AIマネジメントシステムの国際規格ISO/IEC 42001についての解説
2023年12月に発行されたAIマネジメントシステムの国際規格ISO/IEC 42001の概要とその中のAIリスク評価に関わる内容について解説します。
2023年12月に発行されたAIマネジメントシステムの国際規格ISO/IEC 42001の概要とその中のAIリスク評価に関わる内容について解説します。
2023年12月18日、国際標準化機構(ISO)と国際電気標準会議(IEC)傘下の合同専門委員会JTC1におけるAIに関する分科委員会SC42が「ISO/IEC 42001:Information technology-Artificial intelligence-Management system」を発行しました。当規格は2023年2月に発行された「ISO/IEC 23894:Information technology-Artificial intelligence-Guidance on risk management」のAIリスクマネジメントの内容を一部含めつつ、AIシステム自体のリスクマネジメントだけでなく、組織におけるAIシステムのガバナンスマネジメント体制の方向と観点を示すものとして、組織のトップマネジメント向けにマネジメントシステム全般のフレームワークを提示しています。
1.ISO/IEC 42001規格の発行背景・目的
AIシステムの利用が普及し、システムが安全・安心に開発、提供、使用されていることが重視されるようになり、AIシステムに対するマネジメント体制の確立の必要性が出てきています。
ISO/IECは、AIシステムに対して、これまで頑健性評価(ISO/IEC TR 24029-1)、バイアス評価(ISO/IEC TR 24027)、パフォーマンス評価(ISO/IEC TS 4213)、リスクマネジメント手法(ISO/IEC 23894)の規格が発行されています。今回のISO/IEC 42001は、AIシステム自体の機能評価基準というよりも、企業、公的機関等といった組織のなかで、誰がAIシステムについて責任を持つべきなのか、どのようにAIシステムマネジメント体制を確立すべきなのか、マネジメント体制のポイントとあるべき観点は何なのかという面からガイダンスを示すものです。
2.ISO/IEC 42001規格の内容
当規格は、組織がAIマネジメント体制を確立・実施し、継続的に改善するといった観点から、10章に分けて構成されています。
第1章から第3章では規格の規定範囲、参照、用語と定義が規定されており、第4章からは以下の内容構成でマネジメントの各段階に必要な観点が提示されています。
第4章:組織の状況を理解する
第5章:トップマネ
ジメントの役割と責任およびAIポリシーを定義する
第6章:AIのリスクとオポチュニティに対応するための計画を立てる
第7章:AIリスクマネジメントシステムをサポートするための手段を確認する
第8章:AI開発オペレーションの際の計画とリスクに対するコントロールを行う
第9章:AIシステムおよび開発体制全体のパフォーマンス評価を行う
第10章:改善と是正措置を考える
図1 ISO/IEC 42001の内容構成
第6章と第8章において、AIマネジメントを行う際に必要なAIリスクに対するコントロール措置が言及されています。そのなかでリスクに対するコントロールの分類、評価観点、関係する主体等について詳細かつ具体的なガイドラインが提示されています。
当規格の特徴をまとめると以下の通りです。
(1)組織におけるAIマネジメントシステムの全体像を描いた全面的なガイドライン
(2)リスクに対するコントロールを詳細に提示したリスクベースアプローチ
図2 ISO/IEC 42001におけるリスクベースアプローチ
当規格のAIリスクに対するコントロールは、図3のように、AIマネジメントシステムのサイクルに合わせて、AIポリシーの確定におけるリスクに対するコントロールから、第三者側の責任分担までが提示されています。そのなかには、「欧州連合AI規制法案」における高リスクAIに対する規制要件(データガバナンス、サードパーティーの責任の割り当てと義務、システム品質のモニタリング等)に対応するコントロールも多く含まれています。
図3 AIリスクに対するコントロールのトピック
なお、当規格ではAIマネジメントシステムのフレームワークを提示しているものの、個々のマネジメントプロセスにおける具体的なマネジメント方法については提示していません。具体的な方法は組織の体制、人員配置、文化等個々の事情に合わせて決めていくことになります。
3.ISO/IEC 42001規格の適用対象と意味
当規格は世界初のAIマネジメントシステムの国際規格として、本文のなかでAIシステムのガバナンスプロセスを開発、使用およびその他の関係にある企業の観点から明確に示しています。
当規格の適用対象は、組織においてAIのガバナンス/マネジメント体制を構築する際に網羅性と国際基準の観点から自社のAIマネジメント体制に足りない箇所があるかを確認したい方、またはAIマネジメント体制を構築したいのにどこから着手すれば良いのか分からない方、特に世界各国のAI規制に対応する必要がある方にとって参考になると考えられます。
あずさ監査法人では、上記のようなAIを取り巻く社会環境も踏まえたうえで、「AIが目的に沿ったパフォーマンスになっているか」だけでなく「公平性」、「説明可能性」、「追跡可能性」等の観点も含め、AIの適切性を、第三者の立場から評価・検証するサービスを提供します。
執筆者
あずさ監査法人
Digital Innovation部