CORPORATE AUTONOMY LEVELS

Corporate Autonomy Levels (CAL)

Corporate Autonomy Levels

A scale for how autonomously a company runs.

Corporate Autonomy Levels (CAL) is a public framework that measures human involvement in a company's management loop on a six-level scale, L0–L5. Target it by design; prove it with logs.

This page is the canonical definition of CAL. Terms and definitions are free to use under CC BY 4.0; attribution is the only condition.

Version
0.9 (public review draft)
First published
2026-07-12
License
CC BY 4.0
Canonical
corporateautonomy.com

1The Levels — L0–L5

CAL views management as a closed loop of six elements:

  1. 1Executioncarrying out the work under given procedures
  2. 2Operational judgmentcase-by-case decisions under given rules — acceptance, branching, prioritization
  3. 3Anomaly responsedetect · stop · escalate · recover
  4. 4Improvementroot-cause analysis → rule revision (process self-improvement)
  5. 5Inventionnew technology, new policy
  6. 6Goal settingthe domain's success criteria — set & revised

Level boundaries are drawn by which forms of human involvement have been removed. Involvement recedes in five steps: doing the work → initiating and approving each task → watching → fixing exceptions and learning → setting goals.

Scope: CAL applies to any legal entity that runs a management loop, commercial or not; this page writes in terms of the company as the representative case.

The basic unit of assessment is the business domain. L0–L5 are assessed per domain; a company-level statement is made by aggregating domain assessments (§2). A business domain is a continuing unit of work with its own identifiable deliverables, goals, and anomaly handling; detailed granularity guidance — including the counting units for tasks and initiation — will be added in a future version.

Note (normativity): the definition of CAL is complete in this page's own text. All references to SAE J3016 are informative aids to understanding, not grounds of the definition. This page is a public canonical definition document, not a standard with a certification scheme; the normative/informative distinction is used following standards practice.

Vocabulary of the criteria (normative)

  • "AI" — throughout this page, "AI" denotes the automated system under assessment, whatever its implementation: machine learning, rule-based systems, or scripts. CAL is technology-independent — what is measured is which forms of human involvement have been removed, not the technology that removed them.
  • External output — a deliverable that crosses the domain's boundary and reaches a recipient in another domain or outside the company, where retraction becomes difficult. In a domain with no external outputs, the corresponding observable is whether a human approves each deliverable at the point it becomes final.
  • Initiation — a deliverable is human-initiated when starting the work toward that one unit of deliverable requires a human act. The "task" of the L1–L2 boundary is counted per deliverable: a single human instruction from which the AI chains multiple process steps toward one deliverable is still human initiation; a deliverable the AI begins without a fresh human act is not.
  • Humans in the loop — a natural person who actually carries any of the six elements counts as a human in the loop, regardless of employment form, affiliation, subcontracting, dispatch, vendor provision, or unpaid status. Assessment goes by who holds the element (Table 2), not by which legal entity the person belongs to. Outsourcing human work is not delegation; it is assessed as human retention. Vendor-side personnel intervening in individual cases are inside the loop; generic improvement of a vendor's model is outside. Involvement is attributed to the domain whose element the act carries, not to the domain the actor belongs to — a human based in one domain who handles another domain's anomalies, or sets its goals, counts inside the latter.
  • Anomaly / normal operation — what counts as an anomaly is declared in advance: the domain inventory (§2) states each domain's anomaly categories before assessment. Reclassifying human interventions as "anomaly response" after the fact is not accepted. The declared typology also states which categories have pre-defined handling that AI may close, and which require escalation to a human. Failure, outage, or degradation of the automated system itself is a mandatory category in every domain's typology. An anomaly is a departure from the declared normal process; declaring an ordinary class of the domain's business as an anomaly category is not contemplated by this vocabulary.
  1. L0Passive tool
  2. L1Task assist
  3. L2Gated workflows
  4. L3Supervision removed
  5. L4Self-correcting domain
  6. L5Fully autonomous

Each criterion in Table 1 is read as a pair: the difference from the level below (what AI newly carries) and the difference from the level above (what humans still carry). The upper-side observables are defaults: for an element disclosed as an ahead-of-level delegation (§2, cumulative assessment), the criterion is read with that observable replaced by the disclosed delegation state. The full allocation is Table 2.

Table 1Level definitions (L0–L5)
LvDefinition in a companyInvolvement removed (elements)Criterion (observable)
L0 AI is a passive tool. Humans run every element of the management loop No AI output is incorporated into a deliverable, edited or not
L1 AI assists the execution of single tasks. Humans initiate and review every time Doing the work (execution assistance — part of element 1) AI output is incorporated into deliverables, but a human initiates every task — logs show no AI-initiated chaining
L2 AI executes chained workflows. Humans supervise continuously and gate every external output Per-task initiation (element 1 complete + element 2 gated; humans recede to gate and watch) AI chains process steps without per-task human initiation, while 100% of external outputs pass a human gate — no ungated external output in the logs
L3 Within a domain, AI executes and judges without continuous supervision. Anomalies are detected by the AI, which calls a human for any whose handling is not rule-defined Continuous watching (element 2 complete + part of element 3 — detect & escalate; humans go on-call) Zero human intervention in normal operation in execution and operational judgment (elements 1 and 2) — involvement under elements 4, 5, and 6, which L3 assigns to humans (revising rules, introducing new methods, setting and revising goals), does not count against this; every anomaly whose handling is not rule-defined in advance is, within the observation window, escalated to a human — closure by AI through pre-defined handling rules is permitted (handling outside the rules, and revising the rules, still pass to humans)
L4 Within a domain, AI completes anomaly response and self-improvement autonomously (detect → stop → recover → root-cause analysis → rule revision). Also carries technical invention within the domain Exceptions and learning (element 3 complete — handling internalized — + element 4 + 5a: one closed circuit) For every anomaly in the observation window, the closed loop from occurrence to recurrence prevention shows no human in the logs, and the domain's record of adopting new methods and technology shows no human initiation (goal setting still traces to humans)
L5 Autonomous through the domain's own goal setting; for the management domain this includes inventing strategy and new businesses. Achieved across all domains, management domain included = the Autonomous Firm The domain's goal setting (element 6; for the management domain, plus 5b) Zero humans at all times in the domain's loop, goal setting included (no human appears in the domain's goal-setting records)
Table 2Delegation matrix — who holds each element at each level. The Lx column doubles as the design requirements for that level.
ElementL0L1L2L3L4L5
1 ExecutionHumanAI-assisted (humans initiate & review)AI (chained)AIAIAI
2 Operational judgmentHumanHumanAI (humans watch; external outputs human-gated)AI (no watching)AIAI
3 Anomaly responseHumanHumanHumanDetect & escalate: AI / handle: human (execution of pre-defined handling rules may be AI)AI (closed)AI
4 ImprovementHumanHumanHumanHumanAIAI
5a Invention — technical (in-domain)HumanHumanHumanHumanAIAI
5b Invention — strategy & business (management domain only)HumanHumanHumanHumanHumanAI
6 Goal settingHumanHumanHumanHumanHumanAI (the domain's goals) / purpose & continuation: owners (outside the loop)

Note: the management function (strategy, business portfolio, resource allocation) is itself a business domain and is included in the inventory (§2). Company-wide goal setting is assessed as element 6 of the management domain; upstream of it — the will over purpose and continuation — belongs to the owners, outside the loop (§5).

Note (subdivision of element 5): element 5 is assessed in two parts — 5a, technical invention, present in every domain; and 5b, strategy-and-business invention, which exists only in the management domain. For any other domain, row 5b does not apply. Which domain is the management domain is declared in the inventory (see the note above).

Note (goals vs. derived goals): element 6 is the involvement that sets and revises the domain's goals — its success criteria, objective function, and KPI levels. Under a given goal, AI setting and re-setting intermediate goals or subgoals as it iterates — including loops that evaluate a deliverable automatically, re-target, and run again — belongs to elements 1 and 2 (and to 4 where it revises process rules), not to element 6. The observable is whether the domain's success criteria themselves change without human involvement; a configuration in which AI rewrites the success criteria is disclosed as an ahead-of-level delegation of element 6 (cumulative assessment, §2).

Note (the owners' channel): the out-of-loop owner power is limited to the articles of incorporation, capital contribution and withdrawal, liquidation, and the appointment and removal of the management system. Instructions on business goals, KPIs, budget allocation, or priorities count as element 6, whatever their frequency or form. Participation in resolutions that mandatory law reserves to owners (such as general-meeting resolutions) is exercised by the governance layer outside the loop and is excluded from the goal-setting records of element 6 — but where owner-side humans draft or substantially formulate such a resolution, that involvement counts as in-loop element 6.

