――不透明性と不確実性を組織のプロセスに組み込む戦略
前回、AI活用を成功させるには「点」のルールではなく、組織全体を覆う「面」の運用(ガバナンス)が必要だとお伝えしました。では、なぜ既存のマネジメントシステムの延長だけでは不十分であり、AI特有の視点が必要になるのでしょうか。その理由は、ISO 42001(AIMS)の「序文」に記された、AIという技術がもたらす管理上の新たな課題にあります。
「説明困難な意思決定」という課題に向き合う
これまでのマネジメントシステムは、人間が設計したロジック(命令)の正しさを検証することで、システムの安全性を担保してきました。しかし、機械学習(ML)をベースとしたAIは、データから洞察を得るという手法をとります。規格の序文には、AIによる自動意思決定は、時として「不透明かつ説明不可能な方法」で下される可能性があると明記されています。
「なぜその判断に至ったのか」が完全には説明しきれない――。このAI特有の性質に対し、従来の「ロジックを確認する」という管理手法だけでは限界があります。中身が不透明であることを前提に、その開発プロセスや運用体制において「組織が定めた方針に則って、適切なステップを踏んでいること」を客観的に示せる状態にすること。それがAIMS構築の出発点となります。
挙動の変動に対する「継続的な配慮」
もう一つの大きな特徴は、AIが「利用中にその挙動が変動する」という性質を持っていることです。
従来のシステムは「導入時」に動作確認が完了すれば、その後は一定の品質を保ちます。しかし、学習を続けるAIは、利用環境やデータの変化に伴い、性能や判断の傾向が変化し続けます。一度きりのリスク評価やルール作りで終わらせず、常に状態を監視し、必要に応じて軌道修正を行う「継続的な配慮」という名の運用プロセスが不可欠になるのです。
「戦略的な意思決定」としての拡張
規格は、こうしたAI特有の性質に起因して、従来の仕事の進め方(作業実施方法)では守りきれない懸念が生じる場合、「別の安全対策」が必要になるとしています。
これは単にIT担当者の作業を増やすことではありません。既存のマネジメント構造を拡張し、AIという不確実な要素を組織の管理下に置くことは、経営レベルでの「戦略的な意思決定」であると序文は説いています。その実装の入り口として、規格は以下の4つのプロセスの例を挙げています。
実務の入り口となる「四本の柱」
1.組織の目的、利害関係者の関与、及び組織方針
AIを何のために活用し、誰に対して責任を負うのか。利害関係者との「対話(関与)」を通じて、不透明な性質を持つAIの取り扱いに関する組織としての意思(方針)を明確に定義し、表明すること。
2.リスク及び機会のマネジメント
AIがもたらす不確実性をリスクとして評価するだけでなく、それを適切にコントロールすることで、組織にとっての「機会(価値創造)」を最大化するための管理。
3.トラストワージネス(信頼性、信用性)に関連する懸念事項の管理
セキュリティ(漏洩や改ざん)のみならず、安全性、公平性、透明性、データ品質、およびシステム品質を、AIシステムのライフサイクル全体(企画から廃棄まで)を通じて管理すること。
4.供給者、パートナー及びサードパーティーのマネジメント
AIシステムの開発や提供に関わる外部組織との連携において、責任の所在を明確にし、サプライチェーン全体での品質と安全性を管理すること。
不透明で変動し続けるAIを管理の対象とするには、既存の経営構造にこれらのプロセスを正しく「統合」することが求められます。それこそが、ISO 42001が目指す「AI特有の特徴に焦点を当てたマネジメント」の真意なのです。