皆さん、こんにちは。
昨日は、「AIマネジメントの国際標準規格が発行、実は日本が主導の舞台裏」という日経XTECHさんのニュースがありました。
ちょっと、気になって、AIマネジメントの国際標準規格「ISO/IEC 42001(AIMS)」について、調べてみました。
分かりやすい記事は、「ISO 42001 AIマネジメントシステムが企業にとって意味するもの」ですね。
でも、ちょっと、長いので、要点だけ、まとめてみます。
ISO 42001とは何か?
公式には、「ISO 42001は、人工知能(AI)に関するマネジメントシステム(AIMS)を、組織内で確立、実施、維持し、継続的に改善するための要件を規定する国際規格」と定義されています。
一般的に、マネジメントシステムとは、組織が自らのビジネスの一部をガバナンスするために構築した、ポリシーやプロセス及び体制を指します。AIMSのケースでは、組織内でのAIの利用や開発を管理し、その品質と目的の達成を保証するための仕組みです。
https://www.citadel.co.jp/blog/2024/01/26/iso-42001-what-it-means-for-you/
ISO 42001と他のAI関連規格とは何が異なるのか?
これまでのところ、SC 42委員会は、AI開発のさまざまな側面に焦点を当てた数十の技術文書をすでに発行しています。例えば、ISO/IEC TS 4213:2022は、機械学習の分類性能の評価に焦点を当てており、AIが搭載された製品の性能を定量的に計測する際に適用されます。
そうした製品レベルの規格に比べ、ISO 42001は、AIに対する組織レベルのアプローチに焦点を当てており、適切な予防策や改善策を講じることで、AI関連のリスクを管理する実践的な方法を、マネジメントシステム規格として提示しています。マネジメントシステムを構築し、ISO 42001に適合するためには、以下対応が必要となります。
- AIの開発・利用時における、組織内のさまざまなユースケース、プロセスならびにポリシーに関わる全社レベルでの再調査
- 現在組織内で利用されている実践方法や、ポリシー、システム、ツール、ドキュメンテーションの評価ならびに更新
- 製品化やサービス提供段階における、既存のあるいは見直したプロセスが実際に実践されていることのエビデンスの提示
ただし、組織レベルのマネジメントシステム原則が、実際に現場で適用されていることを確認するには、製品レベルあるいはプロジェクトレベルの具体的かつ相当量のエビデンスを提示することも求められます。このため、組織内部で利用するツール、モニタリング、その他の技術的な仕組みの構築に関わるプロジェクトレベルでの評価や、ドキュメンテーションが必要となります。
https://www.citadel.co.jp/blog/2024/01/26/iso-42001-what-it-means-for-you/
規格の中で最も実務に即した部分は附属書
規格の中で最も実務に即した部分は附属書であり、そこには、組織が適合のために実施しなければならない管理項目のリストが含まれています。
https://www.citadel.co.jp/blog/2024/01/26/iso-42001-what-it-means-for-you/
- B.6.2.4: AI システムの検証と妥当性の確認。開発者は、AI モデルとデータセットに対する標準化された評価手順を実装する必要があることが規定されています。
- B.6.2.8: AI システムのイベントログ記録。開発者は、運用時の入出力、および潜在的な異常値を記録するロギングシステムを持つ必要があることが規定されています。
- B.7.4: AI システムのデータ品質。開発者は、学習データと運用データの品質を定義および測定し、データの偏りがパフォーマンスに与える影響を考慮する必要があります。
最近は、AI の開発手順が、標準化されてきているのを感じています。
先日書いたブログの記事【「MMM 生成AIモデル Gemini 1.0」を活用したAI開発入門】の 「AIパイプライン」相当のものです。
逆に、便利なユーザ・インタフェースを備えて、ノーコードで、実装できる パイプラインにアクセスできない ChatGPT などは、ISO42001 の取得ができないということになりますね…
時間の問題で、ユーザに、AIパイプラインが、解放がされるということになるのかもしれませんが…
また、昨日、「生成AI法規制、政府に促す 自民が偽情報や権利侵害防止」というニュースもありました。「特定AI基盤モデル開発者」は、ChatGPT を開発している Open AI さんなどが、該当するようです。【政府への定期的な報告。また、第三者が脆弱性を検出したりする体制整備を義務付ける。】ということですが、法律としては、細かく規定せず、業界団体のルールに、委ねるという方向性みたいです。
文面を読む限り、ISO42001 を意識しているように感じます。
本内容に、ご興味を持たれた方は、お問い合わせフォーム より、お問い合わせください。