ISO/IEC 42001 情報技術 人工知能 - マネジメントシステム

こんにちは、丸山満彦です。

AIについてのマネジメントシステムが標準化されましたね。。。組織内でのAIの開発、運用等についての管理体制についての標準で、これに適合しているかどうかの第三者認証も受けられるようになりますね。。。

 

AIMS認証...

● International Organization for Standardization; ISO

 

・2023.12.23 ISO/IEC 42001:2023 Information technology Artificial intelligence - Management system

・Preview

目次...

Foreword	まえがき
Introduction	序文
1 Scope	1 適用範囲
2 Normative references	2 引用規格
3 Terms and definitions	3 用語と定義
4 Context of the organization	4 組織の状況
4.1 Understanding the organization and its context	4.1 組織とその背景を理解する
4.2 Understanding the needs and expectations of interested parties	4.2 関係者のニーズと期待を理解する
4.3 Determining the scope of the AI management system	4.3 AIマネジメントシステムの適用範囲の決定
4.4 AI management system	4.4 AIマネジメントシステム
5 Leadership	5 リーダーシップ
5.1 Leadership and commitment	5.1 リーダーシップとコミットメント
5.2 AI policy	5.2 AI方針
5.3 Roles, responsibilities and authorities	5.3 役割、責任、認可
6 Planning	6 計画
6.1 Actions to address risks and opportunities	6.1 リスクと機会に対処するための行動
6.1.1 General	6.1.1 一般事項
6.1.2 AI risk assessment	6.1.2 AIリスクアセスメント
6.1.3 AI risk treatment	6.1.3 AIリスク処理
6.1.4 AI system impact assessment	6.1.4 AIシステム影響評価
6.2 AI objectives and planning to achieve them	6.2 AI目標とその達成計画
6.3 Planning of changes	6.3 変更の計画
7 Support	7 サポート
7.1 Resources	7.1 リソース
7.2 Competence	7.2 能力
7.3 Awareness	7.3 意識
7.4 Communication	7.4 コミュニケーション
7.5 Documented information	7.5 文書化された情報
7.5.1 General	7.5.1 一般的なこと
7.5.2 Creating and updating documented information	7.5.2 文書化された情報の作成及び更新
7.5.3 Control of documented information	7.5.3 文書化された情報の管理
8 Operation	8 運用
8.1 Operational planning and control	8.1 運用計画と管理
8.2 AI risk assessment	8.2 AIリスクアセスメント
8.3 AI risk treatment	8.3 AIリスクの処置
8.4 AI system impact assessment	8.4 AIシステム影響評価
9 Performance evaluation	9 パフォーマンス評価
9.1 Monitoring, measurement, analysis and evaluation	9.1 モニタリング、測定、分析、評価
9.2 Internal audit	9.2 内部監査
9.2.1 General	9.2.1 一般
9.2.2 Internal audit programme	9.2.2 内部監査プログラム
9.3 Management review	9.3 マネジメントレビュー
9.3.1 General	9.3.1 一般
9.3.2 Management review inputs	9.3.2 マネジメントレビューのインプット
9.3.3 Management review results	9.3.3 マネジメントレビューの結果
10 Improvement	10 改善
10.1 Continual improvement	10.1 継続的改善
10.2 Nonconformity and corrective action	10.2 不適合及び是正処置
Annex A Reference control objectives and controls	附属書 A 参照管理目標及び管理策
A.1 General	A.1 一般
Annex B Implementation guidance for AI controls	附属書 B AI 管理の実施指針
B.1 General	B.1 一般
B.2 Policies related to AI	B.2 AIに関する方針
B.2.1 Objective	B.2.1 目的
B.2.2 AI policy	B.2.2 AIに関する方針
B.2.3 Alignment with other organizational policies	B.2.3 他の組織方針との整合性
B.2.4 Review of the AI policy	B.2.4 AI方針の見直し
B.3 Internal organization	B.3 社内組織
B.3.1 Objective	B.3.1 目的
B.3.2 AI roles and responsibilities	B.3.2 AIの役割と責任
B.3.3 Reporting of concerns	B.3.3 懸念事項の報告
B.4 Resources for AI systems	B.4 AIシステムのためのリソース
B.4.1 Objective	B.4.1 目的
B.4.2 Resource documentation	B.4.2 リソースの文書化
B.4.3 Data resources	B.4.3 データ資源
B.4.4 Tooling resources	B.4.4 ツール資源
B.4.5 System and computing resources	B.4.5 システムおよびコンピューティング資源
B.4.6 Human resources	B.4.6 人的資源
B.5 Assessing impacts of AI systems	B.5 AIシステムの影響の評価
B.5.1 Objective	B.5.1 目的
B.5.2 AI system impact assessment process	B.5.2 AIシステムの影響評価プロセス
B.5.3 Documentation of AI system impact assessments	B.5.3 AIシステムの影響評価の文書化
