ISOマネジメントシステムとAI ― 規格の考え方に基づく、デジタル技術との向き合い方　　　第4回　AI活用における管理ルールの考え方 ― ISOマネジメントシステムにおける実務対応の整理

1．はじめに ― AI活用の進展と管理の必要性

近年、AIを活用した業務支援の導入が進み、文書作成、情報整理、分析支援など、多様な業務で利用される場面が増えています。これらの技術は、業務の効率化や情報活用の高度化に寄与する可能性を有しています。

一方で、AIの活用にあたっては、出力結果の妥当性、情報の取扱い、意思決定との関係、説明可能性など、組織として整理すべき事項が存在します。特に、ISOマネジメントシステムの運用においては、AIを「どの業務プロセスに、どの目的で、どのような管理の下で」活用するのかを明確にし、運用の一貫性と信頼性を確保することが重要となります。

例えば、AIが生成した内容をどの段階で確認するのか、どの業務に適用するのか、どのような情報を入力してよいのかといった点にルールがない場合、運用のばらつきや判断の不整合が生じ、結果としてマネジメントシステムの有効性や説明可能性に影響する可能性があります。したがって、AIは「導入の有無」よりも「管理の仕組み」を整えた上で運用することが要点になります。

2．ISO規格とAI活用の関係（技術の可否ではなく、管理と有効性）

ISOマネジメントシステム規格は、特定の技術や手段の使用を一律に制限することを目的としていません。AIの活用についても、組織が適切と判断した手段として位置づけることが可能です。

その際に規格の観点から重視されるのは、手段そのものではなく、以下の事項です。

• 活動が適切に管理されていること
• 結果が評価され、必要に応じて改善につながっていること
• 組織として説明可能な状態（目的、ルール、責任、記録等）にあること

また、AIの開発・提供・利用を行う組織向けには、AIマネジメントシステム規格（ISO/IEC 42001）が国際規格として公表されており、AIに関するガバナンスと管理の枠組み（確立、実施、維持、継続的改善）を示しています。ISO/IEC 42001は、AI活用を「管理対象として捉える」際の整理に資する参照情報になり得ます。

3．AI活用における基本的な管理観点（目的・範囲・リスク・責任）

AIを業務に活用する場合、ISOの一般的な管理の考え方（計画、実行、評価、改善）に沿って、少なくとも次の観点で整理することが重要です。

• 使用目的（何のために使うか）
• 適用範囲（どの業務／プロセスで使うか、使わない領域はどこか）
• 利用に伴うリスクと機会（誤情報、偏り、情報漏えい、効率化等）
• 管理責任と役割分担（誰が管理し、誰が確認し、誰が承認するか）

例えば、文書作成支援としてAIを利用する場合と、分析補助として利用する場合では、求められる確認の深さ、記録の残し方、承認の位置づけが異なり得ます。目的と範囲を先に定義しておくことで、運用の一貫性と説明可能性を確保しやすくなります。

4．文書化しておくことが望ましい事項（運用のばらつきを抑制）

AIの活用にあたっては、必要に応じて運用ルールを文書化することが有効です。文書化により、組織内の認識の統一と運用のばらつき抑制が期待できます。文書化した情報（documented information）は、組織の状況に応じて範囲が異なり得る一方、マネジメントシステムの一部となる場合は適切に統制される必要がある、という考え方が示されています。

文書化の対象として、一般に次のような事項が考えられます（いずれも特定の方式を推奨するものではなく、管理観点の例示です）。

• AIの利用目的および適用範囲（対象プロセス、対象業務、対象外領域）
• 利用可能な業務および制限事項（禁止用途、注意用途など）
• 入力情報の取扱いルール（機密情報・個人情報・顧客情報等の可否、持ち出しの扱い）
• 出力内容の利用方法と制約（そのまま転記の可否、引用・参照の扱い、対外文書での扱い）
• 確認および承認のプロセス（確認者、基準、承認権限、記録）
• 情報セキュリティおよびデータ保護に関する留意事項（社内規程、契約条件、法令等との整合）

5．確認および承認プロセスの重要性（最終判断と責任は組織に残る）

AIを活用した場合であっても、最終的な判断と説明責任は組織にあります。そのため、AIの出力結果については、用途とリスクに応じた確認プロセスを設定し、運用することが重要です。

