おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、箇条8.3「AIリスク対応」について解説をします。「リスク対応計画」を実行するにあたって、どのような点に気をつけなければならないかを具体的に理解することができると思います。
動画でも解説しています(無料・登録不要)
ISO42001 箇条8.3の位置づけ
今日説明する箇条8.3の位置づけについて解説しましょう。
箇条8.3は箇条8「運用」に位置づけられています。箇条6.1.3で、リスクに対する取組計画を決めましたが、その計画を実行して有効性を確認し、状況が変われば見直して更新し、結果を記録として残すことを求めています。
ISO42001 箇条8.3の要求事項
箇条8.3の要求事項は4つあります。
1つめの要求です。端的に言うと 「計画どおりにリスク対策をやって、ちゃんと効いたか確かめなさい」 ということです。ここで言う「計画」とは、箇条6.1.3で作った リスク対応計画 のことです。
この例では、学習データの偏りのせいで、チャットボットが差別的な発言をしてしまい、SNSで炎上する というリスクを特定しました。ここでは「リスク対応」として 軽減 を選んでいます。軽減とは、起きる確率を下げたり、起きたときのダメージを小さくしたりする という考え方でしたね。軽減をするための具体的な方法として、「管理策」を決めています。附属書Aの管理策も含めて、学習データの見直しなどを行うと計画しています。箇条8.3の1つ目の要求事項では、まず この計画どおりに実行しなさい と言っています。
そして、箇条8.3は、実行するだけでなく、有効性を確認しなさい と言っています。有効性確認とは、簡単に言うと 「対策が本当に効いたかを確かめる」 ということです。このスライドでは、「有効性確認」の欄に、指標と方法と結果を3つセットで書いています。ここで大事なのは証拠をもとに、数字や記録で示すことですね。最後に「残留リスク」です。対策をしても、リスクがゼロになるとは限りません。対策後に残るリスクを残留リスクと言います。この例では、検証の結果を見て 残留リスクは“低(許容内)” と判断しています。このように箇条8.3の1つめの要求は、計画どおりにリスク対応計画を実行し、それが効いたかどうか、証拠をもとに検証することをセットで求めています。
箇条8.3の2つめの要求は、「リスクアセスメントで新しいリスクが見つかって、しかも対応が必要なら、そのリスクも6.1.3の手順で対応を計画に組み込み、実施しなさい、ということです。それほど難しい要求事項ではないですね。
3つめの要求は、「計画に書いた対応案が効かなかった場合、もう一度見直して“やり直し”なさい」 ということです。効かなかったのに同じ対策を続けるな、ということですね。まず、6.1.3で決めた対応策を実施して、指標と結果を確認したうえで「効いていない」と判断したら、6.1.3のリスク対応プロセスに戻って、対応案を見直し、その新しい案が妥当かを確認します。たとえば先程の例で、差別発言のNG率が 2.1% から 1.9% にしか下がらなかったとします。このように改善が小さい場合、「この対応計画は有効でなかった」と判断します。そうしたら、例えば管理策を追加するとか、変更するとか、人手を増やすといったかたちで対応計画を見直します。そして、見直した内容をリスク対応計画に反映して更新し、更新した計画に従って再実施します。そのうえで、もう一度、指標・方法・結果で有効性を確認する、という流れを作ることですね。
4つめの要求は、「AIリスクに対して実施した“全ての対応”について、結果を記録として残し、消さずに保持しなさい」 ということです。ここでのポイントは、やったことをメモするだけでなく、効いた証拠までセットで残すことです。しかも全て残すことが要求されています。
記録の例は先程見ていただいた例と同じですね。このような形で記録しておくと、炎上のようなトラブルが起きたときに、「リスクは認識していたのか」とか「どんな方針で対策を選んだのか」ということを内部・外部に説明できるようになりますよね。また、原因を探る際にも、「なぜあの時あのような判断をしたのか」とたどることができるようになります。そうしたことを、AIガバナンスでは「透明性」や「追跡可能性」というのですが、これらを担保するために記録が必要だということです。
まとめ
ISO42001箇条8.3「AIリスク対応」について解説をしましたがいかがだったでしょうか。今日のポイントを一言でいうと「箇条6.1.3の計画を実行・検証し、状況に応じて見直して、全結果を記録する」ということです。その背景には、AIに関する透明性や追跡可能性を確実にするということがあるというお話でした。AIに関するリスクというのはいまとても注目が高いトピックですので、しっかり管理できる仕組みを整えていただきたいと思います。