安全・安心なAIのためのマネジメントシステム「ISO/IEC 42001」

人工知能（Artificial Intelligence。以下、AI）を用いた製品やサービス（以下、AIシステム）が次々と現れています。ChatGPTに代表される、誰もが気軽に使えるAIシステムの登場は、多くの人が「AIを使っている」と明確に意識できる形でAIに触れる機会をもたらしました。その性能の向上と利用シーンの拡大は目覚ましく、世間の目を集めています。普段の仕事でAIを活用している、という方も多いのではないでしょうか。

一方、AIシステムが社会に広がるにつれ、「AIは安全・安心に利用できるのか？」という問いへの回答が一層求められるようになりました。このため、利用シーンを問わずあらゆる分野でセキュリティや公平性など多くのことに配慮する必要があります。

そこで本記事では、企業組織がAIを開発・利用するためのマネジメントシステムを構築する際に、準拠すべき国際規格である「ISO/IEC 42001」を取り上げ、その特徴などを解説します。

ISO/IEC 42001：Information technology - Artificial intelligence - Management systemはISO（International Organization for Standardization：国際標準化機構）によって2023年12月に発行された、AIマネジメントシステム（以下AIMS）に関する世界初の国際規格です。そのスコープは以下のように定義されています[1]。

・この規格は、組織の状況内でAI（人工知能）マネジメントシステムを確立、実装、維持し、継続的に改善するための要求事項を規定し、ガイダンスを提供する。

・この規格は、AIシステムを利活用した製品又はサービスを提供又は使用する組織による使用を意図している。この規格は、組織がその目的を追求する際に責任をもって、AIシステムを開発、提供又は使用し、適用される要求事項、利害関係者に関連する義務、及び利害関係者からの期待を満たすために役立てることを意図している。

・この規格は、規模、タイプ及び性質に関係なく、AIシステムを利活用する製品又はサービスを提供又は使用するあらゆる組織に適用できる。

すなわち、ISO/IEC 42001は責任をもってAIシステムを適切に利活用（開発、提供、活用）するために、組織的マネジメント体制の構築および維持に向けた枠組みを示すガイドラインです。その対象は、AIやAIシステムを開発・提供する組織だけではなく、それらを使用するあらゆる組織とされています。

ISO/IEC 42001は、ISOとIEC（International Electrotechnical Commission：国際電気標準会議）のJTC（Joint Technical Committee：合同技術委員会）に属する、SC42専門委員会[2]を中心とした議論を経て発行されました。SC42専門委員会はAIに関する専門WG（Working Group）であり、すでに20件以上の国際規格などを発行しています。このため、ISO/IEC 42001はAI関連の規格などを組織で活用する際の要になるものと言えます。

ISOが発行する国際規格には、製品・サービスや特定の機能・技術を対象とした規格の他、企業などの組織活動を管理する仕組みや、その運用方法を対象とするマネジメントシステム規格があります。ISO/IEC 42001は後者の規格グループに属します。

ISOのマネジメントシステム規格はHLS構造（High Level Structure：上位構造）と呼ばれる共通の構成で記述されており、ISO/IEC 42001もこの構成に従っています。「1.適用範囲」から「3.用語と定義」までは規格の前段的な解説部分であり、「4.組織とその状況の理解」以降にマネジメントの各段階で必要な観点が示されています。

　1. 適用範囲

　2. 引用規格

　3. 用語と定義

　4. 組織とその状況の理解

　5. リーダーシップ

　6. 計画策定

　7. 支援

　8. 運用

　9. パフォーマンス評価

　10. 改善

　附属書A：基準管理目標と管理

　附属書B：AI管理の実装ガイダンス

　附属書C：AIに関連する組織目標とリスク源

　附属書D：分野または部門を超えたAIマネジメントシステムの使用

附属書には「規定（Normative）」と「参考（Informative）」の2種類があります。ISO/IEC 42001においては附属書AおよびBが規定、附属書CおよびDが参考となっています。

効果的なマネジメントを継続して行うためには、いわゆるPDCAサイクル（Plan-Do-Check-Action）に基づくマネジメントが必要です。本規格を含めたマネジメントシステム規格の構成においては、Pは「6. 計画策定」、Dは「7.支援」および「8. 運用」、Cは「9. パフォーマンス評価」、Aは「10. 改善」がメインの該当パートになります（図表1）。

附属書には、より実務に即した内容が記されています。附属書AにはAIリスクを管理する際の管理目標が、附属書Bには附属書Aで挙げられた管理目標の実装ガイダンスが記載されています。また、附属書Cには組織が考慮する潜在的なリスク源などに関する情報が、附属書DではAIMSと分野や産業独自のマネジメントシステムとの統合に関するガイドが記載されています。

