ISO/IEC 42001とは
情報技術-人工知能-マネジメントシステム
ISO/IEC 42001は、AIマネジメントシステム(AIMS)に関する国際標準規格です。以下にその主な特徴を説明します:
目的
AIシステムの信頼性、安全性、倫理的な開発と運用を支援するための包括的なガイドライン
組織がAIシステムを責任を持って管理するためのフレームワークを提供
主な特徴
2023年10月に正式に発行された比較的新しい規格
AIの開発、展開、運用における包括的なリスク管理アプローチを定義
AIシステムのライフサイクル全体を対象とする
重点分野
AIシステムのガバナンス
リスク管理
倫理的考慮事項
セキュリティと信頼性の確保
プライバシー保護
AIの透明性と説明可能性の向上
対象組織
AI技術を開発・利用するすべての組織
大企業から中小企業まで幅広く適用可能
この規格は、AIの急速な発展に伴う倫理的、法的、社会的課題に対応するための重要な国際的枠組みとなっています。
ISO/IEC 42001 情報技術-人工知能-マネジメントシステム
4 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 AI マネジメントシステムの適用範囲の決定
4.4 AI マネジメントシステム
5 リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 AI 方針
5.3 役割,責任及び権限
6 計画策定
6.1 リスク及び機会への取組
6.1.1 一般
6.1.2 AI リスクアセスメント
6.1.3 AI リスク対応
6.1.4 AI システムの影響評価
6.2 AI の目的及びそれを達成するための計画策定
6.3 変更の計画策定
7 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
7.5.1 一般
7.5.2 文書化した情報の作成及び更新
7.5.3 文書化した情報の管理
8 運用
8.1 運用の計画策定及び管理
8.2 AI リスクアセスメント
8.3 AI リスク対応
8.4 AI システムの影響評価
9 パフォーマンス評価
9.1 監視,測定,分析及び評価
9.2 内部監査
9.2.1 一般
9.2.2 内部監査プログラム
9.3 マネジメントレビュー
9.3.1 一般
9.3.2 マネジメントレビューへのインプット
9.3.3 マネジメントレビューの結果
10 改善
10.1 継続的改善
10.2 不適合及び是正処置
ISO/IEC 42001取得に取り掛かる前に
ISO/IEC 42001要求事項の理解が必要です。理解なしでは、ISO42001マニュアル等のAI文書も作成できないし、マネジメントシステムも構築できない。
ISO/IEC42001の構成は、
(1)本文,
(2)附属書A ISO27001でおなじみの管理策の記載
適用宣言書の参考
(3)附属書B 実装ガイダンス
(4)潜在的な組織の目的及びリスク源
(5)複数の領域又は分野にわたるAIマネジメントシステムの使用
この規格において、AIの導入手順や設計開発、妥当性確認については、本文では見当たらない。
そうだここで注意していただきたいのは、ISO42001の取得を目指す、組織の形態です。
ISO42001規格において、自社は①AIシステムを開発する組織なのか,➁提供する企業なのか、➂使用する企業なのかを見極めてISO42001マネジメントシステムを構築していかなければなりません。
①においては、設計開発、妥当性確認、検証等の要求事項が必要になります。
➁においても、受入検査、出荷検査などは必要です。
➂においては、受入検査、使用手順、日々の検査も必要になります。
この①AIシステムを開発する組織➁提供する組織➂使用する組織のすべてに求められているのが、リスクアセスメントです。
ISO42001取得のための準備
1.ISO42001要求事項を理解する。
ISO/IEC要求事項の理解が難しい
8 運用
8.1 運用の計画策定及び管理
下記の要求事項は、たったの2行で書かれているが、ここは多くの要求事項を求めている。ここはマニュアルを作成するにあたっても、システムを作り上げるのしても一度留まって、考えなければならない。
すごい労力の必要な個所になります。
「文書化した情報は,プロセスが計画どおりに実行されたということを確信するために必要な範囲で利用可能な状態にしなければならない。」
