おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、「附属書A(Annex A)」の概要と、その中の具体的な管理策である「A.2 AIに関連する方針」および「A.3 内部組織」について解説をします。附属書Aがどんなものか、そして組織のルールと体制をどう作るべきかを説明します。
動画でも解説しています(無料・登録不要)
ISO42001の附属書A/Bとは何か
まず、今日説明する「附属書A」「附属書B」とは何かについて解説しましょう。
ISO 42001の本文(箇条4から10)は「マネジメントシステム全体をどう回すか」という枠組みですが、附属書Aは「AIのリスクを管理する38個の具体的な対策メニューのことです。 情報セキュリティのISO 27001にも似たような附属書Aがありますが、AI版のこちらは「公平性」「透明性」「説明責任」といったAI特有のリスクに対処するための対策が並んでいます。
それに対して「具体的にどうやって導入すればいいのか」という実践的なアドバイスやヒントをまとめたのが「附属書B(Annex B)」です
管理策を選択するまでの流れ
管理策を選択するまでの流れを、もう少し詳しく説明しましょう。
出発点は、規格要求事項の箇条6.1.3(リスク対応)です。ここでは、AI固有のリスクを評価した結果、どんな対策(管理策)を採用するかを決めます。
そして、その対策を考える時に、ゼロから考えるのではなく、附属書Aにある管理目的と管理策を参照して選択肢として検討してね、ということです。もちろん附属書A以外の対策を採用してもよいですし、我が社の運用に関係のない管理策を無理に採用する必要はありません。
そして、選択した管理策を現場で実施・運用する際に、**進め方や考え方の参考(ガイダンス)**を与えるのが、附属書Bです。
いいかえると、附属書Aは「何をするか」、附属書Bは「それをどう回すか」という関係になっています。
ISO42001 管理策A.2 AIに関連する方針
では、管理策A.2 AIに関連する方針を解説しましょう。
まずは「A.2.2 AI方針」です。 AIシステムの開発や利用に関する大方針を、しっかりと文書化しなさいという要求です。附属書Bのガイダンスによると、この方針は事業戦略や組織の価値観に基づいて策定しなさいと言っています。また「ルールの例外が起きたときにどう処理するか」といったプロセスも含めるべきだ、と書いていますね。
2つ目は「A.2.3 他の組織方針との整合」です。 会社にはすでに、情報セキュリティ方針やプライバシー方針、倫理規定などがありますよね。AI方針を新しく作ったことで、それらの既存のルールと矛盾が起きないよう、しっかりすり合わせを行いなさい、ということです。
3つ目は「A.2.4 AI方針のレビュー」です。 AIの技術や法律はどんどん変わっていくので、作った方針は放置せず、定期的に、あるいは環境が変わるたびに見直してアップデート(レビュー)しなければならないとしています。
ISO42001 管理策A.3 内部組織
次に「A.3 内部組織」の管理策も解説します。 これは一言で言うと、「AIに関する責任の所在をはっきりさせ、組織の体制を整えること」です。
ここは2つのポイントに分かれています。
1つ目「A.3.2 AIの役割及び責任」です。 AIに関する役割と責任を明確に定義して割り当てなさい、というものです。附属書Bでは、例えば「リスク評価の担当」や「AIの公平性・セキュリティの担当」、「人間の目で最終チェックをする(ヒューマンオーバーサイト)担当」など、AIのライフサイクル全体で誰が何に責任を持つかを具体的に割り当てるよう求めています。
2つ目は「A.3.3 懸念事項の報告プロセス」です。 従業員がAIについて「これ、倫理的にまずくないか?」「安全じゃないのでは?」と気づいたときに、報告できる仕組み(ホットラインなど)を作ることです。附属書Bでは、従業員が報復を恐れずに済むよう、匿名性や機密性を保って通報できるメカニズムを設けることが強く推奨されています。
A.2とA.3の管理策の適用例
今回説明をしたA.2とA.3の管理策が、どのようにAIリスク対応に役立つか、一つの例をお見せします。
ある日、人事の現場担当者が「最近、採用AIが特定の性別や属性の候補者を不当に低く評価している気がする」と気づいたとします。これは「公平性の欠如」という、AIにおける重大なリスクの一つですね。
ここで「A.3.3 懸念事項の報告プロセス」に従って、匿名で通報できるホットラインが機能していれば、現場の違和感はすぐに経営陣に吸い上げられます。そして通報を受けた後は、「A.3.2 役割及び責任」であらかじめ決められた「AI倫理担当者」が、調査に動き、場合によってAIの利用を一時停止するなどの応急処置をとります。
この問題の根本原因を調べていくと、AIに任せきりで、人間の監視が足りていなかったことが分かったとします。そうすると「A.2.4 AI方針のレビュー」で、今の方針をレビューし、「A.2.2 AI方針」を通じて、「採用など人権に関わる意思決定においては、最終判断に必ず人間が介在する」というような方針を追記します。最後に、その新しいAI方針が、会社の既存の「人事方針」などと矛盾しないかを「A.2.3 他の方針との整合」で確認します。こういう取り組みができれば、AIの公平性に関するリスクも低減ができそうですよね。