□ 月次の利用状況報告がAI管理者から提出されているか
【教育】
□ 全社向け研修を実施した証拠(記録・テスト結果)があるか
□ 新入社員向けのオンボーディング研修が設計されているか
【データ保護】
□ データ分類台帳が整備されているか
□ AI入力禁止情報の分類が社内で周知されているか
【事業継続】
□ AI BCPが事業継続計画に組み込まれているか
□ 主要ベンダー停止時の代替手順が定義されているか
評価基準: □すべて充足 → 有効 □未整備が3項目以下 → 改善要 □4項目以上 → 重要な不備
仮定した点は必ず"仮定"と明記してください。
Deloitteが公表する「生成AIを活用した内部監査」レポートでは、「生成AIを内部監査業務に活用することで、従来のRPAでは自動化できなかった臨機応変な対応が可能になる」と指摘しています。初回の監査は人手で行い、定着後にAI支援ツールを導入する流れが現実的です。
Day 25-27:監査法人(外部監査人)との対話
J-SOX 2024年改訂では、内部統制の評価範囲について「経営者と監査人との協議」が明示的に促されています。AI内部統制についても、早い段階で監査法人と対話することが重要です。
監査法人に見せる際の「説明パッケージ」の構成例:
- AI利用実態調査の結果(使用ツール・部署・利用頻度の概要)
- AIリスク台帳(初版)(リスクカテゴリ・影響度・現在の統制)
- 生成AI利用規程(制定日・適用範囲・禁止事項・承認フロー)
- 教育実施記録(研修日・参加者数・内容)
- 今後の改善計画(PDCAスケジュール・次回評価予定日)
EY Japanが提供するAIアシュアランスフレームワークでは、AI内部統制の評価を「9つのAI原則・4つのリスクカテゴリー・3つのガバナンス領域」に分類しています。自社の整備状況をこのフレームに当てはめると、監査法人との共通言語で対話しやすくなります。
Day 28-30:取締役会への報告と経営報告書の作成
最後のステップは、整備した統制の状況を取締役会に報告することです。「AIガバナンスは経営課題」という認識を取締役会レベルで共有することで、来期以降の予算・人員を確保するための正当性を作れます。
■ 取締役会向け AI内部統制報告書 構成テンプレート
1. 概要(Executive Summary)
・AI内部統制導入の目的と対応した法的要件(J-SOX改訂・AI事業者ガイドライン)
・30日間の主な整備成果(3項目に絞る)
・現在の統制レベル評価(成熟度スコア: 5段階)
2. AIリスクの全体像
・特定されたリスク数(高/中/低)
・最重要リスクとその対応状況
3. 整備した統制の一覧
・規程整備の状況(制定日・適用範囲)
・組織設計(AI管理者任命状況)
・教育実施(受講率)
・モニタリング(台帳整備状況)
4. 内部監査の評価結果
・チェックリスト充足率(〇/18項目)
・発見された重要な不備(件数・内容)
・改善計画と期限
5. 今後の計画
・次回評価予定日
・来期の整備優先事項
・予算・人員要請
6. 添付資料
・AIリスク台帳(初版)
・生成AI利用規程
・教育実施記録
・内部監査チェックリスト評価結果
※ 取締役会報告は20分以内で説明できる分量に絞る(最大10ページ)。
仮定した点は必ず"仮定"と明記してください。
6. 規程テンプレート例10選(生成AI利用ガイドライン・データ管理規程・AI BCP等)
研修・コンサル経験から、特に整備を急ぐべき10種類の規程・ガイドラインをまとめました。各テンプレートには「この規程がないと起きる事故」の一行を添えています。
規程テンプレート1: AIツール承認・禁止ツールリスト
事故防止の一行: このリストがないと、セキュリティ審査未完了のAIツールが野良利用されてデータ漏洩が起きます。
■ AIツール承認・禁止リスト管理規程
【承認済みツール(2026年XX月XX日現在)】
ツール名 | 承認用途 | 利用可能部署 | データ入力制限