Reading the boundaries

Table 3The five boundaries and the involvement each one removes
BoundaryInvolvement removedElements
L0→L1Doing the work (execution assistance begins)part of 1
L1→L2Per-task initiation (humans recede to gate and watch)1 complete + 2 gated
L2→L3Continuous watching (humans go on-call)2 complete + part of 3 (detect & escalate)
L3→L4Exceptions and learning (internalized as one closed circuit)3 complete (handling internalized) + 4 + 5a
L4→L5The domain's goal setting6 (+ 5b in the management domain)
  • L2→L3: in exchange for removing the watch, the AI takes on the duty to call a human when an anomaly exceeds its pre-defined handling rules — the jidoka gate (jidoka: Toyota's principle of building stop-and-fix judgment into the machine itself).
  • L3→L4: detect → stop → recover → root-cause analysis → rule revision form one closed circuit (= Corporate Jidoka) that stops working if split; elements 3, 4, and 5a are therefore delegated across a single boundary.
  • L4→L5: the domain's goal setting is delegated. In-domain technical invention (5a) belongs to L4; inventing strategy and the business itself (5b) belongs to L5 of the management domain.

InformativeCorrespondence to SAE J3016

Table 4Correspondence to SAE J3016 (informative)
LvSAE J3016 counterpart (in a vehicle)
L0No driving automation (warnings and momentary emergency intervention only)
L1Either ACC or lane keeping — one, not both
L2Combined assistance; constant supervision required
L3No continuous supervision required; a fallback-ready user must respond to requests to intervene and to evident system failures
L4No human needed within the ODD; reaches a minimal-risk condition on its own
L5No ODD limitation

The watch shift (L2→L3) corresponds to SAE L3's request to intervene and duty to respond; the internalization of exceptions (L3→L4) to SAE L4's minimal-risk condition. CAL L5 has no direct SAE counterpart — J3016 itself excludes the strategic functions (selecting destinations and waypoints) from the dynamic driving task, and does not put choosing the destination (goal setting) on its scale; SAE L5's unconditional scope corresponds, in CAL, to the company-level statement across all domains (§2). A business domain plays the role of the Operational Design Domain (ODD).

InformativeWhere existing concepts sit

Table 5Where existing concepts sit (informative)
Existing conceptApproximate rangeNote
Copilot-style toolsL1
Company OS / Work OSL1–L2Usage of the term now stretches to L3-grade claims
Supervised agent operations (human-in-the-loop agents)L2
Agentic organization (McKinsey's term)L2–L3"One manager orchestrating hundreds of agents" retains human direction (source: McKinsey, "The agentic organization: Contours of the next paradigm for the AI era," 2025)
One-person unicornAll domains at L4, plus one human
Autonomous Firm / Zero-Person CompanyL5 (company level)Defined by this page; not yet achieved

Labels are self-declared. CAL assessment goes by structure, not by what a product or organization calls itself.

2The Metric — Measurement and Assessment

Levels are determined by structure and substantiated by metrics. Level assessment is not a scoring exercise. What decides a level is structure — which forms of involvement have been removed (Tables 1–3). CAL sets no composite score and no universal cross-industry thresholds. The "100%" and "zero" in the criteria column are not empirical thresholds but logical consequences of each level's definition. A level is a description of the degree of autonomy, not a rating of quality, safety, or managerial merit.

Assessment has two tiers

  • Design assessment — "designed for CAL Lx"
    Judged from design artifacts: permission settings, workflow definitions, the presence or absence of human gates, escalation paths, rule-revision authority. It can be performed before operation begins. The Lx column of Table 2 works as the design requirements for that level.
  • Verified assessment — "CAL Lx (log-verified)"
    Established when operational logs prove that the designed structure actually runs.

Notation. Design-stage claims must carry the qualifier "designed for" and present the design artifacts. Verified claims are written "CAL Lx (log-verified)". Claims also state their scope: all domains, or named domains from the inventory. A claim further carries: the assessment date, the observation window it rests on (period and volume of work), who performed the assessment (self, or a named third party), the CAL version applied, a reference to the evidence together with its disclosure mode (published, or disclosed on request) and its retention period, and — for verified claims of L3 and above — the number of anomalies in the observation window by declared category and their ratio to total work. Notation example (full form): "CAL L3 (log-verified; assessed 2026-07-01; window 2026-01–06, 1,240 deliverables; anomalies 14 in 3 declared categories, 1.1% of work; self-assessed; per CAL v0.9; evidence on request, retained 5 years)". Later examples on this page are abbreviated. The two tiers must not be conflated.

Assessment procedure

  1. Partition the business into domains.
  2. Establish the delegation status of each of the six elements through boundary questions — a provisional level from structure (= design assessment; a design claim becomes possible).
  3. Substantiate it with operational logs matching that level's criterion (Table 1) — verified assessment (a verified claim becomes possible).
  4. Aggregate all domain assessments to state a company level (inventory + minimum + profile, scope stated). (Figure 1.)
Figure 1Assessment procedure and the two claim tiers (informative) — this figure illustrates steps ①–④ of this section; the text governs.
Partition the business into domainsDomain inventory: coverage statement, anomaly typology declared in advance, conditional subdivision
Boundary questions establish the delegation state of the six elements → provisional level from structure= design assessment; the Lx column of Table 2 works as the design requirements. A configuration satisfying no column is disclosed as non-conforming
Design-tier claimdesigned for CAL Lxwith design artifacts; provisional, not a certification
Substantiate with operational logs matching that level's criterion (Table 1)= verified assessment; with completeness declaration and record-integrity safeguards
Verified-tier claimCAL Lx (log-verified)only this tier is definitive
Aggregate all domain assessments (for a company-level statement)inventory + minimum rule + profile; unassessed is not L0
Company-level claimCAL Lx (scope stated)verified tier only when every domain is verified

A material structural change (model replacement, permission changes, workflow redesign, revision of the typology or inventory) lapses the verified claim; re-verification returns to ③ (lifecycle of a claim).

Cumulative assessment and ahead-of-level delegations. Levels are assessed cumulatively — claiming a level requires meeting every requirement in that level's column of Table 2. A form of involvement counts as removed only where the element transfer of the corresponding boundary (Table 3) — the AI-side structure that takes it over — is in place; removal without the structure is not delegation. Where the per-element delegation state matches no Lx column exactly, the level is the highest column satisfied contiguously from below: the level is capped by the lowest form of involvement not yet removed, and autonomy achieved above that cap does not constitute the level. A configuration that satisfies no level column contiguously from below is recorded as a non-conforming configuration — distinct from unassessed, where the boundary questions cannot be answered — with the per-element delegation state disclosed. Notation example: "non-conforming (scope: distribution; elements 1–2: AI, chained without approval; element 3: no monitoring, no gate, no escalation structure; elements 4–6: human)". A company with a non-conforming domain cannot state a company level; external estimates record it as "non-conforming × n" in the profile. An ahead-of-level delegation — AI carrying a higher element while a lower one remains human (say, humans still handle anomalies while AI already revises the rules) — does not raise the level, because the order of the boundaries is a dependency: a higher delegation over a still-open lower element does not constitute that level's closed structure (such as L4's closed circuit). Ahead-of-level delegations are not lost, however: an assessment discloses the per-element delegation state and records them as ahead-of-level, and they surface in the metrics as leading indicators of readiness for the next boundary. Notation example: "CAL L3 (log-verified, scope: support; ahead-of-level: 4 Improvement, 5a)".

Assessment rule: A verified level claim is established by presenting operational logs that match the criterion (Table 1). A design claim is established by presenting the delegation structure as design artifacts, with the "designed for" qualifier. A self-declared rating without evidence is not a CAL claim. A design assessment is provisional, not a certification — only a verified assessment is definitive. An element whose holders are mixed — human and AI — is assessed at its most human-dependent state: the involvement has not been removed. "Logs" in the criteria means the whole of the records covered by a completeness declaration: a verified claim is accompanied by an enumeration of the channels through which humans can intervene and of how each channel is recorded, together with integrity safeguards for those records (append-only stores, hash chains, third-party timestamps, or equivalent). The completeness declaration also states the liveness-monitoring channel, independent of the primary system, by which failure or silence of the automated system itself is detected. Pseudonymized or anonymized records satisfy the log requirement as long as the human-or-AI distinction and the fact of intervention remain determinable. Selecting observation windows or record systems after the fact is not accepted. Where no anomaly occurs within the observation window, records of deliberate fault injection or of anomaly-response drills that actually exercised the loop are admitted as verified-tier evidence for the anomaly-side criteria. A claim of L4 or above requires that the domain's declared typology contain no category requiring escalation to a human. Where the observation window contains no instance of element 5a (adoption of a new method or technology) or of element 6 (goal revision), a claim resting on that window states this alongside.

Lifecycle of a claim: A verified claim speaks for the structure that produced its logs — when that structure changes materially (model replacement, permission changes, workflow redesign, revision of the declared anomaly typology, reorganization of the domain inventory), the verified claim lapses and re-verification is required. Human repair, recall, or rework performed after the observation window on deliverables produced inside it is treated as evidence that operation contradicted the claimed criterion (grounds for downward correction). If operation is later found to contradict the claimed criterion, the claim is corrected downward: the verified tier follows the logs, and a design claim contradicted by operation is re-scoped or withdrawn. A company-level claim may take the verified tier only when every domain in the inventory is verified; otherwise it is stated at the design tier.

