おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、箇条6.1.4「AIシステム影響評価」について解説をします。一般的になじみの薄く、理解が難しいところだと思いますので、わかりやすく解説をします。
動画でも解説しています(無料・登録不要)
前回の記事はこちら
AIシステム影響評価のプロセスを定める
箇条6.1.4の要求事項は5つあります。このうち、まずは1つめの「AIシステム影響評価のプロセスを定める」から説明しましょう。これは要は、AIシステム影響評価をどう進めるのかという流れを決めることです。例えば、いつやるか、誰が担当するか、どう承認してどこにどう保管するかといった、やり方のルールを決めるということですね。
影響を特定する
2つめは「影響を特定する」です。AI製品やサービス、または自社のAI利用において、どんな使い方やどんな誤った使い方があり得るかを洗い出します。そして、誰に、どんな影響が、どのくらい強く、どれだけ広がるかを考える、ということですね。
技術・社会の状況と法域を考える
3つめは「技術・社会の状況と法域を考える」です。これは見出しだけを見ていると何のことだかわかりにくいんですが、想定される用途で使われる技術の現状はどうか(例えば使うAIモデルの得意・不得意分野はどうか、学習するデータの質はどうかなど)や、そのシステムが使われる社会の現状はどうか(例えばそのシステムを展開する国での固有の影響などが考えられるか)といったことを検討します。
また法域というのも聞き慣れない言葉ですが、要はそのシステムを展開する国や地域で適用される法律・規制全般についても検討をするということです。
文書化し必要に応じて共有する
4つめは「文書化し必要に応じて共有する」です。評価の結果は必ず文書として記録します。最終的には、先程お見せした、マイクロソフトのテンプレートのような形でまとめられるとイメージすればよいでしょう。もちろん自社独自の様式で作成してもよいです。また、状況によりますが、必要であれば従業員やユーザーといった利害関係者と共有できるようにします。
リスク評価で考慮する
最後は、AIシステム影響評価の結果を、箇条6.1.2のリスク評価で考慮することです。先ほども説明しましたが、AIシステム影響評価は外向きの視点を持っていますので、ここで洗い出して評価した内容を、リスク評価プロセスで再度確認をします。その結果、新しいリスクを特定する必要があったり、リスク評価結果を見直す必要があれば、適宜対応をする、ということですね。もちろん、AIシステム影響評価を考慮した結果、リスク評価について何も変えないという判断もありえます。その際は、検討したけど変えなかったという事実を記録しておくと、その後の説明が容易になるでしょう。
おわりに
はい、というわけで、箇条6.1.4「AIシステム影響評価」について解説をしましたがいかがだったでしょうか。今回の解説を一言で要約すると、「AIシステム影響評価では、システムの誤用まで含めた影響の洗い出しや、技術・社会・法域などを考慮した評価が必要」ということでした。
これでISO42001のリスク関係の計画が全てカバーできました。次回は目標について解説をしますのでご期待ください。