Claude Teams | 文章作成・要約・分析 | 全部署 | 機密情報・個人情報禁止
Microsoft Copilot | Office文書生成・要約 | 全部署 | 機密情報禁止
Google Gemini WS | Gmail・Docs内での活用 | 全部署 | 個人情報に注意
【禁止ツール】
・無料版ChatGPT(オプトアウト設定未確認のため禁止)
・Llama.cpp等のローカル実行を除く未審査オープンソースLLM
・国内法の適用外となる海外AIサービス(個別審査が必要)
【新規ツール申請フロー】
①利用申請書を情報システム部門へ提出(フォーム: 社内ポータルXX)
②情報システム部門がセキュリティ審査(最大10営業日)
③AI管理執行役員が最終承認
④承認済みリストに追加・全社通知
不足している情報があれば、最初に質問してから作業を開始してください。
規程テンプレート2: AI出力検証手順書
事故防止の一行: AI出力のハルシネーション(事実と異なる情報の生成)を財務報告に使うと、有価証券報告書の記載誤りにつながります。
■ AI出力検証手順書(財務・IR関連業務向け)
【検証必須の用途】
・決算短信・有価証券報告書の文章作成
・株主総会資料の作成
・取引先への契約書・提案書の作成
【検証手順】
Step 1: AI出力の数値・固有名詞をすべてリストアップ
Step 2: 各項目を一次ソース(自社DB・公式資料)で照合
Step 3: 照合結果を「AI出力検証記録表」に記録
Step 4: 部門長(またはAI管理者)が検証記録を確認・承認
Step 5: 承認済みの成果物を最終版として保存
【AI出力検証記録表(フォーマット)】
文書名: [ ] 作成日: [ ] AI使用者: [ ]
確認者: [ ] 確認日: [ ]
No. | AI出力の記載内容 | 一次ソース | 照合結果(○/×)| 修正内容
1 | | | |
不足している情報があれば、最初に質問してから作業を開始してください。
規程テンプレート3: 生成AI利用インシデント対応手順書
事故防止の一行: インシデント発生時の初動が遅れると、個人情報保護法の報告義務違反(3,000万円以下の罰金)につながります。
■ 生成AIインシデント対応手順書
【インシデントの定義】
・禁止情報(機密情報・個人情報・インサイダー情報)をAIに入力した可能性がある
・AIが誤った情報を生成し、外部送付・公開した可能性がある
・承認されていないAIツールを業務で使用した
【初動手順】(発見から1時間以内)
①発見者: 直属の上長とAI管理者に即時報告
②AI管理者: インシデント記録表に記録を開始
③AI管理者: 情報システム部門に連絡し、必要に応じてアカウント停止
【エスカレーション基準】
・個人情報漏洩の可能性あり → 法務部門・コンプライアンス部門に報告
・インサイダー情報漏洩の可能性あり → 法務部門・コンプライアンス部門+CFOに即時報告
・外部送付・公開済みの場合 → AI管理執行役員・代表取締役に即時報告
【個人情報保護法上の報告義務】
個人情報漏洩が確認された場合、個人情報保護法に基づき個人情報保護委員会への
報告(72時間以内)と本人への通知が必要。法務部門と連携して対応する。
不足している情報があれば、最初に質問してから作業を開始してください。
規程テンプレート4: 外部AIサービスとの契約管理規程
事故防止の一行: ベンダーのデータ利用ポリシーを確認しないまま機密情報を入力すると、AIの学習データになる可能性があります。
■ 外部AIサービス契約管理規程
【契約前の確認事項(チェックリスト)】
□ データ保護に関する規約(入力データが学習に使われないか)
□ 準拠法と管轄裁判所(日本法準拠を原則とする)
□ 個人情報処理委託契約の締結要否(個人情報保護法第24条)
□ SOC2 Type IIまたは同等の第三者認証の有無
□ データ保存場所(国内/海外 → データ移転規制確認)
