【非エンジニアのためのClaude/Claude Codeシリーズ】Claude活用におけるAI RMFチェックシートを作ってみた

• URL: https://dev.classmethod.jp/articles/AIsecurity
• 日付: 2026-06-25
• Tier: Tier 2
• 要旨: NIST AI RMF（AIリスク管理フレームワーク）に基づく全63項目のチェックシートを作成。米国立標準技術研究所が策定したガイドラインで、Govern（統治）、Map（特定）、Measure（測定）、Manage（管理）の4つのコア機能で構成。Governは19項目（方針・手順整備、責任体制、多様な視点、リスク文化、外部意見、外部サービス管理）。チェックシートの成熟度は5段階評価（未整備→一部整備→組織的運用→定量的管理→最適化・先進的）。AI活用とセキュリティリスク管理は対立ではなくセット。法的強制力はなく「AI活用を見直すための型」として機能。

詳細

ClassMethod営業谷口氏によるNIST AI RMFの実践的活用提案。営業活動で聞かれるAI活用リスク（情報漏洩、ハルシネーション、シャドーAI、個人の無許可利用）に対応するためチェックシートを導入。AI RMFは米国立標準技術研究所が策定。4機能の構成：①Govern（19項目）＝方針・手順整備・責任体制・多様な視点・リスク文化・外部意見・外部サービス管理、②Map（18項目）＝利用目的・AI特性把握・効果とコスト・外部リスク・影響範囲、③Measure（14項目）＝評価方法設計・品質特性評価・継続監視、④Manage（12項目）＝対応計画・継続管理・外部サービス管理・関係者情報提供。成熟度5段階評価で現在地把握。Governの例：法律規制洗い出し・品質要件への組み込み・リスク対策判断基準・定期モニタリング計画・AI台帳管理・利用終了手順。チェックシート利用で「ガイドラインはあるが台帳管理していない」などの抜け漏れを可視化。評価サマリーシートで機能ごと対応率の自動集計。