おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、今回はいよいよ最終回です。附属書Aの中から、「Aの9 AIシステムの利用」と「Aの10 第三者・顧客との関係」について解説します。AIを自社で利用するときのルール作りと、外部との責任分担が、リスク対応にどう役立つのかを、具体的におわかりいただけると思います。
動画でも解説しています(無料・登録不要)
附属書A.9 AIシステムの利用
まずは「A.9 AIシステムの利用」の管理策について説明をします。これはAIの開発ではなく、ユーザーとして実施が求められる管理策です。AIシステムを、組織の方針やルールに基づいて、責任を持って正しく使うための3つのリスク対応策(管理策)が決められています。
1つ目は「A.9.2 AIシステムの責任ある利用のためのプロセス」です。AIを正しく使うためのルールや基準、管理の方法を決めて文書化することを求めています。
2つ目は「A.9.3 AIシステムの責任ある利用のための目標」です。AIを使う上で「どこまでやれば実現できたと言えるか」という、具体的な目標を置くことを求めています。
3つ目は「A.9.4 AIシステムの利用目的」です。AIは、決められた使い方を守って利用することを求めています。
例えば「書類作成の効率化」のために入れたAIを、「人事評価」など別の用途に使ってはいけない、ということですね。決めた通りに使われているかを監視し、問題があれば関係者に報告することを求めています。
附属書A.10 第三者・顧客との関係
次に「A.10 第三者・顧客との関係」の管理策です。AIシステムの開発や利用では、パートナー企業やサプライヤー、顧客など、第三者が関わることが多いです。ここでは、自社と他社の責任の分け方(責任分界点)をはっきりさせ、リスクが適切に分担されるようにするための3つの管理策が決められています。
1つ目は「A.10.2 責任の分担」です。AIシステムのライフサイクル全体で、例えば「データを提供する会社」「モデルのトレーニングをする会社」といった各関係者の役割と責任を明確にし、契約書などの形で文書化することを求めています。
2つ目は「A.10.3 供給者」です。AIモデルやソフトウェアなどを外部から購入する場合、供給者が提供するものが適切か、自社の方針に合っているかを確認するプロセスを決める必要があります。もし想定通りに動かなければ、供給者に改善を求めることも必要です。
3つ目は「A.10.4 顧客との関係」です。自社がAIシステムを販売・提供する場合、顧客の期待やニーズを理解し、対応する必要があります。
「このAIはどう使うべきか」「どんなリスクがあるのか」を顧客にしっかり伝え、誤った利用を防ぐことが求められます。
A9/A10のリスク管理策としての利用事例
では、これらの管理策が「リスク対応」としてどう役立つのか。ある部品加工工場で、製品の「キズや不良」をカメラ映像から自動で見つける「AI搭載の画像検査装置」を外部から導入して「利用」するケースで考えてみましょう。
この工場は事前のリスクアセスメントで、次の2つのリスクを特定しました。 1つ目は、「カメラ映像のAIが、製品検査ではなく『従業員の監視』という別の目的に誤って使われてしまうリスク」です。 2つ目は、「AIの判定精度が落ちて不具合が起きた時に、装置のAIメーカーと自社で責任の押し付け合いになり、問題解決が遅れるリスク」です。
この重大なリスクに事前に対処するために、A.9とA.10の管理策が重要になります。
まず、1つ目の「従業員監視への誤用」というリスクを下げるために、「A.9 利用」の管理策を使います。 工場は、AIの利用目的(A.9.4)を「製品のキズ検査のみに限定する」と厳格に定め、従業員の監視などには使わないというルールを徹底しました。そして、この目的を達成するためのプロセス(A.9.2)として、「AIが本来の目的通りに使われているかを定期的にチェックする手順」を文書化しました。これにより、AIが別の用途に誤用されるというリスクを事前に大きく減らすことができました。
次に、2つ目の「責任の押し付け合い」というリスクを下げるために、「A.10 第三者・顧客との関係」の管理策を使います。 工場は、画像検査装置のメーカー、つまり供給者(A.10.3)との間で、「AIの精度が落ちた時のモデルの再学習はメーカー側が行い、現場での最終的な品質の責任は工場側が持つ」というように、お互いの責任の分担(A.10.2)を契約書等で明確にしておきました。さらに、この工場から部品を買ってくれる納入先の顧客(A.10.4)に対しても、「AIと人間のダブルチェックで品質を担保しています」と事前に説明し、期待値をすり合わせておきました。これにより、万が一トラブルが起きた際の揉め事や対応の遅れというリスクを未然に防ぐことができるということです。。
まとめ
管理策A.9とA.10について解説しましたがいかがだったでしょうか。
今日のポイントを一言で言うと、「AIの正しい利用ルールを社内で徹底し(A.9)、外部の供給者や顧客との責任を明確に分けておく(A.10)ことがリスク管理になる」ということですね。
トラブルが起きてから対処するのではなく、起きないように利用の仕組みを整え、コミュニケーションのルールを作っておく。これこそが管理策の本当の役割だということがおわかりいただけたかと思います。