2.適用範囲を決定する
3.AI リスクアセスメントの仕組みの確立
組織は,次のようなAI リスクアセスメントプロセスを定義及び確立しなければならない:
a) AI 方針(5.2 参照)及びAI の目的(6.2 参照)に基づいて情報を得ており,それらと一致している;
注記 6.1.2 d) 1)の一環として結果を評価する場合,組織は6.1.4 に示されているAI システム影響評価が利活用できる。
b) AI リスクアセスメントの繰返しにより,一貫性のある,有効で比較可能な結果が得られるように設計されて
いる;
c) AI の目的達成を助ける,又は達成を妨げるリスクを特定する;d) 次のようにAI リスクを分析する:
1) 特定されたリスクが現実化した場合に生じる,組織,個人及び社会に起こり得る結果を評価する;
2) 該当する場合には,特定されたリスクの現実的可能性を評価する;
3) リスクのレベルを決定する;
e) 次のようにAI リスクを評価する:
1) リスク分析の結果をリスク基準と比較する(6.1.1 参照);
2) リスク対応のために,評価したリスクに優先順位を付ける。
組織は,AI リスクアセスメントプロセスに関する文書化した情報を保持しなければならない。
6.1.3 AI リスク対応
リスクアセスメントの結果を考慮して,組織は,次の事項を行うためのAI リスク対応プロセスを定義しなければ
ならない:
a) 適切なAI リスク対応の選択肢を選択する;
b) 選択したAI リスク対応の選択肢を実装するために必要な全ての管理策を決定し,その管理策を附属書A の管
理策と比較して,必要な管理策が省略されていないことを検証する;
注記1 附属書A は,組織の目的を満たし,AI システムの設計及び使用に関連するリスクに対処するための参考管理策を
示している。
c) AI リスク対応の選択肢の実装に関連する附属書A の管理策を考慮する;
d) 全てのリスク対応の選択肢を実装するために,附属書A の管理策以外に追加管理策が必要かどうかを明確に
する;
4.管理策の理解
【付属書Aに示されている管理策】
A.2 AIに関連する方針
A.3 内部組織
A.4 AIシステムのための資源
A.5 AIシステムの影響の評価
A.6 AIシステムのライフサイクル
A.7 AIシステムのデータ
A.8 AIシステムに利害関係者のための情報
A.9 AIシステムの使用
A.10 第三者と顧客との関係
ISO42001の必要な文書化した情報
AI マネジメントシステムの適用範囲
AI 方針
AI リスク及び AI 機会を特定し,対処するためにとった処置
AI リスクアセスメントプロセス
必要な管理策
AI リスク対応プロセス
AI の目的及びそれを達成するための計画策定
力量の証拠
8運用に関する文書化した情報については、
b) AI マネジメントシステムの有効性のために必要であると組織が決定した,文書化した情報になります。
よって、AIシステムを開発、提供または使用する組織のちがいにより、必要な文書化した情報も変わってきます。
AI リスクアセスメントの結果
全ての AI リスク対応の結果
全ての AI システムの影響評価の結果
監視及び測定の結果の証拠
監査プログラムの実施及び監査結果
マネジメントレビューの結果
不適合及び是正処置の証拠
管理策で要求されている文書化
附属書 A
(規定)
制御目的及び管理策の参考
A.2.2 AI 方針 組織は,AI システムの開発又は使用の方針を文書化しなければならない。
.4.2 資源の文書化 組織は,所定の AI システムライフサイクル段階の活動,及び組織に関連するその他の AI 関連活動に必要な関連資源を特定及び文書化しなければならない。
A.4.3 データ資源 資源の明確化の一環として,組織はAI システムに利活用されるデータ 資源に関する情報を文書化しなければならない。
A.4.4 ツール資源 資源の明確化の一環として,組織はAI システムに利活用されるツール資源に関する情報を文書化しなければならない。
A.4.5 システム及び計算資源 資源の明確化の一環として,組織はAI システムに利活用されるシステム及び計算資源に関する情報を文書化しなければならない。
A.4.6 人的資源 資源の明確化の一環として,組織は,AI システムの検証及び統合だけでなく,開発,導入,運用,変更管理,保守,移行及び廃止に利活用される人的資源とその力量に関する情報を文書化しなければならない。