□ 障害時のSLA(稼働率保証・RTO/RPO)
□ データ削除・返還の手続き(解約時)
□ セキュリティインシデント時の通知義務
【承認フロー】
個人情報を処理するAIサービス → 法務部門・情報システム部門の両方が承認
それ以外のAIサービス → 情報システム部門が承認
仮定した点は必ず"仮定"と明記してください。
規程テンプレート5: AI利用ログ保管・廃棄規程
事故防止の一行: ログを保管しないと、インシデント発生時に何が起きたかを調査できず、監査対応もできません。
■ AI利用ログ保管・廃棄規程
【保管対象】
・AI利用台帳(月次記録): 3年間保管
・AI出力検証記録表: 5年間保管(有価証券報告書関連は7年)
・インシデント記録: 5年間保管
・教育研修参加記録: 3年間保管
・AIツール承認申請書: 3年間保管
【保管方法】
・電子データ: 社内ファイルサーバー(アクセス制限あり)またはGoogle Drive(アクセス管理設定)
・バックアップ: 月次で別媒体にバックアップ
【廃棄手順】
・保管期限到来後、AI管理者が廃棄確認リストを作成
・AI管理執行役員が廃棄を承認
・電子データの安全な削除(復元不可能な方法)を実施し記録
不足している情報があれば、最初に質問してから作業を開始してください。
規程テンプレート6: AI著作権・知的財産ガイドライン
事故防止の一行: AI生成コンテンツをそのまま商品・宣伝に使うと、著作権侵害訴訟リスクと社会的信頼失墜のリスクがあります。
■ AI著作権・知的財産ガイドライン
【基本方針】
AI生成コンテンツは「ツールで作成した素材」として扱い、
必ず人間が編集・検証・判断を加えてから使用する。
【外部公開前の確認事項】
□ 競合他社の著作物・商標・ロゴを無断で含んでいないか
□ 実在の人物・企業に関して誤解を招く表現がないか
□ AI生成画像:実在の作家スタイルを模倣していないか
□ AI生成テキスト:他社の文章を実質的にコピーしていないか
【社内コンテンツ(外部公開しない場合)】
AI生成の文章・要約・分析をそのまま社内文書に使用することは許容するが、
重要な意思決定の根拠とする場合は人間による検証を記録すること。
【AI生成コンテンツの帰属表示(任意だが推奨)】
外部公開コンテンツにAIを使用した場合、「AI支援により作成」等の表示を推奨する。
(義務ではないが、透明性の観点からAI推進法の精神に沿う)
仮定した点は必ず"仮定"と明記してください。
規程テンプレート7: AI調達・ベンダー選定基準
事故防止の一行: AIベンダーを価格だけで選ぶと、セキュリティ基準の不備や突然のサービス終了リスクを抱えます。
■ AI調達・ベンダー選定基準
【必須要件(これを満たさない場合は不採用)】
①情報セキュリティ認証: ISO27001またはSOC2 Type IIの取得
②データ保護: 入力データを自社サービス改善に使わない(オプトアウト可能)
③アップタイムSLA: 99.9%以上の稼働率保証
④国内法準拠: 個人情報保護法への対応方針の明示
【評価項目(100点満点)】
機能・性能 30点: 業務要件への適合度
セキュリティ 30点: 認証・暗号化・アクセス管理
コスト 20点: 初期費用・月額費用・スケール時コスト
サポート体制 10点: 日本語サポート・障害対応SRT
事業継続性 10点: ベンダーの財務安定性・事業継続リスク
【価格と非価格の比率】
コスト評価は最大20点(100点中)。セキュリティ(30点)を削って
コスト最優先で選定することを禁止する。
不足している情報があれば、最初に質問してから作業を開始してください。
規程テンプレート8: 生成AI BCP(AI事業継続計画)
事故防止の一行: AI依存度の高い業務が単一ベンダー停止で完全停止するリスクは、今後の事業継続上の最重要課題の一つです。
■ 生成AI BCP(事業継続計画)
【AI依存度の分類】