Who assesses

CAL appoints no certification body — this site does not certify. Assessments are performed following the procedure this page defines in §2 — the assessment procedure, the assessment rule, and Table 6 — by the claiming company itself or by any third party it engages. CAL takes evidence-backed self-declaration as its base; third-party verification is optional. An outside reading made without access to the evidence is an external estimate, not a CAL claim — neither a design assessment (which requires the design artifacts) nor a verified assessment (which requires the logs) can be performed from outside; anyone speaking in CAL terms should say which one they are making. An external estimate states the public information it relies on.

Company-level assessment — aggregating domains

  1. Domain inventory. Enumerate every business domain that makes up the management loop — the management function is itself a domain and is included. The inventory carries a coverage statement: all human work and all outsourced work that falls under the six elements is attributed to some domain in it — work with no domain to belong to means the inventory is incomplete. The inventory also declares each domain's anomaly categories in advance (§1, vocabulary of the criteria), and where delegation states vary by season or condition, the domain is subdivided by those conditions and listed accordingly. A company-level claim cannot be made from a partial inventory.
  2. Minimum rule. The company level is the minimum across all domains: the least autonomous domain determines where the company still needs humans.
  3. Profile. Report the distribution of domains by level alongside the minimum. Notation example: "CAL L2 (log-verified, scope: all domains; profile: L4×7, L3×2, L2×1)". Stating each domain's scale alongside (FTE or share of work) is recommended (informative).
  4. Scoped claims. A claim limited to particular domains states its scope, using the domain names as listed in the inventory (e.g., "designed for CAL L4, scope: accounting").
  5. Company-level L5 = every domain at L5, the management domain included. This is the assessment condition for the Autonomous Firm (Zero-Person Company).
  6. Unassessed is not L0. A domain whose boundary questions cannot be answered is marked unassessed. A company with unassessed domains cannot state a company level; external estimates record them as "unassessed × n".

The four metrics measure the human involvement that remains inside an assessed level — how much of it remains, how far the no-touch work reaches, whether the remaining reviews are still needed, and what the remaining involvement costs in time. A falling residue is progress within the level; a residue shown to be no longer needed is the safety grounds for the next boundary; the record of a residue reaching its endpoint (zero minutes / 100%) doubles as the evidence for the level above. Formally, the metrics serve three roles — (a) criterion observables — the evidence for verification, (b) leading indicators for transitions, (c) continuous measures of progress and payoff (Figure 2). All four are measured per domain; levels alone aggregate to the company level, the metrics do not. CAL calls the degree to which human intervention (human-in-the-loop, HITL) has been removed from the management loop the HITL removal rate — not a single composite value; it is measured through the following four metrics:

  1. Intervention density (how much human effort remains) — human minutes per deliverable. Roles (a)(c): zero minutes on elements 1 and 2 in normal operation is direct evidence for L3; the trajectory toward zero is progress within a level.
  2. Autonomous completion rate (how far no-touch work reaches) — reported separately as a task completion rate and an anomaly completion rate: the share of tasks, and of anomalies, completed without a human touch (counting unit: the domain's deliverables as defined in the inventory; details will be specified with the granularity guidance in a future version). Role (a): the primary evidence that a claimed structure actually operates — L4 is substantiated by the anomaly completion rate.
  3. Override rate (whether the remaining reviews are still needed) — the share of human reviews that overturn the AI's judgment, measured where and while human review exists. Role (b): the leading indicator that a gate has become redundant — the safety basis for the L2→L3 transition. When used as grounds for a transition, the substance of the reviews is disclosed with it (sampled double review, agreement with blind re-assessment, or equivalent).
  4. Human Wait Ratio (what the remaining involvement costs in time) — the share of lead time spent waiting for a human action. Role (c): the payoff gauge of leveling up; the true cost of a human gate is not effort but queueing (lean's flow efficiency; the waste of waiting). The measurement boundary — the start and end of lead time, calendar or business hours — will be specified in the detailed measurement procedure to be added (§6, Versioning). By design, the difference between an L2 company and an L3 company is expected to show up mainly in speed, not quality.

Two companies can both be L2 while differing utterly in maturity — one at 45 human-minutes per deliverable with a 30% override rate, another at 3 minutes and 1%: the latter is ready for L3. And two companies can share the same 3 minutes while sitting in different structures — every deliverable receiving a 3-minute gate review (task completion 0%) versus nine deliverables in ten untouched and the tenth taking 30 minutes (task completion 90%): the metrics are read as a set. The continuous metrics make visible what the ordinal level cannot.

Figure 2The four metrics — measuring the human involvement that remains, per level (informative) — one domain's view; the text governs.
The four metrics measure the human involvement that remains inside an assessed level — how much (amount), how far no-touch work reaches (reach), whether it is still needed (necessity), and what it costs in time (time cost). A residue reaching its endpoint (0 min / 100%) doubles as the evidence for the level above (●).
The four metrics across levels L0 to L5: typical trajectories and where each acts
Metric (what it measures)L0L1L2L3L4L5
Intervention densityamounthow much human effort remains — where it pools (min/deliverable)
all work is human
per-task initiation, review, fixes
gate-review minutes only
0 min● criterion (elements 1–2, normal operation) ○ held at 0regression lapses the claim ○ held at 0
Autonomous completion — tasksreachhow far no-touch work reaches, normal operation (%) — (no AI deliverables)
≈0% (every task touched)
partial (external outputs 0% — gate 100%)
100%● criterion (normal operation) ○ held ○ held
Autonomous completion — anomaliesreachdo anomalies close without a human touch (%) 0% (anomalies are human-handled) 0% (same)
pre-ruled categories only; its rise = readiness for L4
≈100%● criterion — L4's primary evidencerule-outside absorbed via improvement ○ held
Override ratenecessityis the remaining gate still doing work (share overturned) — (no AI judgment to review)
measurable under per-task review; falling = maturing
▶ →0: gate redundant = safety grounds for L2→L3
— (no reviews in normal operation) — (only where reviews exist, e.g. audits)
Human Wait Ratiotime costhow much speed the waits take — no criterion at any level (payoff gauge)
high
approval waits dominate
gate waits dominate
the big step down (gate waits gone)
anomaly waits gone too
≈0
reach of no-touch work (higher = more autonomous) remaining human involvement (lower = more autonomous) criterion observable (endpoint record = evidence for that level) held (cumulative — regression lapses the verified claim) safety grounds for the next boundary hatched = no measurement scene exists bars are schematic trajectories, not thresholds (CAL sets none) all per domain; only levels aggregate to the company level

Required evidence and measurement burden: the evidence a verified claim requires is the logs matching the claimed level's criterion (Table 1) — nothing more. The four metrics are instruments for roles (a)–(c), not requirements for a level claim. Intervention density and Human Wait Ratio need no dedicated time-keeping; deriving them from existing workflow timestamps suffices. Where exhaustive measurement is disproportionate, the continuous metrics may be sampled (representative periods and representative work, with the method disclosed). The criterion observables themselves — the "zero" and "100%" conditions — cannot be sampled: they are read against the full records covered by the completeness declaration (assessment rule above).

Two-stage assessment

Stage 1 = design assessment (provisional) · Stage 2 = verified assessment

Table 6Two-stage assessment — instruments per metric
MetricStage 1: design assessment (design checklist)Stage 2: verified assessment (log measurement)
Level (structure)Boundary questions per element for each domain (Is approval required for external outputs? Who acts on an anomaly? Who initiates and adopts new methods in the domain? Who revises the rules? Who sets and revises the domain's goals (success criteria)? Have the owners issued instructions on goals, KPIs, or budgets? Do vendor-side personnel touch individual cases? How are the delivery of and response to intervention requests recorded? — among others)Cross-check permission settings against actual logs
Intervention densitySelf-reported estimateMeasured time logs
Autonomous completion rateAsk who handles anomaliesClassified tickets and logs
Override rate— (hard to obtain via checklist)Measured review records
Human Wait RatioEstimated approval wait timeMeasured workflow timestamps

The design checklist also collects rough estimates of three of the four metrics (override rate is hard to obtain via checklist) to cross-check the structural answers — a claimed L3 structure with a large approval-wait share casts doubt on the answers and holds the provisional level. Stage 1 is planned to be offered free of charge on this site. Stage 2 follows the assessment rule and Table 6, and can be run by the company itself or by third parties; its detailed measurement procedures (including the metrics' measurement boundaries) will be added through revisions of this page (§6, Versioning).

3Responsibility

External liability rests, as a rule, with the legal entity at every level — that does not change. What rising autonomy moves is accountability inside the firm: how far an outcome can be traced to someone's work or someone's approval. Accountability follows the delegation structure (Table 2) — it traces to whoever, or whatever mechanism, holds the element. The boundary is L4: once the in-domain closed loop runs without humans, then within the scope of that circuit there is no individual left for accountability to reach; it consolidates in the governance that designs and operates the system. Responsibility follows the structure actually in operation (the verified tier), not the design claim.