A.5.3 AI システムの影響評価の文書化 組織は,AI システムの影響評価の結果を文書化し,結果を定めた期間保持しなければならない。
A.5.4 個人又は個人の集まりに対するAI システムの影響の評価 組織は,個人又は個人の集まりに対する AI システムの潜在的影響を,システムのライフサイクル全体にわたって評価及び文書化しなければならない。
A.5.5 AI システムの社会的インパクトの評価 組織は,AI システムの潜在的な社会的インパクトをそれらのライフサイクル全体にわたって評価及び文書化しなければならない。
A.6 AI システムのライフサイクル
A.6.1 AI システム開発のためのマネジメントガイダンス
目的:組織が目的を特定及び文書化し,AI システムの責任ある設計及び開発のプロセスを実施することを確実にすること。
A.6.1.2 AI システムの責任ある開発
の目的 組織は,責任ある開発 AI システムを導くための目的を特定及び文書化し,それらの目的を考慮し,開発ライフサイクルにおいてそれらを達成するための対策を統合しなければならない。
A.6.1.3 責任あるAI システムの設計及び開発のプロセス 組織は,AI システムの責任ある設計及び開発のための具体的なプロセスを定義及び文書化しなければならない。
A.6.2.2 AI システムの要求事項及び仕様 組織は,新しいAI システム,又は既存システムの本質的強化に関する要求事項を規定及び文書化しなければならない。
A.6.2.3 AI システムの設計及び開発
の文書化 組織は,組織の目的,文書化した要求事項及び仕様基準に基づいてAI システムの設計及び開発を 文書化しなければならない。
A.6.2.4 AI システムの検証及び妥当性確認 組織は,AI システムの検証及び妥当性確認対策を定義及び文書化し,それらの使用の基準を規定しなければならない。
A.6.2.5 AI システムの導入 組織は導入計画を文書化し,導入前に適切な要求事項が満たされることを確実にしなければならない。
A.6.2.6 AI システムの運用及び監視 組織は,AI システムの運用の継続に必要な要素を定義及び文書化しなければならない。少なくとも,これにはシステム及びパフォーマンスの監視,修理,更新及び支援を含めなければならない。
A.6.2.7 AI システム技術の文書化 組織は,利用者,パートナー,監督当局などの利害関係者の各関連カテゴリについて,どのようなAI システム技術の文書が必要であるかを決定し,適切な形式で技術文書を提供しなければならない。
A.7.2 AI システムの開発及び強化のためのデータ 組織は,AI システムの開発に関連するデータマネジメントプロセスを定義,文書化及び実施しなければならない。
A.7.3 データの取得 組織は,AI システムで使用されるデータの取得及び選択に関する詳細を決定し,文書化しなければならない。
A.7.4 AI システムのデータの品質 組織は,データの品質に関する要求事項を定義及び文書化し,AI システムの開発及び運用に使用するデータがそれらの要求事項を満たすことを確実にしなければならない。
A.7.5 データの来歴 組織は,データ及びAI システムのライフサイクル全体にわたって,自らの AI システムで使用するデータの来歴を記録するプロセスを定義及び文書化しなければならない。
A.7.6 データ準備 組織は,データ準備及び使用するデータの準備方法を選択する自らの基準を定義及び 文書化しなければならない。
A.8.2 システムの文書化及び利用者のための情報 組織は,AI システムの利用者に必要な情報を決定及び提供しなければならない。
A.8.3 外部報告 組織は,利害関係者がAI システムの有害な影響を報告するための機能を提供しなければならない。
A.8.4 インシデントの伝達 組織は,AI システムの利用者にインシデントを伝達するための計画を決定し, 文書化しなければならない。
A.8.5 利害関係者のための情報 組織は,AI システムに関する情報を利害関係者に報告する自らの義務を決定し,文書化しなければならない。
A.9.2 AI システムの責任ある使用ためのプロセス 組織は,AI システムの責任ある使用のためのプロセスを定義し,文書化しなければならない。
