ISOマネジメントシステムとAI ― 規格の考え方に基づく、デジタル技術との向き合い方           第1回　マネジメントシステム運用を取り巻く環境変化 ― デジタル技術・AIとの向き合い方 ―（認証機関の観点による整理）

1．はじめに ― 組織を取り巻く環境の変化

近年、組織を取り巻く経営環境および業務環境は、急速に変化しています。市場環境の変動、顧客ニーズの多様化、業務内容の高度化・複雑化に加え、人手不足や業務の属人化といった課題が顕在化している組織も少なくありません。

このような状況では、従来の経験や慣習のみに依拠した運営は、安定性や再現性の観点から限界が生じやすくなります。業務を安定的に維持し、品質やパフォーマンスを継続的に向上させるためには、個人の力量に依存するのではなく、組織として共通の考え方・ルールを定め、仕組みとして管理し、必要に応じて見直すことが重要になります。

例えば、同一の業務であっても担当者により判断や対応が異なる場合、結果のばらつきや説明の不整合が生じる可能性があります。こうした状態は、顧客満足、法令・契約要求への適合、業務効率等の観点から課題となり得るため、業務の進め方を組織として整理し、再現性のある形で運用することが求められます。

2．ISOマネジメントシステム規格が示す考え方（枠組み）

ISOのマネジメントシステム規格は、環境変化に対応しながら組織を運営するための「要求事項（枠組み）」を示します。規格は、個別の業務手順や特定ツールの採用を細かく指示するものではなく、組織が自らの状況を理解し、方針や目標を定め、計画・実行・評価・改善を行うことを求めています。

例として、ISO 9001（品質）では、プロセスアプローチにPDCAとリスクに基づく考え方（risk-based thinking）を組み合わせて、マネジメントシステムを運用する考え方が示されています。

また、ISO 14001（環境）でも、リーダーシップやリスクに基づく考え方の強化等、他のマネジメントシステム規格と整合した枠組みのもとでの運用が意図されています。

ここで重要となる代表的な観点は、次のとおりです。

• 組織の内外の課題（状況）の理解
• リスクおよび機会を考慮した計画
• 目標達成状況・プロセスのパフォーマンスの評価
• 継続的改善

規格が重視するのは形式そのものではなく、有効性です。すなわち、文書や手順の有無ではなく、それらが実務で機能し、組織の意図した成果に寄与しているかが問われます。

3．デジタル技術・AIの進展と、マネジメントシステム運用上の論点

デジタル技術の進展により、文書作成、情報整理、データ分析等の業務で、各種ツールやAI（人工知能）が活用される場面が増えています。これらは業務の効率化や、情報活用の高度化に資する可能性があります。

一方で、マネジメントシステムの観点では、次のような論点が生じることがあります。

• 既存の運用（プロセス、力量、責任分担）との整合は取れているか
• アウトプットの正確性や再現性は確保されているか
• 説明可能性（なぜその結果・判断に至ったか）や記録性は担保されているか
• 情報資産（機密情報等）の取扱いは統制されているか（該当する場合）

特にAIは「自動化」や「判断の代替」という印象が先行しやすく、運用上の責任や統制をどこに置くかが曖昧になりやすい点に留意が必要です。

4．ISO規格における「手段」の位置づけ（ツール非依存の考え方）

ISOのマネジメントシステム規格は、どの方法やツールを用いるべきかを特定しません。これは、組織の状況、提供する製品・サービス、利害関係者の要求事項が多様であることを前提としているためです。

規格の考え方として重要なのは、以下の内容です。

• 組織が自らの状況に照らし、必要な手段を選択すること
• その手段が意図した結果に対して有効であることを確認すること
• 必要に応じて見直し・改善すること

したがって、特定のツールやAIを「使っている／使っていない」という事実のみで、適合・不適合が決まるものではありません。重要なのは、組織のプロセスの中で、手段が管理され、目的に沿って機能しているかという点です。

5．デジタル技術・AIを「手段」として捉える際の観点

デジタル技術やAIは、マネジメントシステムにおける「手段」の一つとして位置づけることができます。ここで重視されるのは、導入の事実ではなく、組織の活動や意図した成果に対して、どのように貢献し、どのように統制されているかです。

例えば、情報整理や文書作成の補助として活用する場合でも、次の観点を意識することが有用です（一般的な観点であり、特定の方法を推奨するものではありません）。

• 組織の実態（プロセス、役割、判断基準）と合致しているか
• アウトプットの正確性・完全性をどのように確認するか
• 説明可能性、記録、変更管理が必要な範囲はどこか
• リスクおよび機会（例：誤り、偏り、情報漏えい、効率化等）をどう捉えるか

なお、AIの利活用については、AIを開発・提供・利用する組織向けに、AIマネジメントシステム規格（ISO/IEC 42001）が国際規格として公表されています。AIに特有の課題（例：透明性、説明責任等）を含む統制の枠組みを示すものとして、関連規格の動向を把握することは、情報収集の観点から有益です。

6．マネジメントシステムは「人の関与（責任と意思決定）」を前提とする

マネジメントシステムが前提としているのは、組織による意思決定と責任の明確化です。リスクおよび機会の評価、目標や方針の設定、活動結果の評価、改善の要否判断等は、組織の意思決定プロセスを通じて実施されます。

デジタル技術やAIは、情報の整理、分析、検討材料の提示等を支援し得ますが、最終的な判断と説明責任を自動的に代替するものではありません。運用上、この前提の理解が不十分な場合、責任の所在が不明確となり、結果としてマネジメントシステムの有効性に影響を及ぼす可能性があります。

7．「有効性」の観点を運用の中心に据える

ISO規格における「有効性」は、要求事項を形式的に満たすことに留まりません。組織の目的や方針に照らし、意味のある結果を生み、改善につながっているかが問われます。

業務の複雑化と情報量の増加が進む中で、情報を適切に整理・活用することは、有効性を高める上で重要な要素となります。デジタル技術の活用は、そのための手段として位置づけることができ、規格の趣旨（プロセス運用、PDCA、リスクに基づく考え方）と整合し得ます。

8．本シリーズの位置づけ

本シリーズでは、ISOマネジメントシステム規格の基本的な考え方を軸に、デジタル技術・AIとの向き合い方を整理します。特定の技術やツール、または特定の運用方法の導入を推奨するものではなく、組織が自らの状況に照らして運用を見直す際の参考情報として提供することを目的とします。

本稿で整理した視点はAIに限らず、新たな技術が登場した場合にも適用可能な、ツール非依存の基本的な考え方として位置づけられます。

なお、本稿はISO/IEC 42001 AIマネジメントシステム規格を意図したものではございません。

効果的なマネジメントシステムの認証に関するお問い合わせは、MS認証部 (japan@nemko.com)までご連絡ください。