企業チーム向けのISO 42001導入に関するステップバイステップガイド—ギャップ分析、附属書A管理策、認証監査、そしてEU AI法との整合までを網羅。
•
•
32 最小読了時間
トピック
2026年4月時点で、ISO/IEC 42001の認証を取得した組織の一覧は、企業向けAIの“誰が誰か”を示す名簿のようです。IBMはGraniteモデル、AnthropicはClaude、Microsoftは365 Copilot、KPMG Australiaはアドバイザリー業務全般、そしてシンガポールのチャンギ空港は運用AIシステムで認証を受けています。[1] 2023年12月に発行されたこの規格は、公開から企業導入への移行が、多くの観測者の予測よりも速く進みました。そして、その勢いは加速しています。EU AI Actの高リスクシステムに関する義務の2026年8月の期限が近づいていることが、大きな推進力となっています。
しかし、ISO 42001の導入に関する多くのガイダンスは、「それは何か」「なぜ重要か」までで終わっています。ISO 42001準拠を達成する任務を負う企業チームが直面するのは、より実務的な問いです。どのように進めるのか。ギャップ分析はどのようなものか。どの文書が必要か。38の附属書A管理策は、運用実務にどのように落とし込まれるのか。そして、認証はEU AI Act準拠をどのように支援し、どのような点で代替しないのか。
本ガイドは、これらの問いに答えるものです。コンプライアンス担当者、AIガバナンス責任者、そしてISO 42001の導入を求められ、その実際の内容を把握する必要があるエンジニアリングチーム向けに執筆されています。
ISO 42001が求めるもの
ISO/IEC 42001は、人工知能マネジメントシステム(AIMS)に関する初の国際規格です。ISO 27001の情報セキュリティおよびISO 9001の品質マネジメントで用いられている同じ統合構造(旧 Annex SL)に従っており、これらの規格で既に認証を受けている組織には、マネジメントシステムの骨格がなじみ深いはずです。[2]
この規格の10の箇条は、7つの領域にわたって必須要求事項を定めています:
状況(箇条4): 組織のAIにおける役割(提供者、製作者、顧客またはパートナー)を定義し、利害関係者を特定し、AIMSの適用範囲を決定する
リーダーシップ(箇条5): AI方針を確立し、役割と責任を割り当て、経営層のコミットメントを確保する
計画(箇条6): AIリスクアセスメントを実施し、AIシステムの影響評価を行い、目標を定義する
支援(箇条7): 資源を割り当て、力量を構築し、文書化された情報を維持する
運用(箇条8): 管理策を実施し、リスク対応計画を実行し、運用プロセスを管理する
パフォーマンス評価(箇条9): AIMSの有効性を監視・測定し、内部監査を実施し、マネジメントレビューを行う
改善(箇条10): 不適合に対処し、是正処置を講じ、継続的改善を推進する
ISO 27001との違い
ISO 27001に馴染みのある組織であれば、その構造には見覚えがあるでしょう。違いは、その上に重ねられたAI固有の内容にあります。
箇条4.1では、組織に対しAIエコシステムにおける自らの役割を定義することを求めています。これはISO 27001には対応概念がありません。大企業は、AIを活用した製品を顧客に提供するAI提供者、社内で第三者のAIツールを利用するAI顧客、別の組織のAIシステムにデータを供給するAIパートナーを同時に担うことがあります。AIMSの適用範囲は、組織が担うすべての役割を反映しなければなりません。
箇条6.1.4は、AIシステム影響評価を導入します。これは、AIの導入が個人、集団、社会に及ぼし得る潜在的結果を、正式に文書化して評価するものです。これは、組織リスク評価(ISO 27001の実務者にはおなじみでしょう)を超えて、アルゴリズムバイアスが採用判断に与える影響、自動化システムによる金融サービスの拒否、監視技術による市民的自由の侵害といった外部被害を考慮します。手法についての規定は比較的少ないものの、実質的には、従来のリスク登録簿よりもGDPRのデータ保護影響評価に近い考え方です。
