おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、箇条8.4「AIシステム影響評価」について解説をします。「AIシステム影響評価」を実行するにあたって、どのような点に気をつけなければならないか、どのように文書化するかを具体的に理解することができると思います。
動画でも解説しています(無料・登録不要)
ISO42001 箇条8.4の位置づけ
まず、今日説明する箇条8.4の位置づけについて解説しましょう。
箇条8.4は箇条8「運用」に位置づけられています。箇条6.1.4で、AIシステム影響評価をするためのプロセスを定めましたが、8.4ではAIシステム影響評価を実際に実行することを求めています。
AIシステム影響評価とは
「AIシステム影響評価」について、おさらいしておきましょう。。一言で言うと、AIを使うことで人や社会に起きるかもしれない影響を前もって洗い出し、評価して記録することです。箇条6.1.1~6.1.3でおこなったリスク分析は、どちらかというと内向きで、組織(我が社)に関するリスクを見える化するのが目的でしたが、AIシステム影響評価はどちらかというと外向きで、ユーザーや利害関係者といった人々や社会への影響を見える化することが目的でしたね。
ISO42001 箇条8.4の要求事項
箇条8.4の要求事項は2つあります。
このうち、まず1つめは「AIシステム影響評価を実行する」です。箇条6.1.4で定めたやり方に従って、AIシステム影響評価を実際に実行します。評価は、あらかじめ決められた間隔で行うか、もしくは大きな変更が起こりそうなときに実施します。ここでいう大きな変更とは、AIシステムや利用の前提が変わり、影響の出方が変わりうる変更のことです。たとえば、モデルの更新、参照データの追加、システム上の判定基準の変更などが考えられます。
2つめの要求事項は「AIシステム影響評価の結果を全て保持する」です。評価の結果はすべて必ず文書として記録し、それを保持して証拠にすることを要求しています。
どのような形で記録するか、例をお見せしましょう。
この例は、マイクロソフトが公開しているAIシステム影響評価のテンプレートを使って、AIチャットボットについての影響評価をした結果の一部です。このようなものを作り、必要に応じて従業員やユーザーといった利害関係者と共有できるようにします。
まとめ
今日のポイントを一言でまとめると、「AIシステム影響評価を実行して、記録として保持する」ということですね。PDCAでいうとDoにあたる箇条ですので、基本的には、6.1.4で決めたことを実行するというものでしたね。しっかりと実行していただきたいと思います。