生成AIが一気に広がる一方で、誤情報や著作権侵害、プライバシー侵害など、AI特有のリスクが現実のものになりつつあります。こうしたリスクを組織としてどう管理するのか―
その答えの一つが、国際規格「ISO/IEC 42001」に基づく AIMS(Artificial Intelligence Management System)です。
AIMSはAIの性能そのものではなく、「AIを扱う組織のガバナンス」を国際的な基準で示す仕組みであり、AIプロデューサー・プロバイダー・ユーザーのいずれの立場にとっても、今後の信頼確保とビジネスに直結する枠組みになりつつあります。
AIMSとは簡単に
- 組織がAIシステムを安心・安全かつ効果的に開発・提供・利用する際に生じるリスクを管理するための枠組み
- 国際規格である「ISO/IEC 42001」に基づいて構築される
- 国際規格に基づく枠組みであるため、グローバルでの信頼獲得につながる
- AIMS認証は「AIの性能」そのものでなく、「AIを扱う組織のガバナンス」を証明するもの
AIMS(ISO/IEC 42001)とは
AIMS(Artificial Intelligence Management System)とは、組織がAIシステムを開発・提供、または利用する際に生じうるリスクを管理するための枠組みであり、AIMSに関する国際規格であるISO/IEC 42001に基づいて構築・運用を行います。
ISO/IEC 42001は、ISO/IEC 27001(ISMS)やISO/IEC 9001(QMS)と同じマネジメントシステム規格のひとつであり、AIシステムを適切に管理・運用するためのプロセスを定めています。
AIMSの構築・運用にあたっては、対象のAIシステムの性質に応じて、組織は以下のいずれかの役割に立って取り組みを進めていくことになります。
- AIプロデューサー:AIの基盤となる技術やモデルなどの開発者
- AIプロバイダー:AIプロデューサーが開発したAIモデル等を活用した製品やサービスの提供者(自社が提供するSaaSにOpenAI社のAIを用いたAI機能を組み込む など)
- AIユーザー:AIプロバイダーが提供するAI製品・サービスの利用者(ChatGPTなどのAIサービスを利用する など)
なぜ今、AIMS(ISO/IEC 42001)が注目されているのか
生成AIの普及によるリスクの顕在化
2022年11月のChatGPTの登場を機に、生成AIは爆発的に普及し、日常に浸透しました。他方で、AIの提供・利用には、誤情報の生成(ハルシネーション)や著作権侵害、プライバシーの毀損、倫理的な問題(差別の助長、悪意ある行動への利用等)をはじめとして、AI特有のリスクも様々存在しており、これらのリスクを管理する必要性が生じています。
このような状況下において、ISO/IEC 42001ではAIシステムの開発・提供・利用にかかわるリスクを管理するための枠組み、また、普遍的なリスクに対する管理策も規定されていることから、安心・安全なAIシステムの利活用を進めるための仕組みとしてAIMSが注目されています。
日本国内でのAIMS適合性評価制度(AIMS認証)の開始
2025年7月8日、ISMS適合性評価制度(ISMS認証)などの運用を行うISMS-ACが、新たにAIMS適合性評価制度を開始しました。
これにより今後、ISMS認証のように、AIMS認証がAIシステムの開発・提供・利用に関する共通の基準として認識され、各社のAIシステム選定時の評価や入札条件などに活用される可能性があり、AIMSに取り組むことがビジネス上のメリットにも直結することが想定されます。
各国でのAI法規制の整備
欧州におけるEU AI Act(AI法)をはじめとして、各国でAIの利活用に関する法規制の整備が進んでおり、今後、対応が求められることが想定されます。
このような状況下において、AIリスクを管理するための体制の構築・運用につながるAIMSはグローバルに注目されています。
AIMSのメリット
AIシステムの利活用にかかわるガバナンスの強化
国際規格に基づいてAIシステムの利活用に関する体制やルールが明文化されることで、従業員のリテラシー向上、AIシステムの利活用に伴うインシデントの抑止などのガバナンス強化につながります。
また、AIMSにおいてはリスク分析や影響分析などを行うため、組織のAIシステム利活用において想定されるリスクの管理・低減にも役立ちます。
社会的な信頼の獲得
第三者認証(AIMS認証)を取得することで、国際規格に基づいてAIシステムを適切に管理する枠組みを構築・運用している組織であることを示すことができ、顧客やパートナーをはじめとした社会的な信頼の獲得につながります。
また、ISO/IEC 42001は国際規格であることから、海外の利害関係者に向けても組織のAIシステムの利活用にかかわるガバナンスのレベルを証明する手段になり得ます。
AIMSのデメリット
構築・運用のコスト
AIMSの構築・運用にあたっては、規格理解や体制構築、ルール整備、教育や内部監査、リスク対応などのリソースが必要です。
