【冬季集中講義】ISO/IEC 42001:2023をざっくり読む(箇条5）

おはようございます！マネジメントオフィスいまむらの今村です。

冬季休業中の集中講義「ISO42001ざっくり解説」です。今日は箇条5「リーダーシップ」についてざっくり説明します。

これまでの連載記事はこちら

5.1 リーダーシップ及びコミットメント

トップマネジメントの役割や責任についての要求事項です。トップは、AIマネジメントシステムを作り、効果的に運用するうえで非常に大きな役割を担います。どんなに素晴らしいマネジメントシステムを作っても、トップが本気で取り組まなければ、決めたルールが守られなくなってしまうからです。

箇条5.1では、トップマネジメントに以下の8つのことを求めています。

• 部下に権限を移譲できるもの（規格が"ensuring"から始まる）
  1. 方針と目標の設定
  2. 他の事業プロセスとの統合
  3. リソースの提供
  4. 意図した成果を達成すること
• トップ自らが実施すべきもの（規格が"ensuring"から始まらない）
  1. 重要性の伝達
  2. 人々への指揮やサポート
  3. 継続的改善の促進
  4. その他の関連する役割の支援

なお、ISO 9001やISO 14001の箇条5.1では見られた「説明責任」という言葉が、ISO 42001では使用されていません（ISO 27001でも同様です）。これは、AIという個別性や専門性、そして流動性の高い分野を扱うためと考えられます。しかし、トップが説明責任を果たさなくてよいと解釈するのは早計でしょう。

5.2 AI方針

トップマネジメントが、AI方針を策定することを規格は求めています。方針を明確にするのは、それが組織の行動や意思決定に影響を与える実践的なガイドラインとなるからですね。そのため、定期的な見直しや更新も重要です。

AI方針は、組織の目的と戦略的方向性に適合している必要があります。例えば「社会のためになるシステムを開発する」という社是を持つ会社は、AIシステムの開発や使用も「社会のためになる」方向性で行う必要があります。矛盾した方針は、現場に混乱を招くからですね。

また、AI方針は文書化され、組織内で（場合によっては外部の利害関係者に対しても）透明性をもって伝達されることを求めています。

AI方針は、組織のAI目標を設定するための枠組みを提供しなければならないと、規格では明示されています。これによって、方針と目標が連動して機能するようになります。

なお、注記に「組織がAIポリシーを策定する際の考慮事項は、ISO/IEC 38507に記載されている。」と書かれています。ISO/IEC 38507とは、Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations（情報技術 - ITのガバナンス - 組織による人工知能利用のガバナンスへの影響）という規格です。この規格の中には「AI の利活用に対処するための方針」という項目がありますので、これが方針の策定に参考になる情報ではないかと推察します。（ぼくもISO38507についてはよく知りません💦）

5.3 組織の役割、責任及び権限

AIマネジメントシステムを成功させるには、関連するすべての役割の責任と権限を明確に定義し、組織内で適切に伝達する必要があります。もし責任や権限が曖昧だと、「これは誰がやる仕事？」と混乱が生まれたり、「これは私の仕事じゃない」と言って仕事が後回しになったりするからですね。

また、AIの運用は、常にこの規格に合った形で行われるように役割や責任、権限を割り当てることを規格は求めています。さらに、AIマネジメントシステムのパフォーマンス情報をトップに報告することも求めています。ここでいう「AIマネジメントシステムのパフォーマンス情報」とは、例えば、AIが誤った判断を下したエラー率などが考えられますかね。