AI 活用が広がる一方で、ガバナンスの水準や国際規格への適合度を客観的に示せる企業は、まだ多くありません。目的に応じて選べる 2 つのアセスメントで、現状の可視化から ISO/IEC 42001 の認証準備までをワンストップで支援します。
独自 56 項目で、ガバナンスの“ 今の実力” をレベル 1〜5 で可視化します。経営報告・現状把握に。
附属書 A/B の管理策・観点に、文書がどこまで適合しているかを証拠付きで判定します。認証準備に。
独自評価シートで成熟度を可視化
附属書 A/B を 1 件ずつ突き合わせ
ISO/IEC 42001・NIST AI RMF・OWASP
全判定に文書引用を紐づけ(証拠ベース)
AI ガバナンスの“現状把握”と“規格適合の証明”は、似ているようで目的が異なります。
次のようなお悩みは、私たちの 2 つのサービスで解決できます。
AI 利用が社内に広がったが、ガバナンスの現状を“ レベル感” で把握できていない
経営層・取締役会に、AI リスク管理の現状を一枚で説明したい
ISO/IEC 42001 の認証取得を検討している/取引先から求められた
規程はあるが、規格条文との対応づけが無く、審査で説明できる状態になっていない
自社開発した AI が、開発者として満たすべき規格要件をクリアしているか不安
既存の ISMS(27001)を活かして、AIMS を統合的に整備したい
「まず全体像と弱点を知りたい」ならサービス A。
「認証・取引先評価に向けて規格適合を厳密に示したい」ならサービス B。
両方を組み合わせると、現状把握から認証準備まで一気通貫で進められます。
ガバナンスの“今の実力”を測る
規格への“適合”を証明する
ガバナンスの“ 今の実力” を測る
規格への“ 適合” を証明する
ISO/IEC 42001・23894、NIST AI RMF、OWASP Agentic Top 10 を横断した独自の 56 項目で、AI ガバナンスを成熟度レベル 1〜5 で評価します。7 大項目(原則とガバナンス/枠組み/リスクアセスメント/リスク対応/モニタリング/技術的目標/インシデント対応)を、AI 利用者・AI 開発者の両観点で網羅します。
経営層が一目で分かります — 7 大項目のレーダーチャートと総合スコアで、現状を俯瞰できます。
新領域もカバーします — シャドー AI・エージェント権限・AI 生成コード検証・キルスイッチなど、規格だけでは拾いきれない最新リスクも評価します。
優先度付きの改善ロードマップ — 「被害 × 発現確率」で算定した優先度に沿って、短期/中期/長期の打ち手を提示します。
主な成果物
ISO/IEC 42001:2023 の附属書 A(38 管理策)と附属書 B(実装ガイダンスの観点・約 220)に対し、 貴社の規程・AI ポリシー・情報セキュリティ規程・AI システム設計書を 1 件ずつ突き合わせて適合/不適合を判定します。管理策レベルの ○× で終わらせず、規格が求める細目まで確認します。
観点の粒度で可視化します — 附属書 B の実装ガイダンスを観点単位に分解し、○/△/×/— で判定します。
証拠ベース・トレーサブル — すべての判定に文書の引用(文書名・章節)を紐づけ。審査員・監査人にそのまま提示できます。
組織と自社 AI システムの両ロール — 利用者としてのガバナンスに加え、開発者としてのライフサイクル統制(A.6)・データ統制(A.7)も評価します。
認証準備まで接続します — ギャップ分析で終わらず、適用宣言書(SoA)下書きと是正ロードマップまでご用意します。
主な成果物
入口はサービス A で全体像と優先度を掴み、本命はサービス B で規格適合を証明可能な水準に。
両方を年次で回せば、成熟度と適合率の両面で改善を定量管理できます。
弱点と優先度を可視化(経営合意づくり)
審査・監査・取引先に説明可能に
是正後に再アセスメントし、成熟度スコアと適合率の両方で改善の PDCA を定量管理します。
納品物は Excel(評価シート+自動集計)とレポートです。
下記はサンプル(イメージ)で、実際の成果物は貴社の文書に基づき作成します。
| 管理策 ID | 観点タイトル | 判定 | 根拠・コメント |
|---|---|---|---|
| A.2.2 | AI リスクアセスメントプロセスの確立 | 準拠 | AI リスク管理規程 §3.2 |
| A.3.3 | AI システムのライフサイクル管理 | 部分準拠 | 開発標準 §5 — 廃棄手順が未整備 |
| A.4.1 | データ品質・来歴の管理 | 不準拠 | 対応文書なし |
| A.5.5 | AI インシデント対応手順 | 準拠 | インシデント対応規程 §4.1 |
| A.6.1 | AI 固有のリスクの特定と評価 | 部分準拠 | リスク台帳あり — AI 固有項目が不足 |
| A.6.2 | ステークホルダーへの説明責任 | 非該当 | スコープ外(B2B 専用システム) |
※ すべてサンプル(ダミーデータ)です。実際の成果物は貴社の文書に基づき作成します。
セキュリティ/クラウドの実務知見と、ISO/IEC 42001(AIMS)の活用知見を活かせるからこそ、
机上チェックでわからない実装目線の評価をご提供します。
規格条文の解釈に加え、AI システムの設計・運用・データ管理まで踏み込んで評価。開発者としての適合性まで見られます。
すべての判定に文書引用を紐づけ。認証審査・内部監査・取引先評価で、そのまま根拠として提示できます。
管理策・観点のマスターと検証付きの生成基盤で、抜け漏れを機械チェック。短期間で締まったコストの成果物に。
両サービス共通のステップで進めます。
文書ベース評価を基本とし、出力は機械検証してから納品します。
キックオフ・文書収集
スコープ確定
評価実施
(文書精読・引用判定)
成果物作成+機械検証
報告会・質疑
対象範囲(対象 AI システム数・文書量・SoA 要否)に応じて個別にお見積りします。
まずは無料相談で、最適な組み合わせをご提案します。
現状把握。AI ガバナンス成熟度アセスメント+報告会
経営報告・改善計画づくりに
規格適合。附属書 A/B 適合性チェック+ギャップレポート
審査・内部監査・取引先評価に
まずは無料の 30 分相談から。現状(認証の有無・対象 AI の有無・規程の整備状況)を伺い、A / B /バンドルの最適な組み合わせをご提案します。