【冬季集中講義】ISO/IEC 42001:2023をざっくり読む(管理策・前編）

おはようございます！マネジメントオフィスいまむらの今村です。

冬季休業中の集中講義「ISO42001ざっくり解説」です。今日は附属書Aの管理策についてざっくり説明します（前半）。

これまでの連載記事はこちら

ISO42001の管理策とはなにか？

ISO 42001の管理策とは、AIの設計および運用に関連するリスクに対処するための参考情報のことです。

箇条6.1.1～6.1.2でAIに関連するリスクを特定し、分析しました。そしてそのリスクへの対応方法を箇条6.1.3で決めましたが、その際に参考となる情報が「管理策」です。もっと簡単に言えば、リスクを減らしたり回避したりするための「実践ポイント集」のようなものだと考えるとわかりやすいでしょう。

管理策は附属書Aにリスト化されており、組織のリスク対応策を補完するために利用されます。また、附属書Bにはこれらの管理策を効果的に実施するための具体的なポイントが記載されています。

附属書Aの管理策はあくまで推奨事項であり、すべての組織やAIシステムに適用されるわけではありません。リスクに対してどのような管理策が必要かを組織がまず検討し、その内容に漏れがないかを附属書Aを参照して確認します。漏れや抜けがあれば、附属書Aの管理策を適用します。また、附属書Aにはリストされていない管理策を必要に応じて追加することも可能です。

全ての管理策を適用する必要はありませんが、適用しない管理策がある場合、その理由を適用宣言書に記録する必要があります。このように、附属書Aの管理策は柔軟に活用することが重要です。

管理策の適用宣言書とは

必要な管理策と、それを含めた理由、または含めなかった理由等を記述した文書のことです。以下の表のような形式をイメージすればよいでしょう。

適用宣言書を文書化する目的は、ISO 42001箇条6.1.3で規定されているように、適用する管理策の正当性を明確にし、管理策の選択がリスク評価に基づいていることを証明するためです。また、従業員や利害関係者に対して、どのようなリスク対応をすべきかを明示し、一貫した行動を取るための基盤を提供する役割も果たします。

管理策A.2 AI関連方針

AI（人工知能）を活用する際には、組織の方針（AI方針）を文書化する必要があります(A.2.2)。この「AI方針」には、組織がAIをどのように活用し、管理するかについての基本的な考え方やルールが書かれています。具体的には、AIを使うときに守るべき倫理や価値観、透明性、データの安全性についても含まれるものでなければならないでしょう。

このAI方針は、他の組織内の方針（例えばデータ管理やセキュリティ方針など）と矛盾しないように調整する必要があります(A.2.3)。また、技術や法律が変わったとき、あるいは組織の目標が変わったときには、AI方針を見直して最新の状態に保つことが求められます(A.2.4)。

管理策A.3 内部組織

AIをうまく使うためには、組織の中で誰が何をするかをきちんと決めることが大切です（A.3.2）。例えば、「AIに関することを管理する担当者」を決めたり、「データを扱う人」や「AIの仕組みを作る人」の責任をはっきりさせたりすることで、仕事をスムーズに進められます。

また、AIの使い方や問題について「懸念事項（心配ごと）」を報告できる仕組みを用意する必要があります（A.3.3）。例えば、従業員やお客さんが、「このAIは本当に公平に動いているの？」といった疑問を安心して伝えられる窓口を作り、報告が組織内で伝達・対応される仕組みが例として挙げられます。

こうした役割・責任の明確化と、仕組みを作ることで、AIを公平で安全に使うことができ、組織全体が責任を持ってAIを管理できるようになります。

管理策A.4 AIシステムのための資源

AIシステムを正しく動かし、安全に使うためには、必要な資源（リソース）をきちんと特定して管理することが重要です。このリソースには、以下のようなものがあります：

リソース・ドキュメント（A.4.2）

AIシステムを作ったり使ったりする際に必要な資料や情報を特定し、それをきちんと文書にまとめることが求められます。

データリソース（A.4.3）

AIが使うデータについて、その内容や管理方法を記録する必要があります。これにより、どんなデータがAIで使われているかを把握できます。

ツール資源（A.4.4）

AIを開発したり、管理したりするために必要なツール（ソフトウェアやプログラムなど）について、その情報を文書化する必要があります。

システムとコンピュータ（A.4.5）

AIを動かすために使うシステムやコンピュータ、ネットワーク環境、セキュリティ技術等についても、きちんと情報をまとめておくことが重要です。

人事（A.4.6）

AIに関わる作業をする人たちについて、そのスキルや役割、育成計画、変更（人事異動時など）等を管理し、文書に残しておく必要があります。

なお、管理策の中では触れられていませんが、財務リソース（AIプロジェクトを支える予算や資金計画等）もAIシステムのための資源と言えます。これらも組織が独自に選択した管理策として、別途盛り込む必要があるかもしれません。

管理策A.5 AIシステム影響評価

AIシステムは、個人や社会に良い影響を与えることもあれば、問題を引き起こす可能性もあります。この管理策では、AIシステムのライフサイクル全体を通じて、その影響を評価し、記録する方法について説明しています。こうした影響評価を新しいAIシステムを開発・導入する前はもちろん、定期的に行うことは、AIを安全に使うためにとても重要です。

AIシステム影響評価のプロセス（A.5.2）

組織は、AIが個人や社会に与える可能性のある影響を評価する仕組みを作らなければなりません。例えば、「このAIシステムが誰かに不利益を与えないか」や「社会に悪い影響を与えることはないか」を確認するための手順を決めます。

なお、これは一般論ですが、AIシステムの英ky校を調べる際には、次のようなポイントを考えることが重要です。

• データの質と歪みの可能性：AIが使うデータが正確で偏りがないかを確認します。
• 使用目的と適用地域：AIがどこで、どんな目的で使われるのかを検討します。
• 差別のリスク：特定の人やグループが不公平に扱われることがないかを調べます。
• プライバシーと公平性：個人のプライバシーが守られているか、AIの動作が公平かどうかを確認します。
• 法律や規制への影響：AIが法律や規制に違反する可能性がないかを評価します。
• 倫理的・社会的な配慮：AIが社会の価値観や倫理に反していないかを考慮します。

評価結果の記録（A.5.3）

AIの影響評価をした結果をきちんと記録に残し、それを一定の期間保存する必要があります。これにより、後から「どうやって評価したか」を振り返ることができます。

個人やグループへの影響の評価（A.5.4）

AIが特定の個人やグループにどんな影響を与えるかを詳しく調べ、その結果を記録します。例えば、「特定の人が不公平に扱われるリスクはないか」などを検討します。

社会全体への影響の評価（A.5.5）

AIが社会全体にどんな影響を与えるかを調べ、その結果を記録します。例えば、「このAI技術が社会のルールや価値観に悪い影響を与えないか」を考えます。