LEGIERおよび「SANDIC by LEGIER」グループのAI倫理規定

1. 前文と適用範囲

本規範は、レジェールグループにおけるAIの開発、調達、運用、使用に関する拘束力のある原則、プロセス、統制を定めています。この規範は、従業員、管理者、契約処理業者、サプライヤー、パートナーにグループ全体に適用されます。

これは、既存のグループ・ガイドライン（データ保護、デジタル・サービス・プロセス、コーポレート・ガバナンス、持続可能性、人権方針、現代奴隷制度に関する声明）を統合し、AI固有の要件を含むように拡張したものである。

ゴール それは、利益と革新を可能にし、リスクを管理可能にし、ユーザー、顧客、一般大衆の権利を保護することである。

2. 基本的価値観と指導原則

人間の尊厳と基本的権利 経済効率よりも優先されるもの。AIは人々に奉仕するものであり、決してその逆ではない。
法的適合性： コンプライアンス EUのAI法, GDPR, ディレクトリシステムエージェントおよびセクター別基準禁止されている慣行を使用しないこと。
責任と説明責任： 各AIシステムには責任ある所有者が任命され、決定は追跡可能で争うことができる。
比例性： 目的、リスク、介入の強さ、社会的影響のバランス。
透明性と説明可能性： 機能性、データ状況、制限に関する適切な情報、文書化、コミュニケーション・チャネル。
公平性と包括性： 体系的な偏見検査、社会的弱者の保護、アクセシビリティ、多言語対応。
セキュリティと回復力： セキュリティ・バイ・デザイン、深層防御、継続的なハードニングとモニタリング。
持続可能性： モデルおよびデータセンターの効率性（エネルギー、PUE/CFE）、データ/モデルのライフサイクルビュー。

3.ガバナンスと責任（AI倫理委員会、RACI）

AI倫理委員会（AIEB）： 学際的（技術、法務/コンプライアンス、データ保護、セキュリティ、編集/製品、人材）。タスクポリシーの更新、承認（特にリスクの高いもの）の発行、コンフリクトの決定、レポートのモニタリング。

役割だ： ユースケースオーナー、モデルオーナー、データスチュワード、DPO、セキュリティリーダー、責任編集者、サービスオーナー、調達リーダー。

委員会とゲートウェイ 本稼働前のAIIA承認、重要な変更のための変更諮問委員会、年次マネジメント・レビュー。

RACIの原則： 各活動に対する責任の明確な分担（Responsible、Accountable、Consulted、Informed）。

4.法律と標準化の枠組み（EU AI法、GDPR、DSA、著作権、貿易法）

EU-AI-Act： 禁止事項、高リスクシステムの義務、文書化、記録、ガバナンス、透明性義務などを含むリスクベースの枠組み。
GDPR： 法的根拠（第6条／第9条）、データ主体の権利、デザイン／デフォルトによるプライバシー、データ保護影響評価（DPIA）、第三国移転（第44条以降）。
DSA： 大規模プラットフォームの通知、苦情、透明性報告、リスク評価に関するプラットフォームプロセス。
著作権・著作隣接権・人格権 明確なライセンスチェーン、肖像権／名称権、第三者の国内権。
業界特有の要件 (航空法／海事法／健康法など）も遵守しなければならない。

5. リスク分類とAI影響評価（AIIA）

分類

禁止行為（許されない）
ハイリスクシステム（厳格な義務）
限定的なリスク（透明性）
リスクの最小化

AIIAの手続き： 説明目的／範囲、ステークホルダー、法的根拠、データソース、リスク分析（法的、倫理的、安全性、偏り、環境への影響）、緩和策、決定（AIEBの承認）。

再評価： 重要な変更については、高リスクの場合は毎年、中央登録簿に文書化する。

6. データ倫理とデータ保護（法的根拠、DPIA、クッキー、第三国）

データの最小化と目的の制限 仮名化/匿名化が望ましい。
透明性： データ保護情報、情報および削除チャネル、ポータビリティ、異議申し立てオプション。
クッキー/トラッキング 同意の管理、取り消し、IPの匿名化、承認されたツールのみ。
第三国への移籍： 適切な保証（SCC/adequacy）がある場合のみ、サブプロセッサーを定期的にテストする。
DPIA： 技術的/組織的対策（TOM）を文書化する。

