受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
AIの活用には、バイアス、プライバシー、セキュリティ、倫理的課題などの多様なリスクが伴います。経済産業省・総務省の「AI事業者ガイドライン」では、日本が2019年に公表した「人間中心のAI社会原則」(7つの原則)をもとに、AIで想定されるリスクを10の原則に細分化し、それぞれの主なリスクを整理しています。
| 項目 | 共通の指針 | 主なリスク |
| 1) 人間中心 | 人間の尊厳及び個人の自律、AIによる意思決定・感情の操作等への留意、偽情報等への対策、多様性・包摂性の確保、利用者支援、持続可能性の確保 | ⚫︎ 人間の尊厳及び個人の自律を損なうリスク(プロファイリング時の配慮の必要性等)
⚫︎ AIにより意思決定・感情の操作をされてしまうリスク ⚫︎ 偽情報などのリスク ⚫︎ 多様性や包摂性が確保されないリスク ⚫︎ 地球環境への影響のリスク |
| 2) 安全性 | 人間の生命・身体・財産、精神及び環境への配慮、適正利用、適正学習 | ⚫︎ 動作が止まる、低下するリスク
⚫︎ 意図しない動作のリスク ⚫︎ ステークホルダーがリスクを知らないリスク ⚫︎ 目的外に利用してしまうリスク ⚫︎ 学習データに十分な品質がないリスク ⚫︎ 学習データのコンプライアンスリスク |
| 3) 公平性 | AIモデルの各構成技術に含まれるバイアスへの配慮、人間の判断の介在 | ⚫︎ バイアスによる公平性を損なうリスク(潜在的なバイアスを含む)
⚫︎ 人間の介在が不足するリスク ⚫︎ バイアスの評価プロセスが不十分なリスク |
| 4) プライバシー保護 | AIシステム・サービス全般におけるプライバシーの保護 | ⚫︎ プライバシーを侵害するリスク |
| 5) セキュリティ確保 | AIシステム・サービスに影響するセキュリティ対策、最新動向への留意 | ⚫︎ 不正操作のリスク
⚫︎ AIシステム自体へのセキュリティ侵害へのリスク ⚫︎ 不正データが使われるリスク |
| 6) 透明性 | 検証可能性の確保、関連するステークホルダーへの情報提供、合理的かつ誠実な対応、関連するステークホルダーへの説明可能性・解釈可能性の向上によりコストを削減する。 | ⚫︎ 検証ができないリスク
⚫︎ ステークホルダーに十分な情報提供がされないリスク ⚫︎ 合理的な情報提供を求められるリスク |
| 7) アカウンタビリティ | トレーサビリティの向上、「共通の指針」の対応状況の説明、責任者の明示、関係者間の責任の分配、ステークホルダーへの具体的な対応、文書化 | ⚫︎ トレーサビリティ情報が入手できないリスク
⚫︎ 共通の指針への対応状況が報告されないリスク ⚫︎ 責任が明確にならないリスク ⚫︎ ステークホルダーと適切なコミュニケーションが取れないリスク ⚫︎ 各種情報をドキュメンテーションできていないリスク |
| 8) 教育・リテラシー | AIリテラシーの確保、教育・リスキリング、ステークホルダーへのフォローアップ | ⚫︎ AI利用者が判断能力を持たないリスク
⚫︎ AIにより雇用が奪われるリスク ⚫︎ ステークホルダーが技術などの進化に追随できないリスク |
| 9) 公正競争確保 | ⚫︎ AIに関して公正な競争が阻害されるリスク | |
| 10) イノベーション | オープンイノベーション等の推進、相互接続性・相互運用性への留意、適切な情報提供 | ⚫︎ AIのイノベーションが阻害されるリスク
⚫︎ 相互運用性が確保されないリスク ⚫︎ AIに関する情報が十分に伝達されないリスク |
この表は、企業がAIリスクを網羅的に特定し、評価するための実用的なチェックリストとして機能します。多様なリスクを体系的に理解することで、見落としを防ぎ、効果的なリスクアセスメントの基盤を築くことができます。特に、技術的リスクだけでなく、倫理的・社会的・経済的リスクまで含めることで、AIガバナンスの全体像を把握し、多角的な視点から対策を検討する上で不可欠な情報となります。
