Netpress 第2503号 ISO/IEC42001 AIマネジメントシステムにおけるAI活用の標準化とリスク管理
1.ISO/IEC42001は、人工知能(以下、「AI」という)を適切に利活用するためのマネジメントシステムに関する2023年12月18日に発行された国際規格です。
2.企業がAIを利活用する際のリスクに対応するために、ISO/IEC42001の規格要求に対応した人工知能マネジメントシステム(AI Management System:AIMS、以下「AIMS」という)が有効です。
1.ISO/IEC42001(AIMS)の必要性
AIは業務効率化や人手不足の解消、データ分析による意思決定支援などを目的として、幅広い産業の分野で急速に活用が進んでいます。また、生成AIの急速な普及により、文書、画像、音声、映像等の生成による社会的影響が拡大しています。
しかし、多くの組織でAI活用に関する明確なルールや標準が整備されておらず、十分な管理や制約なく利用されている実態があります。このため、AI活用には多様なリスクが内在していると言えます。これらの課題に対処するため、組織全体でのAI活用の統制強化と標準化が不可欠であり、適切なリスク管理体制の構築と運用が求められています。
ISO/IEC42001は、AIの開発および運用に関わる組織が、その利用に伴うリスクを適切に管理するために策定されたAIMSに関する国際規格です。
2.企業においてAIを活用するリスク
(1) 経営視点でAI活用の統制不能
AIの活用が組織全体に広がると、部門や担当者ごとに異なるツールやモデルを独自に導入するケースが増え、全社的な統制が取れなくなる可能性があります。
(2) 機密情報漏洩リスク
社内の機密情報(顧客データ、技術情報、戦略情報など)をAIに学習させた場合、情報が意図せず外部に流出するリスクがあります。
(3) 知的財産権等の侵害
AIの出力結果や学習データが第三者の権利を侵害する可能性がある一方で、自社の権利が不正利用されるリスクも存在します。
(4) ハルシネーション(誤情報)のリスク
AIは誤情報を出力することがあり、これを業務判断や意思決定に用いると誤った結論に至る可能性があります。
以上のようなリスクに対応するため、ISO/IEC42001規格要求に対応したAIMSを構築・運用することにより、AI活用を戦略的かつ安全に進めることが可能となります。
3.ISO/IEC42001(AIMS)とは
(1) 概要
本規格は、AIシステムを開発、提供または使用する組織を対象とし、組織がAIシステムを適切に利活用するために必要なマネジメントシステムを構築する際に遵守すべき要求事項を規定しています。
【AIMSのPDCAの概略図】
出典:経済産業省記事:「AIマネジメントシステムの国際規格が発行されました」
URL:https://www.meti.go.jp/press/2023/01/20240115001/20240115001.html
(2) 規格の構成
本文は、1.適用範囲、2.引用規格、3.用語と定義、4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善です。
特に、6.計画の「6.1 リスクと機会への取組」に含まれる特徴的な要求事項を以下に紹介します。
| 箇条番号 | 項目名称 | 要求事項 |
| 6.1.2 | AIリスクアセスメント | AIシステムに関連するリスクを特定し、発生可能性、影響度を考慮し、リスクを評価する |
| 6.1.3 | AIリスク対応 | 特定したリスクに対しての対策内容を定める |
| 6.1.4 | AIシステム インパクトアセスメント | AIシステムが社会・組織・人等に与える潜在的な影響を体系的に評価し、倫理・法令・社会的側面を含めて検討し、リスク管理に反映させる |
(3) 6.1.4 AIシステム インパクトアセスメント
要求事項のねらいは、組織がAIシステムの開発・提供・使用に伴い、個人・集団・社会に及ぼす潜在的影響を体系的に評価することです。
また、AIシステムが社会や人に与える影響をライフサイクル全体にわたって把握し、適切に管理することです。
この評価では、AIシステムの企画・設計・運用・廃止に至るまでの各段階において、想定される潜在的な影響を洗い出し、影響の大きさや発生可能性を整理します。具体的には、差別や偏見の助長、プライバシー侵害、安全性や信頼性への影響、説明可能性や透明性の不足といった課題を含め、様々な観点から検討を行います。
その上で、実行すべき対策を明確にし、責任体制や見直しの仕組みを整備することで、AIシステムを社会に受け入れられる形で継続的に運用することを目指します。また、ここで整理したAIシステム インパクトアセスメントの結果を、AIリスクアセスメントに反映して、リスク対策を講じることが重要です。
(4) AIシステム インパクトアセスメント事例
以下は、具体的な評価項目と評価結果の一例です。
| 評価項目 | 評価結果 |
| AIシステムの名称・バージョン | 顔画像認識AI v2.2 |
| 評価実施日 | 2026/3/16 |
| 評価責任者 | 情報セキュリティ部門責任者 |
| 対象範囲(開発/提供/利用) | 利用(公共空間での監視) |
| 意図する用途 | 不審者検知 |
| 予見可能な誤用 | 誤検知による一般市民の不利益 |
| 技術的状況の考慮点 | 画像認識精度が限定的 |
| 社会的状況の考慮点 | 社会的偏見の増幅リスク |
| 適用される法規制・管轄区域 | 個人情報保護法、GDPR |
| 影響を受ける主体(個人/集団/社会) | 市民、特定集団、社会全体 |
| 潜在的な影響(安全性、プライバシー、差別など) | 誤認識による差別、プライバシー侵害 |
| 影響の重大性(低・中・高) | 高 |
| 影響の発生可能性(低・中・高) | 中 |
| リスクレベル(重大性×可能性) | 高 |
| 利害関係者への情報共有の有無 | 必要有 |
| 6.1.2リスクアセスメントへの反映状況 | AIリスク番号 XXXXXとYYYYに考慮済み |
4. 最後に
今後、企業においてAI活用の統制強化と標準化を実現するには、特に以下の3点を重点的に実施する必要があると考えます。
(1) AIMSの導入によるAI活用統制の標準化
AI活用に関する方針・責任・規程を明文化し、全社的に適用可能な枠組みを構築することにより、統制を標準化しつつ継続的な強化を実現します。
(2) リスクアセスメントの仕組み化
AIに関わるリスクを定常的に把握・可視化する仕組みを導入し、適切な対策を迅速に講じることにより、リスク管理を属人的対応から組織的対応へと移行させます。
(3) 継続的改善と人材育成の推進
教育・監視・監査のサイクルを繰り返すことで、組織全体の成熟度を段階的に高めます。さらに、AI活用を担う人材の育成を通じて持続的な競争力強化を実現します。
日本実業出版社のウェブサイトはこちら https://www.njg.co.jp/
この記事はPDF形式でダウンロードできます
SMBCコンサルティングでは、法律・税務会計・労務人事制度など、経営に関するお役立ち情報「Netpress」を毎週発信しています。A4サイズ2ページ程にまとめているので、ちょっとした空き時間にお読みいただけます。
【SMBC経営懇話会会員限定】
SMBCコンサルティングの顧問のコンサルタントによる無料経営相談のご案内
| 一般社団法人中部産業連盟はSMBCコンサルティング株式会社の顧問のコンサルタントです。 SMBC経営懇話会会員向けの5Sなど生産管理に関する無料経営相談を受けております。 無料経営相談の申込はこちら |
SMBC経営懇話会のサービスはこちらをご覧ください
SMBC経営懇話会のご案内
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://infolounge.smbcc-businessclub.jp/soudan
関連キーワード
コンプライアンス・リスク対応 経営者・経営幹部・管理職 グローバル Netpress DX・テクノロジー
InfoLoungeとは
ログインでお困りの方
