ISO42001:2023 6.1.2 AIリスクは影響と可能性の2軸で評価する(2)

投稿日: 投稿者:

おはようございます!マネジメントオフィスいまむらの今村敦剛です。

ISO42001各箇条解説シリーズ、今回は箇条6.1.2「AIリスク評価」を解説をします。とっつきにくい「リスク分析」についての説明ですが、具体例を使いながら解説したいと思います。

Loading table of contents...

動画でも解説しています(無料・登録不要)

YouTube video thumbnail

前回の記事はこちら

株式会社マネジメントオフィスいまむら
ISO42001:2023 6.1.2 AIリスクは影響と可能性の2軸で評価する(1)
おはようございます!マネジメントオフィスいまむらの今村敦剛で ...

リスクアセスメントプロセスを定める

箇条6.1.2には2つの要求事項がありますが、まずは1つめの「リスクアセスメントプロセスを定める」から説明しましょう。

この要求事項では、「我が社のリスク」がちゃんと分析できるように、自社のAI方針やAI目標を踏まえて、「我が社」に合ったリスクの測り方を確立することを求めています。

例えば、AI方針に「人間中心のAI」を掲げているなら、リスク評価プロセスには「人間の専門家による最終チェック」という工程を必ず組み込む、といった具合です。反対にいうと、教科書に載っているような一般的なリスク分析手法を導入して、それでおしまい、ではダメだということですね。

そして、そのリスクアセスメントの方法を標準化することも求めています。誰がいつ評価しても同じ結果になるようにしなさい、ということです。具体的には、評価に使うテンプレートを統一したり、影響度「大」とは何を指すのか、といった用語の定義を明確にしたり、評価担当者へのトレーニングを行ったりすることが含まれます。

リスクアセスメントプロセスの具体例

では、これを前提に、どういうリスクアセスメントプロセスを作ることが求められているのかを見てみましょう。

規格ではリスクの分析は、「組織、個人、社会への潜在的影響」と「発生する可能性」の2つの軸で評価することを求めています。これは、リスク分析としては非常にポピュラーな方法です。

イメージとしては、画面に表示されているようなマス目、いわゆる「リスクマトリックス」を使って分析します。横軸が、悪いことが起きた場合の影響の度合い、そして縦軸が、その悪い事がどのくらいの確率で起きるか、ということです。それぞれ、大・中・小の三段階で表していますので、全部で9通りのケースがありえますね。

そして、このマス目に、6.1.1で洗い出したリスクを当てはめていきます。

例えば、AI面接サービスを提供している会社では、「女性やマイノリティの求職者に対して不公平な結論をAIが出してしまい、SNSで炎上する」というリスクがありました。この影響とは、単に炎上するといった評判への影響だけではありません。候補者への人権侵害、損害賠償といった法的・金銭的な影響、さらには社会全体の不平等を助長するといった社会的な影響まで、多角的に評価します。

他にも、「ユーザーの個人情報が漏洩するリスク」や、「AIがなぜその評価をしたのか分からず、候補者の不満が高まるリスク」などもあるでしょう。これらのリスクを図にあてはめていき、リスクの程度を見える化します。

今回の分析では、右上の赤の領域に入った「不公平な結論による炎上リスク」が、最も重要度が高いと分析できました。この「赤の領域」に入ったリスクは、いわば「今すぐ対処しないと大事故につながる、経営レベルの重要課題」と判断された、ということです。したがって、このリスクに対して、まず最初に手を打つことを優先的にやろう、と決まっていくわけです。

そして規格では、このようなリスク分析をする手順や、影響度・発生可能性をどう定義するかといったリスク評価の基準、そして、対策の優先順位付け方法などを、あらかじめ決めておくことを求めています。

リスクアセスメントに関する文書化

さて、2つ目の要求事項は、リスクアセスメントに関する文書化です。

この箇条6.1.2で直接的に要求しているのは、「リスクアセスメントを実行した結果の記録」、つまり、先ほどのリスクマトリックスのような分析結果や、優先順位を付けたリスクの一覧などですね。

規格がダイレクトに求めているのはリスクアセスメントの「記録」ですが、実務上は、リスクアセスメントの基準や手順なども文書化しておくほうが望ましいと思います。なぜなら、箇条6.1.2は、誰がやっても同じような結果になるリスク評価のやり方を作ることを求めているからです。

そのためには、ある程度の文書化が有効でしょうね。こうした記録は、監査のためだけではなく、将来別のAIプロジェクトが始まった時に「過去には、こういうリスクが高かった」という組織全体の貴重な知識・ノウハウとしても活用できます。

まとめ

はい、というわけで、箇条6.1.2「AIリスク評価」について解説をしましたがいかがだったでしょうか。
今日の動画の最大のポイントは「洗い出したAIリスクの危険度を『影響の大きさ』と『発生の可能性』から客観的に評価し、対策の優先順位を決定する」ということですね。これがリスク分析の基本ですので、しっかり覚えておいていただければと思います。

この記事を書いた人
代表取締役 今村 敦剛

中小企業診断士/審査員(ISO9001, 14001, 45001)/日本心理学会認定心理士

プロフィール 執筆記事一覧