そして附属書Aは、完全に新しいものです。ISO 27001の附属書Aが93の情報セキュリティ管理策で構成されるのに対し、ISO 42001の附属書Aは、AIガバナンスに特化した9つのドメインにわたる38の管理策で構成されています。[3]
38の管理策:附属書Aが実際に求めるもの
附属書Aは、この規格の運用上の中核です。38の管理策は9つのドメインに整理されており、それぞれが責任あるAIマネジメントの異なる側面を対象としています。
ドメイン | 焦点 | 主要な管理策 |
|---|---|---|
A.2 - AI方針 | AI方針の存在と適切性 | 組織目的と整合したAI方針; 定期的な見直しと更新 |
A.3 - 内部組織 | 説明責任とガバナンス構造 | AIガバナンスの役割定義; 部門横断の連携メカニズム |
A.4 - AIシステムのための資源 | データ、ツール、計算資源、人材の力量の十分性 | データ品質評価; インフラの十分性; 技能・力量要件 |
A.5 - 影響評価 | AIの結果を評価するための方法論 | 文書化された影響評価プロセス; 個人および社会への影響評価 |
A.6 - AIシステムのライフサイクル | 設計、開発、試験、展開、廃止にわたる管理策 | 開発標準; 試験と妥当性確認; 変更管理; モデルの廃止 |
A.7 - データ管理 | データ品質、来歴、保護 | データ系譜の文書化; データ品質管理; データ保護措置 |
A.8 - 透明性 | 説明可能性と利害関係者への開示 | AIの能力と限界の文書化; 利害関係者に適した説明 |
A.9 - AIシステムの利用 | 人による監督と適切な利用 | 人間介入の明確なトリガー; 適切な利用方針; 運用中のAI監視 |
38の管理策すべてが、すべての組織に対して必須というわけではありません。規格では、適用宣言書(SoA)を要求しています。これは、各附属書A管理策を一覧化し、AIMSに含めるか除外するかを示し、除外する場合はその正当性を示す文書です。SoAは、監査人が最初に求める文書の一つであり、その品質が監査全体の基調を左右することも少なくありません。AIポートフォリオの大きい組織では、SoAにより階層的なガバナンスも実現できます。すなわち、低リスクの導入にはより軽量なアプローチを取りつつ、高リスクシステムには附属書A管理策の完全な深度を適用し、そのリスクベースの根拠が文書化されていることを前提とします。
附属書Bは、各管理策の実施ガイダンスを提供します。附属書CはAIリスク源をマッピングし、附属書Dは分野別標準を相互参照します。これら4つの附属書が一体となって、包括的な導入参照資料を形成します。
ISO 42001導入:認証までの7ステップ
ステップ1:適用範囲を定義し、AIインベントリを構築する
まず何よりも先に、AIMSの境界に含まれるものを定義します。これは、組織が構築、購入、展開、または貢献するあらゆるAIシステムを棚卸しすることを意味します。第三者ツール、ソフトウェア製品に組み込まれたAI、API経由で利用するAIサービスも含みます。
このステップは、一般に想像以上に難しいものです。シャドーAI――IT部門の可視化がないまま、従業員がChatGPT、Copilot、その他のAIツールを利用している状態――は、この段階で見つかることが非常に多くあります。最低限、インベントリには、システム名と目的、AI上の役割(提供者、顧客、パートナー)、入力・出力データ、展開状況、リスク分類、システムオーナーを含める必要があります。
また、適用範囲の決定は導入規模も左右します。最初は単一の事業部門または製品ラインにAIMSを限定し、その後拡張する組織もあります。最初から企業全体を対象とする組織もあります。最適解は組織の複雑性によりますが、初回から包括的に網羅しようとするよりも、狭く始めて拡大する方が一般には実務的です。
ステップ2:ギャップ分析を実施する
適用範囲を定義したら、現行の実務を、各箇条の要求事項(箇条4〜10)および適用可能な各附属書A管理策と体系的に比較します。コンプライアンス、法務、データサイエンス、エンジニアリング、製品、リスク管理を横断する部門横断チームを編成してください。