依存度 高: AI停止で24時間以内に業務が実質停止する
→ 代替手順を事前に整備・年1回以上の訓練必須
依存度 中: AI停止で効率が50%以上低下する
→ 人手での代替フローを文書化
依存度 低: AI停止で効率は下がるが業務継続可能
→ 代替ツールの候補リストのみ整備
【停止時の対応フロー】
障害検知 → AI管理者に報告(15分以内)
→ 影響業務の特定(1時間以内)
→ 代替手順の発動(2時間以内)
→ 経営層・関係部署への報告(3時間以内)
→ ベンダーとの状況確認・復旧見込みの把握(随時)
【マルチベンダー戦略(例)】
メインツール: Claude Teams
フォールバック1: Microsoft Copilot(M365統合)
フォールバック2: Google Gemini for Workspace
※ 各ツールで「最低限の業務継続に必要なプロンプト5選」を事前に準備する
【RTO・RPO目標値】
・AI依存度 高 の業務: RTO 4時間、RPO 0(リアルタイムで代替)
・AI依存度 中 の業務: RTO 24時間
仮定した点は必ず"仮定"と明記してください。
規程テンプレート9: 役員・取締役向け AIガバナンス報告テンプレート(四半期)
事故防止の一行: 経営陣がAIリスクを把握していないまま開示した場合、後に重要事実の虚偽記載として問題になるリスクがあります。
■ 四半期 AIガバナンス報告(取締役会向け1枚サマリー)
報告期間: [YYYY年Q] 報告者: [AI管理執行役員名] 報告日: [日付]
【KPI サマリー】
項目 | 今期 | 前期 | 目標
AI利用申請承認件数 | | |
未申請利用の発見件数 | | | 0件
研修受講率 | | | 100%
AI台帳記録完了率 | | | 95%以上
インシデント発生件数 | | | 0件(重大)
【主なリスクと対応状況】
リスク1: [内容] → 対応状況: [進行中/完了]
リスク2: [内容] → 対応状況: [進行中/完了]
【前回指摘事項の対応状況】
指摘: [内容] → 対応: [完了/進行中(完了予定日)]
【次期の注力事項】
・[優先課題1](期限: [日付])
・[優先課題2](期限: [日付])
【承認を求める事項】(必要な場合のみ)
・[予算・人員・規程改訂等の承認要請]
不足している情報があれば、最初に質問してから作業を開始してください。
規程テンプレート10: AI内部統制 成熟度自己評価シート(年次)
事故防止の一行: 自己評価がないと、統制が徐々に形骸化しても気づかず、次のJ-SOX評価サイクルで重要な不備が突然発覚します。
■ AI内部統制 成熟度自己評価シート
成熟度レベル定義:
Lv.1 初期: ガイドラインなし・個人依存
Lv.2 管理: 基本規程あり・組織的管理開始
Lv.3 定義: 統制が文書化・全社適用
Lv.4 定量: KPIで効果測定・継続改善
Lv.5 最適化: 継続改善サイクル確立・ベストプラクティス共有
評価領域 | 現在レベル | 目標レベル | ギャップ | 改善施策
政策・規程の整備 | | | |
組織・役割の明確化 | | | |
リスク評価プロセス | | | |
アクセス制御・承認 | | | |
モニタリング・ログ | | | |
教育・研修 | | | |
インシデント対応 | | | |
監査・評価 | | | |
経営報告 | | | |
事業継続(AI BCP) | | | |
総合評価: [Lv.X] 評価日: [日付] 次回評価予定日: [日付]
仮定した点は必ず"仮定"と明記してください。
7. 【要注意】AI内部統制でよくある失敗パターン4つ
「うちのAI内部統制、なんとなく動いてはいるんだけど…」という状態が最も危険です。形骸化した統制は、存在しない統制より悪い場合があります。監査法人に「統制がある」と申告して実際には機能していなければ、それは虚偽申告になりかねないからです。
失敗1:規程を作ったことに満足して終わる(形骸化)
