おはようございます!マネジメントオフィスいまむらの今村敦剛です。
1月31日、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)は、ISO42006の発行後、ISO42001(AIマネジメントシステム)の認定を開始すると発表しました。これは、ISO42001の第三者認証開始に向けた、日本における第一歩となります。
ISMS-AC『AIマネジメントシステムの認証を対象とした認定の開始について』
今回始まったのは、認証機関の認定である
この業界の構造は少し特殊ですが、今回始まったのは「認定機関による認証機関の認定」です。第三者認証の仕組みは、以下の図のようになっています。
認定機関(ISMS-AC)は、認証機関(審査を行い認証書を発行する会社)を監督する組織です。ISMS-ACが認定した認証機関が、ISO42001のマネジメントシステムを運用する認証組織(企業)を審査し、認証書を発行する流れになっています。
今回発表されたのは、「認定機関(ISMS-AC)が認証機関を認定する段階の開始」です。(ややこしいですね)
ISMS-ACによれば、認証機関の認定基準はISO42006(ISO42001の審査・認証を行う機関向けの要求事項)という規格なのですが、ISO42006は現在最終草案(FDIS)であり、正式な国際規格にはなっていません。これが国際規格化したら、認定を始めるよ、というのが今回のアナウンスですね。
なお、規格化の時期は未定ですが、おそらく今年の春以降と見込まれています。
認証機関の認定が始まっても、第三者認証はすぐにはスタートしない
仮に今年の春以降にISO42006が国際規格化され、認証機関の認定が始まったとしても、第三者認証(認証機関による組織の審査と認証)はすぐにはスタートしません。
国際規格に従って、認証機関は必要な準備を行い(例えば審査員の教育や、審査やテクニカルレビューのプロセスなど)、その後、認定機関による認定を受けることになります。(もちろん認定を受ける段階で不適合が出れば、是正の必要もあります)
このような流れが必要ですので、認証機関による第三者認証の開始は、早く準備ができた認証機関でも、今年の後半以降になるのではないかと思います。
第三者認証のニーズは高い?
ISO42001の第三者認証を受けたいというニーズがどの程度あるか、市場は未知数です。ただ、ISO42001はEU AI規制法や各国のガイドライン(日本でいうと『AI事業者ガイドライン』)にそったガバナンスを構築するうえでの基盤になると言われています。
AIサービスは、特にインターネット環境で提供される生成AIなどをイメージすればわかりやすいのですが、国境をまたいでサービス提供が容易なサービスと言えます。その割には安全性や公平性、透明性というリスクの高いサービスですので、国際的に通用し、サービスプロバイダーとしての信頼性を訴求しやすいISO42001の認証取得ニーズは比較的高いのではないかとぼくは思っています。
本テーマについての続報があれば、またこのブログでもお知らせします!