A.9.3 AI システムの責任ある使用の目的 組織は,AI システムの責任ある使用を導くための目的を特定し,文書化しなければならない。
特定及び文書化,文書化、評価及び文書化,定義及び文書化
6.その他
①ライフサイクル,➁利活用
ISO42001取得までのスケジュール
※10ケ月間指導ののち、審査を受けて頂きます。
キックオフ
1.現状のISO42001の理解の確認
2.ISO42001要求事項の理解
3.ISO42001の適用範囲
①会社名、部門、住所、➁施設及び設備、➂設計開発、提供、使用
④作業(AIの用途)
4.AI方針、目的
5.AI リスクアセスメントの構築
管理策、適用宣言書
6.AIマニュアル,運用ガイドライン、記録様式等の作成
7.内部監査員の養成
8.ISO42001の運用
9.内部監査の実施
10.マネジメントレビューの実施
11.監視及び測定
12.審査対応
13.審査を受ける
下記のお問い合わせフォームより
ISO42001の取得をするために
iso42001取得までに、ISO42001要求事項についてシステムの大まかな構築、理解を進めておきましょう。
(1)ISO27002と同じようなAIMS管理策の42002の国際規格も近く発行されるのでは。
(2)審査を行う機関の要求事項の発行も待たれます
JIS Q 19011(ISO 19011):マネジメントシステム監査のための指針
JIS Q 17021-1(ISO/IEC 17021-1):適合性評価-マネジメントシステムの審
査及び認証を行う機関に対する要求事項-第1部:要求事項
JIS Q 42006(ISO/IEC 42006):情報技術-人工知能-マネジメントシステム
の審査及び認証を行う機関に対する要求事項 など。
会社案内
有限会社都城情報ビジネス
宮崎県都城市鷹尾1-9-18
電話番号0986-21-1045
info〇www.mjb.jp
代表取締役 松元 義仁(マツモト ヨシヒト)
ISO42001コンサルタント
プライバシーポリシー
作成日:2024年6月6日
最終更新日:2024年6月6日
有限会社都城情報ビジネス
代表取締役:松元 義仁
有限会社都城情報ビジネス(以下,「当社」といいます。)は,本ウェブサイト上で提供するサービス(以下,「本サービス」といいます。)における,ユーザーの個人情報の取扱いについて,以下のとおりプライバシーポリシー(以下,「本ポリシー」といいます。)を定めます。
第1条(個人情報)
「個人情報」とは,個人情報保護法にいう「個人情報」を指すものとし,生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日,住所,電話番号,連絡先その他の記述等により特定の個人を識別できる情報及び容貌,指紋,声紋にかかるデータ,及び健康保険証の保険者番号などの当該情報単体から特定の個人を識別できる情報(個人識別情報)を指します。
第2条(個人情報の収集方法)
有限会社都城情報ビジネスは,ユーザーが利用登録をする際に氏名,生年月日,住所,電話番号,メールアドレス,銀行口座番号,クレジットカード番号,運転免許証番号などの個人情報をお尋ねすることがあります。また,ユーザーと提携先などとの間でなされたユーザーの個人情報を含む取引記録や決済に関する情報を,当社の提携先(情報提供元,広告主,広告配信先などを含みます。以下,「提携先」といいます。)などから収集することがあります。
第3条(個人情報を収集・利用する目的)
有限会社都城情報ビジネスが個人情報を収集・利用する目的は,以下のとおりです。
当社サービスの提供・運営のためユーザーからのお問い合わせに回答するため(本人確認を行うことを含む)
ユーザーが利用中のサービスの新機能,更新情報,キャンペーン等及び当社が提供する他のサービスの案内のメールを送付するためメンテナンス,重要なお知らせなど必要に応じたご連絡のため
利用規約に違反したユーザーや,不正・不当な目的でサービスを利用しようとするユーザーの特定をし,ご利用をお断りするためユーザーにご自身の登録情報の閲覧や変更,削除,ご利用状況の閲覧を行っていただくため
有料サービスにおいて,ユーザーに利用料金を請求するため上記の利用目的に付随する目的
第4条(利用目的の変更)
有限会社都城情報ビジネスは,利用目的が変更前と関連性を有すると合理的に認められる場合に限り,個人情報の利用目的を変更するものとします。
利用目的の変更を行った場合には,変更後の目的について,当社所定の方法により,ユーザーに通知し,または本ウェブサイト上に公表するものとします。
