※箇条1~3では、規格における規定範囲、参照、用語等を定義している。
出所:KPMGジャパン
1.「情報管理」から「意思決定の統治」へ
これまで企業におけるITデジタル・ガバナンスの中核は「情報の保護」にあった。代表例は国際規格ISO/IEC 27001(ISMS)に基づく情報セキュリティだ。機密性・完全性・可用性を確保することが企業価値を守るための主要な統制対象であった。この枠組みは、従来のITシステムにおいて極めて合理的である。従来のシステムでは処理ロジックが固定されているため、同じ入力に対しては常に同じ結果が出力されるので、入力データの正しさが統制されるのは必然である。このため、「情報が改ざんされないこと」や「不正な変更が行われないこと」を統制すれば、システム全体の信頼性を確保できるという考え方が成立していたのである。
しかし、AIの登場によって、この前提は常に正しいわけではなくなった。AIは本質的に確率論的なシステムであり、「正しく作っても、一定確率で誤る」ことが避けられない。この構造的な特性により、「統制が有効であれば結果も正しい」という従来の論理は成立しなくなった。このとき企業が直面するリスクは、もはや情報改ざんや情報漏洩の有無ではない。AIを活用した判断が誰にどのような影響を与えたかという点に移行している。ここに、AIの利用とその影響を管理対象とする初のマネジメントシステム規格であるISO/IEC 42001がリリースされた意義がある。
2. ISO 42001の内容
ISO 42001の構造は、組織の文脈理解、リスク評価、運用、改善という一連の経営プロセスとして設計されている。まず、規格は組織に対して、自社のAI活用がどのような利害関係者に影響を与えるかを明確にすることを求める(箇条4)。この段階から、「誰に影響を与えるのか」という視点が組み込まれている点が特徴的である。
次に、トップマネジメントの関与が求められる(箇条5)。AI方針の策定にとどまらず、AIマネジメントシステムを業務プロセスに統合し、その有効性に責任を負うことが求められる。これは、AIガバナンスは現場任せではなく、トップマネジメントが責任を持って組織運営に組み込むべき管理課題であることを示している。
箇条6以降では、AI に関するリスク、機会、影響を計画段階から運用・監視・改善までを一貫して管理することが求められる。対象は自社内部の統制にとどまらず、個人、社会、顧客その他のステークホルダーへの影響を含む。また、特にAIモデル自体を開発する組織においては、AI は継続学習により挙動が変わり得るため、導入時点の適合だけでは不十分であり、継続的な監視、評価、是正、改善が重要となる。
以上を踏まえると、ISO 42001は単なる技術管理の枠組みではなく、AIを前提とした経営プロセス全体の再設計を求める規格である。特に、リスクの視野が、自社内部の管理課題だけでなく、個人・社会・ステークホルダーへの影響まで拡張されている。ISO 27001が情報の保護を中核に置くのに対して、ISO 42001はAIの利用や開発に伴う信頼を中核に置いている規格であると言い換えることもできる。
この点は、既に一部の先行企業において実装段階に入っている。KPMG Internationalも2025年12月、ISO/IEC 42001の認証を取得1している。いわゆるBig4のグローバル組織としては初の取得事例であり、責任あるAI(Trusted AI)を単なる理念にとどめず、マネジメントシステムとして実装・運用していることを第三者認証によって示すものだ。
| 箇条 | 名称 | 概要 | AI特有のポイント |
| 4 | 組織状況(Context of the organization) | 組織の内外の課題、利害関係者、AIの適用範囲を定義 | AIの用途・影響範囲、社会的・倫理的影響の考慮が前提 |
| 5 | リーダーシップ(Leadership) | 経営層の責任、方針、役割分担を定義 | AI方針(倫理・責任・透明性)へのコミットメントを明示的に要求 |
