AIに関する初の国際規格 ISO/IEC 42001(AIMS)とは?
AIを活用したサービスの進展によって、利便性とともにリスク管理の必要性も認識されるようになってきました。安心・安全なAI利用のために、国ごとにAI規制法の制定が進められており、その動きに注目が集まっています。今回は、国際的なAIマネジメントシステムとしては初となる、ISO/IEC 42001について2025年6月時点での状況について紹介いたします。
目次
1.AI利活用の実態とリスク
AIの急速な普及により、活用範囲は広がりを見せています。日常生活でも、業務の効率化やコスト削減、アイデア創出など多方面での利活用が進んでいます。誰でも気軽に利用できる半面、AIの利用には十分に注意を払う必要があることも見えてきました。特に、「権利侵害」「情報の漏えい」「虚偽の情報提供」は常に起こりうるリスクであり、十分に気を付ける必要があります。
-
AI活用のリスク
- 権利侵害
AIが既存の制作物に酷似した著作物を生成している場合、知的財産権を侵害するケースがあります。クリエイター保護の観点からも法的なルールが検討されています。
- 情報の漏えい
個人情報や機密情報などの秘匿性の高い情報をChatGPTなどの生成AIに入力することで、入力した情報がAIの学習データに使われ、他のユーザーに示される可能性があります。ChatGPTで不正に入手された秘匿性の高い情報が、詐欺やサイバー攻撃につながる可能性も指摘されています。
- 虚偽の情報提供
AIが事実とは違う情報を生成するハルネーションによって、あたかもその情報が真実のように見えてしまうことがあります。これを悪用したディープフェイクも問題となっており、偽動画や偽情報が拡散されることで社会的な問題にもなっています。
AIを正しく使うためにも、利用者のリテラシーの強化とレギュレーションの管理が求められています。
2.AI利活用における国際規格導入の背景
AIの普及によって、利便性とともに様々な問題点があることは前章でお伝えしました。国際的な規模でAI利用時における同様のリスクが生じていることや、様々な問題や課題に対して、安全・安心なAIシステムの開発・提供・使用のために、国際的なマネジメントシステムの確立が求められるようになりました。マネジメントシステムとは、企業や組織が方針・目標を達成するために責任・権限を体系化し、適切に管理するための仕組みのことです。
2023年、AIマネジメントシステム:ISO/IEC 42001の発行によって、AIを開発・提供・使用する企業や組織が、AIシステムの適切な管理・マネジメントをするための概要が示されました。AI規制はこれまで各国が独自に行っており、国際的な基準がなかったため、AIマネジメントシステムが国際的な合意に基づき一貫性を持った形で確立されたことの意義は大きいでしょう。
AIに関する規制では、2024年5月に欧州AI規制法が成立しており、AIマネジメントシステムは、このような国際的な法規制との整合性を図ることもできます。
引用元:
経済産業省:AIマネジメントシステムの国際規格が発行されました
一般社団法人情報マネジメントシステム認定センター:AIマネジメントシステムの認証を対象とした認定の開始について
3.ISO/IEC 42001とは?