Table 7Where accountability sits inside the firm
LvWhere accountability sits inside the firm
L0–L2 Traces to the individuals who executed and approved (task accountability of the doer and the approver)
L3 In normal operation, to the governance side operating the system. The on-call human retains accountability for responding to intervention requests — but failure to respond falls on the individual only where the request reached them and the conditions for responding (a reasonable on-call design and load) were met; the reachability and redundancy of the escalation path and the adequacy of the on-call arrangement are the governance side's accountability
L4 For the operation of the closed circuit (elements 3, 4, and 5a), it no longer traces to any individual; it consolidates in the governance (organization) that designs and operates the system. Accountability for the elements humans still hold — goal setting (element 6), and strategy-and-business invention (5b) in the management domain — still traces to those individuals
L5 No individual inside the management loop remains for it to trace to; it rests solely with the firm's governance (the appointment-and-continuation mechanisms held by owners) — the connection point to the "AI legal personhood" debate

What disappears is operational task accountability — who executed, who approved. Accountability for designing, approving, and supervising the system remains with the organs and individuals that did so (directors and officers, typically): that is what governance accountability consists of.

InformativeCounterpart in driving automation

Table 8Counterpart in driving automation (informative)
LvCounterpart in driving automation
L0–L2The driver is liable (as a rule)
L3Manufacturer-side acceptance of liability while engaged rests on Mercedes-Benz's voluntary statement (Drive Pilot); that failure to respond to a request to intervene stays with the driver corresponds to the takeover duty under Japan's revised Road Traffic Act
L4Japan's "specified automated operation" regime (in force since 2023): no driver required; the permitted operator bears responsibility
L5No L5-specific legal regime is in force yet in major jurisdictions

Limit of the comparison: in driving automation, the externally liable party itself shifts (driver → manufacturer / operating entity). In a company, external liability stays fixed on the legal entity; what shifts is internal accountability.

This section is not legal advice. "Responsibility" here distinguishes external liability from internal accountability; actual legal liability varies by jurisdiction, contract, and case. Doctrines that extend external liability to individuals or owners — piercing the corporate veil, directors' liability to third parties — exist in each jurisdiction; CAL levels neither trigger nor block their application.

4Key Terms

Corporate Autonomy Levels (CAL)
A measurement framework that defines, per business domain, how much of the six-element management loop (execution, operational judgment, anomaly response, improvement, invention, goal setting) is carried by AI, on a scale from L0 to L5. Assessment follows the procedure defined on this page and requires evidence — the delegation structure for design claims, operational logs for verified claims. "AI" here denotes the automated system under assessment, whatever its implementation — CAL is technology-independent.
Corporate Jidoka
The management discipline of building anomaly detection, stopping, recovery, root-cause analysis, and recurrence prevention into the AI work loop itself. An extension to management of jidoka — Toyota's principle of building stop-and-fix judgment into the machine. Its first stage — the jidoka gate, by which the AI detects an anomaly and calls a human for what exceeds its pre-defined handling rules — is the precondition for L3; internalizing the full closed circuit through stopping, recovery, root-cause analysis, and recurrence prevention is the precondition for L4 and above.
Autonomous Firm
The state in which the management loop contains zero humans at all times and the legal entity continues to run itself on its own judgment (CAL L5 at company scope). Humans remain outside the loop as owners and beneficiaries.
Zero-Person Company
The colloquial name for the Autonomous Firm; a banner term for the corporate form that comes after the one-person unicorn.
HITL removal rate
The degree to which human intervention (human-in-the-loop) has been removed from the management loop. Not a single composite value: it is measured through four metrics — intervention density, autonomous completion rate, override rate, and Human Wait Ratio.

5Beyond L5 — The Next Layer and a Different Axis

There is no L6 in this version of CAL. But the seat is reserved. At company-level L5, delegation is complete across every domain, the management domain included — the top of the management layer's scale. Above the goals delegated inside the loop (each domain's goals, and the management goals carried by the management domain), one tier still remains: the will over purpose, continuation, and capital — an owner's power, the governance layer. What lies beyond L5 is therefore not only a different axis; it includes the next layer in the same direction.

HORIZON O — L6 RESERVEDOwnership Autonomy

Autonomy of the governance layer. AI occupies even the owner's seat, and the will over purpose and continuation leaves human hands. The direction — removing humans — is the same as L0–L5; the layer shifts from management to governance. Under current law, control structures that do not trace back to natural persons are generally not constructible (legal wrappers for DAOs and ownerless-foundation forms are the closest scaffolds), so it is not yet a level one can design for. When (1) law admits such structures and (2) an assessment methodology — design and verification — is established, it will be incorporated as L6 through the version history of this canonical page. Until then it is not treated as a level.

HORIZON M — DIFFERENT AXISMachine Economy

An economy in which customers and counterparties are AI as well, and value exchange completes between AIs — the extension of agentic commerce (commerce in which AI agents are the buyers). Market composition changes the inputs to goal setting, but not who holds the six elements. It can make every level easier to reach, yet it constitutes no assessment — hence a horizon, not a level.

CAL measures the management layer. The governance layer (ownership) sits as the reserved L6 under version control; market composition is out of scope. Any extension of CAL — including the formal incorporation of L6 — happens only through the version history of this canonical page.

6Provenance & License

  • Canonical URL: https://corporateautonomy.com/ · First published: 2026-07-12 · Version: 0.9 (public review draft) · Changelog: end of this page.
  • Status: public review draft. Promotion to v1.0 requires: (1) at least one applied assessment documented, (2) a further independent review yielding no blocker-class findings, and (3) public comments received via the contact address (§7) having been addressed. During 0.x, meaning-level revisions increment a third digit (0.9.1, 0.9.2, …); the compatibility discipline below applies from v1.0 onward. Editorial fixes remain outside versioning.
  • Versioning: the version changes only when the meaning of definitions or terms changes (clarifications and additions increment the minor version; incompatible changes, the major version). A change is incompatible when it can alter the outcome — level or scope — of an existing conformity assessment; by this criterion, the future incorporation of L6 is a minor-version change. Editorial fixes do not change the version and are not listed in the changelog. A claim persists under the version it was assessed against and is identified by the version notation it carries; transition arrangements for an incompatible revision are defined at the time of that revision. A Wayback Machine snapshot of each published version is taken as a third-party timestamp.
  • License: the body of this page — the terms, definitions, level table, and assessment procedure — is licensed under CC BY 4.0; attribution is the only condition.
  • Conformity-claim rule (a separate layer from the copyright license): CC BY 4.0 permits adapting the text, but a "CAL" / "CAL Lx" conformity claim is valid only against the unmodified definitions and procedures of this canonical page — an assessment made under modified definitions may not be described as CAL. The canonical version is this page only.
  • Suggested citation: "Corporate Autonomy Levels (CAL) v0.9 (public review draft), corporateautonomy.com"
  • References (informative): external materials this page refers to by name — SAE J3016 (taxonomy and definitions for driving automation levels; SAE International) / jidoka in the Toyota Production System / Mercedes-Benz's stated acceptance of L3 liability for Drive Pilot / Japan's revised Road Traffic Act (takeover duty) and the "specified automated operation" regime (in force 2023) / McKinsey, "The agentic organization: Contours of the next paradigm for the AI era" (2025).
  • Trademark note: SAE and J3016 are standards and names of SAE International. "Jidoka" is a term originating in the Toyota Production System. This page is an independent document that references them for structural comparison; it is not affiliated with or endorsed by SAE International or Toyota Motor Corporation. CAL is not an SAE standard.

7Disclosure

This framework is created and maintained by the operator of the kaishaos project (kaishaos.com). The definitions are vendor-neutral and do not presuppose the use of any particular product. This site does not offer paid services such as assessments or implementation support. Contact: contact@kaishaos.com — inquiries, errata reports, and licensing questions.


Corporate Autonomy Levels (CAL) — 日本語版

企業自律レベル

「企業がどれだけ自律的に回るか」を測るための尺度。

企業自律レベル(CAL)は、経営ループの人間介入を6段階L0–L5で測る公開フレームワーク。設計で狙い、ログで実証する。

本ページはCALの正準(canonical)定義である。用語と定義はCC BY 4.0で自由に利用でき、条件は出典表示のみである。正準は上部の英語版であり、本節はその日本語版である。

0.9(公開レビュー版)
初出
2026-07-12
ライセンス
CC BY 4.0
正準URL
corporateautonomy.com

1The Levels — L0–L5

CALは、経営を6要素の閉ループとして観察する。

  1. 実行所与の手順による作業の遂行
  2. 運用判断所与のルールの下での、案件ごとの採否・分岐・優先順位の判断
  3. 異常対応検知・停止・エスカレーション・復旧
  4. 改善根本原因分析→ルール改定(プロセスの自己改善)
  5. 発明新技術・新方針
  6. 目標設定ドメインの成功基準の決定・改定

レベルの境界は「人間の関与様式をどれだけ外したか」で引く。関与様式は5段で外れる: 作業する → 毎回起案・承認する → 監視する → 例外を直し学習する → 目標を決める。

適用範囲: CALは、経営ループを持つ法人であれば営利・非営利を問わず適用できる。本ページは「企業」を代表例として記述する。

判定の基本単位は業務ドメインである。L0–L5をドメインごとに判定し、企業としてのレベルはその合成で表明する(§2)。業務ドメインとは、固有の成果物・目標・異常対応が識別できる継続的な業務単位を指す(粒度の詳細な指針は——タスク・起案の計数単位を含め——今後の版で追補する)。

