認証の立場に応じた管理策の選択と適用宣言書の作成

　AIMS（AIマネジメントシステム：ISO42001）の構築において、具体的な管理策を決定する出発点となるのが、自社が「AI開発者」「AI提供者」「AI利用者」のどの立場で認証取得を目指すのかということになります。この「立場」の設定は、附属書Aに並ぶ各管理策の適用の可否（選択）に直接的な影響を及ぼします。

　実務上の動線としては、まずAIシステムのライフサイクル全般を網羅した「AIリスクアセスメント（6.1.2）」を実施します。

　ここでのリスク評価の結果を考慮し、続く「AIリスク対応プロセス（6.1.3）」において、特定されたリスクに対してどのような対応（回避、低減、共有、保有等）をとるべきかを決定します。

　その具体的な対応手段として、附属書Aの38の管理策の中から、自社の状況に照らして必要なものを選択・特定していくことになります。

　この選択プロセスを公式に記録し、宣言するのが「適用宣言書」です。ISO 42001では、附属書Aにあるすべての管理策に対して、以下の明記を求めています。

・適用の理由： リスク対応のために、なぜその管理策が必要であると判断したのか。

・除外の理由： 認証を目指す立場や実務上の役割に照らし、なぜその管理策が該当しないのか。

　重要なのは、「適用宣言書」は管理策の適用の可否のリストの作成に留まらないことです。

　ここで「適用」と選択した管理策については、組織のマネジメントシステムとして確実に文書化し、どの文書が管理策として規定しているのかを明確にし、日々の業務の中で実践・維持することが求められます。

　自社の立ち位置を明確にし、リスクアセスメントに基づいた適切な管理策を選択することこそが、規格要求事項を満たす確かな一歩となります。

　AIアセスメント（6.1.2）、そしてAIリスク対応プロセス（6.1.3）を経て選択された管理策は、附属書A（A.2～A.10）の各カテゴリーへ展開されています。

　ここでは、それぞれの管理目的を正確に把握し、実務においてどのような視点が求められるのかをこれから説明します。

附属書Aの「読み解き方」 ――A.5（AIシステムのインパクトのアセスメント）を例に

　38ある管理策をどのように理解し、実務に落とし込むべきか。その代表的な例として、ISO 42001において最も特徴的な要求事項の一つである「A.5：AIシステムのインパクトのアセスメント」を取り上げ、具体的な進め方を見ていきましょう。

　この項目は、規格本文の「6.1.4（AIシステムのインパクトのアセスメント）」と密接に関連しており、このインパクトアセスメントプロセスの確立、実施、その後の対応に至る一連の流れとして要求されています。

　具体的には、プロセスの確立（A.5.2）、文書化について（A.5.3）、そして個人及び組織（A.5.4）や社会（A.5.5）への潜在的な影響のアセスメントまで、規格要求事項（6.1.4）を踏まえての実施が求められます。

　ここで大きな助けとなるのが「附属書B（実施手引）」です。
附属書Bは要求事項ではなく、B.1でも示されている通り、組織に合わせて拡張・修正可能な「管理策を開発するための出発点」です。

　すべての項目を鵜呑みにせず、自社の状況に応じて必要な要素を抽出・カスタマイズし、生きた仕組みを作るために使ってください。

附属書Aの全体像と「実務上の重要エッセンス」

　A.5で示したやり方に基づき、残りの管理策についても、組織の状況に応じて附属書Bから必要な要素を抽出し、仕組みを構築していきます。ここでは、各章において実務上特に重要となる視点を整理します。

・A.2 AIに関する方針

　ここは、AIシステムの開発、利用に関する方針を設定すること（5.2）、そして他の方針と整合していることが求められます。方針の文書だけでなく、整備した文書類のレビューも実施し、マネジメントレビューの結果を踏まえて改善の機会を持つことが重要です。

・A.3　内部組織

　役割・責任の文書化（5.3）及び懸念事項が発生した際の報告のプロセスの確立が求められます。これは、A.8にある「利害関係者のための情報」にある外部への報告やインシデントの伝達と関連してシステムを整備することや、既にISMSを運用している組織は、インシデント報告手順に包含していくことも検討して良いでしょう。

・A.4 AIシステムの資源

　規格7節の「支援」と関連づけて進めていきます。AIマネジメントシステムに関連する活動に必要な資源として、データ、インフラ、ツール、そして人的資源が含まれ、それぞれの運用方法を文書化し、実践することが求められています。

・A.6 AIシステムのライフサイクル

　設計、開発、提供・導入、利用、監視等、ライフサイクルの各段階ごとの手順、基準の文書化と実践が求められます。AIシステムの設計・開発が手順通り進められ、基準に基づき、様々な検証・確認が実施され提供されていること、そして導入以降の運用やパフォーマンス監視やサポートに至る運用を行っていきます。

・A.7　AIシステムのデータ

　AIシステムのライフサイクル全般にわたってのデータの作成、保護、活用、品質に関して、バイアス管理やプライバシー保護の視点も含めた手順や基準を規格要求事項7.5項の「文書化した情報」と関連づけて構築・運用することになります。

・A.8　利害関係者のための情報

　規格要求事項の7.4項「コミュニケーション」と関連付けます。利害関係者を特定し、有益及び有害な情報の提供・報告の方法を明確にし、そして利害関係者との間に取られたログの保護についても要求されています。　

・A.9　AIシステムの利用

　導入したAIシステムの目的を踏まえ、利用についてのプロセス（責任・権限、利用の手順/基準、意図した利用の監視等）を確立し、運用することを求めています。


・A10　サードパーティ及び顧客との関係

　外部業者や顧客が関与する際の責任の割当て、契約に関する取り組み等を文書化して運用する事を求めています。


　附属書Aの管理策は多岐にわたりますが、すべてを一律の義務と捉えるのではなく、自社の立場とリスクに基づいて「必要な要素を確実に選択する」ことです。これらを文書化し、運用に乗せて初めて、AIMSは組織の「AIガバナンス」を支える実効性のある仕組みとなります。

次回予告（最終回）： 次回は本シリーズの締めくくりとして、組織が方針やルールを持たずにAIを運用し続けることの危うさと、ISO 42001を自社のガバナンスとして取り込むことがこれからの組織においてどのような意味を持つのか、その必要性について私なりの考えをお伝えしたいと思います。