AIマネジメントシステムの国際規格であるISO/IEC 42001について解説します。
3-1.ISOの概要
ISOは、ご存知の方も多いと思いますが、国際標準化機構(International Organization for Standardization)という組織の略称です。世界で同じ品質のものを提供できるようにするための国際的な規格の制定を行います。制定する規格には、製品を対象とした「モノ規格」と、組織が目標を達成するための管理の仕組みである「マネジメントシステム規格」があります。身近なマネジメントシステム規格として、品質マネジメントシステム(ISO9001)や情報セキュリティマネジメントシステム(ISO27001)があり、AIマネジメントシステムも「マネジメントシステム規格」に該当します。
ISOマネジメントシステム認証取得には、認証機関によるマネジメント規格への適合が審査の条件となります。取得までの期間や費用は組織の規模や仕組みによって異なります。審査を実施する認証機関も多く存在するため、これまでの審査実績やコスト、審査体制などから選ぶ必要があります。
下記の手順は一般的なISO取得手順です。認定取得後も、要求事項にあるPDCAサイクルを継続してまわし、維持審査や更新審査を受ける必要があります。
- ISO取得の一般的な手順
1.組織内にマネジメントシステムの要求事項に基づく仕組みを構築する
2.マネジメントシステムを運用し、不足の仕組みがあれば改善する
3.認証機関の選定、審査依頼
4.認証取得
5.維持審査(1年に1~2回)
6.更新審査(3年ごと)
引用元:
一般財団法人日本品質保証機構:ISOの基礎知識
公益財団法人 日本適合性認定協会:マネジメントシステム認証機関
3-2.ISO/IEC 42001(AIマネジメントシステム)とは
ISO/IEC 42001は、AIの開発や提供、利活用をする企業や組織がマネジメントシステムを構築、実行、継続する際に必要な要求事項を規定する国際規格です。2023年12月18日、国際標準化機構(ISO)および国際電気標準会議(IEC)の合同専門委員会内のAIに関する分科委員会において発行されました。AIに関するマネジメントシステムでは世界初となります。
この規格では、リスクベースアプローチが採用されており、AIシステムで起こりうるリスクを特定、予測して対応することや、適切な管理によってリスクを軽減することを目指しており、概要ではそれらを遵守するための要求事項が定められています。
-
要求事項
-
AIのガバナンス・リスクを管理する
-
AIの透明性と説明責任を明確にする
-
AIのセキュリティ対策・プライバシー保護の強化
ISO/IEC 42001規格は、ISOマネジメントシステム規格の共通要素である、上位構造(High Level Structure)、共通テキスト、共通用語で構成されています。上位構造を採用しており、1から10までの箇条構成は他のマネジメントシステムと共通のため、より効率的に審査をすることが可能となっています。
概要は、全10章と附属書から構成されています。1章から3章は規定範囲や用語と定義について、4章から10章でAIマネジメントシステムの要求事項が記載されています。附属書A~Dは補完的役割を持ちます。
ISO/IEC 42001の概要
1章 規定範囲
2章 引用規格
3章 用語と定義
4章 組織の状況
5章 リーダーシップ
6章 計画
7章 支援
8章 運用
9章 パフォーマンス評価
10章 改善
附属書A:管理目標と管理策
附属書B:AI管理策の実装ガイダンス
附属書C:AI関連の組織目標とリスク源
附属書D:分野または部門間でのAIマネジメントシステムの使用
4.ISO/IEC 42001取得のメリット・期待される効果
ISO/IEC 42001について、海外では、2024年にAWS(アマゾンウェブサービス)が主要なクラウドサービスプロバイダーとして初めてこの認証を受けるなど、今後も取得企業は増加していくことが予想されます。日本でも既に初となる取得企業が出てきているようです。これに付随して、認証取得の支援サービスを提供する企業も出てきています。
改めて、ISO/IEC 42001を取得することで得られるメリットと効果についてご説明します。
- マネジメントシステムの改善
組織運用の体系であるマネジメントシステムが問題なく運用されているかについて、第三者の目によってチェックすることで、自社や組織内だけでは気づかない問題点を見つけ出し、改善を図ることができます。認証後も定期的に維持審査や更新審査があることにより、継続的なリスク管理と体系の維持に努めることにもつながります。
- 社会的信頼の獲得
ISO/IEC 42001の取得は、マネジメントシステムの品質・透明性・公平性・信頼性の向上につながります。国際的規格であるため、安全・安心なAIシステムの開発、提供、使用を実施していることが第三者機関によって証明され、国際・国内的にも社会的な信頼を得ることにつながります。また、多国間での合意に基づいて開発されている規格であるため、各国の定めるAI規制にも対応しやすくなります。
5.まとめ
ここまで、ISO/IEC 42001の取得方法やメリットについてご紹介してきました。今後、多くの組織や会社でAIの利活用が進み、各国でAI関連の法律の施行が想定されることからも、リスクベースアプローチに基づくAIマネジメントシステムであるISO/IEC 42001の重要性は高まると考えられます。
ISO/IEC 42001の認証が開始された後、スムーズに取得のプロセスに移れるような取り組みを今から開始してみてはいかがでしょうか。
執筆者