確認・承認の整理例としては、次の要素が挙げられます。

• 内容の妥当性確認（正確性、完全性、目的との整合）
• 規格要求や社内ルールとの整合確認（用語、責任分担、手順、記録要件等）
• 必要に応じた修正と承認（承認権限者による最終確定）

特に、対外的に使用される文書、顧客への説明資料、重要な意思決定に関わる情報については、確認範囲と承認の位置づけを明確にしておくことが望まれます。

6．リスク管理の視点（リスクに応じた管理の強弱）

AIの活用に伴い、一般に次のようなリスクが想定されます。

• 誤った情報や不正確な内容の出力（いわゆる誤生成を含む）
• 機密情報や個人情報の不適切な取扱い
• 判断プロセスの不透明化（説明が困難になる）

・AIへの過度な依存による力量低下、チェックの形骸化

これらに対しては、利用範囲の制限、確認プロセスの明確化、教育・周知、記録の残し方の整理などにより、リスクに応じた管理を設定することが重要です。AIリスク管理の枠組みとして、NISTのAIリスクマネジメントフレームワーク（AI RMF 1.0）は、幅広い組織での自主的なAIリスク管理に資する枠組みとして公開されています。

7．外部審査における確認視点（「AIの使用」ではなく「管理の仕組み」）

外部審査においては、AIの使用そのものが評価対象となるのではなく、AIの活用がマネジメントシステムの中でどのように位置づけられ、どのように管理されているかが確認されます。主な観点は次のとおりです。

• AI活用の目的と範囲が整理されているか
• 利用に関するルール（文書化の要否を含む）が定められているか
• 実運用がルールに基づいて行われているか
• 出力結果に対する確認・承認プロセスが機能しているか
• 組織として説明可能な状態（責任、記録、統制）が確保されているか

なお、審査・評価でICTを用いる場合の枠組みとして、IAFはICT利用に関する必須文書（IAF MD 4）を公表しており、ICT利用に際して情報セキュリティやデータ保護等を考慮し、相互合意の下で実施することなどが示されています。

このため、AIを含むデジタル手段を用いる場合には、審査時の提示・確認の方法（アクセス性、記録、セキュリティ等）も含め、説明できる状態に整理しておくことが有用です。

8．具体例 ― AI活用における運用整理の視点

AI活用の運用は、手段の種類ではなく、管理の在り方で整理されます。例えば、文書作成にAIを活用する場合に、

• 初稿の作成にAIを利用する
• 担当者が内容確認を実施する（事実関係、用語、整合の確認）
• 責任者が承認する（対外文書等の確定）

といったプロセスが明確であれば、手段と責任が区別された状態として説明しやすくなります。

また、入力情報の範囲（入力してよい情報・禁止情報）や取扱いルールが定められている場合、情報管理の観点でも統制された状態として整理されます。

一方で、AIの出力をそのまま使用して確認・承認が行われていない場合や、利用範囲が不明確な場合には、管理上の課題（統制不十分、説明困難、リスク未整理）として整理される可能性があります。

9．まとめ ― 手段の活用と管理の明確化

AIは、業務の効率化や情報活用の高度化に寄与し得る手段の一つです。一方で、ISOマネジメントシステムの枠組みで捉える場合、AIを特別扱いするのではなく、他の手段と同様に、組織の管理の中で適切に位置づけることが重要となります。

要点は次のとおりです。

• 利用目的および範囲の明確化
• 確認および承認プロセスの整備
• リスクの把握と管理（リスクに応じた管理の強弱）
• 組織としての責任と説明可能性の確保

10．本シリーズの位置づけ

本シリーズでは、ISOマネジメントシステム規格の基本的な考え方を軸に、デジタル技術・AIとの向き合い方を整理します。特定の技術やツール、または特定の運用方法の導入を推奨するものではなく、組織が自らの状況に照らして運用を見直す際の参考情報として提供することを目的とします。

本稿で整理した視点はAIに限らず、新たな技術が登場した場合にも適用可能な、ツール非依存の基本的な考え方として位置づけられます。

なお、本稿はISO/IEC 42001 AIマネジメントシステム規格を意図したものではございません。

効果的なマネジメントシステムの認証に関するお問い合わせは、MS認証部 (japan@nemko.com)までご連絡ください。