注(規範性): CALの定義は本ページの記述のみで完結する。SAE J3016への言及はすべて理解を助ける参考情報(informative)であり、定義の根拠ではない。本ページは、認証制度を伴う規格ではなく、公開の定義書(canonical definition)である。規範(normative)/参考(informative)の区別は、規格の作法に準じて用いる。

判定基準の語彙(規範)

  • 「AI」 — 本ページの「AI」は、判定対象の自動化システムの総称である——機械学習・ルールベース・スクリプト等、実現方式を問わない。CALは技術非依存であり、測るのは人間の関与様式がどれだけ外れたかであって、それを外した技術ではない。
  • 対外出力 — 当該ドメインの境界を越えて、他ドメインまたは企業外の受け手に到達し、取り消しが困難となる成果物をいう。対外出力が存在しないドメインでは、成果物の確定時点で人間の承認を経ているか否かを対応する観測点とする。
  • 起案 — 成果物1単位に向けた作業の開始に人間の行為を要するとき、その成果物は人間起案である。L1–L2境界の「タスク」は成果物単位で数える: 人間の1回の指示からAIが複数工程を連鎖して1つの成果物に至る運用は、なお人間の起案である。新たな人間の行為なくAIが着手する成果物は、人間の起案ではない。
  • ループ内の人間 — 6要素のいずれかを現に担う自然人は、雇用形態・所属・委託・派遣・ベンダー提供・無償を問わず「ループ内の人間」として数える。判定はどの法人に属するかではなく、誰が要素を握るか(表2)による。人間労働の外部委託は移譲ではなく、人間保持として判定する。ベンダー側人員が個別案件に介在する場合はループ内、モデルの汎用的な改善はループ外である。関与は、行為者の所属ドメインではなく、その行為が担う要素の属するドメインに帰属させて判定する——あるドメインに属する人間が他ドメインの異常を処理し、または目標を設定する場合、後者のドメインのループ内として数える。
  • 異常/平常時 — 何を異常と数えるかは事前に宣言する: ドメイン棚卸し(§2)で、判定に先立ちドメインごとの異常類型を記載する。人間の介入を事後に「異常対応」へ付け替えることは認めない。異常類型の宣言には、対処が事前にルール化されておりAIが完結してよい類型と、人間へのエスカレーションを要する類型の別を含める。自動化システム自体の障害・停止・性能劣化は、全ドメインの類型に必須の類型として含める。異常とは、宣言された平常のプロセスからの逸脱をいう——ドメインの通常業務の類型そのものを異常類型として宣言することは、本語彙の想定ではない。
  1. L0受動的な道具
  2. L1単一タスクの補助
  3. L2ゲート付き実行
  4. L3常時監視の解除
  5. L4異常対応まで自律
  6. L5完全自律

表1の各判定基準は、下位レベルとの差(AIが新たに担う観測点)と上位レベルとの差(人間がなお担う観測点)の組で読む。上位側の観測点は既定値であり、先行移譲(§2累積判定)として開示された要素については、開示された移譲状態に置き換えて読む。完全な割当は表2による。

表1レベル定義(L0–L5)
Lv企業での定義外れる関与様式(対応要素)判定基準(観測点)
L0 AIは受動的な道具。経営ループの全要素を人間が担う AI出力が(編集の有無を問わず)成果物に取り込まれない
L1 AIが単一タスクの実行を補助する。起案と確認は毎回人間 作業(実行の補助=①の一部) AI出力が成果物に取り込まれている。ただしタスクの起点は毎回人間で、AIによる工程の連鎖開始がログに現れない
L2 AIがワークフローを連鎖実行する。人間は常時監視し、全ての対外出力にゲートを置く 毎回の起案(①完了+②ゲート付き。人間はゲートと監視に退く) AIが人間の起案なしに工程を連鎖実行している。ただし対外出力の人間ゲート通過率100%(ゲートを経ない対外出力がログにない)
L3 ドメイン内の実行と運用判断をAIが担い、常時監視を解除する。異常はAIが検知し、対処がルール化されていないものは人間を呼ぶ 常時監視(②完了+③の一部=検知・通報。人間はオンコールへ) 平常時、実行・運用判断(①②)への人間介入ゼロ——L3で人間が担う④⑤⑥の関与(ルール改定・新手法の導入・目標の決定改定)はこれに数えない。対処が事前にルール化されていない異常は、観測期間内の全件が人間へエスカレーションされている——事前ルールの実行によるAI完結は妨げない(ルール外の対処と、ルールの改定は、なお人間が担う)
L4 ドメイン内は異常対応と自己改善まで自律で完結する(検知→停止→復旧→根本原因分析→ルール改定)。ドメイン内の技術的発明も担う 例外対応と学習(③完了=対処の内製化+④+⑤a=一つの閉回路) 観測期間内に発生した全異常について、発生から再発防止までの閉ループにログ上人間が現れず、ドメイン内の新手法・新技術の導入記録に人間の起案が現れない(目標設定にはなお人間が現れる)
L5 そのドメインの目標設定まで自律する。経営ドメインでは経営方針・事業の発明を含む。経営ドメインを含む全ドメインでの成立=自律法人 そのドメインの目標設定(⑥。経営ドメインでは⑤bを含む) ドメインの目標設定を含め、ドメインのループに常時人間が0人(目標設定の記録に人間が現れない)
表2移譲マトリクス — 各レベルで各要素を誰が握るか。Lx列はそのレベルの設計要求仕様になる。
要素L0L1L2L3L4L5
①実行人間AI補助(起案・確認は人間)AI(連鎖実行)AIAIAI
②運用判断人間人間AI(常時監視下・対外出力は人間ゲート)AI(監視なし)AIAI
③異常対応人間人間人間検知・通報=AI/対処=人間(事前にルール化された対処の実行はAI可)AI(完結)AI
④改善人間人間人間人間AIAI
⑤a 発明——技術(ドメイン内)人間人間人間人間AIAI
⑤b 発明——方針・事業(経営ドメインのみ)人間人間人間人間人間AI
⑥目標設定人間人間人間人間人間AI(そのドメインの目標)/存在目的・存続の意思は所有者(ループ外)

注: 経営機能(戦略・事業ポートフォリオ・資源配分)自体も一つの業務ドメインとして棚卸しに含める(§2)。企業全体の目標設定は経営ドメインの⑥として判定される。その上流にある存在目的・存続の意思は所有者の領分であり、ループ外である(§5)。

注(⑤の下位区分): ⑤は、⑤a技術の発明(全ドメインに存在)と、⑤b方針・事業の発明に分けて判定する。⑤bは経営ドメインにのみ存在する要素であり、非経営ドメインの判定では該当しない(行自体が存在しない)。どのドメインが経営ドメインかは、インベントリの宣言による(前注)。

注(目標と派生目標): ⑥は、ドメインの目標——成功基準・目的関数・KPIの水準——を定め、改定する関与をいう。与えられた目標の下で、AIが中間目標やサブゴールを設定・再設定して反復すること(成果物を自動評価し、目標を再設定して再実行するループを含む)は、①②——プロセスのルール改定を伴う場合は④——に属し、⑥の移譲ではない。観測点は、ドメインの成功基準そのものが人間の関与なく変更されるか否かである。AIが成功基準自体を書き換える構成は、⑥の先行移譲として開示する(累積判定と先行移譲・§2)。

注(所有者チャネル): ループ外の所有者権限は、定款・出資と引揚げ・清算・経営システムの任免に限る。事業目標・KPI・予算配分・優先順位への指示は、頻度・形式を問わず要素⑥として数える。強行法規が所有者に留保する決議(株主総会決議等)への関与は、ループ外のガバナンス層の行使として⑥の判定記録から除外する——ただし当該決議の原案の起案・実質的策定を所有者側の人間が行う場合は、ループ内の⑥への関与として数える。

境界の読み方

表35つの境界と、そこで外れる関与様式
境界外れる関与様式対応する要素
L0→L1作業(実行の補助開始)①の一部
L1→L2毎回の起案(人間はゲートと監視に退く)①完了+②ゲート付き
L2→L3常時監視(人間はオンコールへ)②完了+③の一部(検知・通報)
L3→L4例外対応と学習(一つの閉回路として内製化)③完了(対処の内製化)+④+⑤a
L4→L5そのドメインの目標設定⑥(経営ドメインでは+⑤b)
  • L2→L3: 監視を外す代わりに、AIにはルール化された対処を超える異常で人間を呼ぶ義務(jidokaゲート)が生じる。
  • L3→L4: 検知→停止→復旧→根本原因分析→ルール改定は一つの閉回路(=自働経営・Corporate Jidoka)であり、分割すると機能しないため、③④⑤aは一つの境界で束ねて移譲する。
  • L4→L5: そのドメインの目標設定を移譲する。技術的発明(⑤a)はL4に、方針・事業の発明(⑤b)は経営ドメインのL5に属する。

