タクソノミー
AIMOタクソノミーは、AIシステム、その利用、および関連するガバナンス要件を分類するための構造化された分類体系を提供します。組織全体で一貫した分類と証跡管理を可能にする8つの次元と91コードで構成されています。
目的
タクソノミーは監査の観点から3つの主要な目的を果たします:
-
説明可能性(Explainability): 組織全体でAIユースケースを説明するための共通の語彙を提供し、監査人やステークホルダーとの明確なコミュニケーションを支援します。
-
証跡準備(Evidence Readiness): 標準化された分類を使用してAIシステムを体系的に文書化し、証跡の収集とレビューをより効率的にします。
-
比較可能性(Comparability): 一貫した用語を使用して、異なる文脈間でAIユースケースを比較することを可能にします。
非過大主張(Non-Overclaim)
!!! warning "重要" AIMO Standardは説明可能性と証跡準備を支援します。法的助言の提供、コンプライアンスの保証、規制やフレームワークへの適合の認証を行うものではありません。詳細は責任境界を参照してください。
タクソノミーは分類体系のみです。以下を行うものではありません:
- いかなる法令・規制への準拠を保証すること
- 専門家による法務、セキュリティ、コンプライアンスの助言を代替すること
- 外部フレームワーク(ISO、NIST、EU AI Act等)への適合を認証すること
- リスク評価や統制の推奨を提供すること
AI/Agentic特有リスクの例(なぜAI専用の基準が必要か)
従来のセキュリティ統制(例:ISMS)だけでは、LLM/エージェント特有の失敗モードや、自律エージェントの権限行使による逸脱(例:意図しないツール実行、再帰的ループ)を、監査で説明可能な形に落とし込むのが困難です。 AIMO Taxonomyは、こうしたAI固有リスクを"共通言語"として分類し、Evidence要件・是正プロセスへ接続することを目的とします。
!!! warning "参照例にすぎません — 規範コードではありません" 以下のコードは説明用の仮例であり、規範的なAIMOコード体系の一部ではありません。提出・運用には使用せず、CodesとDictionaryの規範的定義に従ってください。
- AG-01 Runaway Loop / Recursion(自律反復による逸脱)
- AG-02 Unauthorized Tool Use(意図しないツール実行・confused deputy化)
- AG-03 Privilege Boundary Drift(権限境界の曖昧化・拡大)
AG-* を提出に使用しないでください。CodesとDictionaryの規範的次元・コードを使用してください。
次元の概要
AIMOはAIユースケースを分類するために8つの次元を使用します。各次元には固有の2文字のプレフィックスがあります。
| ID | 名称(EN) | 名称(JA) | コード数 | 説明 |
|---|---|---|---|---|
| FS | Functional Scope | 機能スコープ | 6 | どのビジネス機能が支援されるか |
| UC | Use Case Class | ユースケース分類 | 30 | どのタイプのタスクが実行されるか |
| DT | Data Type | データ種別 | 10 | どのデータ分類が関与するか |
| CH | Channel | チャネル | 8 | ユーザーがどのようにAIにアクセスするか |
| IM | Integration Mode | 統合形態 | 7 | AIがエンタープライズシステムにどう接続するか |
| RS | Risk Surface | リスク面 | 8 | どのリスクが関連するか |
| OB | Outcome / Benefit | 成果 | 7 | どのベネフィットが期待されるか |
| LG | Log/Event Type | ログ/記録種別 | 15 | どのログ/記録が必要か |
合計: 8次元にわたる91コード
IDポリシー / 名前空間を参照:EV- は Evidence 成果物ID 専用。タクソノミーのログ/記録次元は LG-(例:LG-001 … LG-015)を使用。
使用ルール
| 次元 | 選択 | 監査上の意味 |
|---|---|---|
| FS, IM | 正確に1つ | 責任割当のための主要分類 |
| UC, DT, CH, RS, LG | 1つ以上 | リスクカバレッジのための完全列挙が必要 |
| OB | 0個以上 | 任意;期待されるビジネス価値を文書化 |
次元の定義
FS: Functional Scope / 機能スコープ
AIが支援するビジネス機能による分類。正確に1つを選択。
| コード | ラベル(EN) | ラベル(JA) | 定義 |
|---|---|---|---|
| FS-001 | End-user Productivity | 社内生産性 | 社内業務の生産性向上を目的とした利用。 |
| FS-002 | Customer-facing Features | 顧客向け機能 | 顧客に提供する製品・サービス機能に組み込まれたAI。 |
| FS-003 | Developer Tooling | 開発支援 | ソフトウェア開発・エンジニアリング作業を支援するAI利用。 |
| FS-004 | IT Operations | IT運用 | IT運用・システム管理(監視、インシデント対応等)でのAI利用。 |
| FS-005 | Security Operations | セキュリティ運用 | セキュリティ監視・対応(SOC、検知、トリアージ等)でのAI利用。 |
