おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、今回は箇条7.5「文書化した情報」について解説します。AIマネジメントシステムにおける文書管理とはどういうもので、どういう文書を管理すべきかを、具体例とともに解説します。
動画でも解説しています(無料・登録不要)
ISO42001 箇条7.5の位置づけ
まず、今日説明する箇条7.5の位置づけについて解説しましょう。
箇条7.5は箇条7「支援」に位置づけられています。AIマネジメントシステムで文書管理はなにが重要なのか?と思うかもしれませんが、AIがどんなデータとルールでどう判断したかを記録・管理しておかないと、AIの安全性や公平性をうまく説明できなくなって、人間が説明責任や法的責任を果たせなくなります。そうならないよう、文書を管理しなさいというのが、この箇条です。
AIMSで文書管理が大事なのはなぜか
なぜ文書管理が重要なのかというそもそも論をお話したほうがよいと思います。AIで文書管理が大事なのは、ざっくりいうと「あとからちゃんと説明できるようにしておくため」です。
AIが出したアウトプットによって何か問題が起きた場合、最後に責任をとるのは人間なので、その「根拠」を残しておく必要があるからですね。たとえば、AIが異常を見落として、機械が壊れてしまったとします。そのとき、文書やログがなかったら、なぜAIが異常を見落としたのか、その理由や背景が、まったく追えません。だからといって「AIが勝手に見落としたので、人間には責任はありません」では済まされませんよね。逆に、ちゃんと文書管理されていれば、「この日のデータでは、こういう値だった」「このバージョンのAIは、この条件でアラートを出す設定だった」「設定が甘かったから、アラートが出なかった」とわかって、再発防止策が立てられるようになります。こうした理由で、AIマネジメントシステムでも文書を作り、それを管理することは重要なのです。
ISO 42001 箇条7.5の要求事項
箇条7.5の要求事項は6つあります。
まずは「必要な文書を作りなさい」と言っています。必要な文書とは2種類あります。一つは「ISO42001の規格が作りなさいと要求しているもの」です。
そしてもう一つは「我が社でこれは文書化しないといけないなと判断したもの」です。そしてそうした文書は、さらに2つに分けることができます。ひとつは、手順書やマニュアル、規程類のように、常に正しく適切な内容を保つために、アップデートされうるものです。もう一つは、テスト結果記録や報告書のように、何かの出来事や活動の証拠として保持すべき記録です。
文書を作成するときに注意すべき点が2つあります。一つは、文書が探しやすく使いやすいように、作成日を入れたり、タイトルや文書番号などを与えることです。そしてもちろん、内容が正確・適切・妥当でなければなりません。内容の正確さを保証するために、作った文書の内容を誰かが確認したり、承認したりします。
こうしてできた文書は、どのように管理すべきかについても箇条7.5で要求されています。作成した時と同じように、探しやすく使いやすい状態や、正確な状態をキープすることはもちろんですが、作った文書が、必要なときに必要な人がすぐに、完全な形で使えるよう、保管場所や保管方法に注意をしないといけません。また、文書が更新されたら、間違って古いバージョンの文書が使われないよう、最新の文書を維持しないといけません。さらに、せっかく作った文書が、汚れたり破れたり、誤って消されたりしないように保管をしなければなりませんし、場合によっては大切な情報が漏洩しないよう、捨てる方法にも注意をしなければなりません。
箇条7.5は、概ねこうしたことをしなさい、と言っています。
文書管理もプロセスとして管理すべき
ISOはプロセスアプローチですので、文書管理もプロセスとして管理すべきです。文書管理プロセスとは、どのようなものでしょうか。簡単な例を説明しましょう。
最初のステップは「文書の作成」です。ここでは、誰でも理解できて、わかりやすく、簡潔な文書を作ることが重要です。そのためには、何のための文書で、誰がその文書を使うのかを考えて、理解しやすい言葉や図・写真などを使うとよいでしょう。もちろん文書を作るのは、その内容に詳しい人がベストですね。
次のステップは「レビューと承認」です。文書はただ作成するだけではなく、その文書の質が高いことや、文書を作った人の責任が保証されなければなりません。誰が作ったかわからないような文書は、信頼性にかける恐れがあるからですね。
次のステップは「文書の配布」です。作った文書は必要な人の手元に渡らなければ意味がありません。ちょっと面倒かもしれませんが、誰がいつどの文書を受け取ったかを確認できるよう台帳のようなものを作るケースが一般的です。
次の「アクセスと利用」では、必要な人だけが、その文書を見たり編集できるように、アクセス権などを設定します。そして使いやすいように目次を作ったり、索引を作ったりするような工夫も大事ですね。
次のステップは「文書の更新」です。情報は時間とともに変化しますので、文書の内容も必要に応じて最新の情報にします。更新のときも、作成時と同じように、しかるべき人が作成し、しかるべき人の承認をもらう必要があります。またどのような変更が行われたのか、なぜその変更が必要だったのかを、改訂履歴などに残しておくことも一般的ですね。
次のステップは「文書の長期保管」です。日々の業務では不要だけど、法律で保管期間が決められているような文書の取り扱いに関するステップです。長期保管するなら、文書が傷まないよう丈夫な段ボールなどを使う必要がありますし、もし必要になったときに探しやすいよう表示も必要かもしれません。そうした取り扱い方法を決めるのがここですね。
そして最後のステップは「文書の廃棄」です。文書も永遠に保管できるわけではないので、不要になったら処分する必要があります。ただ、情報漏洩などが起きないよう、シュレッダーで細断したり、データ消去ソフトウエアで安全に削除するといった方法も決める必要があります。
文書管理では、このような流れで文書を取り扱って、正確で最新の文書を、必要な人がすぐ使える状態を保つことを目指します。
ISO42001規格が要求する文書化した情報
最後に、この規格が要求する文書化した情報を見てみましょう。
この他に、組織が必要だと思うものを文書化した情報として採用する必要がありますし、取り組むと決めた管理策が求める文書化した情報も必要です。これらの具体的な文書が具体的には何なのかは、会社によっても変わります。会社の規模や業種もそうですが、作っているAI製品・サービスの内容、関わる人の力量レベルはどうか、業務の複雑さはどうか、リスク分析の結果などによって、どういう文書や記録が必要なのかが変わってきます。
まとめ
今回のポイントを一言で言うと、「正確で最新の文書を、必要な人がすぐ使える仕組みを作る」ということですかね。文書管理は、説明責任や法的責任を果たす上で重要です。そういう意味では、自分たちを守るために文書を作って管理する、ということとも言えますね。