ISO 42001は、2023年12月に正式発行された、世界初のAIマネジメントシステムの国際規格です。2021年8月から、ISO/IEC JTC 1/SC 42委員会によって検討が進められて来ました。同委員会では、この他50以上に及ぶAIの規格策定に携わっています。
ISO 42001の正式発行に伴い、AIの開発企業あるいはAIシステムのユーザー企業は、国際規格に適合したガバナンスプロセスを構築し、さらに第三者監査機関によるISO 42001の認証を受けることが可能となります。
ISO 42001とは何か?
公式には、「ISO 42001は、人工知能(AI)に関するマネジメントシステム(AIMS)を、組織内で確立、実施、維持し、継続的に改善するための要件を規定する国際規格」と定義されています。
一般的に、マネジメントシステムとは、組織が自らのビジネスの一部をガバナンスするために構築した、ポリシーやプロセス及び体制を指します。AIMSのケースでは、組織内でのAIの利用や開発を管理し、その品質と目的の達成を保証するための仕組みです。
以下のセクションでは、具体的な事例や比較を交えて解説します。
ISO 42001の発行がなぜ重要な意味を持つのか?
近年のAIに関する標準策定に関わる流れの中で、
- 共通の用語定義を求める産業界
- 独自の認証を構築しようとしているコンサルティング企業等
- AI規制への第一歩を踏み出した政府機関
などによって、多くの類似したガバナンス指向の文書が発表されています。
今回、国際的権威のあるISO/IECが公式規格を発行したことは、国や業界分野を超えて大きな注目を集めています。ISO規格は、専門家による長年の研究の成果であり、産業界に広く受け入れられ、多くの場合、認証や監査が可能となります。
ISO規格は、医療機器や自動車などの規制産業にかかわる企業に対して、その技術要件と法的要求条件に関わる道筋を示して来ましたが、EU AI法が施行されれば、AIシステムに対しても同様の枠組みが適用されることになります。
ISO 42001と他のAI関連規格とは何が異なるのか?
これまでのところ、SC 42委員会は、AI開発のさまざまな側面に焦点を当てた数十の技術文書をすでに発行しています。例えば、ISO/IEC TS 4213:2022は、機械学習の分類性能の評価に焦点を当てており、AIが搭載された製品の性能を定量的に計測する際に適用されます。
そうした製品レベルの規格に比べ、ISO 42001は、AIに対する組織レベルのアプローチに焦点を当てており、適切な予防策や改善策を講じることで、AI関連のリスクを管理する実践的な方法を、マネジメントシステム規格として提示しています。マネジメントシステムを構築し、ISO 42001に適合するためには、以下対応が必要となります。
- AIの開発・利用時における、組織内のさまざまなユースケース、プロセスならびにポリシーに関わる全社レベルでの再調査
- 現在組織内で利用されている実践方法や、ポリシー、システム、ツール、ドキュメンテーションの評価ならびに更新
- 製品化やサービス提供段階における、既存のあるいは見直したプロセスが実際に実践されていることのエビデンスの提示
ただし、組織レベルのマネジメントシステム原則が、実際に現場で適用されていることを確認するには、製品レベルあるいはプロジェクトレベルの具体的かつ相当量のエビデンスを提示することも求められます。このため、組織内部で利用するツール、モニタリング、その他の技術的な仕組みの構築に関わるプロジェクトレベルでの評価や、ドキュメンテーションが必要となります(詳細は後述)。
ISO 42001はどのような構成になっているのか?
ISO42001は、これまで発行されてきたセクター別のマネジメントシステム(MSS)群の中に新たに加わることとなります。よく知られているMSS規格としては以下のようなものがあります。
- ISO 9001: 品質マネジメントシステム
- ISO 27001: 情報セキュリティマネジメントシステム
- ISO 37001: 贈収賄防止マネジメントシステム
- ISO 14001: 環境マネジメントシステム
多くのマネジメントシステム(MSS)は極めて似た構成となっており、さまざまな企業や組織に対して可能な限り柔軟に適用・検証することができるようになっています。ISO 42001もその例外ではありません。
- Clause 1: 適用範囲
- Clause 2: 引用規格
- …
- Clause 10: 改善
- 附属書
規格の中で最も実務に即した部分は附属書であり、そこには、組織が適合のために実施しなければならない管理項目のリストが含まれています。
- B.6.2.4: AI システムの検証と妥当性の確認。開発者は、AI モデルとデータセットに対する標準化された評価手順を実装する必要があることが規定されています。
- B.6.2.8: AI システムのイベントログ記録。開発者は、運用時の入出力、および潜在的な異常値を記録するロギングシステムを持つ必要があることが規定されています。
- B.7.4: AI システムのデータ品質。開発者は、学習データと運用データの品質を定義および測定し、データの偏りがパフォーマンスに与える影響を考慮する必要があります。
後述の通り、弊社のCitadel LensとCitadel Radarでは、こうした管理項目の検証を手軽に実現するツールを提供していますので、ご興味を持って頂けるようでしたら是非お声がけください。
組織レベルの要件
組織全体とそのプロセスに適用される要件
- B.2.2 AI policy
- B.2.3 Alignment with other organizational policies
- B.2.4 Review of the AI policy
- B.3.2 AI roles and responsibilities
- B.3.3 Reporting of concerns
- B.5.2 AI system impact assessment process
- B.6.1.2 Objectives for responsible development of AI system
- B.6.1.3 Processes for responsible design and development of AI systems