附属書の情報量は多く、特に附属書Bは実装において参照できる多くの項目が記載されています。しかし、組織のマネジメント体制を構築するに当たっては、附属書に記されている全ての内容を網羅することをISO/IEC 42001では求めておらず、組織の目標やリスク評価の結果などに応じて利用者の判断で設定できます。

ISO/IEC 42001の特徴は、AIシステムがもたらすリスクと機会（以下、リスクとのみ記載）にリスクベースアプローチで対応する点です。自組織が取り扱うAIシステムが持つリスクを特定し、対応・軽減策を定め、その体制を維持する仕組みを構築します。

リスクに対処するための具体的な行動の柱として、（1）AIのリスク評価、（2）AIリスクへの対応、（3）AIシステムの影響評価、の３つが挙げられており、これらを基本としてリスクのコントロールを図ります（図表2）。また、AIシステムに特有の考慮すべき課題として、例えば倫理的事項、透明性、継続的な学習などを挙げており、これらをマネジメントシステムに反映するためのガイドを示していることも特徴です。

ISO/IEC 42001はAI関連規格などを組織で活用する際の中心的ガイドとなりますが、AIの個別機能や課題に関する具体的な技術ガイドについては、他の規格を参照する必要があります。

例えば、機械学習における分類モデルの推奨メトリクスに関しては「ISO/IEC TS 4213」を、AIの意思決定に存在するバイアスやその評価指標については「ISO/IEC TR 24027」などを参照することが推奨されています。同様にリスク評価に関しても、組織が抱えるリスクの種類や量、実装方法などのガイドラインとして「ISO/IEC 38507」が、AI に関連するリスクを管理する方法に関する文書として「ISO/IEC 23894」が挙げられています（図表3）。

ISO/IEC 42001は組織におけるAIMSの構築から運用・維持の仕組みに関する規格であり、他のマネジメントシステム規格、例えばISO 9001やISO 14001などと同じく、第三者の認証機関による認証を得ることが可能です。一般的にISOのマネジメントシステム規格の認証を得ることは、組織内外に対し次のような効果があります。

一つ目は、国際規格で規定された要求事項を軸に、自組織のマネジメントシステムの到達点と問題点を第三者の目で明確にでき、問題点に対しては是正措置を行うことで改善できることです。二つ目は、年1回の定期審査により、継続的な改善活動を維持できることです。三つ目は、自組織のマネジメントシステムが国際規格に準拠していることを第三者により証明されることで、社会的信頼を得られることです[4]。

ISO/IEC 42001の場合、国際規格に基づいたAIMSを構築していることが証明されるため、より安全・安心なAIシステムの開発、提供、使用が実現できていると社会に示せます。また今後、AIMS規格の認証はビジネス上の取引要件となる可能性も高いことから、国内外における自組織の競争力を高めることにつながります。

一方、2024年9月時点では、認証機関の要求事項を定めたISO/IEC 42006が策定中（2023年にDIS版「Draft International Standard：国際規格原案」が公開）であり、ISO/IEC 42001の認証審査を行える機関は存在していません。しかし、規格策定の進捗に応じて遅かれ早かれ、認証活動は開始されるでしょう。

また、昨今のAIの技術進歩のスピードとその利活用の急拡大を鑑みると、認証取得の計画の有無にかかわらず、現時点で自組織にどのようなAIリスクが存在するのかを洗い出し、国際規格が掲げる要求事項との間にどのようなギャップがあるのかを分析・把握することは、自組織の競争力強化や維持に有益であると言えます。

AIの進化や適用領域の拡大とともに変化していくAIリスクに継続的に対処していくためには、確固とした、かつ柔軟性のあるマネジメントシステムを構築する必要があります。ISO/IEC 42001は、リスクベースアプローチを基本として、社会の要請に応えることのできるAIMSが備えるべき要件を示すとともに、組織に応じて柔軟にAIMSを適用できるようになっています。

今後もさまざまな産業分野や個別の技術課題にフォーカスしたAI関連規格などが整備され、内容もアップデートされていくと考えられますが、ISO/IEC 42001はそれらを反映したAIシステムのマネジメントの要として役割が期待されています。品質を創造するベリサーブは、今後もその動向を追い、信頼できるAIを実現するための情報を発信していきます。

＜参考文献＞

[1]「ISO/IEC 42001:2023 情報技術－人工知能－マネジメントシステム Information technology -- Artificial intelligence -- Management system 」日本規格協会グループ　邦訳版

[2] ISO/IEC JTC 1/SC 42 Artificial intelligence Website

[3]国際標準化機構（ISO）”ISO/IEC42001:2023 Information technology — Artificial intelligence — Management system”

[4] ISOの基礎知識　日本品質保証機構