LEGIERおよび「SANDIC by LEGIER」グループのAI倫理規定

1. 前文と適用範囲

本規範は、LEGIER グループにおける AI の開発、調達、運用、および使用に関する拘束力のある原則、プロセス、および管理を規定するものです。本規範は、従業員、管理者、契約加工業者、サプライヤー、パートナーに対して、グループ全体に適用されます。この規範は、既存のグループガイドライン（データ保護、デジタルサービスプロセス、コーポレートガバナンス、持続可能性、人権方針、現代奴隷制度に関する声明）を統合し、AI固有の要件を含むように拡張したものです。. ゴール それは、利益と革新を可能にし、リスクを管理可能にし、ユーザー、顧客、一般大衆の権利を保護することである。. 2. 基本的価値観と指導原則

人間の尊厳と基本的権利 経済効率よりも優先されるもの。AIは人々に奉仕するものであり、決してその逆ではない。.
法的適合性： コンプライアンス EUのAI法, GDPR, ディレクトリシステムエージェントおよびセクター別基準禁止されている慣行を使用しないこと。.
責任と説明責任： 各AIシステムには責任ある所有者が任命され、決定は追跡可能で争うことができる。.
比例性： 目的、リスク、介入の強さ、社会的影響のバランス。.
透明性と説明可能性： 機能性、データ状況、制限に関する適切な情報、文書化、コミュニケーション・チャネル。.
公平性と包括性： 体系的な偏見検査、社会的弱者の保護、アクセシビリティ、多言語対応。.
セキュリティと回復力： 1TP63デザインによる純化、徹底的な防御、継続的な硬化と監視。.
持続可能性： モデルおよびデータセンターの効率性（エネルギー、PUE/CFE）、データ/モデルのライフサイクルビュー。.

3.ガバナンスと責任（AI倫理委員会、RACI）

AI倫理委員会（AIEB）： 学際的（技術、法務/コンプライアンス、データ保護、セキュリティ、編集/製品、人材）。タスクポリシーの更新、承認（特にリスクの高いもの）の発行、コンフリクトの決定、レポートのモニタリング。. 役割だ： ユースケースオーナー、モデルオーナー、Dataスチュワード、DPO、Securityリード、責任編集者、サービスオーナー、調達リード。. 委員会とゲートウェイ 本稼働前のAIIA承認、重要な変更のための変更諮問委員会、年次マネジメント・レビュー。. RACIの原則： 各活動に対する責任の明確な分担（Responsible、Accountable、Consulted、Informed）。.

4.法律と標準化の枠組み（EU AI法、GDPR、DSA、著作権、貿易法）

EU-AI-Act： 禁止事項、高リスクシステムの義務、文書化、記録、ガバナンス、透明性義務などを含むリスクベースの枠組み。.
GDPR： 法的根拠（第6条／第9条）、データ主体の権利、デザイン／デフォルトによるプライバシー、データ保護影響評価（DPIA）、第三国移転（第44条以降）。.
DSA： 大規模プラットフォームの通知、苦情、透明性報告、リスク評価に関するプラットフォームプロセス。.
著作権・著作隣接権・人格権 明確なライセンスチェーン、肖像権／名称権、第三者の国内権。.
業界特有の要件 (航空法／海事法／Healthなど）も遵守しなければならない。.

5. リスク分類とAI影響評価（AIIA）

分類

禁止行為（許されない）
ハイリスクシステム（厳格な義務）
限定的なリスク（透明性）
リスクの最小化

AIIAの手続き： 説明目的／範囲、ステークホルダー、法的根拠、データソース、リスク分析（法的、倫理的、安全性、偏り、環境への影響）、緩和策、決定（AIEBの承認）。. 再評価： 重要な変更については、高リスクの場合は毎年、中央登録簿に文書化する。.

6. データ倫理とデータ保護（法的根拠、DPIA、クッキー、第三国）

データの最小化と目的の制限; 仮名化/匿名化が望ましい。.
透明性： データ保護情報、情報および削除チャネル、ポータビリティ、異議申し立てオプション。.
クッキー/トラッキング 同意の管理、取り消し、IPの匿名化、承認されたツールのみ。.
第三国への移籍： 適切な保証（SCC/adequacy）がある場合のみ、サブプロセッサーを定期的にテストする。.
DPIA： 技術的/組織的対策（TOM）を文書化する。.

