おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、今回は箇条6.1.1「一般」について解説をします。AIに関するリスクとは具体的に何かを、事例で噛み砕いて、初心者の方にもわかるように説明します。
動画でも解説します(無料・登録不要)
箇条6.1.1「一般」の位置づけ
まず、今日説明する箇条6.1.1「一般」の位置づけについて解説しましょう。
箇条4の組織の状況や利害関係者のニーズ・期待を受けて、AIに関するリスクや機会にはどういうものがあるかを特定することが求められています。
「一般」というタイトルがついているように、この箇条6.1.1はAIマネジメントシステムにおけるリスク管理について、全体的な方針や原則を定めています。ここで “リスクと機会を決めなさい・基準を持ちなさい・文書化しなさい” という 包括的な要求事項を述べて、箇条6.1.2 以降で 評価手順や具体的ツールなど “各論” を掘り下げる、という流れになっています。
ISO 42001におけるリスク管理の全体像
ISO 42001におけるリスク管理の全体像を説明しておきましょう。これが理解できると、箇条6.1自体がすっと頭に入るはずです。
ます。箇条4で特定をした組織の内部・外部の課題や、利害関係者のニーズ・期待をもとに、箇条6.1.1でAIに関するリスクを洗い出します。リスクには大きく、AIマネジメントシステムに関するリスクと、AIシステムに関するリスクの2種類があります。
似ていてややこしいですが、AIマネジメントシステムに関するリスクは、いわば経営レベルのリスクのことですね。一方、AIシステムに関するリスクとは、チャットボットとか自動運転AIシステムのように、個別のシステムに関するリスクのことですね。これらのリスクの例については、この後で説明したいと思います。
リスクを特定したら、次に、箇条6.1.2で、そのリスクについて、発生の可能性や影響の大きさを分析します。そのうえで、リスクが許容できるものかどうかを判断し、もし許容できない場合は、どのリスクを優先的に対策するかを評価します。
そして、箇条6.1.3で、評価したリスクを、どうやって受け入れ可能なレベルにするか、という具体的なリスク対応計画を立てます。リスクを受容可能なレベルにまで管理をするための具体的な方策を「管理策」といいますが、管理策はこの規格の最後についている附属書Aも参考にしながら決めます。
リスク対応計画では、その管理策を、いつ、誰が、どのように実行するかというところまで具体的にします。なお管理策については「適用宣言書」というものも作って、どの管理策に取り組むのかということを明確にします。
リスク対応計画は、社長やCAIO、AI開発責任者といった責任者の承認を受けます。
こういう流れでリスク管理を行うことが求められていますが、今日はこのうち、箇条6.1.1「リスクの決定」についての規格要求事項の説明をします。
箇条6.1.1の要求事項
箇条6.1.1の要求事項は5つあります。
このうち、2つめの要求は箇条6.1.2と関連が深く、4つめ、5つめの要求は箇条6.1.3と関連が深いので、次回以降の動画でまとめて解説をしたいと思います。
したがって今回のこの連載では、1番目のAIMSのリスク・機会を決定するということと、3つめの個別のAIシステムのリスク・機会を決定するということについて解説をします。
具体的な解説はまた明日。