参考SAE J3016との構造対応

表4SAE J3016との構造対応(参考)
LvSAE J3016(自動車での姿)
L0自動化なし(警告と瞬間的な緊急介入のみ)
L1ACCか車線維持の一方のみ
L2複合アシスト・常時監視必須
L3常時監視は不要。ただし介入要請と明白なシステム故障に応答できる利用者(fallback-ready user)を要する
L4ODD内は人間不要。異常時も自らミニマルリスク状態へ移行
L5ODDによる限定なし

監視の移転(L2→L3)はSAE L3の「介入要請への応答義務」に、例外の内製化(L3→L4)はSAE L4の「ミニマルリスク状態への自動移行」に対応する。CAL L5に直接のSAE対応はない——J3016自身が、動的運転タスク(DDT)の定義から戦略的機能(目的地・経路の選択)を明示的に除外しており、目的地の選択(=目標設定)を尺度に含めない。SAE L5の「条件無限定」は、CALでは企業レベルの表明(全ドメインの合成・§2)に相当する。業務ドメインが運行設計領域(ODD: Operational Design Domain)の役割を担う。

参考既存概念の目安

表5既存概念の目安(参考)
既存概念目安備考
コパイロット型ツールL1
Company OS / Work OSL1–L2語の用法はL3級の主張まで拡大中
監督付きエージェント運用(human-in-the-loop agents)L2
agentic organization(McKinseyの用語)L2–L3「1人が数百エージェントを指揮」は人間指揮を残す(出典: McKinsey「The agentic organization: Contours of the next paradigm for the AI era」2025)
1人ユニコーン全ドメインL4+人間1人
自律法人/Zero-Person CompanyL5(企業レベル)本ページの定義。未到達

呼称は自己申告である。CALの判定は語ではなく構造による。

2The Metric — 測定と判定

レベルは構造で判定し、指標で裏づける。レベル判定はスコアリングではない。「どの関与様式を外したか」という構造(表1〜表3)がレベルを決める。業種を横断する合算スコアや統一閾値は設けない。判定基準列の「100%」「ゼロ」は経験的な閾値ではなく、各レベルの定義から論理的に導かれる観測点である。レベルは自律の程度の記述であり、品質・安全性・経営の優劣の評価ではない。

判定の二層

  • 設計判定 — 「designed for CAL Lx」
    移譲構造が設計物——権限設定・ワークフロー定義・人間ゲートの有無・エスカレーション経路・ルール改定権限——として実装されているかで判定する。運用開始前に判定できる。表2のLx列が、そのレベルの設計要求仕様として機能する。
  • 実証判定 — 「CAL Lx(実証)/CAL Lx, log-verified」
    運用ログが、設計どおりの運転を証明して成立する。

表記規約: 設計段階の主張は「designed for CAL L4」のように設計の限定辞を必須とし、設計物の提示を伴う。実証済みの主張は「CAL L4(実証)」と表記する。主張にはスコープ(全ドメイン、またはインベントリに列挙したドメイン名)を併記する。主張にはさらに、判定日・根拠とした観測期間と業務量・判定実施者(自社か、名指しの第三者か)・準拠したCALの版・証拠への参照(開示様式——公開か要求時開示か——と保持期間を含む)を併記し、L3以上の実証主張には、観測期間内の異常件数(宣言類型別)と全業務量に対する比率を併記する。表記例(完全形): 「CAL L3(実証, 判定日2026-07-01, 観測期間2026-01〜06・成果物1,240件, 異常14件・宣言3類型・業務量比1.1%, 自社判定, per CAL v0.9, 証拠は要求時開示・保持5年)」。本ページの以降の表記例は省略形で示す。両者を混同して名乗らない。

判定の手続き

  1. 業務ドメインを区切る
  2. 境界質問で6要素の移譲状態を確定し、構造からレベルを仮判定する(=設計判定。設計主張が可能になる)。
  3. そのレベルの判定基準(表1)に対応する運用ログで裏づける(=実証判定。実証主張が可能になる)。
  4. 企業レベルを表明する場合は、全ドメインの判定を合成する(インベントリ+最小値+プロファイル。スコープを明示する)。(図1)
図1判定の手続きと二層の主張(参考)— 本図は本節の手続き①〜④の図解であり、本文が優先する。
業務ドメインを区切るドメイン棚卸し(インベントリ): 被覆表明・異常類型の事前宣言・条件細分
境界質問で6要素の移譲状態を確定 → 構造から仮判定=設計判定。表2のLx列が設計要求仕様として機能する。どの列も満たさない構成は非適合構成として開示
設計層の主張designed for CAL Lx設計物の提示を伴う。仮判定であり、認定ではない
そのレベルの判定基準(表1)に対応する運用ログで裏づける=実証判定。網羅性宣言と記録の完全性の担保を伴う
実証層の主張CAL Lx(実証)確定判定はこの層のみ
全ドメインの判定を合成する(企業レベルを表明する場合)インベントリ+最小値規則+プロファイル併記。未判定はL0ではない
企業レベルの主張CAL Lx(スコープ明示)実証層を名乗れるのは全ドメイン実証時のみ

構造の実質的な変更(モデル入替え・権限変更・ワークフロー改変・類型宣言やインベントリの変更)で実証主張は失効し、③の再実証に戻る(主張のライフサイクル)。

累積判定と先行移譲: レベルは累積で判定する——あるレベルを名乗るには、表2のそのレベル列の要件をすべて満たすことを要する。関与様式が「外れた」と認めるのは、対応する境界の要素移転(表3)——それを引き受けるAI側の構造——が成立している場合に限る: 構造を伴わない除去は、移譲として扱わない。各要素の移譲状態がどのLx列とも完全一致しない場合、レベルは下位から連続して満たす最上位の列で決まる: レベルは最も下位の未移譲の関与様式で頭打ちになり、その上での先行自律化はレベルを構成しない。どのレベル列も下位から連続して満たさない構成は「非適合構成」として記録する——境界質問に答えられない「未判定」とは区別し、要素別の移譲状態の開示を伴う。表記例: 「非適合(scope: 配信。①②: AI・無承認の連鎖実行。③: 監視・ゲート・エスカレーション構造なし。④〜⑥: 人間)」。非適合ドメインを含む企業はレベルを表明できない。外部推定ではプロファイルに「非適合×n」と記す。下位要素を人間が担ったまま上位要素をAIが担う先行移譲(例: 異常の対処は人間だが、改善のルール改定はAI)がレベルを引き上げないのは、境界の順序が依存関係だからである——下位が開いたままの上位移譲は、そのレベルの閉じた構造(例: L4の閉回路)を構成しない。ただし先行移譲は消えない: 判定時に要素別の移譲状態を開示し、先行移譲として記す。先行移譲は次の境界への移行準備として指標にも現れる。表記例: 「CAL L3(実証, scope: サポート。先行移譲: ④改善・⑤a)」

判定ルール: レベルの実証主張は、判定基準(表1)に対応する運用ログの提示をもって成立する。設計主張は、移譲構造の設計物の提示と「設計」の明示をもって成立する。証拠を伴わない自己申告は、CALの主張ではない。設計判定は仮判定であり、認定ではない——確定判定は実証判定のみである。担い手が人間とAIに混在する要素は、最も人間依存の状態で判定する——当該関与様式は外れていない。判定基準にいう「ログ」は、網羅性宣言の対象となった記録の全体を指す: 実証主張には、人間が介入しうる経路の列挙と各経路の記録方法(網羅性宣言)、および記録の完全性の担保(追記専用ストア・ハッシュチェーン・第三者タイムスタンプ等)を伴う。網羅性宣言には、自動化システム自体の障害・沈黙を検知する、主系から独立した死活監視チャネルの記載を含める。人間/AIの別と介入の事実が判別可能である限り、仮名化・匿名化された記録はログ要件を満たす。観測期間・記録系統の事後の選別は認めない。観測期間内に異常の実績がない場合は、意図的な異常注入(フォールトインジェクション)または訓練異常ドリルが実際にループを作動させた記録を、異常側の判定基準の実証証拠として認める。L4以上の主張は、当該ドメインの類型宣言に人間へのエスカレーションを要する類型が存在しないことを要する。観測期間内に⑤a(新手法・新技術の導入)・⑥(目標の改定)の実績が0件の場合、その期間に依拠する主張にはその旨を併記する。

主張のライフサイクル: 実証主張は、そのログを生んだ構造について語る——モデルの入替え・権限変更・ワークフロー改変・異常類型の宣言の変更・ドメインインベントリの再編など構造の実質的な変更があったとき、実証主張は失効し、再実証を要する。観測期間内の成果物に対する期間後の人間による修補・回収・差戻しは、運用が判定基準に反していたことの証拠として扱う(下方修正の対象)。運用が判定基準に反することが後から確認された場合、主張は下方修正する: 実証層はログに従い、運用に反した設計主張はスコープを修正するか撤回する。企業レベルの主張が実証層を名乗れるのは、インベントリの全ドメインが実証済みの場合のみである——それ以外は設計層で表記する。

