おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO/IEC 42006:2025規格がこの7月に発行されました。これまでISO/IEC 42001の認証制度については、認定機関による統一的な基準が存在しませんでしたが、これによりISO/IEC 42001の認証機関が正式に認定されることになります。
そもそも「認定」と「認証」とは何か
ISOマネジメントシステム規格の第三者認証制度には「認定」と「認証」という考え方があります。「認証」から説明したほうがわかりやすいのですが、「認証」とは、その規格にそったマネジメントシステムを確立・維持している組織(企業)に対して発行するものです。いわゆる「外部審査」と呼ばれる行為ですね。
一方「認定」は、組織を認証する第三者認証機関を認定するものです。この度発行されたISO/IEC 42006:2025規格は、「認定」の規格ですので、組織を認証する第三者認証機関を認定するための基準ですね。
ISO/IEC 42006:2025の位置づけと役割
この規格は、認定機関(日本でいうとISMS-AC)が認証機関(いわゆる第三者認証機関・外部審査機関)を評価する際の要求事項を定めたものです。従来、AIマネジメントシステムの認証については、各国の認定機関が独自の基準で認証機関を評価していました(いわゆる「プライベート認証」です)。しかしISO/IEC 42006:2025が発行されたことにより、この認証機関評価プロセスが標準化されることになります。
認定機関は、この規格に基づいて認証機関の技術的能力、審査員の資格、審査プロセスの適切性などを評価します。特に、AI技術の特殊性を理解した審査員の配置や、AI特有のリスクを適切に評価できる能力が重要視されます。認証機関は、これらの要求事項を満たすことで、認定機関からの認定を受けることができます。
認証制度への影響と変化
ISO/IEC 42006:2025の発行により、ISO/IEC 42001の認証制度は大きく変化します。まず、認証機関の質の向上が期待されます。統一された認定基準が明確になったことにより、認証機関は一定水準以上の能力を持つことが保証されます。これは、認証を受ける組織にとって、より信頼性の高い認証制度を利用できることを意味します。
また、国際的な相互承認の促進も期待されます。各国の認定機関が同じ基準で認証機関を評価することで、異なる国で発行された認証書の相互承認が容易になります。これにより、グローバルに事業を展開する組織にとって、AIマネジメントシステムの認証がより実用的なものになるでしょう。
認証機関にとっては、新たな要求事項への対応が必要になります。AI技術に関する専門知識を持つ審査員の確保や、AI特有のリスク評価手法の習得などが求められます。これらの準備を整えることで、認定機関からの認定を受けることができるようになります。
今後の展開と準備すべきこと
ISO/IEC 42006:2025の発行を受けて、各国の認定機関は認証機関の認定プログラムの準備を進めることになります。すでに日本の認定機関であるISMS-ACは7月8日、認定の開始をアナウンスしていますね。
認証機関は、この新しい規格の要求事項を理解し、必要な体制整備を行う必要があります。特に、AI技術に精通した審査員の育成や、審査プロセスの見直しが重要になりますが、果たしてAI技術に精通し、かつ、マネジメントシステムにも理解がある人材を確保できるかというと、これはなかなか難しい難しい課題だと思います。
なお組織側では、認定を受けた認証機関による認証を選択することで、より信頼性の高いAIマネジメントシステムの認証を取得できるようになります。これまで以上に、認証機関の選択が重要になってくるでしょう。認定を受けた認証機関かどうかを確認することが、適切な認証取得のための第一歩となるでしょう。
この規格の発行により、主任審査員の教育・新規登録プロセスもじきに明確になるのではないかと思います。ぼく個人としても、ISO/IEC42001の主任審査員を目指して、AI技術を活用する企業に貢献したいと思っています。