AIの利用とIT統制におけるIT環境の理解

AIの普及にともない、文章の作成・要約、企画アイデアの作成、顧客データの分析やリース契約書の読み込みなど、業務におけるAIの利用も急速に拡大しつつあります。AIの利用により業務の効率化が期待される一方で、AIにより生成される情報の信頼性の確保や情報漏洩のようなセキュリティ面でのリスクへの対応など、利用にあたって留意すべき点もあります。
財務報告に係る内部統制を想定した場合、IT統制の観点からは、AIの利用状況などのIT環境を理解し、リスクを識別・評価し、必要な対応を行うことが求められます。本コラムでは、IT環境の理解のために必要となるAIの利用状況の把握に焦点を当てて解説します。

2026年6月現在、IT環境の理解にかかるAIの利用状況の把握について触れられている実務指針などはありませんが、一般的には、全社的な観点と個別業務プロセスの観点でAIの利用状況を把握することが想定されます。この2つの観点から、まず概括的なAI利用状況の把握方法について説明します。

全社的な観点においては、（1）方針・ルール、（2）組織・体制、（3）リスクマネジメントの視点でAIの利用状況を把握することが想定されます。

AIに関する利用指針や規程などの方針・ルールの明文化の状況を把握します。
また、AIの利用にあたっては、各人が情報漏洩などのリスクを適切に認識することが重要であるため、方針・ルールの周知や教育などの状況も把握する必要があります。

AIの利用に関する方針やルールを統括し、全社的な利用状況を把握し管理するための部門や責任者などの組織や体制を把握します。
管理する部門や責任者の役割を定めることで、AI利用において判断が難しい場合の問い合わせへの対応や、利用状況の一元的な把握につながることが期待されます。また、グループ会社がある場合は、報告・連絡体制とともに、親会社とグループ会社の役割分担も明確にする必要があります。

AIの利用に関して、全社的な利用の計画、リスクの識別・評価、そして必要な見直しを実施していくためのマネジメントサイクルを把握します。
全社的に利用が認められる、または禁止されるAIサービス・ツール、AIの利用方法、AIを利用している業務、使用される社内のデータ・情報やAIから生成されるデータ・情報などを把握し、AIの利用計画やリスクの識別・評価、利用の見直しにつなげていくことが、求められる対応といえるでしょう。

業務ごとにAIの利用状況は異なりますが、本解説では、IT全般統制を例に、次の4つのITプロセス（システム開発・変更管理、システム運用管理、アクセス管理、外部委託管理）を想定して、AI利用の具体例を示したいと思います。

システムの設計、開発、テスト、リリースなどの業務においてAIの利用が想定されます。
具体的には、仕様書の作成、コードのチェック、テストなどにAIを利用することが想定されます。

障害対応、ログ解析などの業務においてAIの利用が想定されます。
具体的には、エラーの把握・集計・分析などにAIを利用することが想定されます。

アカウントの申請・棚卸し、アクセス監視などの業務においてAIの利用が想定されます。
具体的には、ユーザーIDと付与権限の適正性チェック、不正アクセスの解析などにAIを利用することが想定されます。

今後、さらにAIの利用の進展が想定されますが、AIの利便性とリスクを正しく把握し、適時・適切に対応していくためには、「AIの利用体制を全社で構築し、組織的に運用すること」が鍵となるでしょう。
自社に適したAIの利用の管理に関してお悩みがあれば、ぜひ一度BBSの専門家へご相談ください。貴社に適したAIの管理制度・体制などを提案いたします。