| FS-006 | Governance & Compliance | ガバナンス/コンプライアンス | ガバナンス/コンプライアンス業務(規程、監査証跡等)を支援するAI利用。 |
UC: Use Case Class / ユースケース分類
タスクまたは対話の種類によるAI利用の分類。1つ以上を選択。 完全なリストには30コードが含まれます;以下は代表的な例です。
| コード | ラベル(EN) | ラベル(JA) | 定義 |
|---|---|---|---|
| UC-001 | General Q&A | 一般QA | 一般的な質問応答・対話利用。 |
| UC-002 | Summarization | 要約 | 文書・会議・メッセージの要約。 |
| UC-003 | Translation | 翻訳 | 言語間翻訳。 |
| UC-004 | Content Drafting | 文章作成 | メール・文書・レポートの下書き生成。 |
| UC-005 | Code Generation | コード生成 | コードやスクリプトの生成。 |
| UC-006 | Code Review | コードレビュー | コードの問題点・改善点レビュー。 |
| UC-009 | Search/RAG | 検索/RAG | RAGによる検索・質問応答。 |
| UC-010 | Agentic Automation | エージェント自動化 | 自律/半自律エージェントによるアクション実行。 |
30個のUCコードの完全なリストは辞書を参照してください。
DT: Data Type / データ種別
関与するデータの機密性と分類。1つ以上を選択。
| コード | ラベル(EN) | ラベル(JA) | 定義 |
|---|---|---|---|
| DT-001 | Public | 公開情報 | 公開されており、公に利用されることを意図したデータ。 |
| DT-002 | Internal | 社内情報 | 非公開の社内業務データ。 |
| DT-003 | Confidential | 機密情報 | アクセス制限が必要な高機密データ。 |
| DT-004 | Personal Data | 個人情報 | 各国のプライバシー法令等で定義される個人データ。 |
| DT-005 | Sensitive Personal Data | 要配慮個人情報 | 要配慮個人情報(特別カテゴリ)に該当するデータ。 |
| DT-006 | Credentials | 認証情報 | 認証情報(パスワード、APIキー等)。 |
| DT-007 | Source Code | ソースコード | ソースコードおよび関連アーティファクト。 |
| DT-008 | Customer Data | 顧客データ | 顧客から提供された、または顧客に関連するデータ。 |
| DT-009 | Operational Logs | 運用ログ | 監視・障害対応等に用いる運用/システムログ。 |
| DT-010 | Security Telemetry | セキュリティテレメトリ | アラート・検知等のセキュリティテレメトリ。 |
CH: Channel / チャネル
ユーザーがAIにアクセス・対話する方法。1つ以上を選択。
| コード | ラベル(EN) | ラベル(JA) | 定義 |
|---|---|---|---|
| CH-001 | Web UI | Web UI | WebブラウザUI経由の利用。 |
| CH-002 | API | API | API連携による利用。 |
| CH-003 | IDE Plugin | IDEプラグイン | IDE/エディタプラグイン経由の利用。 |
| CH-004 | ChatOps | チャット連携 | Slack/Teams等のチャット連携経由の利用。 |
| CH-005 | Desktop App | デスクトップアプリ | ネイティブデスクトップアプリ経由の利用。 |
| CH-006 | Mobile App | モバイルアプリ | ネイティブモバイルアプリ経由の利用。 |
| CH-007 | メール | メール経由またはメール起点の自動化で利用。 | |
| CH-008 | Command Line | CLI | CLI経由の利用。 |
IM: Integration Mode / 統合形態
AIがエンタープライズシステムに統合される形態。正確に1つを選択。
| コード | ラベル(EN) | ラベル(JA) | 定義 |
|---|---|---|---|
| IM-001 | Standalone | 単体利用 | 企業システム統合なしの単体利用。 |
| IM-002 | SaaS Integrated | SaaS連携 | SaaSアプリがAI機能を統合して提供。 |
| IM-003 | Enterprise App Embedded | 社内アプリ組込み | 社内業務アプリにAIを組み込む。 |
| IM-004 | RPA/Workflow | ワークフロー/RPA | ワークフロー自動化/RPA内でAIを呼び出す。 |
| IM-005 | On-prem / Private | オンプレ/プライベート | オンプレまたは専用環境でホストするAI。 |
| IM-006 | Managed Service | マネージド | 企業統制を伴うマネージドサービスとして利用。 |
| IM-007 | Shadow / Unmanaged | シャドー/未管理 | 承認された統制外での利用。 |
RS: Risk Surface / リスク面
AI利用に関連するリスクの種類。1つ以上を選択。
| コード | ラベル(EN) | ラベル(JA) | 定義 |
|---|---|---|---|