また、原則として年1回以上の審査が行われるため、審査対応や認証取得・更新に伴う費用などの人的・金銭的なリソースも発生します。
専門人材の必要性
AIMSの構築や継続的な運用にあたっては、AI技術とAIMS(ISO/IEC 42001)を理解した人材を確保する必要が生じるため、場合によっては追加での採用活動や内部従業員に向けた教育などを検討する必要があります。
継続的なアップデートの必要性
AI技術は日進月歩で進化しており、また、組織におけるAIシステムの利活用の状況も随時変化していきます。
AIMSは一度構築すれば終わりではなく、このような変化に合わせて継続的にアップデートを続ける必要があります。
AIMSが求める 実際の要求事項
AIMSの規格であるISO/IEC 42001は主に、AIMSのPDCAサイクルにかかわる要求事項を規定した「本文」と、AIシステムの利活用に伴う普遍的なリスクを管理するための取り組み(管理策)を規定した「附属書A」によって構成されています。そのほかAIMSの構築・運用にかかわる直接の要求事項ではありませんが、附属書Bから附属書Dも存在しています。
本文
PDCAサイクルにかかわる要求事項を規定した本文は、箇条4から箇条10によって構成されています。
- 箇条4 組織の状況
- 箇条5 リーダーシップ
- 箇条6 計画策定
- 箇条7 支援
- 箇条8 運用
- 箇条9 パフォーマンス評価
- 箇条10 改善
この構成はISMSやQMSなどの他のマネジメントシステムと共通しており、要求事項もおおむね同じ内容ですが、AIMSの特徴として箇条6において「AIシステム インパクトアセスメント」という取り組みを行うことが求められています。
AIシステム インパクトアセスメントとは、AIシステムの開発・提供・利用から生じる可能性のある、個人や組織、社会に対する影響を評価する営みであり、具体的にはAIシステムの公平性や説明可能性、透明性などの観点から影響を分析・評価します。
附属書A
AIシステムの利活用に伴う普遍的なリスクを管理するための管理策を規定した附属書Aは、以下のとおり9カテゴリ38個の管理策によって構成されています。
| 項目 | 管理策数 | 管理策の目的 |
|---|---|---|
| AIに関連する方針 | 3 | 事業の要求に基づいて、AIシステム管理の方針や基盤を定めること。例:方針の作成、レビュー |
| 内部組織 | 2 | 責任あるAI管理・運用のために、組織の説明責任を果たすための仕組みを確立すること。例:役割・責任の割当て、懸念事項の報告プロセスの整備 |
| AIシステムの資源 | 5 | リスクや影響に対処するために、AIシステムの資源(データ、ツールなど)を特定・把握し、説明できるようにすること。例:データやツール、人的資源の特定・文書化 |
| AIシステムのインパクトのアセスメント | 4 | AIシステムがライフサイクル全体を通じて個人や組織、社会に与える影響を分析・評価すること例:影響評価プロセスの整備・文書化、分析・評価の実施 |
| AIシステムのライフサイクル | 9 | AIシステムの責任ある設計・開発のための目的・プロセスの実施、また、ライフサイクルの各段階における基準や要求事項を定義すること。例:設計・開発の目的やプロセスの文書化、検証・妥当性の確認手順の規定、イベントログの記録 |
| AIシステムのデータ | 5 | AIシステムのライフサイクル全体にわたる、AIシステムのデータの役割及び影響を組織で理解すること。例:開発にかかわるデータ管理プロセスの文書化、データ品質の要件の文書化、データの来歴を記録するプロセスの文書化 |
| 利害関係者のための情報 | 4 | 利害関係者が、AIシステムにかかわるリスクや影響を理解し、分析・評価するために必要な情報を入手できるようにすること。例:利用者向けの情報提供、有害な影響の報告機能の提供 |
| AIシステムの利用 | 3 | 組織の方針に従い、責任をもってAIシステムを利用できるようにすること。例:利用プロセスの文書化 |
| サードパーティ及び顧客との関係 | 3 | 外部サービスの利用など、AIシステムの提供・開発・利用などにサードパーティが関与する場合に、自らの責任の把握や説明責任を果たし、適切にリスク管理できるようにすること。例:関係者との責任の割当て、供給者のサービス・製品の利用に伴う管理プロセスの整備 |
これらの管理策はAIの開発・提供・利用それぞれの役割において考慮・対応すべきリスクの管理策が規定されており、組織の状況やリスクアセスメントの結果などをもとに、関連するリスクの内容によって必要なものを採用、実施していきます。
AIシステムの利活用が一般的になった現在においては、AIリスクはどの組織にとっても無関係とはいえないものになっています。
ISO/IEC 42001に基づくAIMSを構築・運用することで、安心・安全にAIシステムを提供・開発・利用するための基礎作りを行いましょう。
