ISOマネジメントシステムとAI ― 規格の考え方に基づく、デジタル技術との向き合い方　　　　第2回　ISO規格から見た「手段の選択」と責任の考え方 ― デジタル技術・AIをどう捉えるべきか

1．はじめに ― 技術活用が進む中での戸惑い

近年、多くの組織で業務のデジタル化が進み、AIを含む各種技術が日常的に活用されるようになっています。文書作成、情報整理、データ分析、意思決定支援など、その適用範囲は広がっています。

一方で、ISOマネジメントシステムの運用担当者・管理者の立場では、「こうした技術活用が規格の要求事項とどのように関係するのか」「外部審査ではどのように評価されるのか」といった疑問が生じやすいのも事実です。例えば、AIで作成した文書をそのまま使用してよいのか、どの範囲まで人が確認すべきかといった点は、組織の状況や用途により整理の仕方が異なるため、一律の基準として理解しにくい場面があります。

特に「AI」という言葉は、「自動で判断する」「人に代わって結論を出す」という印象と結びつきやすく、ISO規格が前提とする“組織としての意思決定と責任”との関係が曖昧に感じられる要因になり得ます。その結果、技術活用に慎重になり過ぎ、得られる効果を十分に活かしきれていないケースも見受けられます。

こうした不安や戸惑いは、ISO規格が求めている事項（要求事項）と、規格が特定していない事項（手段の選択）を切り分けて整理することで、理解しやすくなります。本稿では、「手段の選択」と「責任の所在」という観点から、デジタル技術・AIの位置づけを整理します。

2．ISO規格は「やり方」ではなく「枠組み（考え方）」を示している

ISOマネジメントシステム規格の特徴は、具体的な業務手順や使用すべきツールを細かく規定しない点にあります。抽象的に見えることがありますが、これは欠点ではなく、業種・規模・成熟度の異なる多様な組織に適用できるよう設計されているためです。

例えばISO 9001は、プロセスアプローチにPDCAサイクルとリスクに基づく考え方（risk-based thinking）を組み合わせる枠組みを示し、組織が自らのプロセスと相互作用を計画し管理することを意図しています。

この考え方に照らすと、規格が示しているのは「組織として何を考え、何を管理し、何を評価し、何を改善するか」であり、「どのツールで行うか」は原則として組織が自ら選択する事項として整理されます。

3．「手段の選択」は組織に委ねられている（ただし有効性・整合性が要点）

ISO規格において、「どのような手段を用いるか」は組織の裁量に委ねられています。文書の作成方法、情報の管理方法、会議の進め方、データ分析の方法などについて、規格は特定のツールや方法を指定しません。

重要なのは、選択した手段が少なくとも次の観点でマネジメントシステムと整合しているかどうかです。

• 組織の目的、方針、目標と整合しているか
• 実際の業務実態（役割、権限、判断基準、インターフェース）を適切に反映しているか
• 結果が評価され、必要に応じて改善につながる仕組みになっているか（有効性の観点）

したがって、AIを含むデジタル技術を用いること自体が、直ちに規格上の問題になるわけではありません。論点になり得るのは、手段の利用が無秩序であったり、結果に対する確認・管理・説明の仕組みが整っていなかったりする場合です。

4．AI活用と外部審査の関係（「AIの可否」ではなく「運用の整合・有効性」）

外部審査においても、ISO規格がAIの使用可否を直接規定するものではありません。審査で確認されるのは、一般に次のような観点です。

• その方法（手段）を採用した背景や目的、期待する効果が説明できるか
• マネジメントシステム全体（プロセス、責任分担、力量、記録、リスク・機会の取扱い等）と整合しているか
• 活動結果が評価され、改善につながっているか（有効性）

つまり、「AIを使っているかどうか」ではなく、「組織としての運用が説明可能で、管理され、有効に機能しているか」が中心となります。なお、審査にICTを活用する場合の考え方として、IAF（国際認定フォーラム）はICTの利用に関する必須文書（IAF MD 4）を発行しており、ICT活用そのものは必須ではない一方、活用する場合は当該文書への適合が求められる旨が示されています。

5．「手段」と「責任」を切り分けて考える重要性（責任は常に組織に残る）

ISOマネジメントシステムを理解する上で重要なのが、「手段」と「責任」を切り分ける視点です。どのような手段を選択しても、活動結果に対する責任は組織にあります。

AIを活用する場合でも、例えば次の点は組織（人）が担う領域として整理することが基本になります。

• アウトプットが目的に照らして適切か（正確性、妥当性、完全性）
• 組織の方針・目標・要求事項と整合しているか
• 最終的な判断として採用できるか（意思決定と説明責任）

AIは判断材料の整理や分析の補助になり得ますが、意思決定や責任そのものを自動的に移転するものではありません。ここが曖昧になると、責任の所在が不明確となり、マネジメントシステムの信頼性や有効性に影響する可能性があります。

なお、AIの開発・提供・利用を行う組織向けに、AIマネジメントシステム規格（ISO/IEC 42001）が国際規格として公表されており、組織としてのガバナンスや説明責任等を含む枠組みが示されています。AIの活用が広がる中で、関連する国際規格の動向を把握しておくことは、情報収集の観点から有益です。

6．審査で求められる「説明できる状態」（技術の中身ではなく管理の仕組み）

外部審査で重要視されるのは、「何をしたか」だけでなく、「なぜそうしたのか」「どのように管理しているのか」を説明できる状態です。デジタル技術やAIを活用している場合でも、少なくとも次の点が整理されていれば、審査上の論点は過度に拡大しにくくなります。

• 使用目的、対象範囲、位置づけ（どのプロセスで、何のために使うか）が明確である
• 運用ルール（利用者、手順、記録、変更管理、情報の取扱い等）が定められている
• 結果の妥当性確認が組織として行われている（誰が、どの範囲を、どの基準で確認するか）

審査の観点は、技術の高度さや内部ロジックそのものではなく、組織がマネジメントシステムの枠組みの中で、プロセスとして管理し、有効性を確保しているかに置かれます。監査の一般的な指針として、ISO 19011はマネジメントシステム監査の指針（原則、監査プログラムの管理、監査の実施、力量の評価等）を示しています。

7．まとめ ― 柔軟な手段選択と明確な責任

ISOマネジメントシステム規格は、特定の手段を強制するものではありません。デジタル技術やAIも、組織の状況に応じて、手段として適切に位置づけることが可能です。

重要な要点は次のとおりです。

• 手段は、目的・状況に応じて柔軟に選択し得る
• 意思決定と責任は組織（人）が担う
• 組織として説明できる状態（目的、ルール、確認、記録）を維持する

これらを踏まえることで、技術の進展とISO規格の要求事項を、無理なく両立させる整理が可能になります。

8．本シリーズの位置づけ

本シリーズでは、ISOマネジメントシステム規格の基本的な考え方を軸に、デジタル技術・AIとの向き合い方を整理します。特定の技術やツール、または特定の運用方法の導入を推奨するものではなく、組織が自らの状況に照らして運用を見直す際の参考情報として提供することを目的とします。

本稿で整理した視点はAIに限らず、新たな技術が登場した場合にも適用可能な、ツール非依存の基本的な考え方として位置づけられます。

なお、本稿はISO/IEC 42001 AIマネジメントシステム規格を意図したものではございません。

効果的なマネジメントシステムの認証に関するお問い合わせは、MS認証部 (japan@nemko.com)までご連絡ください。