| RS-001 | Data Leakage | 情報漏えい | 意図しないデータ開示のリスク。 |
| RS-002 | Security Abuse | 悪用/攻撃 | 悪用(攻撃支援等)に利用されるリスク。 |
| RS-003 | Compliance Breach | 法令/規程違反 | 法令・規程・契約の違反リスク。 |
| RS-004 | IP Infringement | 知財侵害 | 著作権・特許・営業秘密等の侵害リスク。 |
| RS-005 | Model Misuse | モデル誤用 | モデルの不適切利用・過信によるリスク。 |
| RS-006 | Bias/Fairness | 偏り/公平性 | 不公平・偏りのある結果を生むリスク。 |
| RS-007 | Safety | 安全性 | 有害コンテンツや危険な推奨のリスク。 |
| RS-008 | Third-party Risk | 第三者リスク | ベンダー/下請け/モデル提供者に起因するリスク。 |
OB: Outcome / Benefit / 成果
AI利用から期待される成果・ベネフィット。任意;0個以上を選択。
| コード | ラベル(EN) | ラベル(JA) | 定義 |
|---|---|---|---|
| OB-001 | Efficiency | 効率化 | 時間・コスト効率の改善。 |
| OB-002 | Quality | 品質向上 | 成果物の品質・精度向上。 |
| OB-003 | Revenue | 売上貢献 | 売上成長への寄与。 |
| OB-004 | Risk Reduction | リスク低減 | 運用・セキュリティ・コンプライアンスリスクの低減。 |
| OB-005 | Innovation | 新規性/革新 | 新たな能力・イノベーションを実現。 |
| OB-006 | Customer Satisfaction | 顧客満足 | 顧客満足の向上。 |
| OB-007 | Employee Experience | 従業員体験 | 従業員体験の向上。 |
LG: Log/Event Type / ログ/記録種別
必要な/収集するログ/記録の種類。1つ以上を選択。(IDポリシー / 名前空間参照:EV- は Evidence 成果物ID 専用。)
| コード | ラベル(EN) | ラベル(JA) | 定義 |
|---|---|---|---|
| LG-001 | Request Record | 申請記録 | AI利用/サービスの申請と内容説明の証跡。 |
| LG-002 | Review/Approval Record | 審査/承認記録 | 審査・承認が実施されたことの証跡。 |
| LG-003 | Exception Record | 例外記録 | 例外が付与され、管理された証跡。 |
| LG-004 | Renewal/Re-evaluation Record | 更新/再評価記録 | 更新または再評価が行われた証跡。 |
| LG-005 | Change Log Entry | 変更管理記録 | 変更内容と承認の証跡。 |
| LG-006 | Integrity Proof | 完全性証明 | 完全性(ハッシュ、署名、WORM等)の証跡。 |
| LG-007 | Access Log | アクセスログ | アクセス制御とアクセス履歴の証跡。 |
| LG-008 | Model/Service Inventory | AI資産台帳 | 利用するモデル/サービスの台帳記録。 |
| LG-009 | Risk Assessment | リスク評価 | 利用/サービスのリスク評価文書。 |
| LG-010 | Control Mapping | 統制マッピング | 外部フレームワークへの統制マッピング証跡。 |
| LG-011 | Training/Guidance | 教育/ガイダンス | 利用者に提供した教育/ガイダンスの証跡。 |
| LG-012 | Monitoring Evidence | 監視証跡 | 監視・継続的監督の証跡。 |
| LG-013 | Incident Record | インシデント記録 | AI利用に関連するインシデント対応の証跡。 |
| LG-014 | Third-party Assessment | 第三者評価 | ベンダー/第三者評価の証跡。 |
| LG-015 | Attestation/Sign-off | 宣誓/サインオフ | 正式な宣誓/サインオフの証跡。 |
使用方法
証跡との関係
各証跡ドキュメントは、文書化されるAIシステムまたはユースケースを分類するために複数の次元からコードを参照します。8次元分類により以下が可能になります:
- 組織全体での一貫した分類
- 次元値によるリスクベースのフィルタリング
- カバレッジマップを通じたフレームワークマッピング
辞書の参照
スコープノートや例を含む完全なコード定義については、辞書を参照してください。
分類例
FS: FS-001(社内生産性)
UC: UC-001(一般QA), UC-002(要約)
DT: DT-002(社内情報), DT-004(個人情報)
CH: CH-001(Web UI)
IM: IM-002(SaaS連携)
RS: RS-001(情報漏えい), RS-003(法令/規程違反)
OB: OB-001(効率化)
LG: LG-001(申請記録), LG-002(審査/承認記録)
SSOT参照
!!! info "正式なソース"
正式な定義は source_pack/03_taxonomy/taxonomy_dictionary_v0.1.csv です。このページは説明用です。更新ワークフローについてはローカライゼーションガイドを参照してください。