- B.7.2 Data for development and enhancement of AI system
- B.7.3 Acquisition of data
- B.8.3 External reporting
- B.8.4 Communication of incidents
- B.8.5 Information for interested parties
- B.9.2 Processes for responsible use of AI
- B.9.3 Objectives for responsible use of AI system
- B.10.2 Allocating responsibilities
- B.10.3 Suppliers
- B.10.4 Customers
プロジェクトレベルの要件
組織内の特定のプロジェクトに適用される要件
- B.4.2 Resource documentation
- B.4.3 Data resources
- B.4.4 Tooling resources
- B.4.5 System and computing resources
- B.4.6 Human resources
- B.5.3 Documentation of AI system impact assessments
- B.5.4 Assessing AI system impact on individuals and groups of individuals
- B.5.5 Assessing societal impacts of AI systems
- B.6.2.2 AI system requirements and specification
- B.6.2.3 Documentation of AI system design and development
- B.6.2.4 AI system verification and validation
- B.6.2.5 AI system deployment
- B.6.2.6 AI system operation and monitoring
- B.6.2.7 AI system technical documentation
- B.6.2.8 AI system recording of event logs
- B.7.4 Quality of data for AI systems
- B.7.5 Data provenance
- B.7.6 Data preparation
- B.8.2 System documentation and information for users
- B.9.3 Objectives for responsible use of AI system
- B.9.4 Intended use of the AI system
ISO 42001はさまざまなAIのプロセスに関わる全ての技術的側面をカバーしているのか?
責任あるAIに関わる規格の中には、AIの管理、利用、開発のそれぞれの特定の側面により深く踏み込んだものがいくつもありますが、ISO 42001は、そうした一連のエコシステムの中心に位置づけられる規格です。ISO 42001では、AIMSに求められる要件は厳密に規定する一方で、個々の組織に対して柔軟にAIMSを適用できるようになっています。
ISO 42001自体は、特定のAIアプリケーションの詳細には触れていないため、より技術的な詳細については、さらに焦点を絞った規格やその他の一般に公正妥当と認められた規格に委ねる形になっています。 ISO 42001で参照されている規格の例としては、以下のものがあります。
- ISO 5259: データ品質シリーズ
- ISO 23894: AIリスクマネジメント
- ISO 24029-1: ニューラルネットワークの堅牢性評価
ISO 42001認証取得に向けた今後のプロセス
組織としてISO 42001の正式な認証を取得するためには、正式な認証機関が実施する審査に合格しなければなりません。しかし、このような認証機関の要件を規定するISO 42006規格自体が現在策定中であり、AIマネジメントシステムの公式審査を実施できる機関は、2024年1月現在、何処にもありません。
一方で、ISO 42001規格は、社内および第三者を通じて、自主的なボランタリーベースの審査として自由に利用することが可能です。公表されている文書に基づいて、早期にギャップ分析を行うことで、正式な認証が取得できる状況になったときに必要とされる準備期間を、大幅に短縮することができます。
他のマネジメントシステム規格の事例に鑑みると、AIのライフサイクルプロセスに関与する人の数、AIの事業者・開発者・ユーザーといった組織の役割の違いにもより、さらにAIMSの複雑さを考慮すると、審査には数ヶ月から最大1年かかると予想されます。
ISO 42006の現在の草案によれば、ISO 42001の審査プロセスは、従来通り、内部監査(改善のための期間を設けた適合性の初期評価)を実施後、2 段階の外部監査(正式な認証機関が関連文書とエビデンスを審査)を経て認証され、以後は毎年の更新が必要となる見込みです。
Citadel AIのツールがISO 42001の準備でお手伝いできること
Citadel AI は、弊社が開発したツール Citadel LensとCitadel Radarを通じて、AI の検証作業ならびにガバナンスプロセス構築の効率化と、AI の規格・ガイドラインへの適合への加速化を支援します。
- ISO 42001 の中で大変厳しい技術要件が求められる箇所を、自動検証します 。
- エンジニアリング チームが、モデルとデータを国際標準に照らして評価できるよう支援します。
- 分かりやすいレポートとガイダンスを通じて、早期の認証取得につなげます。
Citadel AIのツールは、グローバルな規格開発と業務改善を推進するBSI(英国規格協会)において採用されています。AIに対する法整備が進む重要な局面において、お客様がコンプライアンス体制を整え、AIの信頼性を向上し、この進化の激しい時代を乗り切っていく上で、必ずやお役に立てると信じています。
ご興味のある方は是非お問い合わせください。