ISO42001:2023 4.1 AIに関する外部・内部の課題とはなにか(3)

おはようございます！マネジメントオフィスいまむらの今村敦剛です。

ISO42001各箇条解説、今回は箇条4.1「組織および状況の理解」を解説します。ここでは３つのポイント「課題の特定」「気候変動が問題であるか判断」「役割の明確化」をしっかりと説明します。

スポンサーリンク

動画でも解説しています（無料・登録不要）

前回までの記事はこちら

箇条4.1の要求事項「役割の明確化」

箇条4.1の3つの要求事項のポイントの、3点目に進みましょう。

ここでは「AIシステムに関する自社の役割を明確にしなさい」と言っています。

なぜこのような要求があるのかというと、組織がAIシステムにおいて担っている役割によって、直面する課題やリスク、さらには設定すべき目標が大きく異なってくるからです。

具体的には、AIのプロバイダーとして自社がAIシステムそのものを開発・提供する立場にあるのか、あるいは他社が作ったAIをユーザーとして利用する側なのか、はたまたAIシステムを他の製品やサービスと統合するパートナー企業なのか。これらの立場によって、AIに関する責任や影響範囲が変わってきます。

この役割については、規格の注記にも例が示されています。それがこちらのリストですね。AIプラットフォームやサービスのプロバイダー、AI開発者、AIユーザー、AIシステムインテグレーターなど、さまざまな役割があります。

さらに言えば、1つの組織が1つの役割だけを担うとは限りません。たとえば、AIシステムを開発している会社が、同時に他社の生成AIを活用してコードを自動生成する、といったケースも十分に考えられます。この場合、社内では「AIの開発者」としての立場と、「AIのユーザー」としての立場が併存するわけです。

したがって、役割を明確にする際には「我が社はこれ」というふうに単一の役割で固定するのではなく、状況に応じて複数の役割を持ち、それぞれの役割ごとに課題やリスクを特定していく必要があります。

また、この役割の明確化は、課題やリスクを特定するだけでなく、AIマネジメントシステムの適用範囲を決める際にも影響します。自社がどの領域までAIのリスク管理や品質確保の責任を負うのか、その境界線をはっきりさせるためにも、役割の整理は欠かせないのです。

箇条4.1まとめ

以上でISO 42001の箇条4.1に関する解説は終わりです。今回の連載のまとめとしては、「箇条4.1で明確にした課題や役割をもとに、AIマネジメントシステムの全体像が決まっていく」ということでしたね。箇条4.1は、AIマネジメントシステム構築の土台、いわば出発点になりますので、ここでの検討を疎かにせず、丁寧に進めていただければと思います。