誰が判定するか

CALは認証機関を置かない——本サイトは認定しない。判定は、本ページ§2に定める手続き(判定の手続き・判定ルール・表6)に基づき、主張する企業自身または任意の第三者が実施する。CALは証拠開示付きの自己適合宣言を基本とし、第三者検証は任意である。証拠にアクセスできない外部者による見立ては外部推定であり、CALの主張ではない——設計判定(設計物へのアクセスを要する)も実証判定(ログへのアクセスを要する)も、外部からは実施できない。CALの語彙で格付けを語る際は、主張か推定かを明示する。外部推定は、依拠した公開情報の明示を要する。

企業レベルの判定 — ドメインの合成

  1. ドメイン棚卸し(インベントリ): 経営ループを構成する全業務ドメインを列挙して提示する。経営機能自体も一つのドメインとして含める。インベントリには被覆表明を伴う: 6要素に該当する全人的工数・全外注が、いずれかのドメインに帰属する——帰属先のない工数の存在は、インベントリの不完全を意味する。ドメインごとの異常類型も事前にここで宣言し(§1判定基準の語彙)、時期・条件により移譲状態が変わる業務は、条件でドメインを細分して列挙する。一部のみの判定で企業レベルを名乗ることはできない。
  2. 最小値規則: 企業レベル=全ドメインの判定の最小値。最も自律していないドメインが、企業がなお人間を必要とする場所を決める。
  3. プロファイル併記: 最小値と併せてレベル別のドメイン分布を示す。表記例: 「CAL L2(実証, scope: 全ドメイン。プロファイル: L4×7・L3×2・L2×1)」。分布と併せて、各ドメインの規模(FTEまたは工数比)の併記を推奨する(参考)。
  4. スコープ付き主張: 特定ドメインに限る主張は、インベントリに列挙したドメイン名でスコープを明示する(例: designed for CAL L4, scope: 経理)。
  5. 企業レベルL5=経営ドメインを含む全ドメインがL5。これが自律法人(Zero-Person Company)の判定条件である。
  6. 未判定はL0ではない: 境界質問に答えられないドメインは「未判定」とする。未判定ドメインを含む企業はレベルを表明できない。外部推定では「未判定×n」とプロファイルに記す。

4指標は、判定されたレベルの内側に残る人間関与を測る——どれだけ残っているか・人手ゼロの仕事がどこまで広がったか・残る人手はまだ必要か・残る人手が時間をいくら奪っているか。残余の減少はレベル内の進捗であり、残余の不要化は次の境界へ進む安全根拠であり、残余が端点(0分/100%)に達した記録は、そのまま上のレベルの実証の証拠を兼ねる。形式的には、役割は3つ——(a)判定基準の観測点(実証の証拠)、(b)移行の前方指標、(c)進捗・効果の連続量(図2)。4指標はいずれもドメイン単位で測り、企業レベルへ合成されるのはレベルのみである——指標は合成しない。CALは、経営ループから人間介入(human-in-the-loop, HITL)を取り除いた度合いをHITL剥離率(HITL removal rate)と呼ぶ——単一の合成値ではなく、次の4指標で測る。

  1. 介入密度(残る人手の量) — 成果物1本あたりの人間介在分数。役割(a)(c): 平常時の①②への介入0分がL3実証の直接証拠であり、0へ向かう軌跡がレベル内進捗。
  2. 自律完結率(無人化の広がり) — タスク完結率と異常完結率に分けて報告する: タスクのうち、また異常のうち、人間が触れずに完結した割合(計数単位はインベントリで定義したドメインの成果物。詳細は粒度指針の追補と併せて規定する)。役割(a): 構造主張が実運転されていることの主エビデンス——L4の裏づけは異常完結率による。
  3. override率(残る人手の必要性) — 人間レビューにおいて、AIの判断が覆された割合。人間レビューが存在する期間・場面で測る。役割(b): ゲートが冗長になったこと——L2→L3移行の安全——を示す前方指標。移行の根拠に用いる場合は、レビューの実質性(サンプリング二重レビュー・ブラインド再判定との一致率等)を併せて開示する。
  4. 人間待ち比率(Human Wait Ratio)(残る人手の時間コスト) — リードタイムに占める「人間のアクション待ち」停留時間の割合。役割(c): レベルを上げる便益の計器。人間ゲートの真のコストは工数ではなく停留である(リーンのフロー効率・手待ちのムダに対応。リードタイムの起点・終点等の測定境界は、詳細測定手順の追補時に規定する——§6版管理)。設計上、L2企業とL3企業の差は品質ではなく、主に速度に現れることが期待される。

同じL2でも、介入密度45分・override率30%の会社と、3分・1%の会社は成熟度が全く違う——後者はL3移行の準備が整っている。また同じ介入密度3分でも、全成果物に3分ずつのゲートレビューが残る会社(タスク完結率0%)と、10本に9本は人が触れず、残る1本に30分を要する会社(同90%)は、別の構造にある——指標は組で読む。序数(レベル)に見えない差を、連続量が可視化する。

図24指標 — 各レベルに残る人間関与を測る(参考)— 1ドメインの中の対応。本文が優先する。
4指標は、判定されたレベルの内側に残る人間関与を測る——どれだけ(量)・どこまで(広がり)・まだ必要か(必要性)・時間をいくら奪うか(時間コスト)。残余が端点(0分/100%)に達した記録は、そのまま上のレベルの実証の証拠を兼ねる(●)。
4指標のL0からL5にわたる典型的推移と効く場所
指標(測る面)L0L1L2L3L4L5
介入密度残る人手の量——どこに人手が溜まっているか(分/成果物)
全作業が人手
都度の起案・承認・修正
ゲート審査分のみ
0分● 判定基準(平常時・①②) ○ 0を維持崩れれば実証失効 ○ 0を維持
自律完結率(タスク)広がり無人化の広がり・平常時(%) —(成果物になるAI出力なし)
≈0%(全件に人手)
部分(対外出力は0%=ゲート100%)
100%● 判定基準(平常時) ○ 維持 ○ 維持
自律完結率(異常)広がり異常も無人で閉じるか(%) 0%(異常は人間対応) 0%(同左)
ルール化済み類型のみAI完結可。上昇=L4準備
≈100%● 判定基準——L4実証の主エビデンスルール外も④改善で吸収 ○ 維持
override率必要性残る人手はまだ仕事をしているか(覆した割合) —(対象となるAI判断なし)
都度レビューで測定可・低下=成熟
▶ →0でゲート冗長=L2→L3移行の安全根拠
—(平常時レビュー消滅) —(監査等の場面のみ)
人間待ち比率時間コスト人待ちが速度をいくら奪うか——どのレベルの判定基準でもない(便益の計器)
承認待ちが支配的
ゲート待ちが支配的
最大の段差(ゲート待ち消滅)
異常時の人間待ちも消滅
≈0
無人化の広がり(高いほど自律側) 残る人間関与(低いほど自律側) 判定基準の観測点(端点到達の記録=そのレベルの実証の証拠) 維持(累積判定——崩れれば実証主張は失効) 次の境界へ進む安全根拠 斜線=測定場面が存在しない バーは典型的推移の模式であり、閾値ではない(CALは閾値を設けない) すべてドメイン単位。企業レベルへ合成されるのはレベルのみ

実証に必須の証拠と測定負担: 実証主張に必須の証拠は、主張するレベルの判定基準(表1)に対応するログであり、それ以上ではない。4指標は役割(a)〜(c)の道具であって、レベル主張の必要条件ではない。介入密度・人間待ち比率は専用の時間計測を要せず、既存ワークフローのタイムスタンプからの導出で足りる。全数測定が過大な場合、連続指標は方法を開示したサンプリング測定(代表期間・代表業務の標本)を認める。ただし判定基準の観測点そのもの——「ゼロ」「100%」系の条件——はサンプリングできない: 網羅性宣言の対象となった全記録に対して読む(判定ルール)。

2段階診断

第一段階=設計判定(仮判定)/第二段階=実証判定

表62段階診断 — 指標ごとの判定手段
指標第一段階: 設計判定(設計チェックリスト)第二段階: 実証判定(ログ実測)
レベル判定(構造)要素ごとの境界質問×ドメイン(対外出力に承認は必須か/異常時に誰が動くか/ドメイン内の新手法を起案・導入するのは誰か/ルールを改定するのは誰か/ドメインの目標(成功基準)を決め・改定するのは誰か/所有者は目標・KPI・予算へ指示を出したか/ベンダー側人員は個別案件に介在するか/介入要請の到達と応答はどう記録されるか 等)権限設定と実ログの突合
介入密度自己申告の概算タイムログ実測
自律完結率異常対応の主体を質問チケット・ログの分類
override率—(チェックリストでは取得困難)レビュー記録の実測
人間待ち比率承認待ち時間の概算を質問ワークフローのタイムスタンプ実測

設計チェックリストの段階でも、override率を除く3指標の概算を取り、構造回答とのクロスチェックに用いる——「L3構造」と回答しつつ承認待ち比率が大きい場合は回答を疑い、仮判定を保留する。第一段階は本サイトで無償で提供する予定である。第二段階は判定ルールと表6に従い、自社でも第三者でも実施できる。詳細な測定手順(各指標の測定境界を含む)は、本ページの改版として追補する(§6版管理)。