7. モデルとデータのライフサイクル（MLライフサイクル、データカード、モデルカード）

データのライフサイクル： 取得 → キュレーション → ラベリング → 品質ゲート → バージョン管理 → 保存／削除。

モデルのライフサイクル： 問題定義 → アーキテクチャの選択 → トレーニング／ファインチューニング → 評価（オフライン／オンライン） → リリース → 運用 → モニタリング → 再トレーニング／引退。

データカード： 起源、代表性、質、バイアス所見、使用上の制限。

モデルカード： 目的、トレーニングデータ、ベンチマーク、測定基準、限界、予想されるエラーパターン、やるべきこと／やってはいけないこと。

証明と再現性： ハッシュ、データ/モデルのバージョン、パイプラインの検証。

8. 透明性、説明しやすさ、ユーザーへの指示

AIとの対話とAIが生成するコンテンツのためのラベリング。
説明可能性： ケースに合わせた、素人にもわかりやすい説明をする（ローカル／グローバル）。
使用上の注意 目的、主な影響因子、限界、フィードバックと修正方法。

9.ヒューマン・イン・ザ・ループと監督業務

関連する意思決定（特に高リスク）については、人間の監督を標準とする。
編集上／社会的にセンシティブな任務については、四つの目の原則。
オーバーライド/キャンセル機能、エスカレーションパス、ドキュメンテーション。

10. セキュリティ、堅牢性、レッドチーム（プロンプトインジェクション、ジェイルブレイク）

脅威モデリング（STRIDE＋AI専用）： プロンプトインジェクション、トレーニングデータポイズニング、モデル盗難、データ保護漏えい。
レッドチームと敵対的テスト、脱獄防止、レート制限、出力フィルタリング、秘密スキャン。
堅牢性： フォールバックプロンプト、ガードレール、ロールバック計画、カナリアリリース、安全のためのカオステスト。

11. サプライチェーン、人権、公正な労働（現代奴隷制、LkSG-アナローグ）

人権デュー・ディリジェンス： リスク分析、サプライヤーの行動規範、契約上の約束、監査、是正措置。
現代の奴隷制度 年次宣言、意識啓発、報告ルート。
労働基準： 公正な賃金、労働時間、健康保護、内部告発者の保護。

12.偏見管理、公平性と包摂（脆弱な顧客、アクセシビリティ）

バイアスのチェック データセットの分析、バランシング、様々なテストグループ、公平性の測定基準、緩和策の文書化。
顧客は危険にさらされている： 保護目標、代替チャネル、明確な表現、認知の弱点を利用しない。
アクセシビリティ： WCAG-適合性、多言語主義、包括的アプローチ。

13. ジェネレーティブAI、原産地証明とラベリング（C2PA、ウォーターマーク）

ラベリング： AIコンテンツのラベル／メタデータが見える。
原産地保証： C2PA-技術的に可能な限り、コンテクスト、署名／透かし。
著作権／サービスの保護： ライセンスの明確化、データコンプライアンスのトレーニング、ライツチェーンの文書化。

14. コンテンツ、モデレーション、DSAプロセス（報告、苦情、透明性）

報告チャネル： 閾値の低いユーザー報告、違法コンテンツの優先的処理。
苦情処理： 透明性のある正当化、異議申し立て、エスカレーション。
透明性レポート 関連する主要数値と対策を定期的に公表する。

15. ドメインに特化した利用（ニュース、データ、健康、航空、ヨット、不動産、ペイ/トレード/トラスト/コイン、自動車）

ニュース／出版 研究支援、翻訳、モデレーション、生成コンテンツの明確なラベリング。
スキャンディック・データ セキュアなAI/HPCインフラ、クライアントの分離、HSM/KMS、観測可能性、コンプライアンスの成果物。
健康だ： エビデンスに基づく使用、人間による最終決定、未検査の診断なし。
航空/ヨット 安全プロセス、人的監督、緊急手順
エステート 公正性チェック付き評価モデル、ESGの統合。
ペイ／トレード／トラスト／コイン 不正防止、KYC/AML、市場監視、説明可能な意思決定。
車だ： 厳重なデータ保護によるパーソナライズされたサービス。

16. 第三者、調達、ベンダーのリスク管理

入社前のデューデリジェンス： セキュリティ/データ保護レベル、データの場所、サブプロセッサー、証明書。
契約： 監査権、透明性と是正条項、SLA/OLA指標。
モニタリング パフォーマンスKPI、調査結果/インシデントの交換、撤退計画。