特に生成AI特有のセキュリティリスクとして、著作権侵害のリスク、ビジネスデータの漏洩リスク(機密情報や個人情報の入力による)、攻撃者による生成AI悪用によるセキュリティ攻撃の助長(フィッシングメールやマルウェア開発)が挙げられます。リスクは、ISO 31000では「物事の不確実性に影響があるもの」と定義されており、これはネガティブな影響だけでなく、ポジティブな影響(機会)も含む概念です。欧州AI法(EU AI Act)では、AIのリスクレベルを「受け入れがたいリスク」「ハイリスク」「限定的なリスク」「ミニマムリスク」の4段階に分類し、それぞれに応じた規制アプローチを検討しています。
ISO/IEC 42001は、AIシステムを適切に開発、提供、または使用するために必要なマネジメントシステムを構築する際に遵守すべき要求事項を、リスクベースアプローチによって規定しています。このアプローチは、組織がAIシステムに内在するリスクを特定し、軽減するための体系的な方法を提供することを目的としています。ISO/IEC 42001は、リスク評価プロセスから、適切な処置オプションの選択、必要な管理策の実施に至るまで、リスクを積極的に最小化し、AIシステムの回復力を強化するために必要なツールを組織に提供します。規格は、組織がAI関連のリスクに包括的に対処するために、38の管理策と10の管理目標(付録参照)の実施を求めています。
AIの急速な進化とそれに伴うリスクの多様性は、一律の厳格な法規制では対応しきれないという課題を提起します。この状況において、ISO/IEC 42001がリスクベースアプローチを中核に据えていることは、非常に戦略的な意味合いを持ちます。これは、組織が個々のAIシステムの特性、利用目的、および潜在的な影響度に基づいて、リスクを評価し、それに応じた管理策を柔軟に適用することを可能にします。これにより、過剰な規制によるイノベーションの阻害を防ぎつつ、高リスクなAIシステムに対しては厳格な管理を求めるという、バランスの取れたアプローチが実現されます。このような柔軟性は、技術の進歩が速いAI分野において、規格が陳腐化することなく、長期的にその有効性を維持するための重要な要素となります。
ISO/IEC 42001では、AIリスクアセスメントとAIシステム影響度評価が重要な要素として位置づけられています。AIリスクアセスメントは、AIに関連するリスクの重要性と範囲を特定し、分析し、評価するプロセスです。これには、バイアス、プライバシー侵害、誤判断などのリスクを特定することが含まれます。リスクの特定にあたっては、自社の管理下にあるか否かを問わず、災害など外部で発生する可能性のあるリスクも考慮することが望ましいとされています。
AIシステム影響度評価は、AIシステムの開発、提供、および使用が個人、グループ、社会に与える潜在的な影響を評価するものです。例えば、人権侵害、情報漏洩、雇用減少といった課題が挙げられます。この評価は、AIリスクアセスメントの際に実施することが推奨されています。
これらの取り組みは、ISO/IEC 42001の「6. 計画」段階でプロセスを設計し、「7. 支援」段階で必要な文書を作成し、「8. 運用」段階で実行することが求められています。リスク分析においては、意見の相違や先入観による影響を避け、不確かで複雑な事象に対しては定性・定量など複数の手法を組み合わせて分析を行うことが重要です。リスク対応策としては、リスク回避、リスク追求、リスク除去、確率変更、結果変更、リスク共有、リスク保有といった選択肢が挙げられます。
ISO 31000は、リスクマネジメントの指針を示した国際規格であり、組織がリスクを適切に管理し、事業運営の信頼性を高めるためのフレームワークを提供します。この規格は、リスクマネジメントのベストプラクティスを学ぶ上で活用できます。ISO 31000は、リスクマネジメントの全体を「原則」、「枠組み」、「プロセス」で説明しており、そのプロセスには、コミュニケーションおよび協議、組織の状況の確定、リスク特定、リスク分析、リスク評価、リスク対応、モニタリングおよびレビュー、記録作成および報告が含まれます。
ISO 31000の指針を使用することで、リスクの洗い出しからリスク対応計画の策定までのプロセスを体系的に行うことができます。これにより、リスク発生時の損失を最小化し、リスクに対する事前管理を整えることが可能になります。また、ISO 31000に準拠することで、危機管理体制が必要十分であることを社外へ発信しやすくなるメリットも得られます。AI特有のリスクを特定し管理する上で、ISO 31000が提供する包括的なリスクマネジメントの枠組みは、ISO/IEC 42001の実践において強力な基盤となります。