おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、箇条6.1.4「AIシステム影響評価」について解説をします。一般的になじみの薄く、理解が難しいところだと思いますので、わかりやすく解説をします。
動画でも解説しています(無料・登録不要)
箇条6.1.4の位置づけ
まず、今日説明する箇条6.1.4の位置づけについて解説しましょう。
箇条6.1.4は箇条6「計画」に位置づけられており、AIシステム影響評価に関するプロセスを確立し、評価を行って、その結果を文書化することが求めています。AIシステム影響評価というのは聞き慣れない言葉ですが、これについては次のセクションでしっかり説明をします。
AIシステム影響評価とは何か
では「AIシステム影響評価」について、かんたんに説明します。一言で言うと、AIを使うことで人や社会に起きるかもしれない影響を前もって洗い出し、評価して記録することです。
例として、自社サイトにチャットボットを入れた場合を考えます。回答が的を射ないと、ユーザーが誤解したり、ストレスを感じることがあります。こうした影響をまとめるのがAIシステム影響評価です。
AIシステム影響評価では、ふつうの使い方だけでなく、起こりがちな誤用まで想定します。たとえばカスタマーサポート用のボットに、人生相談のような想定外の質問が来るケースです。そうはならんやろ、と思うかもしれませんが、そうした誤用も想定して影響を評価します。
また、AIが使われる地域での社会の状況や法律なども踏まえる必要があります。これはどういうことかというと、例えばテロの脅威にさらされている国であれば、AI搭載監視カメラの利用が安全のために受け入れられるかもしれませんが、そうした脅威の少ない国であれば、プライバシーの侵害として反対されるかもしれません。AIサービスを世界各国で展開するときには、国ごとにこうした「お国柄」も考慮に入れて、そのシステムが与える影響を分析することが求められます。
この評価をした結果はきちんと記録して、必要なら関係する人たちに伝えることが求められています。このようにして、AIが人々や社会に悪影響を与える可能性を減らす準備が、AIシステム影響評価です。
なお、マイクロソフトがこの評価文書のテンプレート例を出しています(あくまでも例です)。箇条6.1.4では、このテンプレートのような文書を作るプロセスを定めて、そのとおりに評価を行うことを求めています。
リスク分析とシステム影響評価の違い
以上がAIシステム影響評価ですが、勘の鋭い方は「これは箇条6.1.3までにやったリスク分析とどう違うんだ?」と思うかもしれません。その違いについて整理をしましょう。
まず、視点の違いですが、リスク分析はどちらかというと内向きで、組織(我が社)に関するリスクを見える化するのが目的です。一方でAIシステム影響評価はどちらかというと外向きで、ユーザーや利害関係者といった人々や社会への影響を見える化することが目的です。
その他にもいろいろと違いはありますが、AIシステム影響評価の結果を、リスク評価で必ず考慮するという流れがあります。リスク分析とAIシステム影響評価は内向きと外向きという大きな違いがありますので、AIシステム評価は、外向きの影響を見える化して、その知見をリスク評価へ渡すための入口になる、というようなイメージですね。
ただ、AIシステム影響評価の結果から、必ずしも新しいリスクや新しいリスク対応策が出るとは限りません。考慮の結果「リスク分析内容や対応策には変更なし」と結論づけられることもあるでしょう。