ISO/IEC 42001に準拠していますか？

私たちは今、人工知能（AI）の責任ある利用に関する規制の黎明期にいる。現在の歴史的・規範的背景は、AIの使用と開発に関連する問題に関して、まだ「揺らいでいる」というのも、技術の進歩は規制の進歩に比べてあまりにも速く、それに追いつくのに必死だからである。

NISTは2023年3月にAIリスク管理フレームワークを発表した。バイデン大統領は2023年10月30日、安全、安心、信頼できるAIに関する大統領令を発表した。一方、欧州連合理事会と欧州議会は、人工知能の規制（AI法）について合意に達した。

これらの理由から、ISOとIECは、AIの台頭とその課題への対応として、ISO/IEC 42001規格を開発した。あらゆる業種の企業に適用可能なISO/IEC 42001は、AIに関する初の国際マネジメントシステム認証規格である。

この規格は、AIマネジメントシステムを確立し、実装し、維持し、継続的に改善するための要件を定めている。この規格の目的は、システムが責任を持って開発され、使用されることを保証することである：

• 信頼性、透明性、説明責任を備えたAIシステムの開発と利用を促進する；
• 公正、無差別、プライバシーの尊重など、AIシステムの使用における倫理的原則と価値を強調する；
• 適切な緩和策を講じることで、AI導入に関連するリスクの特定と緩和を支援する；
• AIの設計と実装において、人間の福利、安全性、ユーザーエクスペリエンスを優先するよう組織に促す；
• データ保護に関する法律や規制、または利害関係者に対する義務の遵守を支援する。 

他のマネジメントシステム規格との互換性

この規格は、ISO/IEC 27001:2022、ISO/IEC 27701:2019、ISO 9001:2015、ISO 13485:2016など、すでに広く確立されている他のマネジメントシステム規格との統合を容易にするような方法でドラフトされており、前提条件としてその実施を要求するものではない。この側面は、組織モデルが全体的なアプローチを採用し、各システムが特定の目的を追求することを示唆している。

ISO/IEC 27001:2022や他のISO/IEC 2001ファミリーの規格と同様に、要求事項、リスク分析、統制にも構造を与えている。

規格の主な要求事項

規格の最初の3つは、ISO規格の構造を踏襲しており、それぞれ "目的、規範となる参考文献、用語と定義 "に関するものである。規格の4つ目以降は以下のとおりである。 

• 組織の文脈（コンテキスト）：内部及び外部要因の理解、利害関係者のニーズと期待の理解、AI関連の目的の決定、従って、組織内のAIマネジメントシステムの目的；

• リーダーシップ：コミットメント、責任、およびAIに関する情報文化の促進；

• 計画策定：AIの機会とリスクの特定、目的の定義、AIに関連するリスク軽減と対応のための行動計画；

• サポート：AIの責任ある管理に必要な資源、技能、認識、コミュニケーションの提供；

• 運用：AIシステムの導入、データ管理、パフォーマンス・モニタリング、リスク管理；

• パフォーマンス評価：AIのパフォーマンスを監視・測定し、目標に照らして評価し、マネジメントレビューを実施する；

• 改善：評価とフィードバックに基づき、AIシステムおよびAIマネジメントシステムそのものを改善するための継続的な措置を講じる。
  

Annexについて

その規格は4つのAnnexで構成されており、以下に各Annexについて簡単に説明する。

Annex Aは、AIシステムの設計、開発、運用において、組織がAI利用に関する目的を達成し、AIリスク評価プロセスで特定された脅威に対処するための39の管理策（管理策と管理目的として構成された）の概要を示している。

ISO/IEC 27001 と同様に、このAnnexに記載された管理策を使用する義務はない。

これらは参考となることを意図したものであり、各組織は、その状況に基づいて独自の管理策を自由に設計し、実施することができる。

Annex Bは、一方で、データ管理プロセスを含め、附属書Aに列挙された管理策の実施に関す るガイドラインを提供する。

Annex Cは、組織が考慮しなければならない目的とリスク源について述べている。関連する目的とリスク源を決定する責任は各組織にある。

最後に、Annex Dは、様々な領域又は分野（例えば、保健、防衛、金融）におけるAI管理システムの利用を検討し、このシステムと他のシステムとの統合を扱っている。

42001ISO/IEC 42001へのコンプライアンスの達成

ISO/IEC 42001:2023への準拠は、AIシステムを倫理的、安全かつ透明性をもって管理することを目指す組織にとって、戦略的なステップである。

以下は、組織がコンプライアンスを取得するために必要なステップである：

1. マネジメントシステム文書におけるギャップ分析の実施：この段階では、ISO 42001の要求事項に対する現在の慣行を特定し、修正が必要な箇所を理解することが重要である；

2. AIマネジメントシステムの開発；これは、AIマネジメントシステムを既存の組織プロセスに統合することを意味する；

3. 潜在的なリスクと相対的なインパクトを特定するために、AIシステムのリスク及び影響評価の定期的な実施；

4. AIの側面（倫理、データ保護、プライバシー）をカバーするために、AI方針および／または手順の導入；

5. すべてのプロセスの文書化；

6. 認証取得のため、外部監査への準備
   

PQE Group は、ISO 42001認証取得のために、文書のギャップアセスメントの実施、ポリシーや手順の提供、または強固なAIリスクマネジメントプロセスの導入による貴組織の支援など、上記のすべての段階において貴組織をサポートすることができる。

もちろん、認証取得後は、規格へのコンプライアンスを維持が重要となる。そのためには、組織は変化する法律や規制を把握し、方針と手順を確実に更新していく必要がある。また、定期的な内部監査を実施し、従業員にこの分野の研修を受けさせるようにする。

結論

結論として、ISO/IEC 42001規格の策定は、AI規制における極めて重要なイベントである。組織がAI導入の複雑な状況をナビゲートする際、この規格は責任ある倫理的な利用を保証する包括的な枠組みを提供する。透明性、説明責任、人間の幸福を優先させることで、ISO/IEC 42001は世界中のAI管理システムの新たな基準となる。PQEグループのような組織の支援により、ISO/IEC 42001への準拠を達成することは、単なる規制要件ではなく、倫理的なAIの実践に取り組む組織にとって戦略的な必須事項となる。