❌ よくある間違い: 「生成AI利用規程を制定しました。J-SOX対応完了です」と報告して、後は何もしない。半年後に監査法人から「研修の実施証拠は?」「利用台帳は?」と聞かれてパニック。
⭕ 正しいアプローチ: 規程の制定は「統制の始まり」であって「終わり」ではない。制定後30日以内に①全社研修の実施証拠の作成、②AI利用台帳の記録開始、③初回モニタリングの実施を完了させる。
なぜ重要か: J-SOX評価は「統制が機能しているか(Control in Operation)」を評価します。規程が存在しても実際に機能していなければ、統制不備と判断されます。実際にある研修先で、規程制定から8ヶ月後に初めて監査法人に指摘されて慌てて整備した事例を見ました。
失敗2:現場の実態を無視した過剰規制(現場無視)
❌ よくある間違い: 「安全のために、社内AIツールは情報システム部門の事前審査を必須とする。申請から承認まで1ヶ月。」→ 現場が抜け道を探して承認外のツールを使い始める。統制の空洞化が起きる。
⭕ 正しいアプローチ: リスクに応じた規制の差分化。高リスク用途(財務報告・個人情報処理)は厳格審査、低リスク用途(メール文案・議事録要約)はガイドライン遵守で使用可。承認フローの所要日数を最大5営業日に設定する。
なぜ重要か: 厳しすぎる規制はシャドーITを生む。シャドーITによる野良利用のほうが、適切なガバナンス下での利用より遥かに高リスク。
失敗3:台帳が乱立して誰も管理しない(台帳乱立)
❌ よくある間違い: 「部署ごとにAI利用台帳を作ってください」と指示したところ、営業・経理・人事・法務がそれぞれ独自フォーマットで台帳を作成。集計不能で全社のAI利用状況が把握できない。
⭕ 正しいアプローチ: 情報システム部門が統一フォーマットを用意し、全部署に配布する。最初は「誰もが使えるシンプルなExcel1枚」から始める。ツールの乱立を防ぐには、テンプレートを先に決めてから展開することが鉄則。
なぜ重要か: 台帳の目的は「経営者がAI利用の全体像を把握できること」。形式がバラバラでは目的を達成できない。監査法人にサンプリングを求められた時に即座に提出できる状態を常に維持する。
失敗4:経営者がAIリスクを理解していない(経営者の理解不足)
❌ よくある間違い: 「AI内部統制はIT部門の問題。取締役会に報告する必要はない。」→ 生成AI利用による情報漏洩が発生した際に「取締役は知らなかった」と言い訳できない状況に。
⭕ 正しいアプローチ: AI内部統制は四半期に1回、取締役会に報告する経営アジェンダにする。報告資料は1枚サマリーで十分。「リスクと対応状況を経営陣が認識している」という証拠を残す。
なぜ重要か: 取締役の善管注意義務(会社法第330条、民法第644条)には「経営上の重要なリスクを認識し対応する義務」が含まれる。AIリスクが重大化した場合、「知らなかった」では免責されない可能性がある。
8. 監査対応・取締役会報告のポイント
AI内部統制の整備が進んだ段階で最も重要なのは、「外部に説明できる状態」を維持することです。監査法人への対応と取締役会への報告は、車の両輪です。
監査法人との対話のポイント
PwC Japan監査法人が2025年に開始した「J-SOX評価業務の生成AI活用による効率化診断サービス」では、企業側の統制整備状況をAIで分析する手法が導入されています。監査法人が使うAIツールと企業側の記録様式を揃えておくことで、監査の効率化と証拠品質の向上が同時に実現できます。
監査法人に「AI内部統制の整備が進んでいる」と評価されるための3つのポイント:
- 文書化の質: 規程・台帳・記録が「いつ・誰が・何を・なぜ」で記述されていること
- 一貫性: 規程に書いてあることと実際の運用が一致していること(規程と実態の乖離が最も監査で問題になる)
- 継続性: 1回整備して終わりでなく、PDCAサイクルで継続的に改善していること
