おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、今回は箇条6.1.3「AIリスク対応」について解説をします。AIに関するリスクマネジメントの核となる「リスク対応計画」と「適用宣言書」の具体的なイメージを理解できるように解説します。
動画でも解説しています(無料・登録不要)
箇条6.1.3の位置づけ
まず、今日説明する箇条6.1.3の位置づけについて解説しましょう。箇条6.1.3は箇条6「計画」に位置づけられています。箇条6ではAIに関するリスク管理が求められていますが、箇条6.1.3は、その中でも、リスクに対してどういう対処をするかという具体的な計画や対策を定めることが求められています。
ISO42001におけるリスク管理の全体像
ISO42001におけるリスク管理の全体像をざっくり見ていきましょう。ISO 42001のリスク管理は、大きく3つのステップで進みます。
最初のステップは、箇条6.1.1「リスク特定」です。ここでは、自社のAIに関するリスクを全て洗い出します。次のステップは、箇条6.1.2「リスク分析とリスク評価」です。ここでは、洗い出したリスクの「影響の大きさ」と「発生する可能性」を分析し、危険度と対策の「優先順位」を決めます。
そしてステップ3が、今日解説する箇条6.1.3「リスク対応」です。ここでは優先度の高いリスクへの具体的な「対応計画」を立て、責任者の承認を得ます。対応計画は、リスクに対して「いつ、誰が、何を、どうやって」実行するのかを具体的にしたものですね。何をどうやってやるか、という具体的な対策は、この規格では「管理策」と呼ばれます。管理策は、規格の参考資料(附属書A)も参考にしながら決めます。
そして、参考資料(附属書A)にかかれている対策のうち、どれを我が社が実施し、どれを実施しないかというのは、「適用宣言書」というものに書く必要があります。最後に、完成した「対応計画」については、経営者による承認が必要です。
リスク対応プロセスを定める
箇条6.1.3の要求事項は3つあります。
- リスク対応プロセスを定める
- 経営層から承認を得る
- リスク対応プロセスの記録を取る
このうち、まずは1つめの「リスク対応プロセスを定める」から説明しましょう。規格では以下のようなことが求められています。
a) 適切なAIのリスク対応の選択肢を選定する。
b) 選択したAIのリスク対応の選択肢を実施するために必要な全ての管理策を決定し、その管理策を附属書Aにある管理策と比較して、必要な管理策が見落とされていないことを検証する。
c) AIのリスク対応の選択肢の実施に関連する、附属書Aの管理策を考慮する。
d) 全てのリスク対応の選択肢を実施するために、附属書Aにあるものを超える追加の管理策が必要かどうかを特定する。
e) b)及びc)で決定した管理策の実施のために、附属書Bのガイダンスを考慮する。
f) 必要な管理策[b)、c)及びd)参照]を含み、管理策の採用及び除外の正当な理由を記載した、適用宣言書を作成する。除外の正当な理由には、リスクアセスメントによって管理策が必要ないと見なされた場合や、適用される外部要求事項によって要求されていない(または例外の対象となる)場合を含みうる。
g) AIのリスク対応計画を策定する。
要は、リスク対応計画と適用宣言書を作ることを求めているのですが、この具体的なイメージについては次回説明したいと思います。