3Responsibility — 責任の所在

対外的な責任は、どのレベルでも原則として法人が負う——これは変わらない。自律化が動かすのは、法人の内側の帰責(accountability)である: 成果や失敗を「誰の作業・誰の承認」にどこまで遡れるか。帰責は移譲構造(表2)から導かれる——要素を握る者・機構に遡る。境界はL4: ドメイン内の閉ループが無人になったとき、その閉回路の範囲では帰責が遡り着く個人が消え、システムを設計・運用するガバナンス(組織)に一元化される。責任は設計主張ではなく、実際に運転されている構造(実証層)に従う。

表7法人内部の帰責の所在
Lv法人内部の帰責の所在
L0–L2 実行・承認した個人に遡る(担当者・承認者の作業帰責)
L3 平常時は、システムを運用するガバナンス側へ。オンコールの人間には介入要請への応答義務の帰責が残る——ただし不応答が個人に帰するのは、要請が本人に到達し、応答可能な条件(合理的な当直設計・負荷)が満たされていた場合に限る。経路の到達性・冗長性と当直体制の妥当性は、ガバナンス側の帰責である
L4 ③異常対応・④改善・⑤aの閉回路の運転に係る帰責は、個人に遡らず、システムを設計・運用するガバナンス(組織)に一元化される。人間がなお握る要素の帰責(⑥目標設定、経営ドメインの⑤b)は、引き続きその個人に遡る
L5 経営ループ内に遡り先となる個人が存在しない。法人のガバナンス(所有者が握る任免・存続の機構)にのみ帰する——「AI法人格」議論への接続点

消えるのは運転時の作業帰責(誰が実行・承認したか)である。システムの設計・承認・監督に関する帰責は、それを行った機関・個人(取締役等)に残る——ガバナンス帰責の内実はこれである。

参考自動運転での対応

表8自動運転での対応(参考)
Lv自動運転での対応
L0–L2事故責任は運転者(原則)
L3作動中の責任のメーカー側受容はMercedes-Benz(Drive Pilot)の自主的表明にとどまる。介入要請への不応答が運転者側に残る点は、日本の改正道路交通法の引継ぎ義務に対応する
L4日本の「特定自動運行」(2023年施行): 運転者不在を前提に、許可を受けた運行主体が責任を負う
L5L5に固有の法制度は主要法域で未整備

対比の限界: 自動運転では対外責任の主体自体が移転する(運転者→メーカー・運行主体)。企業では対外責任は法人に固定され、移転するのは内部帰責である。

※本節は法的助言ではない。本節の「責任」は対外責任(liability)と内部帰責(accountability)を区別して用いており、実際の法的責任は法域・契約・事案により異なる。また、法人格否認の法理・役員等の対第三者責任など、対外責任が個人・所有者に及ぶ法理が各法域に存在する——CALのレベルはこれらの適用を生じさせも妨げもしない。

4Key Terms — 主要用語

企業自律レベル(Corporate Autonomy Levels, CAL)
企業の業務ドメインごとに、経営ループ6要素(実行・運用判断・異常対応・改善・発明・目標設定)のどこまでをAIが担うかをL0–L5で定義する測定フレームワーク。判定は本ページに定める手続きと証拠の提示による——設計主張には移譲構造、実証主張には運用ログ。本定義の「AI」は判定対象の自動化システムの総称であり、実現方式を問わない——CALは技術非依存である。
自働経営(Corporate Jidoka)
異常の検知・停止・復旧・根本原因分析・再発防止を、AIの業務ループ自体に組み込む経営規律。トヨタ生産方式の「ニンベンの付いた自働化」の経営への拡張。その第一段——異常を検知し、ルール化された対処を超えるものは人間を呼ぶjidokaゲート——がL3へ進む前提条件であり、停止・復旧・根本原因分析・再発防止まで含む閉回路全体はL4以上へ進む前提条件である。
自律法人(Autonomous Firm)
経営ループ内の常時人間が0人で、法人が自らの判断で経営を継続する状態(企業レベルのCAL L5)。所有者・受益者としての人間は輪の外に残る。
0人企業(Zero-Person Company)
自律法人の通称。「1人ユニコーン」の次に来る企業形態を指す旗印。
HITL剥離率(HITL removal rate)
経営ループから人間介入(human-in-the-loop)を取り除いた度合い。単一の合成値ではなく、介入密度・自律完結率・override率・人間待ち比率の4指標で測る。

5Beyond L5 — 次の層と、別の軸

本版のCALにL6は存在しない。ただし、その席は予約されている。企業レベルL5で、経営ドメインを含む全ドメインの移譲が完了する——経営層の尺度はここが上端である。しかし、ループ内で移譲された目標(各ドメインの目標と、経営ドメインが担う経営目標)の上には、なお一層が残る: 存在目的・存続・資本の意思——所有者権限=ガバナンス層。ゆえにL5の先は「別の軸」だけではなく、同じ方向の次の層を含む。

HORIZON O — L6予約席所有の自律(Ownership Autonomy)

ガバナンス層の自律。株主・所有者の座までAIが占め、存在目的・存続の意思まで人間の手を離れる。人間除去という方向はL0–L5と同じで、層が経営からガバナンスへ移る。現行法では自然人に遡及しない支配構造は一般に構成できず(DAOの法的ラッパー・無所有型法人が近似の足場)、いまは設計で狙えるレベルにならない。①法がそれを許容し、②設計・実証の判定方法論が成立したとき、本正準ページの版管理の下でL6として編入する。それまでレベルとしては扱わない。

HORIZON M — 別の軸機械経済圏(Machine Economy)

顧客・取引相手までAIになり、AI間で価値交換が完結する経済圏(agentic commerce=AIエージェントが購買主体となる商取引の延長線)。市場の構成は目標設定の入力を変えるが、6要素を誰が握るかは変えない。各レベルの達成を容易にし得るが、判定を構成しない——ゆえにレベルではなく地平である。

CALが測るのは経営層である。ガバナンス層(所有)は版管理の下に予約されたL6であり、市場の構成は測定対象外である。CALの拡張——L6の正式編入を含む——は、本正準ページの版管理においてのみ行う。

6Provenance & License — 来歴とライセンス

  • 正準URL: https://corporateautonomy.com/ / 初出: 2026-07-12 / 版: 0.9(公開レビュー版) / 変更履歴: 本ページ末尾
  • 状態: 公開レビュー版。v1.0への昇格条件: ①適用事例1件以上の文書化、②追加の独立査読でブロッカー級の指摘がないこと、③公開コメント(§7の連絡先宛)の受付と受領分への対応。0.x期間中、意味に関わる修正は第3桁で改版する(0.9.1、0.9.2、…)——下記の互換性規律はv1.0から適用する。編集的修正が版外である点は変わらない。
  • 版管理: 定義・用語の意味に関わる変更のみ版を改める(明確化・追補は小数点、互換性を破る変更は整数)。互換性を破る変更とは、既存の適合判定の結果(レベル・スコープ)が変わりうる変更をいう——この基準では、将来のL6編入は小数点改版である。誤記・表記などの編集的修正は版を改めず、変更履歴に記載しない。主張は判定時に準拠した版の下で存続し、併記された準拠版により識別される——互換性を破る改版の際の移行の扱いは、当該改版時に定める。各版の公開時にWayback Machineのスナップショットを取得し、第三者タイムスタンプを残す。
  • ライセンス: 本ページの本文——用語・定義・レベル表・判定手続きを含む——は CC BY 4.0。条件は出典表示のみ。
  • 適合性主張の規約(著作権ライセンスとは別レイヤ): CC BY 4.0は本文の改変を許諾するが、「CAL」「CAL Lx」の適合性主張は、本正準ページの無改変の定義・手続きに対してのみ成立する——改変された定義に基づく判定をCALと称することはできない。正準は本ページのみである。
  • 推奨引用: 「Corporate Autonomy Levels (CAL) v0.9 (public review draft), corporateautonomy.com」
  • 参考文献(informative): 本ページが名称で参照する外部資料——SAE J3016(運転自動化レベルの分類・定義規格、SAE International)/トヨタ生産方式の自働化(jidoka)/Mercedes-Benz Drive PilotのL3責任受容の表明/日本の改正道路交通法(引継ぎ義務)・「特定自動運行」制度(2023年施行)/McKinsey「The agentic organization: Contours of the next paradigm for the AI era」(2025)。
  • 商標等の注記: SAEおよびJ3016はSAE Internationalの規格・名称である。「自働化(jidoka)」はトヨタ生産方式に由来する用語である。本ページは構造の参照のために言及する独立した文書であり、SAE International・トヨタ自動車のいずれとも提携・承認関係はない。CALはSAEの規格ではない。

7Disclosure — 開示

本フレームワークは、会社OS(kaishaos.com)プロジェクトの運営者が策定・維持している。定義はベンダー非依存であり、特定製品の利用を前提としない。診断・導入支援等の有償サービスは本サイトでは提供しない。問い合わせ: contact@kaishaos.com(照会・訂正報告・ライセンス相談)。