B.5.4 Assessing AI system impact on individuals or groups of individuals	B.5.4 個人又は個人の集団に対するAIシステムの影響の評価
B.5.5 Assessing societal impacts of AI systems	B.5.5 AIシステムの社会的影響の評価
B.6 AI system life cycle	B.6 AIシステムのライフサイクル
B.6.1 Management guidance for AI system development	B.6.1 AIシステム開発のための管理指針
B.6.1.1 Objective	B.6.1.1 目的
B.6.1.2 Objectives for responsible development of AI system	B.6.1.2 AIシステムの責任ある開発のための目標
B.6.1.3 Processes for responsible design and development of AI systems	B.6.1.3 AIシステムの責任ある設計及び開発のためのプロセス
B.6.2 AI system life cycle	B.6.2 AIシステムのライフサイクル
B.6.2.1 Objective	B.6.2.1 目的
B.6.2.2 AI system requirements and specification	B.6.2.2 AIシステムの要件及び仕様
B.6.2.3 Documentation of AI system design and development	B.6.2.3 AIシステムの設計及び開発の文書化
B.6.2.4 AI system verification and validation	B.6.2.4 AIシステムの検証と妥当性確認
B.6.2.5 AI system deployment	B.6.2.5 AIシステムの展開
B.6.2.6 AI system operation and monitoring	B.6.2.6 AIシステムの運用及び監視
B.6.2.7 AI system technical documentation	B.6.2.7 AIシステムの技術文書化
B.6.2.8 AI system recording of event logs	B.6.2.8 AIシステムのイベントログの記録
B.7 Data for AI systems	B.7 AIシステムのデータ
B.7.1 Objective	B.7.1 目的
B.7.2 Data for development and enhancement of AI system	B.7.2 AIシステムの開発及び強化のためのデータ
B.7.3 Acquisition of data	B.7.3 データの取得
B.7.4 Quality of data for AI systems	B.7.4 AIシステム用データの品質
B.7.5 Data provenance	B.7.5 データの出所
B.7.6 Data preparation	B.7.6 データの準備
B.8 Information for interested parties	B.8 関係者向け情報
B.8.1 Objective	B.8.1 目的
B.8.2 System documentation and information for users	B.8.2 システムの文書化及び利用者のための情報
B.8.3 External reporting	B.8.3 外部への報告
B.8.4 Communication of incidents	B.8.4 インシデントのコミュニケーション
B.8.5 Information for interested parties	B.8.5 関係者のための情報
B.9 Use of AI systems	B.9 AIシステムの利用
B.9.1 Objective	B.9.1 目的
B.9.2 Processes for responsible use of AI systems	B.9.2 AIシステムの責任ある使用のためのプロセス
B.9.3 Objectives for responsible use of AI system	B.9.3 AIシステムの責任ある使用の目的
B.9.4 Intended use of the AI system	B.9.4 AIシステムの使用目的
B.10 Third-party and customer relationships	B.10 サードパーティと顧客との関係
B.10.1 Objective	B.10.1 目的
B.10.2 Allocating responsibilities	B.10.2 責任の分担
B.10.3 Suppliers	B.10.3 サプライヤ
B.10.4 Customers	B.10.4 顧客
Annex C Potential AI-related organizational objectives and risk sources	附属書C AIに関連する可能性のある組織の目的とリスク源
C.1 General	C.1 一般
C.2 Objectives	C.2 目標
C.2.1 Accountability	C.2.1 説明責任
C.2.2 AI expertise	C.2.2 AIに関する専門知識
C.2.3 Availability and quality of training and test data	C.2.3 訓練データとテストデータの入手可能性と質
C.2.4 Environmental impact	C.2.4 環境への影響
C.2.5 Fairness	C.2.5 公平性
C.2.6 Maintainability	C.2.6 保守性
C.2.7 Privacy	C.2.7 プライバシー
C.2.8 Robustness	C.2.8 堅牢性
C.2.9 Safety	C.2.9 安全性
C.2.10 Security	C.2.10 セキュリティ
C.2.11 Transparency and explainability	C.2.11 透明性と説明可能性
C.3 Risk sources	C.3 リスク源
C.3.1 Complexity of environment	C.3.1 環境の複雑さ
C.3.2 Lack of transparency and explainability	C.3.2 透明性と説明可能性の欠如
C.3.3 Level of automation	C.3.3 自動化のレベル
C.3.4 Risk sources related to machine learning	C.3.4 機械学習に関するリスク源
C.3.5 System hardware issues	C.3.5 システムハードウェアの問題
C.3.6 System life cycle issues	C.3.6 システムライフサイクルの問題
C.3.7 Technology readiness	C.3.7 技術の準備
Annex D Use of the AI management system across domains or sectors	附属書D ドメイン又はセクターを超えたAIマネジメントシステムの使用
D.1 General	D.1 一般的事項
D.2 Integration of AI management system with other management system standards	D.2 AIマネジメントシステムと他のマネジメントシステム標準との統合
Bibliography	参考文献

 

序文と適用範囲...