7. モデルとデータのライフサイクル（ML-ライフサイクル、Dataカード、モデルカード）

Data ライフサイクル： 取得 → キュレーション → ラベリング → 品質ゲート → バージョン管理 → 保存／削除。. モデルのライフサイクル： 問題定義 → アーキテクチャの選択 → トレーニング／ファインチューニング → 評価（オフライン／オンライン） → リリース → 運用 → モニタリング → 再トレーニング／引退。. Dataカード 起源、代表性、質、バイアス所見、使用上の制限。. モデルカード： 目的、トレーニングデータ、ベンチマーク、測定基準、制限、予想されるエラーパターン、やるべきこと／やってはいけないこと。. 証明と再現性： ハッシュ、データ/モデルのバージョン、パイプラインの検証。.

8. 透明性、説明しやすさ、ユーザーへの指示

AIとの対話とAIが生成するコンテンツのためのラベリング。.
説明可能性： ケースに合わせた、素人にもわかりやすい説明をする（ローカル／グローバル）。.
使用上の注意 目的、主な影響因子、限界、フィードバックと修正方法。.

9.ヒューマン・イン・ザ・ループと監督業務

関連する意思決定（特に高リスク）については、人間の監督を標準とする。.
編集上／社会的にセンシティブな任務については、四つの目の原則。.
オーバーライド/キャンセル機能、エスカレーションパス、ドキュメンテーション。.

10. セキュリティ、堅牢性、レッドチーム（プロンプトインジェクション、ジェイルブレイク）

脅威モデリング（STRIDE＋AI専用）： プロンプトインジェクション、トレーニングデータポイズニング、モデル盗難、データ保護漏えい。.
レッドチームと敵対的テスト、脱獄防止、レート制限、出力フィルタリング、1TP63トレッドスキャン。.
堅牢性： フォールバックプロンプト、ガードレール、ロールバック計画、カナリアリリース、安全のためのカオステスト。.

11. サプライチェーン、人権、公正な労働（現代奴隷制、LkSG-アナローグ）

人権デュー・ディリジェンス： リスク分析、サプライヤーの行動規範、契約上の約束、監査、是正措置。.
現代の奴隷制度 年次宣言、意識啓発、報告ルート。.
労働基準： 公正な賃金、労働時間、健康保護、内部告発者の保護。.

12.偏見管理、公平性と包摂（脆弱な顧客、アクセシビリティ）

バイアスのチェック データセットの分析、バランシング、様々なテストグループ、公平性の測定基準、緩和策の文書化。.
顧客は危険にさらされている： 保護目標、代替チャネル、明確な表現、認知の弱点を利用しない。.
アクセシビリティ： WCAG-適合性、多言語主義、包括的アプローチ。.

13. ジェネレーティブAI、原産地証明とラベリング（C2PA、ウォーターマーク）

ラベリング： AIコンテンツのラベル／メタデータが見える。.
原産地保証： C2PA-技術的に可能な限り、コンテクスト、署名／透かし。.
著作権／サービスの保護： ライセンスの明確化、データコンプライアンスのトレーニング、ライツチェーンの文書化。.

14. コンテンツ、モデレーション、DSAプロセス（報告、苦情、透明性）

報告チャネル： 閾値の低いユーザー報告、違法コンテンツの優先的処理。.
苦情処理： 透明性のある正当化、異議申し立て、エスカレーション。.
透明性レポート 関連する主要数値と対策を定期的に公表する。.

15. ドメイン別用途（ニュース、Data、Health、航空、Yachts、Estate、Pay/トレード/Trust/コイン、Cars）

ニュース／出版 研究支援、翻訳、モデレーション、生成コンテンツの明確なラベリング。.
SCANDIC DATA： セキュアなAI/HPCインフラ、クライアントの分離、HSM/KMS、観測可能性、コンプライアンスの成果物。.
Health： エビデンスに基づく使用、人間による最終決定、未検査の診断なし。.
航空/Yachts： 安全プロセス、人的監督、緊急手順.
Estate： 公正性チェック付き評価モデル、ESGの統合。.
Pay/トレード/Trust/コイン： 不正防止、KYC/AML、市場監視、説明可能な意思決定。.
Cars： 厳重なデータ保護によるパーソナライズされたサービス。.

16. 第三者、調達、ベンダーのリスク管理

入社前のデューデリジェンス： セキュリティ/データ保護レベル、データの場所、サブプロセッサー、証明書。.
契約： 監査権、透明性と是正条項、SLA/OLA指標。.
モニタリング パフォーマンスKPI、調査結果/インシデントの交換、撤退計画。.

