おはようございます!マネジメントオフィスいまむらの今村です。
冬季休業中の集中講義「ISO42001ざっくり解説」です。今日はISO42001の概略と、箇条4「組織の状況」についてざっくり説明します。
これまでの連載記事はこちら
ISO42001の章立て
章立てはISOマネジメントシステム規格の共通基本構造(上位構造:HLS) に従っています。そのため、ISO9001やISO27001と非常によく似た構造になっているので理解がしやすいですね。
では、箇条4「組織の状況」を見ていきましょう。
4.1 組織及びその状況の理解
箇条4.1では、信頼性・責任あるAIの開発・利用を行うことに関連するような内部・外部の課題を決めることを求めています。ここでいう「課題」というのは、なにか悪さ加減があって解決しなければならないものだけを指すのではありません。規格には例が書かれているので、ちょっと紹介しましょう。
a) 外部の状況に関連する考慮事項:
- AIの使用を禁止するものを含む、適用される法的要件;
- AIシステムの開発及び使用における法的要件の解釈や執行に影響を与える規制当局の方針、ガイドライン及び決定;
- AIシステムの意図された目的及び使用に関連するインセンティブや結果;
- AIの開発及び使用に関する文化、伝統、価値観、規範及び倫理;
- AIシステムを利用した新製品及びサービスに関する競争環境及びトレンド;
b) 内部の状況に関連する考慮事項:
- 組織のコンテキスト、ガバナンス、目的(6.2参照)、方針及び手順;
- 契約上の義務;
- 開発または使用されるAIシステムの意図された目的。
なぜこのような課題を挙げる必要があるのでしょうか。一つはリスク・機会を特定する出発点になるためです。例えば今年、EUのAI規制(AI Act)が作られましたが、この事実は「外部の課題」と言えます。そしてこの法律に準拠しない場合は、罰金や社会的な評判の損失につながるという「リスク」が導き出されますね。
こうした課題は、変化する可能性がある(というか変化し続けるものな)ので、監視をする必要があります。課題の変化は、箇条9.3マネジメントレビューでトップにインプットされることになります。
4.2 利害関係者のニーズ及び期待の理解
箇条4.2では、AIマネジメントシステムに関連する利害関係者と、それらがどのようなニーズ・期待を持っているかを明確にすることを求めています。
AIマネジメントシステムに関連する利害関係者とは、一般的には従業員や管理職、顧客、パートナー、規制当局などが含まれるでしょう。そしてこうした利害関係者が、我が社に対してどういうことを求めているのかを明確にしなければなりません。
例えば顧客のニーズであれば、AIが差別や偏りのない結果を出すことや、AIの意思決定プロセスが明確で理解しやすいことなどを求めると考えられます。従業員のニーズだと、AI技術の進化に合わせた教育やトレーニングの提供などが考えられますね。
4.3 AIマネジメントシステムの適用範囲の決定
ISO 42001はAIマネジメントシステムに関する規格であるため、適用範囲はAIを利用するシステムに限定されるでしょう。AIを利用しないシステムはこの規格の対象外となる、ということですね。
したがって、適用範囲を設定する際には、AIを使用したシステムに関連する設計、開発、テスト、運用、保守などのプロセスを特定し、それを適用範囲として明記する必要があるでしょう。
4.4 AIマネジメントシステム及びそのプロセス
この箇条では、マネジメントシステムの確立を包括的に要求しています。包括的に要求するというのは、マネジメントシステムを全体的かつ統合的に設計し、運用することを意味します。
もう少し具体的に言うと、AIを使ったシステムの開発やAIの利用に関するプロセス(作業・業務・管理)を全て洗い出し、それらの作業の関連性を明確にして、実際に機能するように運用をしなさい、ということです。
箇条4.4はあくまでも包括的な要求事項ですので、個々のプロセスの具体的な内容は、この他のこの規格の箇条と関連しています。例えば箇条4.1は、課題の特定プロセスであり、このプロセスのアウトプットが、箇条4.3の適用範囲の決定や箇条6.1.1のリスク・機会の決定へとつながっていく、という感じですね。このようにして、この規格のそれぞれの箇条で求められているプロセスと、規格では求められてはいないがその組織に必要なプロセスを特定し、プロセス間の相互関係を明らかにして、マネジメントシステムを作りなさい、と全体的に求めているのがこの箇条です。