• ISO42001はAIマネジメントシステムに関する国際規格
  • ISO42001はAI開発企業だけでなくAIシステムを利用する企業も認証が受けられる

近年のAI技術の進化は著しく、事業活動に利活用されることも増え、社会に大きな影響を与えています。しかし、同時にAIシステムに関するリスクや課題について問題視する声も上がっています。

そうした中、2023年12月に世界初となるAIマネジメントシステム規格 として ISO 42001が発行されました。

そこで、この記事ではISO42001について、発行された背景やISO42001の取得メリット、要求事項について詳しく解説します。

目次

ISO42001とは?

ISO42001とは、世界初となるAIマネジメントシステム(AIMS)に関する国際規格です。
対象となる企業はAI開発に携わる企業やAIシステムを提供する企業だけでなく、AIシステムを利活用している企業も、国際基準に基づいたマネジメントシステム認証を受けることが可能です。

2021年からISO/IEC JTC 1/SC 42委員会による検討が進められ、2023年12月に発行されました。

ISO42001発行の背景

ISO42001が発行された背景には、AIの開発やサービスの提供、日常的な利用が急速に進んでいることが挙げられます。誰でも簡単にAIを利用できる一方で、透明性や信頼性、継続学習などのAI特有の問題や倫理的な問題などによるさまざまな課題も取り上げられています。

その結果、安全・安心なAIシステムの開発や提供、利用が求められるようになったことで、マネジメントシステムのニーズも高まりました。こうしたニーズに答えるため、ISO42001が発行される運びとなったのです。

累計ダウンロード5,000件突破!ISO丸わかり規格概要資料

ISO42001発行の重要性

ISO42001発行の重要性は、ISO規格が世界中において広く浸透している国際規格である点です。これまで、各国はそれぞれの方法によりAIに関する法令を導入してきましたが、国際的な一貫性をもつガイドラインとなる制度はありませんでした。

そのため、世界各国の意見を取り入れて開発されたISO42001には、それぞれのやり方で統制を図ってきたベストプラクティスを調和させる効果が期待できます。

ISO42001はまだ発行して間もない規格ではあるものの、世界中で注目を集めるAIシステムにおける品質や安全性の向上への貢献が見込まれています。またAIシステム関係者相互の共通理解が図られるようになり、AIシステムの国際取引の促進にもつながるでしょう。

ISO42001のメリット


ここではISO42001の取得メリットを解説します。

安全なAI導入における対外的なアピールが可能

ISO42001の要求事項には、AIシステムの開発・提供・利用におけるリスクアセスメントの実施やリスク対応 について検討し、組織で取り組むことが求められています。

ISO42001を取得するには、要求事項を満たすAIマネジメントシステムの構築・運用が必要であるため、ISO42001を取得できれば、国際的なAI導入における安全性を満たしていることの証明につながります。その結果、取引先や顧客に、自社の取り組みをアピールできるでしょう。

AIシステムの品質の証明

AIシステムの開発・サービスの提供を行う事業においては、ISO42001を取得することで自社のAIシステムの安全性や公平性、セキュリティ、透明性などが担保されます。

日本の企業において、まだAIシステムを導入している企業は多くはありません。苦手意識をもつ経営層もいるでしょう。しかしAIシステムの品質を証明できれば、新規取引や顧客拡大も期待できます。

AIに関するガバナンスとイノベーションのバランスの確保

これまではそれぞれの国や地域ごとの法規制に対応するしかできず、一貫性をもったガバナンス強化が難しい状況でした。しかしISO42001取得により、自社のAIシステムの開発・提供・利用におけるガバナンス体制を対外的に示すことが可能です。

またISO42001は、AIにおけるリスクと機会を管理する実用的な手段を提供することで、AIイノベーションを促進。ガバナンス強化とイノベーション推進のバランスを確保することにもつながります。

累計ダウンロード5,000件突破!ISO丸わかり規格概要資料

ISO42001の要求事項


ここではISO42001の要求事項や附属書について解説します。

要求事項一覧

ISO42001の要求事項は、リスクベースアプローチによって規定されています。
リスクベースアプローチとは、組織を取り巻くリスクを洗い出し、評価したのちに対策を実施し、リスクの最小化を図る考え方です。

具体的には、以下のような内容について満たすことが求められています。

  • 信頼性や透明性、説明責任を備えたAIシステムの利活用ができるようにリスクを特定し、軽減する
  • AIの公平性や個人のプライバシーなどに配慮する
  • AIシステムに特有な学習データや機械学習について考慮する

要求事項の構造は、他のマネジメントシステムにおける要求事項と同様に、以下のHLS構造が採用されています。

  1. 適用範囲
  2. 引用規格
  3. 用語及び定義
  4. 組織及びその状況の理解
  5. リーダーシップ
  6. 計画策定
  7. 支援
  8. 運用
  9. パフォーマンス評価
  10. 改善

適用範囲~3.用語及び定義」はISO42001の解説部分であり、実際に取り組むのは「4.組織及びその状況の理解~10.改善」までの部分です。

AIマネジメントシステム特有の取り組み

ISO42001特有の取り組みには、以下の3つが挙げられます。

AIリスクアセスメント

AIにおけるリスクを特定・分析し、重要度や影響範囲などを評価すること。

AIリスク対応

リスクアセスメントによって判断したリスクへの対応をすること。

AIシステム影響度評価

AIシステムの開発・提供・使用による個人や集団、社会への潜在的な影響を評価すること。例えば、人権侵害や情報漏えい、雇用減少などにおける課題が挙げられます。AIリスクアセスメントの際に実施することが推奨されています。

