ISO42001:2023 6.1.1 AIガバナンス崩壊を防げ！AIの“２層リスク”全貌(2)

おはようございます！マネジメントオフィスいまむらの今村敦剛です。

ISO42001各箇条解説シリーズ、今回は箇条6.1.1「一般」について解説をします。AIに関するリスクとは具体的に何かを、事例で噛み砕いて、初心者の方にもわかるように説明します。

動画でも解説します（無料・登録不要）

前回の記事はこちら

AIマネジメントシステムのリスクとは

まずは「 “AIMS＝AI マネジメントシステム” 自体に潜むリスクと機会を特定することについて説明しましょう。

AIマネジメントシステムのリスクと言っても、ピンとこないと思います。このリスクは何かを簡単に説明すると、『AIを管理する仕組みがうまく回らず、成果が出なかったり、悪影響が広がったりするおそれ』といえます。

具体的な例を使って説明しましょう。まず一つ目。ガバナンス体制が弱くて、意思決定が遅れるというリスクです。たとえば “誰が責任者か” が曖昧だと、障害対応とかに時間がかかり被害が拡大しそうですよね。

二つ目です。人材やリソースが足りずに、不慣れな担当者が作業を行わざるをえなくなって、手順を誤るというリスクですね。AI開発に限らず、どんな会社でもありえそうですよね。

三つ目。チェック機能が形骸化していて、重大なエラーを見逃してしまうというリスクです。例えば内部監査がいい加減で、単に “チェックリストにチェックをつける”という作業になっていると、いろいろ見落としてしまいそうです。

AIマネジメントシステムの機会とは

AIマネジメントシステムにおける機会の例も一つ見てみましょう。

例えば “AI 専門の外部アドバイザーとの契約” は、機会になりそうです。そうした外部人材に定期的に管理のあり方を確認してもらえば、法令違反や風評リスクを早期に察知できそうですよね。

こうしたものがAIマネジメントシステムのリスクや機会です。AIに限らない、組織として一般的に起こり得る経営リスクでも、AIマネジメントシステムの運用に影響するものは、このリスクと捉えてよいでしょう。

個別AIシステムのリスクとは

では続いて、個別AIシステムの場合を見てみましょう。続いて個別のAIシステムのリスク・機会を決定するという要求事項について解説をします。

個別のAIシステムのリスクとはなにか？という点を簡単に説明すると「AI がその用途や環境で求められる安全・倫理・法令を満たせず、損害や機会損失を招くおそれ」といえます。

例を見ていきましょう。最初の例は、「医療診断 AI にデータの偏りがあると、特定の年齢層で誤診率が跳ね上がる」というリスクですね。命に直結するだけに、賠償やブランド失墜のインパクトが大きそうですね。

次の例です。「面接支援 AI の評価基準が不明瞭で、落選理由を候補者へ説明できない」というリスクです。こんなことが起きると、候補者がSNSに書き込んで炎上するかもしれませんよね。

次は「おすすめ商品提案 AI が不快な商品やコンテンツを提案して、SNS で炎上」。するというリスクです。これも企業イメージが崩れそうですよね。

個別AIシステムの機会とは

機会の例もひとつだけ見ておきましょう。

「最新のコーディング AI を導入すれば、開発工数が 20 % も短縮し、納期をぐっと縮められる」という点です。コーディングAIとは、プログラムを書くことを手伝ってくれるAIですが、これがあるとWebやシステム開発をしている会社は効率をあげられるので、市場投入スピードもあがりそうですよね。

こうした、個別のAIシステムに関するリスク・機会を決定していくことが、ここでは求められています。

まとめ

はい、というわけで、2回にわたり、ISO42001箇条6.1.1を解説しましたがいかがだったでしょうか。

この連載のポイントを一言でまとめると「AIMS 全体」と「各 AI システム」の両方でリスクと機会を決めなければならない、ということでしたね。

この箇条6.1は非常に重要で、ISO42001のもっとも中核部分と言っても良いと思います。次回の箇条6.1.2も重要ですので、そちらもご期待ください。