AIMS(AIマネジメントシステム)とは
近年、AIの開発が活発に行われており、企業などが業務効率化にAIを活用するだけでなく、一般にも、AIシステムとして日常生活の様々な場面で利用されるなど、AIは私達の生活にも急速に普及しつつあります。そのような状況の中、安全・安心なAIシステムを適切に開発・提供・利用することが重要であるという考えのもと、よりどころとなるマネジメントシステムのニーズが高まっていました。
一方で、情報セキュリティマネジメントシステム(ISMS)などに代表されるマネジメントシステムの有用性については、B2B取引や政府の調達要件としてその認証取得が条件とされるなど、一定の認知を得ています。
AIシステムについても同様の考え方が適用できることから、AIマネジメントシステムの国際標準化の検討・開発が進められ、2023年12月に「ISO/IEC 42001 情報技術-人工知能-マネジメントシステム」として発行されました。
ISO/IEC 42001の概要
ISO/IEC 42001では、AIシステムを開発、提供又は利用する組織を対象とし、組織がAIシステムを適切に開発・提供・利用するために必要なマネジメントシステムを構築する際の要求事項が規定されています。
規格の構成は、ISO/IEC 27001(情報セキュリティマネジメントシステム:ISMS)などの他のマネジメントシステム規格と同様になっており、マネジメントシステム共通の要求事項に加え、特にAIシステムを開発・提供・利用する組織がとるべき対応について規定されています。
出典:経済産業省「AIマネジメントシステムの国際規格が発行されました」Webページ
(https://www.meti.go.jp/press/2023/01/20240115001/20240115001.html)
AIマネジメントシステムの特徴
ISO/IEC 42001で定義されているAIマネジメントシステムは、特にその業種や規模についての制約は設けられておらず、すべての業種、規模に対して、利害関係者を6つの役割(AIマネジメントにおける組織の役割参照)に分類して適用できるようになっています。なお、複数の役割を担うことも可能です。その他、他のマネジメントシステムと異なる点としては、以下のような内容が挙げられます:
●対象となる組織を、AIシステムを開発・提供・利用する組織としている(AIマネジメントにおける組織の役割参照)
●AIシステムのインパクトアセスメント(影響評価)の実施を要求している
●AIのシステムライフサイクルを考慮することを要求している
●データの取り扱いについて明確にすることを要求している
AIマネジメントシステムを構築・運用する際には、上記のポイントを特に重視する必要があるでしょう。
AIマネジメントにおける組織の役割
ISO/IEC 42001ではAIマネジメントシステムに対する要求事項が規定されていますが、AIマネジメントシステムを構築する際に必須となるのが、ISO/IEC 22989(JIS X 22989情報技術-人工知能-人工知能の概念及び用語)で定義されているAIの概念や用語定義に関する知識です。ISO/IEC 42001は「AIシステムを開発、提供又は利用する組織」をマネジメントシステム構築の対象としていますが、そのときに自らの組織の役割が何であるのかについては、ISO/IEC 22989で定義されている内容への理解が必要になります。
AIマネジメントのための管理策
AIマネジメントシステムでは、ISMSにおいて情報セキュリティにおけるリスク評価を行い、その対策を講じるのと同様に、AIシステムを開発、提供又は利用する際のリスク評価を行い、その対策を講じる、リスクベースアプローチが採用されています。ISO/IEC 42001では、リスク対策の指標として「管理策」が提示されています。ISO/IEC 42001で提示されている管理策と、実施したリスク評価と対策を比較することで、組織が実施したリスク対策が充分であるかどうかを確認することができるようになっています。