AIマネジメントシステムの確立：説明責任を果たすための第三者認証の取得（ISO/IEC 42001）

企業の競争優位性獲得に向け、戦略立案・実行、人事・法務業務やマーケティング、製品・サービスの新規開発、品質向上などにおいて人工知能（AI）の利活用は増加しています。

一方、AIに関しては情報漏洩、著作権などの権利侵害、法令違反、ハルシネーションなどのさまざまなリスクがあり、企業のAI利活用の拡大につれてそのリスクも増加しています。

このような状況のなか、取引先などを含むステークホルダーに対して、AIマネジメントシステムの確立に関する説明責任が求められています。

ISO/IEC 42001認証取得の必要性

ISO/IEC 42001（AIMS：AIマネジメントシステム）は2023年12月18日に国際規格として発行したAIに関するマネジメントシステムを確立するためのフレームワークです。現在、第三者認証のフレームワークの検討が進んでおり、例えばISO/IEC 27001（ISMS：情報セキュリティマネジメントシステム）およびISO/IEC 27701（PIMS：プライバシー情報マネジメントシステム）認証のように将来、認証を取得することにより、AIのマネジメントシステムの確立をステークホルダーに示すことが可能となります。AIの管理には、AI利活用方針の策定、AIに関する目標およびプロセス、AIリスク対応計画、AIの管理策、AIの保証、AIの改善が含まれます。マネジメントシステムを確立することにより、主に「有効性」「公平性」「透明性」を担保することができます。

ISO/IEC 42001の全体構成および主な特徴

ISO/IEC 42001は全体として10章で構成されています。

章	内容
第1章	規程範囲（Scope）
第2章	参照規格（Normative references）
第3章	用語定義（Terms and definitions）
第4章	組織の状況（Context of the organization）
第5章	リーダーシップ（Leadership）
第6章	計画策定（Planning）
第7章	サポート（Support）
第8章	オペレーション（Operation）
第9章	パフォーマンス評価（Performance evaluation）
第10章	改善（Improvement）

そのうち、AIマネジメントシステムに関連する主な内容として大きく5つの項目があります。

1）4章「4.4 AIマネジメントシステム」：
AIマネジメントシステムを確立、実施、維持かつ継続的に改善する

2）6章「6.1 リスクおよび機会に対処する活動」：
AIマネジメントシステムの計画を策定する際に、AIリスクの基準を確立し、AIシステムの影響範囲や状況を考慮した上でリスクベースのアプローチを通してリスクおよび機会を特定する

3）8章「8.2 AIリスクアセスメント」：
AIリスクアセスメントの結果を文書化および保持する

4）8章「8.3 AIリスク対応」：
AIリスク対応計画の有効性を検証し、リスクアセスメントにより対応が必要なリスクが特定された場合、対応を実施する

5）8章「8.4 AIシステム影響評価」：
AIリスクアセスメントにおいて、AIシステムが及ぼす個人または社会への影響を考慮し評価する

管理目的

AIマネジメントシステムの確立に向け、AIシステムの設計および運用に関連するリスクに対処するための参考として、管理目的および管理策についても記載があります。管理⽬的および管理策の全てを採用することは求められておらず、各社独自の管理策を設計し実施することが可能です。10個の管理目的と38個の管理策があり、管理目的は以下のとおりです。