AIアセスのスコアの読み方

透明性スコアとは

透明性スコア（0〜100%）は、ベンダーがセキュリティやガバナンスに関する情報をどの程度公開しているかを示します。公開情報から自動的に算出されます。

• 70%以上（グリーン） — 高い透明性。主要なポリシーが公開されています。
• 40〜69%（イエロー） — 中程度。一部の重要な開示が不足しています。
• 40%未満（レッド） — 限定的。多くの重要項目が未開示です。

3層評価の仕組み

AIアセスは3層のアプローチでベンダーを評価します。

1. 直接確認（11項目） — 公開ページから直接検証: 学習利用オプトアウト、データ保存場所、DPA、セキュリティ連絡先、SLAなど。
2. 認証検出（3項目） — 検出された認証: SOC 2 Type II、ISO 27001、ISO 42001。
3. 推定充足（7項目） — 認証検出時に自動で充足される項目。例：SOC 2/ISO 27001取得で暗号化、アクセス制御、監視、インシデント対応、変更管理が推定充足。

スコアが意味しないこと

• セキュリティ監査や脆弱性診断の結果ではありません。
• 法令準拠を保証するものではありません。
• 組織独自のデューデリジェンスの代替にはなりません。

スコアは、どのベンダーが透明性を重視しているか、どこにギャップがあるかを素早く把握するための指標です。

スコアの更新タイミング

スコアは以下のタイミングで自動的に再計算されます。

• ベンダーの公開ページから新しい証跡が発見されたとき。
• ベンダーがベンダーポータルから追加証跡を提出したとき。
• 認証情報が更新されたとき。