| 6 | 計画(Planning) | リスク・機会の特定、目標設定、対応計画 | AIリスク(バイアス、安全性、誤用、法規制)の体系的評価 |
| 7 | 支援(Support) | 資源、力量、認識、文書化情報 | AIに関する専門性、データ・モデル管理能力の確保 |
| 8 | 運用(Operation) | AIライフサイクル全体の運用管理 | 設計・開発・導入・運用・廃止までのAIMS運用管理が中心 |
| 9 | パフォーマンス評価(Performance evaluation) | 監視、測定、内部監査、マネジメントレビュー | AIの性能・影響・リスク低減効果のモニタリング |
| 10 | 改善(Improvement) | 不適合・是正処置、継続的改善 | 想定外のAI挙動・事故・社会的問題への改善対応 |
3. 競争優位としてのAIガバナンス
ISO 42001の内容は前述のとおりだが、この規格の意義を単なる規制対応として捉えるのであれば、その価値は限定的である。この規格を別の視点から読むことで、AI時代における「競争のヒント」を定義したものとして捉え直してみよう。前節「ISO42001の内容」でも触れたが、この規格はAI に関するリスクだけでなく、「機会」も管理するとうたっている。ゆえに、ビジネスにおけるAIの機会を生かすための規格として考えることは有用である。
第1に、ISO 42001は、リスクの識別・分析・評価および対応のプロセスを確立することを要求している(箇条6)。無論、規格自体は競争やその方法を述べてはいないが、この要求を経営の観点から捉え直すと、「どのリスクを許容するかを組織として定義できる能力」が問われていると解釈できる。AIにおいてはリスクを排除することが前提ではないため、この判断ができない企業は意思決定そのものが困難となり、結果としてAI活用の拡大に制約が生じ、競争上でもデメリットになる。
第2に、ISO 42001は、利害関係者の要求を踏まえ、AIシステムの影響を評価し、その結果を文書化・管理することを求めている(箇条4)。この要求は、意思決定の影響を外部に対していつでも説明可能な状態にすることを意味する。今後、各国のAIに対する規制環境の進展を踏まえれば、この説明可能性は単なる内部統制にとどまらない。市場での信頼確保や参入要件に近い性質を持つようになると考えられ、規制に対して迅速なアクションにつなげることでビジネス上優位に働くことが期待される。
第3に、ISO 42001は、AIシステムに対して継続的なモニタリング、評価および改善を求めている(箇条8、9、10)。これはAIが継続学習をする場合、時間とともに性能や挙動を変化させ得るという特性を前提とした要求であり、適切に監視されないAIは、環境変化により意図しない判断を行うリスクが高まる。その結果、企業はAIの利用範囲を限定せざるを得なくなる。一方で、継続的にモニタリングと改善を行う企業は、こうした劣化や異常を早期に検知し、修正することができる。これにより、AIを安定的に運用し続けることが可能となり、より広い業務領域への展開や高度な活用へと踏み出すことができる。すなわち、継続的な運用管理能力の差が、AIを「限定的にしか使えない企業」と「継続的に拡張できる企業」を分けることになり、競争に影響を及ぼす。
4. 結論――「情報保護」から「意思決定の統治」へ
このようにとらえると、急速に発展していくAIを経営戦略の一部として活用しようとしている企業にとってISO 42001を新しい管理規格としてのみ捉えることは、経営上の重要な機会を取り逃すことになりかねない。それは、AI時代における経営のあり方そのものの再定義のツールとしてとらえるべきである。
あらゆる企業はこれから、情報を守るだけではなく、AIを活用した意思決定を統治しなければならない。その正しさを保証するのではなく、不確実性を管理しなければならない。そして、静的な統制ではなく、変化し続けるシステムを動的に制御し続けなければならない。これを実装できるかどうかが、企業の将来を分ける。統制はもはや制約ではない。統制できる企業だけが、AIを使って成長できるのである。
執筆者
KPMG FAS
執行役員パートナー
田中 秀和