取締役会報告で「経営リスク」として位置づけるコツ
EY Japanのレポートでは、「AIガバナンス対応が競争優位性につながる時代が来ている」と分析しています。AI内部統制を「コスト・負担」ではなく「ビジネスリスクの最小化と信頼性向上」として位置づけることが、経営陣の関与を引き出すコツです。
取締役会プレゼンで使えるフレーミング:
「AI内部統制の整備は、J-SOX対応コストではありません。生成AIという強力なツールを安全に使い続けるための”経営上の保険”です。整備された企業は、監査法人・取引先・投資家からの信頼が高まり、結果として調達コストの低下や案件獲得にもプラスに働きます。」
開示との連動(有価証券報告書・統合報告書)
2026年3月期以降、AI内部統制の開示が投資家から注目されるケースが増えています。統合報告書に「AIガバナンスの状況」セクションを設けている企業は、投資家とのエンゲージメントで有利な立場に立てます。
開示の際に含めるべき情報(最低限):
- AI利用に関するポリシーの概要と制定日
- AI管理組織の概要(責任者の役職)
- AI利用の主な用途と使用ツール(詳細は非開示でよい)
- 主要なAIリスクと対応状況の概要
9. まとめ:今日から始める3アクション
AI内部統制の整備は「一夜にして完成するもの」ではありませんが、「始めるのが遅すぎた」と感じる日は確実にやってきます。J-SOX改訂、AI推進法施行、AI事業者ガイドライン第1.2版——これらが重なった今が、整備を始める最良のタイミングです。
- 今日やること: 「AI利用実態申告シート」を作成し、来週中に全部署への配布を決定する。テンプレートはこの記事のDay 1-2セクションをそのままコピーして使えます
- 今週中: AI管理執行役員(CFO/CIOの兼務でOK)を仮決定し、社内で30日プランのキックオフ日程を確保する
- 今月中: 生成AI利用規程(第1版)を制定・公布し、初回の全社研修を実施する
AIセキュリティの技術的な側面については、AIエージェントセキュリティ完全ガイドをあわせてご参照ください。AI推進法の詳細な解説はAI推進法ガイド、AI活用に関する基本原則についてはAIガイドライン実践ガイドが参考になります。
AI内部統制の整備で迷ったこと、社内での説明に困ったことがあれば、お問い合わせフォームからお気軽にご相談ください。
参考・出典
- 内部統制報告制度に関するQ&A等の改訂について — 金融庁(参照日: 2026-05-09)
- AI事業者ガイドライン(第1.2版)令和8年3月31日 — 総務省・経済産業省(参照日: 2026-05-09)
- PwC Japan監査法人、J-SOX評価業務の生成AI活用による効率化診断サービスの提供を開始 — PwC Japanグループ(参照日: 2026-05-09)
- 内部監査業務効率化に向けたAI活用とAI信頼性監査支援 — KPMGジャパン(参照日: 2026-05-09)
- AIが進展する社会において、企業に求められるガバナンス対応 — EY Japan 情報センサー2025年10月(参照日: 2026-05-09)
- AIはBCM/BCPをどう変えるのか?〜BCPは4.0から5.0へ — KPMGジャパン(参照日: 2026-05-09)
- 第9回 生成AIを用いた内部監査 — デロイト トーマツ グループ(参照日: 2026-05-09)
- 人工知能関連技術の研究開発及び活用の推進に関する法律(AI推進法) — e-Gov法令検索(参照日: 2026-05-09)
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。X(@SuguruKun_ai)フォロワー約10万人。100社以上の企業向けAI研修・導入支援。著書『AIエージェント仕事術』(SBクリエイティブ)。SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
