ISO/IEC 38507とは
ISO/IEC 38507とは、組織の取締役会や経営層が、AIの利用にどう向き合い統治すればよいかを示した国際的な手引き(ガイダンス)です。2022年に発行されました。AIを使うことが組織の意思決定や説明責任に与える影響を扱います。
英語表記:Information technology – Governance of IT – Governance implications of the use of artificial intelligence by organizations
技術者ではなく「経営の舵取り役」に宛てた規格
AIに関する規格の多くは、技術者や実務担当に向けて書かれています。一方この規格が読み手に想定するのは、取締役会や経営層といった組織の統治を担う人たちです。AIをどう作るかではなく、AIを組織で使うことが統治のあり方や意思決定、説明責任にどんな影響を与えるかを整理しています。情報システムのガバナンスを定めた規格群の一員で、その「AI版」にあたると捉えると位置づけが分かりやすいでしょう。
経営層が問うべきこと
では具体的に何を問うのか。AIに判断の一部を委ねたとき、その結果の責任は誰が負うのか。学習データやアルゴリズムに潜むリスクを、経営はどこまで把握しているか。こうした論点を統治の視点から扱います。AIの説明責任は、現場や技術部門ではなく最終的に経営層にあるという前提に立つのが、この規格の核心です。「導入は任せた」では済まないことを、国際規格として明文化したものといえます。
Topicめずらしく、取締役会そのものが読者の規格
AI関連の国際規格は、開発手法やリスク評価など技術寄りのものが大半です。そのなかでISO/IEC 38507は、統治を担う取締役会・経営層に特化してAI統治の含意を扱った初の国際規格とされています。「AIは詳しい人に任せておけばいい」という発想からの転換を促す一冊。経営の意思決定者が自ら手に取ることを想定して書かれている点が、この規格の個性なのです。
ISO/IEC 38507に関するよくある質問
- ISO/IEC 38507は認証を取得できる規格ですか?
- いいえ。これは経営層がAIの統治をどう担うかを示す手引き(ガイダンス)であり、第三者認証を取得する規格ではありません。
- ISO/IEC 42001とはどう使い分けますか?
- 42001が組織のAI管理の仕組みを定め認証も取れるのに対し、38507は取締役会・経営層が統治の観点で何を問うべきかを示します。実務の仕組みと、上に立つ統治の視点という役割分担です。
- 中小企業の経営者にも関係しますか?
- 対象は規模を問わずあらゆる組織です。AIに判断を委ねる場面が一部でもあれば、その責任の所在を経営者が把握しておく指針として役立ちます。
