ISO/IEC42001 規格の構造・全体像を超解説(3)

おはようございます！マネジメントオフィスいまむらの今村敦剛です。

今回は、今めちゃくちゃ注目を浴びている、AIガバナンスの世界標準、ISO/IEC42001の規格の構造・全体像についてわかりやすく、3回にわたって解説します。最終回の今回は、管理策の位置づけを解説します。

動画でも解説しています（無料・登録不要）

前回の記事はこちら

ISO42001の管理策とは？

ISO 42001の管理策とは、AIの設計および運用に関連するリスクに対処するための参考情報のことです。

箇条6.1.1～6.1.2でAIに関連するリスクを特定し、分析しました。そしてそのリスクへの対応方法を箇条6.1.3で決めますが、その際に参考となる情報が「管理策」です。もっと簡単に言えば、リスクを減らしたり回避したりするための「実践ポイント集」のようなものだと考えるとわかりやすいでしょう。

管理策は附属書Aにリスト化されており、組織のリスク対応策を補完するために利用されます。また、附属書Bにはこれらの管理策を効果的に実施するための具体的なポイントが記載されています。附属書Aの管理策は、事実上は規格要求事項だとみなすべきだと思います。というのも、管理策は、やむを得ない理由がある場合を除いて、採用することが期待されているからです。

具体的な採用方法は、まずリスクに対してどのような管理策が必要かを組織が検討し、その内容に漏れがないかを附属書Aを参照して確認します。漏れや抜けがあれば、附属書Aの管理策を適用する、というやり方をとります。もちろん附属書Aにはリストされていない管理策を必要に応じて追加することも可能です。

自社のAIシステムの運用に関係のない管理策は適用する必要はありませんが、適用しない管理策がある場合、その理由を適用宣言書に記録する必要があります。

ISO42001の管理策の位置づけ

これらの管理策は、A.2～A.10までの9カテゴリーあり、全部で38個あります。箇条6.1.3のリスク対応計画の中に含まれる必要がありますので、最も密接に関連する規格要求事項は箇条6.1.3だ、ということです。

ただ、個別の管理策を見ていくと、6.1.3以外の要求事項と関連するテーマであることがわかります。具体的に言うと、上記の図で赤く示している部分は、それらの32個の管理策と関連が深い分野だと思ってください。つまり、この赤の部分について、具体的にどのように管理をし、リスクを低減するかを示したものが、管理策だと言うことですね。

以上のように、3回にわたってAIガバナンスの国際標準、ISO/IEC42001の規格の全体像とその構造を解説しましたがいかがだったでしょうか。今日のポイントとしては、ISO42001は、経営レベルと現場レベル、それぞれのPDCAがあり、お互いに連動することで、AIのリスクをしっかり管理することができる、という点でしたね。

当社では今後、ISO42001の規格要求事項の詳しい解説をしていきたいと思っていますので、ご期待ください。