 

Introduction	序文
Artificial intelligence (AI) is increasingly applied across all sectors utilizing information technology and is expected to be one of the main economic drivers. A consequence of this trend is that certain applications can give rise to societal challenges over the coming years.	人工知能（AI）は、情報技術を活用したあらゆる分野への応用が進んでおり、主要な経済牽引役のひとつになると期待されている。この傾向の結果として、特定のアプリケーションは、今後数年の間に社会的な課題を生じさせる可能性がある。
This document intends to help organizations responsibly perform their role with respect to AI systems (e.g. to use, develop, monitor or provide products or services that utilize AI). AI potentially raises specific considerations such as:	本文書は、組織がAIシステムに関して責任をもってその役割を果たす（例えば、AIを利用した製品やサービスを使用、開発、監視、提供する）ことを支援することを意図している。AIは潜在的に、以下のような特定の検討事項を提起する：
— The use of AI for automatic decision-making, sometimes in a non-transparent and non-explainable way, can require specific management beyond the management of classical IT systems.	・自動的な意思決定のためのAIの使用は,時には透明性がなく説明不可能な方法で行われるため,従来のITシステムの管理を超えた特別な管理を必要とする可能性がある。
— The use of data analysis, insight and machine learning, rather than human-coded logic to design systems, both increases the application opportunities for AI systems and changes the way that such systems are developed, justified and deployed.	・システム設計に人間がコード化したロジックではなく,データ分析,洞察,機械学習を使用することで,AIシステムの適用機会が増えると同時に,そのようなシステムの開発,正当化,配備の方法が変わる。
— AI systems that perform continuous learning change their behaviour during use. They require special consideration to ensure their responsible use continues with changing behaviour.	・継続的な学習を行うAIシステムは,使用中にその行動を変化させる。挙動が変化しても責任ある使用が継続されるよう,特別な配慮が必要である。
This document provides requirements for establishing, implementing, maintaining and continually improving an AI management system within the context of an organization. Organizations are expected to focus their application of requirements on features that are unique to AI. Certain features of AI, such as the ability to continuously learn and improve or a lack of transparency or explainability, can warrant different safeguards if they raise additional concerns compared to how the task would traditionally be performed. The adoption of an AI management system to extend the existing management structures is a strategic decision for an organization.	本文書は、組織の中でAIマネジメントシステムを確立し、実施し、維持し、継続的に改善するための要件を提供する。組織は、AIに特有の特徴に重点を置いて要求事項を適用することが期待されている。継続的に学習し改善する能力、透明性や説明可能性の欠如など、AIのある種の特徴は、そのタスクが伝統的に実行される方法と比較して追加的な懸念を引き起こす場合、異なるセーフガードを保証することができる。既存の管理構造を拡張するためにAIマネジメントシステムを採用することは、組織にとって戦略的な決定である。
The organization’s needs and objectives, processes, size and structure as well as the expectations of various interested parties influence the establishment and implementation of the AI management system. Another set of factors that influence the establishment and implementation of the AI management system are the many use cases for AI and the need to strike the appropriate balance between governance mechanisms and innovation. Organizations can elect to apply these requirements using a risk-based approach to ensure that the appropriate level of control is applied for the particular AI use cases, services or products within the organization’s scope. All these influencing factors are expected to change and be reviewed from time to time.	組織のニーズや目的、プロセス、規模、構造だけでなく、様々な利害関係者の期待も、AIマネジメントシステムの確立と導入に影響を与える。AIマネジメントシステムの構築と導入に影響を与えるもう1つの要因は、AIの多くのユースケースと、ガバナンス機構とイノベーションの適切なバランスを取る必要性である。組織は、組織の範囲内にある特定のAIユースケース、サービス、製品に対して適切なレベルの管理が適用されるように、リスクベースのアプローチを用いてこれらの要件を適用することを選択できる。これらの影響因子はすべて変化し、随時見直されることが予想される。
The AI management system should be integrated with the organization’s processes and overall management structure. Specific issues related to AI should be considered in the design of processes, information systems and controls. Crucial examples of such management processes are:	AIマネジメントシステムは、組織のプロセスや全体的な管理構造と統合されるべきである。プロセス、情報システム、統制の設計においては、AIに関連する特定の問題を考慮する必要がある。そのような管理プロセスの重要な例としては、以下が挙げられる：
— determination of organizational objectives, involvement of interested parties and organizational policy;	・組織目標の決定,利害関係者の関与,組織方針
— management of risks and opportunities;	・リスクと機会のマネジメント；
