コンテンツを含まない監査ログ:プロンプトを保持せずにモデルの動作を立証する方法

AI Suite 内のすべての管理アクションは、JSONL の監査行を生成します。その行には、タイムスタンプ、アクターのメールアドレス、アクションの動詞、対象リソース、発信元クライアントの X-App-Id、そしてレビュアーが行を後続イベントと相関付けられる安定したハッシュが記録されます。行にはモデルの入力も出力も一切記録されません。プロンプト本文も、補完結果本文も、ドキュメント本文も、抽出されたエンティティもありません。設計上コンテンツを含まないというこの選択こそが、調達およびコンプライアンスのレビュアーにとって監査行を有用なものとしています。その理由は明文化しておく価値があります。

監査行に含まれるもの、含まれないもの

代表的な行(軽く伏字を施したもの)は以下のとおりです:

{"ts":"2026-06-05T09:14:22Z","actor":"[email protected]","action":"license.assign",
 "subject":"[email protected]","tier":"commercial","x_app_id":"ai-admin-console",
 "ip":"10.4.1.22","ua_hash":"a17c…","seq":48211}

含まれるもの:監査担当者が問う deployer 義務に関する質問 ——誰が、何を、いつ、どのリソースに対して、どのクライアントから行ったか—— に回答するのに十分なメタデータ。含まれないもの:AI ワークフローからの任意のペイロード。アクションがモデルを呼び出した場合(この例では呼び出していませんが、呼び出すこともあり得ます)、呼び出しイベントを記録する行は存在しますが、プロンプトやレスポンスの記録は当社インフラには残りません。

この分離は意図的なものです。監査行はアクションが発生したことの証跡です。アクションのコンテンツ —— モデルに送られたプロンプト、返された回答 —— は deployer 自身のハードウェア上に存在し、deployer 自身の保存ポリシーに従って統治されます。当社はそれを目にすることはありません。

コンテンツを行から除外する理由

理由は 2 つあり、1 つは規制上の、もう 1 つは運用上のものです。

規制上の理由:EU AI Act は、高リスク AI の deployer に対し、「適切な期間」ログを保持し、システム稼働状況をモニタリングし、要求に応じてコンプライアンスを実証することを求めます^[1]。何が発生したかを立証する義務は deployer に課されます。クラウド LLM API はプロンプトとレスポンスをベンダーのインフラ上に保存することでこれに対応しますが、これによりデータ取扱い問題はベンダーへ移転し、deployer が制御しない二つ目のコンプライアンス境界が生まれます。コンテンツを含まないローカル監査は、こうした移転を伴わずに同じ規制上の問いに答えます。deployer が、deployer 自身のストレージ内で、deployer 自身の保存ルールに従ってコンテンツを保持するのです。

運用上の理由:保存されるモデルコンテンツの 1 バイト 1 バイトは、暗号化、アクセス制御、保持、計画的削除、e-discovery への対応が必要なバイトです。コンテンツを含まない行は小さく(数百バイト程度)、形状が固定され、追記専用で、deployer の既存の SIEM へ容易にシリアライズできます。これは義務を依然として充足する最小の証跡単位です。

主要な枠組みにおける対応関係

NIST AI RMF 1.0 は、監査可能性を信頼できる AI の中核的な次元の一つとして挙げ、deployer に対し「決定を再構成するのに十分なシステムアクションの記録」を維持することを求めています^[2]。「再構成するのに十分」が重要な語句です。行は、何が発生したかをレビュアーが再構築できるものでなければなりません。コンテンツを含まない行は、推論のコンテンツを保持することなく、管理アクション(ライセンスが発行された、ポリシーが変更された、サーバーが登録された)についてこれを行います。義務のうち推論コンテンツ側については、deployer 自身のローカルストアが問いに答える役割を担います。

ENISA の AI サイバーセキュリティガイダンスは、これを脅威モデリングの観点から枠組み付けています^[3]:ベンダーのインフラ上に保存されるすべてのプロンプトとレスポンスは、deployer の攻撃対象領域をベンダーのそれにまで広げます。ベンダー側からモデルコンテンツを取り除くことは、その対象領域を deployer が既に制御している範囲へと狭めます。

当社が提供する形 —— AI Admin Console の UI、aisuite-server デーモンの JSONL 監査、そして組織単位の SIEM 転送フック —— は、これを直接的に実装しています。すべての管理イベントは deployer が読める行に着地し、プロンプトやレスポンスのコンテンツが deployer の境界を離れることは一切ありません。

調達レビューにおける具体像

クラウド AI ベンダーを停滞させる調達の問いは次のとおりです:「推論コンテンツはどこに存在するのか、そして当社のコンプライアンス部門はそれを要求に応じて提示できるのか?」コンテンツを含まない監査が答える調達の問いは同じですが、二つの明快な回答を伴います:コンテンツは貴社のハードウェア上に存在し、貴社のチームが既にそれを保持しているため自ら提示できます。当社側からの監査行はアクションが発生したことを立証し、貴社側からのコンテンツはアクションが何をしたかを立証します。

より広い調達のフレーミング —— ベンダー側の認証ではなくこれらの特性でベンダーアンケートを主導する方法を含む —— については、オンプレミス AI の導入が調達段階で停滞する理由およびEU AI Act コンプライアンス記事をご参照ください。

Deployer の責任として残るもの

コンテンツを含まない監査は、導入の構造的特性であり、エンドツーエンドのコンプライアンスソリューションではありません。Deployer は依然として次の事項を保有します:

• 「再構成するのに十分」が自社のワークフローにおいて何を意味するかを定義すること—— 保存期間、マスキングルール、e-discovery 態勢。
• ローカルのコンテンツストアを運用すること(deployer が選択するもの —— ファイルシステム、ドキュメント DB、暗号化ブロブストアなど)、および当社側からの監査行を、自社ログと相関付ける SIEM に転送すること。
• このアーキテクチャを指し示す deployer 義務メモを、調達段階で書き上げること。

当社側はアーキテクチャと監査行のフォーマットを提供します。その下流のすべて —— コンテンツの保存ポリシーを含む —— は、deployer のコンプライアンス部門が自社のルールを適用する領域です。

参考文献

1. European Commission.「AI Act — Regulatory framework on AI.」digital-strategy.ec.europa.eu。2026-06-03 閲覧。
2. NIST.「AI Risk Management Framework (AI RMF 1.0).」nist.gov/itl/ai-risk-management-framework。2026-06-03 閲覧。
3. ENISA.「Artificial Intelligence Cybersecurity.」enisa.europa.eu/topics/iot-and-smart-infrastructures/artificial-intelligence。2026-06-03 閲覧。

関連記事

• AI Admin Console:6 つの機能がそれぞれ実際に行うこと
• 2007 年以降プロジェクト失敗ゼロ — その裏側にあるエンジニアリングルール
• 2026 年における EU AI Act:オンプレミス導入がコンプライアンスにもたらす変化
• オンプレミス AI の導入が調達段階で停滞する理由(そしてそれを解消するフレーミング)
• すべての記事 →