17. 運転、観測可能性、緊急時および再始動計画

オペレーション 観測可能性（ログ、メトリクス、トレース）、SLO/SLI管理、キャパシティプランニング。
緊急事態だ： ランブック、DRテスト、復旧時間、コミュニケーション計画。
設定/秘密管理： 最小特権、ローテーション、ハードニング。

18. インシデントと救済措置（倫理、データ保護、セキュリティ）

倫理に関する事件 不当な差別、偽情報、不明確な出所 - 速やかな対策とAIEBの見直し。
データ保護インシデント DPO/監督機関への報告プロセス、影響を受ける当事者への情報提供、根本原因の分析。
セキュリティ・インシデント： CSIRTの手順、フォレンジック、教訓、予防策

19. 評価基準、KPI、保証（内部／外部）

必須のKPI： 生産的なAIユースケースの100 % AIIAカバー率、苦情処理時間の中央値14日未満、%訓練率95%以上、未解決の重要な監査指摘事項0件。
公平性の指標： 格差の影響、オッズの均等化（ケース・スペシフィックを使用）。
持続可能性： データセンターのエネルギー／PUE／炭素の数値、モデルの効率性。

20. トレーニング、意識向上、文化的変革

義務研修（毎年）： AI倫理、データ保護、セキュリティ、メディア倫理、対象グループ別モジュール。
啓発キャンペーン： ガイド、ブラウンバッグ・セッション、相談時間、社内実践コミュニティ。
文化だ： ロールモデルとしてのリーダーシップ、エラー文化、責任ある行動に報いること。

21. 実施とロードマップ（0～6カ月／6～12カ月／12～24カ月）

0～6ヶ月 AI使用事例の目録、AIIAプロセス、最小限の管理、トレーニングの波、サプライヤーのスクリーニング。
6～12カ月 レッド・チーミングの展開、最初の透明性報告書、エネルギー・プログラム、RACIの最終決定。
12～24カ月 ISO/IEC-42001の整合、限定的保証、継続的改善、CSRD/ESRSの準備（該当する場合）。

22.ロールとRACIマトリックス

ユースケースの所有者（A）： 目的、メリット、KPI、予算、再評価。
モデル・オーナー（右）： データ/トレーニング/評価、モデルカード、ドリフトモニタリング。
DPO（データ保護のC/A）： 法的根拠、DPIA、データ主体の権利。
セキュリティ・リード（C）： 脅威モデリング、レッド・チーミング、TOM。
責任編集者（C）： メディア倫理、レッテル貼り、訂正登録。
サービス・オーナー（R）： オペレーション、SLO、インシデント管理。
調達リーダー（R/C）： 第三者、契約、撤退計画

23. チェックリスト（AIIAショート、データリリース、ゴーライブゲート）

AIIAクイックチェック 目的？法的根拠は？影響を受ける当事者？リスク（法的／倫理的／セキュリティ／バイアス／環境）?軽減策？HILコントロール？
データ公開： ソースは合法か？最小化？保持？アクセス？第三国？
ゴー・ライブ・ゲート 成果物(データ/モデルカード、ログ)が揃っているか?レッドチームの結果に対処したか？モニタリング／DRの設定？

24. 書式とテンプレート（モデルカード、データカード、事故報告書）

モデル-カード-テンプレート： 目的、データ、トレーニング、ベンチマーク、制限、リスク、責任者、連絡先。
データカードテンプレート： 起源、ライセンス、品質、代表性、偏りチェック、使用制限。
インシデント・レポートのテンプレート 事故、影響、影響を受けた人、当面の対策、根本原因、改善策、教訓。

25 用語集および参考文献

用語集 AIシステム、ジェネレーティブAI、ハイリスクシステム、AIIA、HIL、C2PA、レッドチーミング、DPIA、RACI、SLO/SLI。

参考文献

EUのAI法
GDPR
ディレクトリシステムエージェント
OECDのAI原則
NIST AI RMF
ISO/IEC 42001
社内ガイドライン（データ保護、DSAプロセス、現代的奴隷制度、持続可能性）

注：この AI Code は、特に以下のような既存の LEGIER ガイドラインを補足するものである：(データ保護、デジタルサービス、人権/サプライチェーン、コーポレートガバナンス、持続可能性、現代奴隷制）。これはLEGIERグループ（LEGIER Beteiligungs mbH）のコンプライアンスフレームワークの不可欠な部分です。