おはようございます!マネジメントオフィスいまむらの今村です。
冬季休業中の集中講義「ISO42001ざっくり解説」です。今日はISO42001の概略と、箇条1~3についてざっくり説明します。
ISO42001はAIの「信頼性」と「責任」を重視する規格
ISO42001は何の規格なのか?というのを一言で説明すると、AIの「信頼性」と「責任」を重視する規格だと言えると思います。
AIが「信頼性がある」というのは、AIが期待通りに動作し、誤った判断や行動を引き起こさず、安心して使用できる状態を指します。例えば、AIが事故や危険を引き起こすような誤った意思決定をしないことや、AIが差別的な結果や偏った判断をしないことが「信頼性がある」ということですね。
そして「責任」とは、組織(AIの使用者や開発者)が、AIが正しく動くようにする責任を担うこと、AIを安全に使えるようにする責任を担うことを指します。AIが誤った判断をしない、差別や事故を起こさない責任はもちろんですが、もしAIを使ってなにか問題が起きたら「どうしてこうなったのか」をきちんと説明できるようにすることや、AIに関する法律や規制を順守することも「責任」と言えるでしょう。
そういう点では、ISO42001は、ISO9001のような「品質マネジメントシステム」ではありませんし、ISO27001のような「情報セキュリティマネジメントシステム」とも違うということは強調しておきたいと思います。
ISO42001とISO9001・ISO27001の違い
ISO 9001は、製品やサービスの品質(顧客の要求を満たすためのものづくり)を管理・改善することを目的とした規格です。一方、ISO 42001は、AIシステムが安全で信頼できる形で動作することを確保するための規格です。
一般的に、ISO9001における「品質」とは、「期待通りに動作すること」(例:バグがない、正確に機能する)、「ユーザーのニーズを満たすこと」(例:使いやすい、成果が適切である)、「基準を満たすこと」(例:技術的要件や法律を守っている)という点を重視します。しかしISO42001はもう少し守備範囲が広いと理解することができるでしょう。ISO 42001は、AIシステムがどのように決定を下し、そのプロセスを説明し、責任を持って管理されるべきかに特化していますが、これは顧客の期待やニーズを満たすこと以上のことを求めていると言えるでしょう。
例えばですが、採用や人事評価をAIシステムで行う場合、「過去の成功例に基づく人物像」を参考にして採否や評価を決めることになるでしょう。その結果、「過去に男性が昇進しやすい傾向にあるから、AIも男性を採用・昇進しやすく評価をするかもしれません。それは顧客にとっては「過去のデータ通りに判断するため手間が省ける」という点で効率的でも、社会全体では差別や不平等を強化する結果となる可能性があります。そうならないように管理をするのがISO42001、というわけですね。
一方、ISO27001とISO42001の違いはどこにあるでしょうか。ISO27001は、情報そのもののセキュリティに焦点を当てた規格であり、サイバー攻撃や情報漏洩などの脅威を防ぐための仕組みを構築します。
一方、ISO 42001は、AIシステムそのものの信頼性や社会的影響に焦点を当てており、AIが安全で透明性・公平性を持って運用されるよう管理するところが異なりますね。
ISO42001「はじめに」(introduction)について
「はじめに」では、AIを活用するにあたっての問題点に触れています。
先ほど、AIは採用や昇進のための評価をするという例を挙げましたが、このようにAIは自動で何かを判断することがあります。しかしその判断の理由がわかりにくく、説明ができないことがあります。またAIは、AI自身がデータを見て学習することに特徴があります(機械学習といいます)。これによって、従来のコンピューターではできなかった色々なことができるようになりますが、やはり判断の偏りや、判断した理由の説明が難しいという状況を招きかねません。AIは、使っているうちにもっともっと賢くなるように設計をされているのですが、その「賢さ」が変な方向に行く恐れもあるのですね。
こうした問題が起きないよう、この規格(ISO42001)は、会社がAIをきちんと安全に、そして役立つ形で使えるようにするための方法を教えているんだ、ということが「はじめに」(introduction)にかかれています。
「はじめに」(introduction)で特徴的なのは、この規格は、そうした信頼性や責任に関する枠組みだけではなく、AIのメリットをじゅうぶんに活用するための枠組みでもあることを述べている点にもあります。
箇条1:この規格の適用対象
ISO42001は、どういう組織(企業)が適用対象だと想定しているのでしょうか?規格の箇条1では以下のように書いています。
This document is intended for use by an organization providing or using products or services that utilize AI systems.
(拙訳:本文書は、AI システムを利用した製品又はサービスを提供又は利用する組織が使用することを意図している。)
AI システムを利用した製品又はサービスを提供する企業(例えばAIを使った人事評価システムの開発企業)だけでなく、そうした製品・サービスを利用するユーザー企業も対象になっています。
開発側はわかりますが、なぜユーザー企業も対象なのか?という疑問が浮かびますよね。これはぼくの想像ですが、AIシステムの運用結果に対して責任を負うのは、単に開発者だけではなく、利用者側にも大きな責任があるからではないかと思います。例えば、AIを使った人事評価システムを使う企業は、AIによる人事評価の判断が公正であることを確認する責任があるからではないか、と思います。
箇条2:参考文献
この規格は、ISO/IEC 22989:2022, Information technology — Artificial intelligence — Artificial intelligence concepts and terminologyを参考にしえいる、と箇条2で書かれています。
箇条3:用語と定義
この箇条では、規格で使われている用語とその定義が書かれています。今日は説明を割愛しますが、この後の箇条4以降の説明をする際に、必要があれば箇条3の用語と定義を紹介したいと思います。