おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、今回は箇条6.1.3「AIリスク対応」について解説をします。AIに関するリスクマネジメントの核となる「リスク対応計画」と「適用宣言書」の具体的なイメージを理解できるように解説します。
動画でも解説しています(無料・登録不要)
前回の記事はこちら
リスク対応計画の具体例
これが、箇条6.1.3で作成する「リスク対応計画」の具体的な例です。
この例では、Webのチャットボットが「差別的な発言をしてしまってSNSで炎上する」というリスクを特定しました。次に「リスク対応」です。ここでは、4つの選択肢の中から「リスク軽減」、つまりリスクの発生可能性や影響を小さくするための対策を打つ、という方針を選んでいます。なぜなら、「対応の理由」にあるように、このリスクは自社で定めた「許容基準を超えている」と判断されたからですね。
そして、ここからが計画の核心部分です。 「管理策」と「具体的実施計画」をご覧ください。「管理策」とは、リスクを軽減するための具体的な対策のことです。ここでは、附属書Aに書かれているA7.3やA7.4といった管理策に加え、「外部専門家による確認」という会社独自の対策も決定しています。そして、その具体的なアクションプランが右の「具体的実施計画」です。 ここでは具体的な手順と期限が決められていますね。この具体的な実施計画は、附属書Bも参考にします。
ところで、この計画を実行したら、リスクはどう変化するのでしょうか。それが「対応後の変化予想」です。 対策を打つことで、もともと「高」だった発生可能性と影響が、どちらも「低い」レベルまで下がるだろう、と予測しています。 これが、この計画のゴールですね。最後に、この計画は誰が責任を持つのかが「リスク管理者」にかかれています。そして計画がちゃんと進んでいるか、効果が出ているかを2025年の10月1日に再度レビューする、というところまで決められています。
このように、リスク対応計画とは、「誰が、いつまでに、何をして、リスクをどのレベルまで下げるのか」を具体的に定め、責任の所在を明らかにするというものですね。
適用宣言書の具体例
リスク対応計画とセットで作成が求められる、もう一つの重要な文書をご紹介します。それが、この「適用宣言書」です。適用宣言書とは、一言でいうと、附属書Aにかかれている管理策のどれを採用し、どれを採用しなかったのか、採用しなかった場合はなぜ採用しなかったのかを明確にする文書です。
ではこの例を見ていきましょう。まず「管理目的及び管理策」の列に、附属書Aのルールが書かれています。次に「適用」の列です。ここに〇がついていると、「はい、このルールを我が社は採用します」と宣言していることを意味します。そして「実施・未実施」の列では、「はい、このルールはすでに実施しています」と示していますね。
ここからが重要です。「管理策を含めた理由」の列を見てください。ここでは、なぜこの「AI方針」というルールを採用したのかをきちんと説明しています。最後に「規程・手順書」の列では、そのルールが具体的に書かれている社内文書を示しています。このように、会社としてどの管理策に取り組み、なぜそれを採用したか、しなかったのかを一覧にまとめたのが、適用宣言書です。
承認の取得とプロセスの実施記録
箇条6.1.3の2つめの要求事項は、経営層から承認を得ることです。リスク対応計画と、受容するリスク(つまり、リスクはあるけれども何もせずにただ受け入れるもの)については、社長やCAIOなどの経営層の承認を受ける必要があります。
最後の要求事項は、文書化です。ISO42001に取り組む組織は、少なくともこの「リスク対応計画」と「適用宣言書」については、AIリスク対応プロセスを実施した証拠として、文書化して保持をしなければなりません。
まとめ
2回にわたってISO42001箇条6.1.3「リスク対応計画」について解説をしましたがいかがだったでしょうか。今日のポイントは「リスクに対して具体的な対策を 管理策も踏まえて 決めて承認を得ること」が重要というお話でした。AI の利用は、社会に対して大きなリスクを生じさせる可能性がありますので、しっかりリスク管理をしなければなりませんね。