これらの取り組みにおいて、「6.計画」段階で取り組みを設計し、「7.支援」段階で必要な文書を作成し、「8.運用」段階で実施することを求めています。

附属書

そもそも附属書とは、マネジメントシステムの要求事項に追加されている参考情報です。
附属書Aには「実務に即したわかりやすい具体的な目標や、目標達成するための管理策」が、
附属書B以降には「附属書Aにおける補足説明」や「その分野における危険源」などが記載されます。

そしてISO42001には、以下の4つの附属書が記載されています。

  • 附属書A (規範的):管理目的および管理策
  • 附属書B (規範的):AI管理策の実装ガイダンス
  • 附属書C (情報提供):AI関連の組織目標およびリスク源
  • 附属書D (情報提供):分野または部門間でのAIマネジメントシステムシステムの利用

例えば、以下のような内容が記載されています。

  • A.2.2(AI方針):組織は、AIシステムの開発又は使用に関する方針を文書化しなければならない。
  • A.2.3(他の組織の方針との整合性):組織は、AIシステムに関して、他の方針が組織の目的の影響を受ける可能性がある、又は適用される可能性がある箇所を決定しなければならない。
  • A.2.4(AI方針の見直し):AI方針は、その継続的な適合性を確実にするために、計画された間隔で、又は必要に応じて、見直しを行わなければならない、適切性及び有効性を確保する。
  • B.6.2.4(AIシステムの検証と妥当性の確認):開発者は、AI モデルとデータセットに対する標準化された評価手順を実装する必要がある。
  • B.6.2.8(AIシステムのイベントログ記録):開発者は、運用時の入出力、および潜在的な異常値を記録するロギングシステムを持つ必要がある。

ISO42001を取得する流れ

ISO42001を取得する流れについてまとめました。ただし2024年6月現在、まだ正式な認証機関はないため、すぐに取得することはできない状況です。

1.ISO42001取得に向けた準備を行う

ISO42001を取得することが決定したら、取得に向けて取り組むための準備を進めます。具体的には、まず以下の点について決定しましょう。

  • ISO担当者やISO事務局の選定
  • ISOコンサルに依頼するかどうか

ISOコンサルに依頼する場合、早めに相談することで準備段階からアドバイスやサポートを受けられます。ISO規格に関する知見やノウハウを十分にもっている人材がいないのであれば自社取得ではなく、コンサルに依頼することがおすすめです。

関連記事:ISO取得の流れを「自社取得」と「コンサル取得」を徹底比較

2.AIマネジメントシステムを構築する

要求事項の「4.組織の状況~7.支援」に則って、AIマネジメントシステムを構築します。
組織内外の状況を把握したうえで、マネジメントシステムを適用する範囲を決定。その後、組織としての方針や目標を定めたのち、自社のルールを規定・見直します。

ISO42001では、先ほど解説した「AIリスクアセスメント」や「AIリスク対応」の計画がポイントとなります。

3.AIマネジメントシステムを運用する

AIマネジメントシステムを構築したら、実際に運用します。要求事項の「8.運用~10.改善」の部分に該当する部分です。

運用した結果、「規定したルール・マニュアルに問題がないか」「構築したルールは遵守できているか」「期待した結果が得られているか」などの部分を内部監査 により確認します。
内部監査の結果をもとに、マネジメントレビュー を実施し、トップマネジメント はより良い改善案を指示しましょう。対策を実施後に運用し、PDCAサイクルを回すことで、マネジメントシステムの継続的改善が目指せます。

4.取得審査を受ける

AIマネジメントシステムを構築・運用したら、認証機関に依頼して取得審査を受けます。
しかし、ISO42001は発行されたのが2023年と新しい規格であることから、2024年6月現在、まだ正式な認証機関はありません。というのも、まだ認証機関の要件についてまとめた規格であるISO42006が開発途中であるためです。

2024年6月時点、ISO42006は規格発行の6つのプロセスのうち、4段階目であるDIS(国際規格案)の段階です。これまでの規格の事例から考えると、審査開始にはまだ数か月以上がかかることが予想されます。

累計ダウンロード5,000件突破!ISO丸わかり規格概要資料

まとめ

この記事では、世界初のAIマネジメントシステム規格であるISO42001について解説しました。

2023年に発行されたばかりの規格ではありますが、昨今のAI技術の進化において、その存在意義は非常に高いといわれています。
まだAIの課題やリスクも叫ばれる中、ISO42001を取得することで、自社のAI開発・AIシステム利活用における安全性をアピールできるでしょう。

AI開発・AIシステム利活用を行っている企業は、取得を検討することがおすすめです。

累計ダウンロード5,000件突破!ISO丸わかり規格概要資料
  • 無料資料 | 各種ISO導入 徹底解説
  • 『各種ISO導入のメリット・デメリットを徹底解説』をコンセプトに、ISOコンサルタント監修のもと図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

各種ISO、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