ISO/IEC 23894とは

ISO/IEC 23894とは、AIを開発・提供・利用する組織が、AI特有のリスクをどう管理すればよいかを示した国際的な手引き（ガイダンス）で、2023年に発行されました。正式名称は「情報技術における人工知能のリスクマネジメントに関する手引（Guidance on risk management）」です。

何のための規格か

AIには、学習データの偏りによる差別的な出力、プライバシーの問題、判断の理由が分かりにくいこと、想定外のふるまいなど、従来のシステムにはなかった固有のリスクがあります。ISO/IEC 23894は、そうしたリスクをどう洗い出し、評価し、対処していくかの考え方を整理した手引きです。重要なのは、これがあれをしなさい・これは禁止、と細かく命じる規格ではなく、各組織が自社の状況に合わせて使う「参考書」に近いものと捉えると、性格を取り違えません。

「認証」と取り違えない

経営の現場でよくある誤解が、「ISO/IEC 23894を取得しました」という言い方です。これはガイダンス（手引き）であり、認証を取れる規格ではありません。組織として認証を受けられるのは、姉妹規格にあたるISO/IEC 42001（AIマネジメントシステム）のほうです。整理すると、23894は「AIリスクの扱い方の中身を示す参考書」、42001は「組織の管理の仕組みを認証できる基準」という役割分担になります。また、23894はまったく新しい発明ではなく、あらゆるリスク管理に使われてきた定番規格ISO 31000の考え方を、AI向けに当てはめて具体化したものです。AIのリスク管理も、根っこは従来のリスク管理と地続きだといえます。

ISO/IEC 23894に関するよくある質問

ISO/IEC 23894は「取得」できる認証ですか？

いいえ。これはガイダンス（手引き）であり、認証を取れる規格ではありません。「取得しました」という言い方は誤解で、組織として認証を受けられるのは姉妹規格のISO/IEC 42001（AIマネジメントシステム）のほうです。23894は「AIリスクの扱い方の中身を示す参考書」という役割です。

ISO/IEC 42001とはどう違うのですか？

役割分担が違います。23894はAIリスクの洗い出し・評価・対処の考え方を示すガイダンス（参考書）、42001は組織の管理の仕組みを第三者認証できる基準です。中身の手引きが23894、認証の規格が42001、と整理すると分かりやすいでしょう。

ISO/IEC 23894はAI専用にゼロから作られたのですか？

いいえ。ベースは、企業のリスク管理で長く使われてきた定番規格ISO 31000です。その確立された枠組みを、学習データの偏りや判断の不透明さといったAIならではの論点に合わせて具体化したものです。新しい技術のリスクでも、向き合い方の基本は従来のリスク管理と地続きだといえます。