おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、今回は箇条4.3「AIマネジメントシステムの適用範囲の決定」を解説します。AIマネジメントシステムの適用範囲の決め方を、実務でよくあるケースを例に挙げながら解説します。
動画でも解説しています(無料・登録不要)
箇条4.3の全体的な位置づけ
まずは、この箇条4.3の全体的な位置づけから押さえておきましょう。この箇条では、箇条4.1で特定された外部・内部の課題や、箇条4.2で明らかになった利害関係者のニーズ・期待を土台として、AIマネジメントシステムの適用範囲、つまり「この仕組みを社内のどこに、どのように適用するか」を明確に定めることが求められています。
そして適用範囲に含めた部門や製品・サービスについては、ISO 42001のすべての要求事項に従ってマネジメント体制を構築・運用する必要があります。具体的には、適用範囲に含まれる活動において発生するリスク・機会を管理したり、目標を設定したり、「内部監査」や「マネジメントレビュー」で、この適用範囲の中でマネジメントシステムが有効に機能しているかを評価する必要がでてきます。
境界・適用範囲の決定
この規格の要求事項を一言でいうと、社内の何の製品や、どこの部門などにこのAIマネジメントシステムを当てはめるかを決めなさい、ということです。
このAIマネジメントシステムを社内のどこに当てはめるか、その決め方を見ていきましょう。
例えば、ある家電メーカーが、AIを使わない家電と、AIを搭載したスマート家電の両方を作っているとしましょう。
このような場合、一般的には、AI技術を活用している製品やサービスを扱っている部門、またそれに関与する開発・提供・保守・サポート・営業などの各部門が、当然ながらAIマネジメントシステムの適用範囲対象になると考えられます。一方、「AIを使っていない業務領域」までを無理に含める必要はありません。たとえば、AIが搭載されていない従来型の製品(上記の場合、一般的な炊飯器や掃除機)には、AI特有のリスク(例えば誤判断、バイアス、プライバシー侵害など)は基本的に存在しません。したがって、そういった製品に対してAIマネジメントシステムを適用する必要はありませんし、無理に含めることで管理が煩雑になるおそれもあります。
ISO42001では、「組織全体にマネジメントシステムを必ず適用しなければならない」とは明記されていません。ですので、AIに関係しない部門を明確に適用範囲から外すことも、適切な判断の一つです。ただし、その際には「なぜこの部門を含めて、なぜこの部門を除いたのか」という理由を、第三者から問われた場合でもしっかりと説明できるように、根拠を明確にしておく必要があります。ここでいう「第三者」とは外部審査員のほか、利害関係者(顧客や規制当局など)も含みます。AIに関する事故などを起こしたときに「なぜこの部門をAIガバナンスの対象から省いたのか」ということを合理的に説明できなければ、組織の経営姿勢を厳しく問われることになるでしょう。