NISTが重要インフラ向けAIリスク管理フレームワーク（AI RMF）プロファイルを公開——電力・金融・医療など16セクターへの適用指針

概要

米国立標準技術研究所（NIST: National Institute of Standards and Technology）は2026年4月7日、AI Risk Management Framework（AI RMF 1.0）の重要インフラ向けプロファイルを公開した。CISA（サイバーセキュリティ・インフラセキュリティ庁）が指定する16の重要インフラセクター（電力・水道・金融・医療・輸送・通信など）に対して、AI RMFのコア機能（Govern・Map・Measure・Manage）をどのように適用するかの具体的なガイダンスを提供する。

ポイント

• 対象: CISA指定16重要インフラセクター（電力・水道・金融・医療・輸送・通信・農業・製造など）
• プロファイルの構成: AI RMFコア機能（統治・マッピング・測定・管理）×セクター特有のリスク要件
• 発行機関: NIST（商務省傘下）
• 法的地位: 自発的なフレームワーク（法的義務ではなく推奨基準）だが、連邦調達や規制当局の期待値形成に影響
• 背景: AI RMF 1.0は2023年1月に発行済み。本プロファイルはそれを特定セクターに具体化したもの
• 特徴: 各セクターの既存セキュリティ要件（NERC CIP・PCI DSS等）との整合も意識した設計

解説

重要インフラへのAI導入は「障害時の社会的影響が大きい」という性質上、一般的なAIリスク管理より高い水準が求められる。例えば電力グリッド管理AIが誤判断した場合の停電リスク、金融システムのAIが市場急変に誤対応した場合の連鎖影響などは、一般的なAIリスクとは次元が異なる。

今回のプロファイルはNISTが初めて重要インフラ向けに特化したAIリスク指針を出したものであり、米国内のインフラ運用企業・政府機関がAIガバナンス体制を構築する際の参照文書として広く活用される見込みだ。民間企業でも規制当局との関係・ペネトレーションテスト・監査において引用されるケースが増えていくと予想される。

注意点

• 自発的フレームワークであり、直接的な法的罰則はない
• セクター固有の既存規制（FERC・OCC・FDA等）が優先される場面もあり、本プロファイルはあくまで補完的指針
• 実装にあたってはセクター固有の要件との整合確認が必要