問題提起
AIは日々、重要な意思決定の現場に入り込んでいます。法人融資の与信、保険料率の算定、診療優先度の判断、行政給付の審査──いずれも、後日の説明責任が法的に求められる領域です。
現状の監査対応は、平文の判断ログとモデルバージョン番号の記録に依存しています。ここには3つの構造的欠陥があります:
- 平文ログは改ざんできる。書き換えの有無を暗号的に証明する手段が組み込まれていません
- モデル更新で過去の判断は再現不能になる。重みの完全な状態保存と、当時の入力に対する厳密な再実行は、運用上ほぼ実現できません
- 第三者検証の経路がない。「このモデルがこの根拠でこう判断した」を、データを開示せずに検証する仕組みは、一般のMLOpsには含まれていません
EU AI Act(高リスクAIへの説明責任要件、2026年施行)、ISO 42001(AIマネジメントシステム認証)、金融庁のAIガバナンス指針──いずれも、要求は「ログが残っている」から「改ざんされていない根拠が証明できる」へ静かに移っています。
シナリオ
2026年9月、地方銀行Aの法人融資AIが、ある中小企業の融資申込を否決します。
翌年、その企業から異議申立が届きます。「当時の判断は、現在の基準では不当ではなかったか」と。
問題は、当時のモデルが2026年12月に更新されていたことです。どの特徴量にどの重みを与え、どの社内ガイドラインに基づいて否決を出したか──これを正確に再現することは困難です。残っているのは「モデルバージョン v2.3 / 否決スコア 0.71 / 否決理由コード C-04」という素朴なログだけ。社内では「ログはあるが説明できない」状態が静かに広がります。
Lemmaが導入されていれば、判断の発生時点で次の証明が同時に封じられています:
- モデル識別子とハッシュ
- 入力属性のdocHashとCID(原本との同一性)
- 適用された社内ガイドラインの暗号的署名
- 最終決定の帰属
異議申立に対し、地銀Aは「2026年9月18日、モデル A-v2.3 が、社内ガイドライン G-2026-04 に従い、入力属性カテゴリXに基づきこの決定を下した」ことを、原本データを開示せずに証明できます。当局・監査法人・申立者の三者が、同じ証明を独立に検証できます。
モデルが何度更新されても、過去の判断の構造は不変なまま残ります。
アーキテクチャ
Lemmaの4つの暗号レイヤが、AI判断のライフサイクルに対応します。
1. ENCRYPT ─ 判断時点での密封
入力属性、モデル状態、適用ガイドラインを、AI判断の発生と同時にAES-GCMで暗号化します。原本は発行者の管理下に残り、外部にはdocHashとCIDだけが露出します。
2. PROVE ─ ZK証明の生成
「このモデル識別子が、この入力属性ハッシュに対し、このガイドラインに従い、この決定を出した」という命題を、ZKサーキット上で証明として封じます。重みや入力の値そのものは含めずに、判断の整合性だけを証明します。
3. DISCLOSE ─ 必要な属性のみ開示
監査時には、検証者の権限に応じて選択的に属性を開示します。当局には「ガイドラインG-2026-04の適用」と「入力属性カテゴリ」、申立者には「最終決定」のみ──といった制御が、発行者署名付きで実行できます。
4. PROVENANCE ─ 永続記録
docHash、CID、ZK証明、モデル識別子をオンチェーンに刻みます。RAGインデックス・モデル・運用基盤がすべて入れ替わっても、判断の暗号的同一性は永続的に検証可能です。
┌──────────────────────────────────────────────────────────┐
│ AI推論エンジン │
│ 入力 → モデル(v2.3) → 判断(否決 / 承認 / スコア) │
└───────────────────────┬──────────────────────────────────┘
│ 判断発生
▼
┌──────────────────────────────────────────────────────────┐
│ ENCRYPT (AES-GCM) │
│ ・入力属性を暗号化 │
│ ・モデル状態をハッシュ化 │
│ ・ガイドラインを署名付きで封印 │
│ → 外部には docHash + CID のみ露出 │
└───────────────────────┬──────────────────────────────────┘
│ 暗号化済み属性
▼
┌──────────────────────────────────────────────────────────┐
│ PROVE (ZK Circuit) │
│ 命題:「このモデルIDが、この入力ハッシュに対し、 │
│ このガイドラインに従い、この決定を出した」 │
│ → 重み・入力値を含めず、整合性のみを証明 │
└───────────────────────┬──────────────────────────────────┘
│ ZK証明
▼
┌──────────────────────────────────────────────────────────┐
│ DISCLOSE (選択的開示) │
│ 当局 → ガイドライン適用 + 入力属性カテゴリ │
│ 監査法人 → 判断パス + モデル識別子 │
│ 申立者 → 最終決定のみ │
└───────────────────────┬──────────────────────────────────┘
│ 開示済み属性
▼
┌──────────────────────────────────────────────────────────┐
│ PROVENANCE (On-chain) │
│ docHash / CID / ZK証明 / モデル識別子 │
│ → モデル・RAG・運用基盤が入れ替わっても不変 │
└──────────────────────────────────────────────────────────┘証明される事実
LemmaがAI監査ログ証明で暗号的に保証する事実は以下です:
- 判断の発生時刻と判断主体(モデル識別子・バージョン)
- 入力属性のdocHashとCID──原本との同一性
- 適用されたガイドライン・ルールセットのハッシュと発行者署名
- 最終決定(承認・否決・スコア)と判断パスの帰属
- モデル更新後も不変な、判断の暗号的同一性
- データを開示せずに検証可能な、監査人・当局・第三者向けトレイル
証明する準備はできましたか?
ユースケースについてお聞かせください。1営業日以内にご返信いたします。