第5条(個人情報の第三者提供)
有限会社都城情報ビジネスは,次に掲げる場合を除いて,あらかじめユーザーの同意を得ることなく,第三者に個人情報を提供することはありません。ただし,個人情報保護法その他の法令で認められる場合を除きます。
人の生命,身体または財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき
公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
予め次の事項を告知あるいは公表し,かつ当社が個人情報保護委員会に届出をしたとき利用目的に第三者への提供を含むこと
第三者に提供されるデータの項目
第三者への提供の手段または方法
本人の求めに応じて個人情報の第三者への提供を停止すること
本人の求めを受け付ける方法
前項の定めにかかわらず,次に掲げる場合には,当該情報の提供先は第三者に該当しないものとします。
当社が利用目的の達成に必要な範囲内において個人情報の取扱いの全部または一部を委託する場合
合併その他の事由による事業の承継に伴って個人情報が提供される場合
個人情報を特定の者との間で共同して利用する場合であって,その旨並びに共同して利用される個人情報の項目,共同して利用する者の範囲,利用する者の利用目的および当該個人情報の管理について責任を有する者の氏名または名称について,あらかじめ本人に通知し,または本人が容易に知り得る状態に置いた場合
第6条(個人情報の開示)
有限会社都城情報ビジネスは,本人から個人情報の開示を求められたときは,本人に対し,遅滞なくこれを開示します。ただし,開示することにより次のいずれかに該当する場合は,その全部または一部を開示しないこともあり,開示しない決定をした場合には,その旨を遅滞なく通知します。なお,個人情報の開示に際しては,1件あたり1,000円の手数料を申し受けます。
本人または第三者の生命,身体,財産その他の権利利益を害するおそれがある場合
当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
その他法令に違反することとなる場合
前項の定めにかかわらず,履歴情報および特性情報などの個人情報以外の情報については,原則として開示いたしません。
第7条(個人情報の訂正および削除)
ユーザーは,当社の保有する自己の個人情報が誤った情報である場合には,有限会社都城情報ビジネスが定める手続きにより,当社に対して個人情報の訂正,追加または削除(以下,「訂正等」といいます。)を請求することができます。
当社は,ユーザーから前項の請求を受けてその請求に応じる必要があると判断した場合には,遅滞なく,当該個人情報の訂正等を行うものとします。
当社は,前項の規定に基づき訂正等を行った場合,または訂正等を行わない旨の決定をしたときは遅滞なく,これをユーザーに通知します。
第8条(個人情報の利用停止等)
有限会社都城情報ビジネスは,本人から,個人情報が,利用目的の範囲を超えて取り扱われているという理由,または不正の手段により取得されたものであるという理由により,その利用の停止または消去(以下,「利用停止等」といいます。)を求められた場合には,遅滞なく必要な調査を行います。
前項の調査結果に基づき,その請求に応じる必要があると判断した場合には,遅滞なく,当該個人情報の利用停止等を行います。
当社は,前項の規定に基づき利用停止等を行った場合,または利用停止等を行わない旨の決定をしたときは,遅滞なく,これをユーザーに通知します。
前2項にかかわらず,利用停止等に多額の費用を有する場合その他利用停止等を行うことが困難な場合であって,ユーザーの権利利益を保護するために必要なこれに代わるべき措置をとれる場合は,この代替策を講じるものとします。
第9条(プライバシーポリシーの変更)
本ポリシーの内容は,法令その他本ポリシーに別段の定めのある事項を除いて,ユーザーに通知することなく,変更することができるものとします。
有限会社都城情報ビジネスが別途定める場合を除いて,変更後のプライバシーポリシーは,本ウェブサイトに掲載したときから効力を生じるものとします。
第10条(お問い合わせ窓口)
本ポリシーに関するお問い合わせは,下記の窓口までお願いいたします。
担当部署:お客さまお問合せ窓口
Eメールアドレス:info⚪︎www.mjb.jp