2024年1月15日、経済産業省は、前年12月18日付で、AIマネジメントシステムの国際規格として、ISO/IEC 42001が発行されたことを発表した。副題として「安全・安心なAIシステムの開発と利活用を目指して」と記載されている。
AIに関するリスクを回避するための要件やリスクが生じた場合の対応を含む信頼性の高いマネジメントシステムを構築・運用するための要求事項を規定したものとして紹介されている。

筆者は、経済産業省は、本国際規格を認証基準としたAIマネジメントシステムの適合性評価制度の可能性について、あえて記載しなかったと推測している。
一般に、組織のマネジメントシステムに関する規格は、要求事項（Requirement）を規定するものと、推奨事項（Guidance）を規定するものに大別される。（用語などを定めた基本規格という概念もあるが、話を単純化させていただく）
例えば、前者の代表的な例として、ISO 9001品質マネジメントシステムやISO 14001環境マネジメントシステムは、組織が各マネジメントシステムを構築・運用する場合の要求事項を定めており、組織は記載されたことを実行しなければならない。英語表記上では、動詞に"Shall”が前置されている。
他方、後者の推奨事項（Guidance）は、日本語ではガイドライン規格と呼ばれることが多く、例えば、ISO 9002は、要求事項であるISO 9001品質マネジメントシステムへの適合を実現するための手引きである。英語表記上では、動詞に"Should”が前置されている。

ISO/IEC 42001 AIマネジメントシステムは、前者であり、一言でいえば、組織が構築・運用するAIマネジメントシステムの認証に使える要求事項である。
早くからISO 9001やISO 14001に基づくマネジメントシステムの認証制度が普及している日本においては、AIに係る認証制度に必須な要求事項が国際標準化されたと認識されるべきであろう。

ここで、ISO/IEC 42001の規格の構造が、ISO/IEC 27001 に、とても似ていることを指摘したい。ISO/IEC 27001は、情報セキュリティマネジメントシステムの要求事項として、ISMS適合性評価制度の認証基準として、2005年頃から使われている。ISMSとは、”Information Security Management System”の略であり、私が代表を務めている一般社団法人情報マネジメントシステム認定センターの略称である”ISMS-AC”の由来となっている。
ISMS適合性評価制度に基づく国内の被認証組織数は、昨年7,500を超え、今年中に8,000を超える勢いで普及が進んでいる。
ISO/IEC 42001は、組織は、AIシステムの開発、提供及び利用における影響を評価し、それらが与えるリスクを評価した上での必要な管理策を講じることを必須としているが、情報セキュリティのリスク評価の概念との類似性がある。
国内のISMS認証を実施している認証機関のうち、ISMS-ACが認定している認証機関は27あるが、その中には、AIマネジメントシステムの認証事業の立ち上げを企画しているところもあるようだ（未確認）。
ISMS-ACとしては、国内におけるAIマネジメントシステムの認証のニーズを見定めながら、認定を求める認証機関に対する認定事業への着手を検討していきたい。
なお、（一般の方にはややこしいのだが）ISOのマネジメントシステムに係る認証機関を認定するための基準も、ISOにより国際規格として発行されることが通例である。ISO/IEC 42001に基づくAIマネジメントシステムの認証を行う認証機関が適合しなければならない基準は、現在、ISO/IEC 42006 AIマネジメントシステムの審査及び認証を行う機関に対する要求事項として、ISO/IEC JTC1 SC42 WG1において審議中である。早ければ、今年夏にも発行される見込みだ。

そのような状況を正確に発信するとともに、個人的も、AIマネジメントシステムの効用について、さらに研究して参りたい。
【参考とした経済産業省のWebサイト】
AIマネジメントシステムの国際規格が発行されました （METI/経済産業省）