— processes for the management of concerns related to the trustworthiness of AI systems such as security, safety, fairness, transparency, data quality and quality of AI systems throughout their life cycle;	・セキュリティ、安全性、公平性、透明性、データ品質、AIシステムの品質など、AIシステムの信頼性に関連する懸念事項を、そのライフサイクルを通じて管理するためのプロセス；
— processes for the management of suppliers, partners and third parties that provide or develop AI systems for the organization.	・組織のためにAIシステムを提供又は開発するサプライヤー,パートナー及びサードパーティーの管理のためのプロセス。
This document provides guidelines for the deployment of applicable controls to support such processes.	本文書は、このようなプロセスを支援するために適用可能な統制を展開するためのガイドラインを提供する。
This document avoids specific guidance on management processes. The organization can combine generally accepted frameworks, other International Standards and its own experience to implement crucial processes such as risk management, life cycle management and data quality management which are appropriate for the specific AI use cases, products or services within the scope.	この文書では、管理プロセスに関する具体的な指針は避けている。組織は，一般に認められたフレームワーク，他の国際標準及び自らの経験を組み合わせて，適用範囲内の特定のAIユースケース，製品又はサービスに適したリスクマネジメント，ライフサイクルマネジメント及びデータ品質マネジメントなどの重要なプロセスを実施することができる。
An organization conforming with the requirements in this document can generate evidence of its responsibility and accountability regarding its role with respect to AI systems.	本文書の要求事項に適合する組織は、AIシステムに関する役割について、その責任と説明責任を証明する証拠を生成することができる。
The order in which requirements are presented in this document does not reflect their importance or imply the order in which they are implemented. The list items are enumerated for reference purposes only.	本文書における要求事項の順序は、その重要性を反映するものでも、実装の順序を意味するものでもない。リスト項目は、参考のためだけに列挙されている。
Compatibility with other management system standards	他のマネジメントシステム標準との互換性
This document applies the harmonized structure (identical clause numbers, clause titles, text and common terms and core definitions) developed to enhance alignment among management system standards (MSS). The AI management system provides requirements specific to managing the issues and risks arising from using AI in an organization. This common approach facilitates implementation and consistency with other management system standards, e.g. related to quality, safety, security and privacy.	本文書は、マネジメントシステム規格（MSS）間の整合性を高めるために開発された調和構造（同一の条項番号、条項タイトル、本文、共通の用語及び中核的定義）を適用している。AIマネジメントシステムは、組織においてAIを使用することから生じる問題及びリスクのマネジメントに特有の要求事項を提供する。この共通アプローチは、品質、安全、セキュリティ、プライバシーなど、他のマネジメントシステム標準との整合性と実施を容易にする。
1   Scope	1 適用範囲
This document specifies the requirements and provides guidance for establishing, implementing, maintaining and continually improving an AI (artificial intelligence) management system within the context of an organization.	本文書は、組織の中でAI（人工知能）マネジメントシステムを確立し、実施し、維持し、継続的に改善するための要件を規定し、ガイダンスを提供する。
This document is intended for use by an organization providing or using products or services that utilize AI systems. This document is intended to help the organization develop, provide or use AI systems responsibly in pursuing its objectives and meet applicable requirements, obligations related to interested parties and expectations from them.	本文書は、AIシステムを利用する製品又はサービスをプロバイダ又は利用する組織が使用することを意図している。この文書は、組織がその目的を追求し、適用される要求事項、利害関係者に関連する義務、及び利害関係者からの期待を満たす上で、責任を持ってAIシステムを開発、提供、又は使用することを支援することを意図している。
This document is applicable to any organization, regardless of size, type and nature, that provides or uses products or services that utilize AI systems.	この文書は、規模、種類、性質に関係なく、AIシステムを利用する製品又はサービスを提供又は利用するあらゆる組織に適用される。

 

関連標準

・ISO/IEC 22989:2022 Information technology Artificial intelligence - Artificial intelligence concepts and terminology

・[PDF] (downloaded)

・JIS X 22989 (preview)

 

・ISO/IEC 23894:2023 Information technology Artificial intelligence - Guidance on risk management

・(preview)

 

 

開発中の関連標準

・ISO/IEC DIS 42005 Information technology Artificial intelligence - AI system impact assessment

・ISO/IEC DIS 42006 Information technology Artificial intelligence - Requirements for bodies providing audit and certification of artificial intelligence management systems

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.22 米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした３つの分野の８つの約束

・2023.07.18 英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.03.22 ENISA AIのサイバーセキュリティと標準化 (2023.03.14)

・