各ギャップについて、何が不足しているかを文書化し、重大度を評価し(高リスクAIシステムや中核的なガバナンス要件に影響するギャップを優先)、是正に要する工数を見積もります。既にISO 27001の認証を取得している組織では、箇条4〜10の多くのギャップは軽微であることが分かるでしょう。マネジメントシステムの基盤は、そのまま引き継がれます。大きな新規対応は、箇条6.1.4(AI影響評価)、附属書Aの管理策、そしてAI固有の証跡要件に集中します。
ステップ3:AIMSを設計する
マネジメントシステムの構成要素を構築または適応させます:
AI方針および下位方針: 包括的なAI方針(箇条5.2)は、責任あるAIの価値観――公平性、透明性、説明責任、安全性、プライバシー――を扱う必要があります。適用範囲に応じて、適切な利用、データガバナンス、第三者AIに関する下位方針が必要になる場合があります
リスク評価方法論: 既存のリスク評価プロセスを、アルゴリズムバイアス、モデルドリフト、誤用、説明不能な出力、セキュリティ上の脆弱性といったAI固有のリスクに適合させます。方法論は、一貫性があり比較可能な結果を生み出さなければなりません
AIシステム影響評価の方法論: 個人、集団、社会への影響を評価するためのテンプレートとプロセスを整備します。再評価のトリガーを定義します。たとえば、大幅なシステム変更、新しいデータソース、新しいユースケース、規制変更、悪影響のあるインシデントなどです
役割と責任のマトリクス: AIMSの責任者、個々のAIシステムの責任者、リスク評価・影響評価を実施する担当者、各附属書A管理策ドメインの責任者を定義します
研修・力量プログラム: 各役割に必要な力量要件を特定し、それに応じて研修計画を策定します
ステップ4:管理策を実装し、証跡を収集する
管理策を運用レベルで展開します。ここで多くの導入が遅くなるのは、規格が求めるのが単なる方針文書ではなく、検証可能な証跡だからです。
証跡の成果物には、システムの能力と限界を文書化したモデルカード、試験・妥当性確認ログ、バイアス評価記録、データ系譜の文書、インシデント対応記録、変更管理ログ、人による監督介入記録などが含まれます。Enzaiが企業導入を支援してきた経験は、初期導入企業が一貫して報告する内容を裏付けています。すなわち、証跡の収集と文書化の規律こそが、最も難しい運用上の課題であるということです。証跡そのものが存在しないからではなく、証跡が各ツール、各チーム、各システムに散在しており、中央集約の仕組みがないためです。
ステップ5:内部監査
認証を申請する前に、適用範囲内のすべての箇条および附属書A管理策に対して、少なくとも1回は完全な内部監査を実施してください。内部監査人は、監査対象の管理策から独立していなければなりません(これは、別部門の社内スタッフ、または有資格の第三者でも構いません)。監査は指摘事項を生み出さなければならず、不適合は、次に進む前に是正処置プロセスを通じて対処する必要があります。
ステップ6:マネジメントレビュー
AIMSのパフォーマンスデータ、内部監査結果、リスクおよび影響評価の出力、不適合と是正処置、利害関係者からのフィードバック、ならびにAIMSに影響を及ぼすすべての変更を対象とした正式なマネジメントレビュー(箇条9.3)を実施します。成果物は、継続的改善に向けた文書化された意思決定とアクションです。このレビューには経営層が関与しなければならず、ガバナンスチームに全面委任することはできません。
ステップ7:認証監査
外部監査は2段階モデルで行われます。ステージ1は文書レビュー(通常1〜2日)で、監査人はAIMS文書が十分かどうか、組織が本格審査を受ける準備が整っているかを評価します。ステージ2は実装監査(範囲と複雑性によって3〜9日以上)で、監査人が担当者にヒアリングし、証跡を確認し、運用中の附属書A管理策を追跡します。
認証の有効期間は3年で、毎年のサーベイランス監査と、サイクル終了時の再認証が必要です。
