ISO/IEC 42001:2023 いま求められるAIマネジメントシステムとは

TUV-Rheinland-JP-ISO42001-Main-Blog-Image

はじめに

2023年12月に国際標準化機構（ISO）と国際電気標準会議（IEC）よりISO/IEC 42001:2023が発行されました。ISO/IEC 42001は、組織内における人工知能マネジメントシステム（AIMS）の構築、実施、維持および継続的改善に関する要求事項を規定するマネジメントシステム（MS）規格です。

本規格は人工知能（AI）を組み込んだ製品やサービスを開発、提供または利用する事業者を対象としており、AIシステムの責任ある開発、提供と利用をAIMS構築により確実にすることを目的としています。さらにAIの課題に対し、管理策と実施ガイドを提供する役割も担っています。

AIの課題とは

AIに関連する議論は全世界で活発にされており、様々な会議体やそれに連なる文書が作成されています。その中で日本においても国家レベルでAIを開発・提供・利用する事業者に向けてガイドライン文書が発行されており（※１）、その中には以下のようなAIの課題に関連するキーワードが記されています。一部抜粋します。

※1：AI事業者ガイドライン（第1.0版）令和6年4月19日　総務省　経済産業省

＜キーワード抜粋＞
・安全性・公平性
・プライバシー保護
・セキュリティ確保
・透明性
・アカウンタビリティ

これらは、日本だけでなく全世界で挙げられているAIの課題です。AIの難しさは倫理的価値観と密接に関連しており、使用方法を間違えると国際的な法規制に抵触する可能性もあり、非常に大きなリスクをはらんでいるツールといえます。

同ガイドライン文書においては、それぞれのキーワードに関連し指針が設定され、各事業者が考慮すべき項目が挙げられていますが、実施段階においてはAIガバナンスの構築＝AIMSの構築・運用によりAIのリスク管理を確実にすることの重要性が記載されています。

つまりここでAIMSとしてISO/IEC 42001への取り組みが期待されます。そして、先に記述したAIの課題に対するアクションはISO/IEC 42001の中で管理策という形で取り込まれています。

これは、ISO/IEC 42001の発行に日本が大いに貢献したという点もありますが、なにより前述したようにAIは世界的に同じリスクをはらんでいるツールであり、世界標準規格であるISO/IEC 42001の構築意義が大きいことを意味しています。

そしてEUでは、AI包括規制であるAI法案（EU AI Act）に対するプロセスアプローチの手段としても、同規格が重要な役割を果たすことが期待されていることからも、同規格への取り組み意義は非常に大きいと考えられます。

ISO/IEC 42001の規格構造と他のMSとの関連性について

ISO/IEC 42001は本文箇条および附属書から構成されており、AI保有リスクに対するプロセスアプローチを基本としています。また本文箇条についてはISO 9001などその他のISO規格と同様のHLS構造となっており、他のMSと合わせてAIMSの構築・運用に着手しやすくなっています。

また、リスクアセスメントを含む一連の手順は情報セキュリティMS規格であるISO/IEC 27001と共通化されており、情報セキュリティの管理策の一つとしてAIMSを導入することも可能です。

本文箇条

Foreword（序文）
Introduction（概要）

1章 Scope（適用範囲）
2章 Normative references (引用規格）
3章 Terms and definitions （用語及び定義）
4章 Context of the organization（組織及びその状況の理解）
5章 Leadership（リーダーシップ）
6章 Planning（計画策定）
7章 Support（支援）
8章 Operation（運用）
9章 Performance evaluation（パフォーマンス評価）
10章 Improvement（改善）

附属書

Annex A: (normative) Reference control objectives and controls (管理目的および管理策）

Annex B: (normative) Implementation guidance for AI controls（AI管理策の実装ガイド）

Annex C: (informative) Potential AI-related organizational objectives and risk sources（AI関連の組織目的およびリスク源）

Annex D: (informative) Use of the AI management system across domains or sectors（分野間、部門間でのAIMSの利用）

AI利活用においては、ISO 9001（QMS）ISO/IEC 27001（ISMS）、ISO/IEC 27701（PIMS）に関連するプロセスも重要になります。

なぜならば、AIシステムは業務の一部に組み込まれることが多く、AIプロセスのアウトプットは次の業務プロセスへのインプットとなることが考えられるためです。業務プロセス全体の監視が必要となるため、QMS中の一連のプロセスとして管理されることが望まれます。また、AIシステムのインプット・アウトプットともに使用されるデータ群はAIシステム外の業務プロセスより取得される情報資産です。経営的に重要な情報資産を適切に管理しているかについてISMSを通じて説明する責任が求められることも考えられます。個人情報を取り扱う場合は、個人情報保護の管理策を説明する必要性も生じてきます。

つまり、AIMSとはQMSやISMS等の一部でAIに特化した高リスクプロセスを取り扱うという認識が近いとも言えます。ISO/IEC 42001の構築、導入の際しては、前述規格類との関連性も意識することもお勧めいたします。

最後に

今後より一層、事業活動の内部にAIが浸透してくることは疑う余地もありません。そこにはAI活用によって生み出されるリスクと機会が存在します。適切にAIリスクを管理し、最大限のAIパフォーマンスを出すことで事業活動においても多大な貢献を果たすツールとなりえます。

ISO/IEC 42001に準拠したAIMSを構築することでAIマネジメントに対する組織体制を強固にし、対外的な体制アピールも可能になります。本規格についてのより詳細な情報は、テュフラインランドジャパンにお気軽にお問合せください。ISO 9001やISO/IEC 27001との同時審査のご相談もうけたまわります。

お問い合わせ：カスタマーサービス（TEL: 045-470-1850 E-Mail: info@jpn.tuv.com）

更新日 : 6/25/2024