前回、AI特有の不透明さや不確実性を管理するには、経営レベルでの「戦略的決断」が必要だとお伝えしました。では、その決断をいかにして日々の実務へと繋げ、機能させていくのか。今回は、ISO 42001(AIMS)を自社に実装させるための具体的な流れを見ていきます。
「意図した結果」の定義と、組織の現状の整理
すべてのスタートは、「なぜわが社でISO 42001に取り組むのか」という目的を、達成すべき「意図した結果」として明確に定義することにあります。これが、あらゆる判断の羅針盤となります。
並行して、その結果を達成するために、組織の内部・外部にどのような課題があるのか、利害関係者が何を期待しているのかを、「組織全体」の視点で整理し、特定していきます(第4章)。
これらを踏まえ、組織の進むべき方向を「AI方針」として掲げ、それを達成するための具体的な「AI目的」へと展開し、達成計画を作成します(第5章・第6.2項)。これこそが、ガバナンスを効かせるための根幹となります。
この際、「AI事業者ガイドライン」などの公的指針も活用し、実効性のある仕組みを整えていくことが重要です。
リスクとインパクトを連動させ、対策を計画する
ISO 42001において、最も核心となるのがリスクアセスメントのプロセスです。ここでは、AIシステムの開発、提供、利用におけるそれぞれのライフサイクルを考慮に入れ、リスクの特定から、個人・組織・社会に及ぼす影響の分析、評価、そして対策の決定までを、一体となった取り組みとして実施します(第6.1.2項・第6.1.4項)。
リスクアセスメントとインパクトアセスメントをひとつの流れで実施することで、「対策の必要性」を判断し、実効性のある対策が導き出されます。この結果に基づき、附属書Aから必要な管理策を選択し(適用宣言書の作成)、AI目的の達成やリスク対応のための具体的な計画(第6.1.3項・第6.2項)を策定します。
実務と一致した運用と、その実効性の確認
策定した計画を形骸化させないためには、実務と一致した運用が不可欠です。第8章では、AI目的の達成計画やリスク対応計画を実践するために、達成基準の設定、スケジュール管理、必要な手順書の作成など、「運用の計画と実施」を求めています。
策定した計画に沿って、人材の教育(第7.2項、第7.3項)、人材やインフラなどのリソース(第7.1項)を提供し、コミュニケーションの方法(第7.4項)を決めて、運用に必要な文書管理の方法(7.5項)を定め、日々の業務の中に組み込んでいきます(第7章・第8章)。
また、仕組みが意図した通りに機能しているかを判断するために、AI目的で掲げた指標や別に設定したパフォーマンス指標(AI目的と別に設定するかどうかは組織の判断)の監視・測定を行います(第9.1項)。ガバナンスを機能させるためには、適切な「物差し」を持って運用の実効性を客観的に分析・評価することが不可欠です。
経営層への報告と、継続的な仕組みの改善
システムの整備・運用の状況は「内部監査」によって客観的に確認され、改善の機会を含め、その結果は経営層へと報告(マネジメントレビュー)されます。(第9.2項、第9.3項)
組織として、AIマネジメントシステムの不適合とは何かを定義します。不適合の報告あれば、是正処置(再発防止の処置)を実施します。ここでいう不適合とは、改善すべきことを指します。(第10.2項)
経営層は、報告されたこれまでの運用の実態や外部環境の変化を基に、次のステップに上がるための判断を下します。このプロセスを経て、マネジメントシステムは常に変化するAI環境や組織の状況に対して、継続的に改善をすることが求められます。(第10章)。
次回予告:
次回は、今回お話ししきれなかった「附属書A(管理目的及び管理策)」の概要と「附属書B(AI管理策実施の手引)」との関係、そして実務におけるリスクアセスメントの考え方について解説します。