「AI を倫理的に・安全に使おう」という掛け声は、それだけでは現場で何の役にも立ちません。誰が責任を持ち、どんなリスクをどう測り、外部にどう説明するのか——これを手順に落とすための共通語が AI 倫理・ガバナンスのフレームワークです。本稿では実務で名前が挙がる代表 3 つ、NIST AI RMF・ISO/IEC 42001・OECD AI 原則を、2026 年時点の最新状況をふまえて整理し、最後に「どれをいつ使うか」まで具体化します。
FIG.1 理念(OECD)→ 運用の仕組み(ISO 42001)→ 個別リスク評価(NIST RMF)と役割が分かれる
3 つは競合ではなくレイヤーが違うのが要点です。価値観を語る OECD、組織として回し続ける ISO 42001、システム単位でリスクを測る NIST RMF。多くの企業はこれらを重ねて使います。順に見ていきましょう。
01NIST AI RMF 1.0 — 実務に落とす「測る」フレーム
米国国立標準技術研究所(NIST)が 2023 年 1 月に公開した、リスクマネジメントのためのフレームワークです。法的な強制力はない任意(voluntary)の枠組みですが、リスクを実際の作業に分解できる実務寄りの作りで、米国外でも広く参照されています。中核は 4 つの機能です。
- Govern(統治):組織のリスク文化・ポリシー・責任体制を整える。他の 3 機能の土台となる、全体を貫く機能。
- Map(把握):その AI システムが置かれた文脈、関係者、想定される影響を洗い出す。
- Measure(測定):精度・公平性・堅牢性・透明性などを、できる限り定量的に評価する。
- Manage(管理):洗い出したリスクに優先順位を付け、対応・監視・関係者への伝達を回す。
FIG.2 Govern を中心に、Map →(Measure)→ Manage が循環する