17. 運転、観測可能性、緊急時および再始動計画

オペレーション 観測可能性（ログ、メトリクス、トレース）、SLO/SLI管理、キャパシティプランニング。.
緊急事態だ： ランブック、DRテスト、復旧時間、コミュニケーション計画。.
設定/秘密管理： 最小特権、ローテーション、ハードニング。.

18. インシデントと救済措置（倫理、データ保護、セキュリティ）

倫理に関する事件 不当な差別、偽情報、不明確な出所 - 速やかな対策とAIEBの見直し。.
データ保護インシデント DPO/監督機関への報告プロセス、影響を受ける当事者への情報提供、根本原因の分析。.
セキュリティ・インシデント： CSIRTの手順、フォレンジック、教訓、予防策.

19. 評価指標、KPI、保証（内部／外部）

必須のKPI： 生産的なAIユースケースのAIIAカバー率100 %、苦情処理期間中央値14日未満、%訓練率95%以上、未解決の重要な監査指摘事項0件。.
公平性の指標： 格差の影響、オッズの均等化（ケース・スペシフィックを使用）。.
持続可能性： データセンターのエネルギー／PUE／炭素の数値、モデルの効率性。.

20. トレーニング、意識向上、文化的変革

義務研修（毎年）： AI倫理、データ保護、セキュリティ、メディア倫理、対象グループ別モジュール。.
啓発キャンペーン： ガイド、ブラウンバッグ・セッション、相談時間、社内実践コミュニティ。.
文化だ： ロールモデルとしてのリーダーシップ、エラー文化、責任ある行動に報いること。.

21. 実施とロードマップ（0～6カ月／6～12カ月／12～24カ月）

0～6ヶ月 AI使用事例の目録、AIIAプロセス、最小限の管理、トレーニングの波、サプライヤーのスクリーニング。.
6～12カ月 レッド・チーミングの展開、最初の透明性報告書、エネルギー・プログラム、RACIの最終決定。.
12～24カ月 ISO/IEC-42001の整合、限定的保証、継続的改善、CSRD/ESRSの準備（該当する場合）。.

22.ロールとRACIマトリックス

ユースケースの所有者（A）： 目的、メリット、KPI、予算、再評価。.
モデル・オーナー（R）： データ/トレーニング/評価、モデルカード、ドリフトモニタリング。.
DPO（データ保護のC/A）： 法的根拠、DPIA、データ主体の権利。.
1TP63チュリティ・リード（C）： 脅威モデリング、レッド・チーミング、TOM。.
責任編集者（C）： メディア倫理、ラベリング、訂正登録。.
サービス・オーナー（R）： オペレーション、SLO、インシデント管理。.
調達リーダー（R/C）： 第三者、契約、撤退計画.

23. チェックリスト（AIIAショート、データリリース、ゴーライブゲート）

AIIAクイックチェック 目的？法的根拠は？影響を受ける当事者か？リスク（法的/倫理的/Security/偏見/環境）?軽減策？HILコントロール？
データ公開： ソースは合法か？最小化？保持？アクセス？第三国？
ゴー・ライブ・ゲート 成果物（Data/モデルカード、ログ）が完成したか？レッドチームの結果に対処したか？モニタリング／DRの設定？

24.フォームとテンプレート（モデルカード、Dataカード、インシデントレポート）

モデル-カード-テンプレート： 目的、データ、トレーニング、ベンチマーク、制限、リスク、責任者、連絡先。.
Data-Card-Template： 起源、ライセンス、品質、代表性、偏りチェック、使用制限。.
インシデント・レポートのテンプレート 事故、影響、影響を受けた人、当面の対策、根本原因、改善策、教訓。.

25 用語集および参考文献

用語集 AIシステム、ジェネレーティブAI、ハイリスクシステム、AIIA、HIL、C2PA、レッドチーミング、DPIA、RACI、SLO/SLI。. 参考文献

EUのAI法
GDPR
ディレクトリシステムエージェント
OECDのAI原則
NIST AI RMF
ISO/IEC 42001
社内ガイドライン（データ保護、DSAプロセス、現代的奴隷制度、持続可能性）

注：この AI Code は、特に以下のような既存の LEGIER ガイドラインを補足するものである：(データ保護、デジタルサービス、人権/サプライチェーン、コーポレートガバナンス、サステナビリティ、現代的奴隷制）。これは、LEGIER グループ（LEGIER Beteiligungs mbH）のコンプライアンスフレームワークの不可欠な一部です。.