おはようございます!マネジメントオフィスいまむらの今村です。
冬季休業中の集中講義「ISO42001ざっくり解説」です。今日は箇条6「計画」についてざっくり説明します。
これまでの連載記事はこちら
-
-
【冬季集中講義】ISO/IEC 42001:2023をざっくり読む(はじめに~箇条3)
おはようございます!マネジメントオフィスいまむらの今村です。 冬季休業中の集中講義「ISO42001ざっくり解説」です。今日はISO42001の概略と、箇条1~3についてざっくり説明します。 ISO4 ...
-
-
【冬季集中講義】ISO/IEC 42001:2023をざっくり読む(箇条4)
おはようございます!マネジメントオフィスいまむらの今村です。 冬季休業中の集中講義「ISO42001ざっくり解説」です。今日はISO42001の概略と、箇条4「組織の状況」についてざっくり説明します。 ...
-
-
【冬季集中講義】ISO/IEC 42001:2023をざっくり読む(箇条5)
おはようございます!マネジメントオフィスいまむらの今村です。 冬季休業中の集中講義「ISO42001ざっくり解説」です。今日は箇条5「リーダーシップ」についてざっくり説明します。 これまでの連載記事は ...
6.1 リスク及び機会への取組み
6.1.1 一般
箇条4.1で特定した課題と、箇条4.2で特定した利害関係者のニーズ・期待に基づいて、対応が必要なリスクと機会を決定し、それに対応するための行動を求めています。
例えばどういうリスクが考えられるかというと、データやモデルが偏っているために、不公平な結果を生じるリスクが考えられます。このようなリスクに対しては、異なる属性(例:性別、年齢など)を十分に含むデータを収集することや、データ内の偏りを特定するために統計的分析を行うことなどの行動がありえるでしょう。
なお、特定したAIリスク及びAIの機会、それに対処するためにとった措置は、記録として保持しなければなりません。
6.1.2 AIリスクアセスメント
箇条6.1.1で見つけたリスクについて、それぞれのリスクがどのくらい深刻なのかを詳しく調べるプロセスを確立することを、規格は求めています。
プロセスを確立するというのは、具体的にどういうことでしょうか。例えばリスクの大きさを分析する具体的な方法を決めるということでもあります。一般的にリスクアセスメントは、影響の大きさと発生確率を掛け算して、リスクの対応優先度を求めるという方法があります。この方法に限りませんが、我が社ではAIリスクをどのように評価するかの具体的な方法を明確にする必要があります。
6.1.3 AIリスク対応
箇条6.1.2の結果(リスクの大きさ分析や優先順位付け)にしたがって、どのようにリスクに対応するかを決めることを求めています。
なお一般的にリスクに対応する方法には「回避・低減・移転・受容」の4つがあります。回避とはリスク自体を避ける(発生させない)こと。低減とは、リスクの影響を小さくすること。移転とは、リスクの影響を他に移す(外注するとか保険をかける等)、受容とは、リスクを受け入れる(何もしない)ということですね。
このとき検討する具体的な対応策は、この規格の附属書Aにある「管理策」を参照することが可能です。
6.1.4 AIシステム影響評価
この箇条は、他の規格では見られない要求事項であり、AIマネジメントシステムに特徴的な箇条だと言えます。
この箇条では、AIシステムが個人や社会に与える影響を評価することを求めています。6.1.1~6.1.3でリスクとその度合を分析したじゃないか?何が違うんだ?と思いますよね。
6.1.1~6.1.3は、AIを扱うマネジメントシステム全体のリスク管理にフォーカスしているのに対して、6.1.4は、個別のAIシステム自体が個人や社会にどんな影響を与えるかにフォーカスしているという違いがありそうです。
例えば、「AIを使ったシステムで意図せず差別的な評価をしてしまう」というリスクを、6.1.1~6.1.3で特定し、評価をしたとします。6.1.1~6.1.3で特定・評価したものは、組織全体の運営におけるリスクですから、このリスクがもたらす影響は、例えば「組織の評判が悪化する」などになるでしょう。
一方、6.1.4のAIシステムの影響は、個々のシステムが個人や社会にもたらす影響を評価するものです。例えば「採用・人事評価システムで意図せず差別的な評価をしてしまう」というリスクに端を発した場合、6.1.4で特定・評価される影響は「特定の個人やグループが不平等な扱いを受け、社会的な不満や法的問題が生じる。」などになるでしょう。
このあたりの違いはあまりピンとこないかもしれません(ぼくもあまりピンときていません)。MicrosoftがAIシステム影響評価のテンプレートを公開していますので、これを紹介しましょう。要は個々のシステムに対して、このような評価をしなさい、ということなのではないかと思います。
注)このテンプレートは、ISO42001の規格要求事項を満たすかどうか、当社としては保証をしません。
6.2 AI目標及びそれを達成するための計画策定
AI目標を設定しなさいという規格要求事項ですね。AI目標とは、例えば、「AIによるすべての意思決定プロセスを説明可能にする」とか「AIシステムの展開前にユーザーテストを実施し、80%以上のユーザーから肯定的な評価を得る」などになるでしょうか。
ISO42001では、目標が「測定可能であるべき(be measurable)」と述べていますが、他の規格と異なり「if practicable(実行可能であれば)」という条件を付けている点が興味深いですね。AIシステムの場合は「倫理性を高める」などという抽象的で主観的な目標を設定することがありうるので、測定可能であることを絶対の条件にはしていないのかもしれません。(ただ、どこまでやれば目標が達成できたか測定できなければ、目標の進捗や成否が判断できないので、測定可能であることは追求すべきだとは思いますけど)
6.3 変更の計画
組織がAIマネジメントシステムの変更の必要性を判断した場合、その変更は計画的に実施しなさいと規格は求めています。
マネジメントシステムの変更の必要性とは、例えばAIを使った新システムの開発などから生じるでしょう。そのような場合は、課題や利害関係者のニーズ分析などに基づいて、必要なステップ、責任、期間、リソースを定義した詳細な変更計画を策定する必要があります。
そして、計画された変更が実施され、変更が問題を発生させていないかを継続的に監視することで、AIマネジメントシステムの完全性を維持していきます。