補助金に関連する当ページの情報について
当ページの記載事項に基づいてすべてを判断せず、必ず公募要領を確認してください。当社ページの見解に従った結果、不採択となった場合も、当社は責任を負いかねます。このページの情報や見解は、予告なしに変更することがあります。

AIガバナンス ISO42001 ブログ

ISO/IEC42001 規格の構造・全体像を超解説(1)

https://imamura-net.com

おはようございます!マネジメントオフィスいまむらの今村敦剛です。

今回は、今めちゃくちゃ注目を浴びている、AIガバナンスの世界標準、ISO/IEC42001の規格の構造・全体像についてわかりやすく、3回にわたって解説します。ISO42001とは、どのような形をしているのでしょうか?

スポンサーリンク

動画でも解説しています(無料・登録不要)

ISO/IEC42001の規格の構造・全体像

まずはこの図をご覧ください。これが今回の連載の結論でもあります。

以下、PDCAサイクルにそって解説します。

ISO42001 PDCAサイクルのP(計画)

まず「箇条4」では、会社を取り巻く状況をしっかり把握するよう求めています。たとえば、市場や技術がどんな方向に進んでいるか、法規制がどうなっているか、そしてそれらが自社にどんな影響を与えるのかを調べます(4.1)。それに加えて、顧客や規制当局、協力会社など、自社のビジネスに関わっているいろいろなステークホルダー(利害関係者)が何を期待しているのかも確かめます(4.2)。そうした情報を総合的に踏まえて、「この規格を社内のどこに適用するか」を決めるわけです(4.3)。そして、その範囲に「AIマネジメントシステム」を作って(4.4)、AIの信頼性や責任を担保する仕組みを作ることを求めています。

次に「箇条5」では、トップマネジメント、つまり会社の経営層がリーダーシップを取るよう強く求めています。ここで言うリーダーシップというのは、「AIシステムをどう活用していくか」「何を目指しているのか」(方針:5.2)、「責任や権限は誰にあるのか」(5.3)をはっきり示すことも含んでいます。経営層が打ち出す方針は、AIの導入や運用を担当する技術部門や、法務・コンプライアンス、品質管理、顧客対応などの現場部門が、対応に迷った際の拠り所になります。

そして「箇条6」はISO/IEC 42001の中でもとりわけ重要視されるところです。ここでは、先ほど箇条4で把握した市場や技術、ステークホルダーのニーズを踏まえて、「AIシステムがどんなリスクをもたらすか」を洗い出し(6.1.1)、そのリスクがどの程度のものなのかを分析・評価し(6.1.2)、リスクを受容可能なレベルまで抑えるための対策を計画します(6.1.3)。たとえば、自動運転車に組み込むAIなら交通事故のリスク、金融サービスに使うAIなら差別や偏見が生まれるリスク、医療AIなら誤診やプライバシー侵害のリスクなど、いろんなケースが考えられますよね。そういったリスクに対してどんな対策を取り、どのレベルまでなら許容できるかを明確にするわけです。それと同時に、「提供するAIシステムはどういうもので、どういうリスクがあり、どういう対処をするのか」を文書としてまとめるとともに(6.1.4)、「どういう指標で達成度を測るのか」といった目標を設定して(6.2)、対策と目標の両方を管理していくんです。

「箇条7」では、今まで立ててきた計画を現場で動かすためのリソース(人・モノ・環境・情報・文書など)をしっかり整えるように求められています。たとえば、AIの専門家の確保や育成、必要なサーバーやクラウド環境、学習データの安全な管理方法など、実際の運用に必要なものをきちんと準備するわけです。AIは高度な知識や経験が求められる分野なので、内部で専門家を育てたり、外部のパートナーを活用したりするなど、いろいろな取り組みが必要になるでしょう。

ISO42001 PDCAサイクルのD(実行)

続いて「箇条8」では、AIシステムを開発・実装・提供したり、外部のAIサービスを利用したりを、実際に実行する際に考慮すべき点をまとめています。たとえば、学習データを扱うプロセスでは、バイアスをどうチェックし、結果に偏りが生じないようにするかを計画して実行します。また、モデルの検証や妥当性確認プロセスで、アルゴリズムに誤りがあった場合はどう検証するかなど、具体的な手順やガイドラインを整備して、それを実際に現場で実践します。

ISO42001 PDCAサイクルのC(確認)

「箇条9」では、そうやって運用してきたAIマネジメントシステムが、決めたとおりに運用されているか、ちゃんと透明性を確保し、責任を果たしているか等を確認します。もう少し具体的にいうと、リスクが本当に低減できているか、目標とする性能は出せているか、顧客の不満やクレームはないか、という点を監視・測定・分析・評価します(9.1)。また、内部監査(9.2)やマネジメントレビュー(9.3)によって、仕組みの有効性や妥当性を人の目によって評価することも求められます。

ISO42001 PDCAサイクルのA(改善)

最後の「箇条10」では、不具合や事故、クレームなどが起きたときにどう対処するのか、逆に「もっと良くなる方法はないか」といった改善の仕組みを決めます。AI技術は日々ものすごいスピードで進歩していますし、社会の期待や法律もどんどん変わっていきます。一度マネジメントシステムを作ったからといって、それで完了ではありません。定期的な見直しと更新を続けることで、常に最新の状況に合ったシステムを維持し、リスクを最小化しながらAIの可能性を最大限に活かすことが大切なんです。

次回はもう少し別の角度から、ISO42001のPDCAサイクルを解説します。

スポンサーリンク

スポンサーリンク

最近の人気記事

1
ISO9001が2025~2026年に改訂予定です

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 国際標準化機構(ISO)は、現行のISO9001:2015(品質マネジメントシステム規格I)を改訂する準備を進めているようです。現在の ...

2
ISOマネジメントシステムが追補改訂 変更内容は?企業はどういう対応が必要なの?(1)

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 2024年2月、ISO(国際標準化機構)は、マネジメントシステム規格に「気候変動への配慮」を盛り込む形で規格の一部を改定しました。今回 ...

3
【内部監査レベルアップ講座】ISO9001/ISO14001もはかどる5S活動(1)

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 5Sの考え方がISO9001や14001の運用に役立つことがあります。その逆もあって、ISOの仕組みが5S活動に役立つこともあるんです ...

-AIガバナンス, ISO42001, ブログ

© 2024 Management Office Imamura Ltd.