認証機関に関する重要な注意事項: 認知された認定機関(ANAB、UKAS、DAkkS、または同等機関)によって、ISO 42001に特化して認定された認証機関を選定してください。42001に対する監査を行う機関の規格であるISO/IEC 42006は、まだ最終化の途上にあり、監査人の力量にはばらつきがあります。実証可能なAI分野の専門性を持つ認証機関による認定済み認証は、未認定のものよりも実質的に大きな重みを持ちます。見た目は初見では似ていても、です。[4]
ISO 42001とEU AI Act:補完関係にあり、同一ではない
ISO 42001とEU AI Actの関係は、しばしば誤解されています。最も重要なのは、ISO 42001認証はEU AI Act準拠を意味しないという点です。2026年4月時点で、同規格はEU官報に整合規格として掲載されておらず、したがって法的な「適合推定」の仕組みは適用されません。[5]
とはいえ、重なりは非常に大きいものです。CEN-CENELECの合同技術委員会21は、ISO 42001を欧州規格(European Norm)に適合させる作業を積極的に進めています(prEN ISO/IEC 42001の草案は2025年11月から2026年2月にかけて意見公募に付されました)。別途、EU AI Actの規制目的向けに専用設計された整合規格prEN 18286も、2025年10月に意見公募に入りました。[6] これらの規格が最終化され、官報に掲載されれば、ISO 42001認証は「有益な準備」から「直接的な準拠経路」へと移行します。
その間における実務上の重なりには、以下が含まれます:
リスク管理: EU AI Act第9条は、高リスクAIに対するリスク管理システムを要求します。ISO 42001の箇条6が、その方法論と証跡の枠組みを提供します
人による監督: 第14条は監督措置を要求します。附属書AのA.9ドメインが、人間介入の管理策を定義します
透明性と文書化: 第11条および第13条は、技術文書と透明性を要求します。附属書AのA.7およびA.8ドメインが、データ管理、説明可能性、利害関係者への開示に対応します
データガバナンス: 第10条は、データ品質とガバナンスを要求します。附属書AのA.7ドメインが、その管理枠組みを提供します
市場投入後の監視: 第72条は継続的監視を要求します。ISO 42001の箇条9および10が、パフォーマンス評価と改善のサイクルを確立します
実務上の指針は明確です。ISO 42001は、EU AI Act準拠に必要となるガバナンス基盤、証跡基盤、そしてマネジメントの規律を構築します。今この規格を導入する組織は、2026年8月に高リスク義務が全面的に発効した際、正式な整合化がその日までに完了しているかどうかにかかわらず、格段に有利な状態にあります。
ISO 42001導入でよくある落とし穴
早期導入組織の経験を検証すると、いくつかのパターンが一貫して見えてきます。
AIインベントリの過小評価。 組織は、適用範囲定義の段階でAIシステム数を過少計上する傾向があります。シャドーAIの利用、第三者ソフトウェアに組み込まれたAI、ベンダープラットフォームに埋め込まれたAIコンポーネントの発見により、初期見積もりの適用範囲が通常30〜50%拡大します。徹底した発見プロセスのための時間を、プロジェクト計画に組み込んでください。
文書作成作業として扱うこと。 ISO 42001はマネジメントシステム規格であり、文書規格ではありません。監査人は、方針だけでなく運用証跡を確認するよう訓練されています。洗練されたAI方針があっても、リスク評価の実施、モデル試験の実施、人による監督の実施を示す証跡がなければ、ステージ2監査には合格できません。
AI影響評価を軽視すること。 箇条6.1.4は、多くの組織にとって新しい要素であり、導入時には本来よりも注目が不足しがちです。AIシステム影響評価では、組織リスクだけでなく、社会的・集団的な結果まで考慮する必要があります。ISO 42001に着手する前に、このための方法論を確立している組織は少なく、その構築には想定以上の時間がかかります。
サイロ化した導入。 ISO 42001は、法務、製品、エンジニアリング、データサイエンス、セキュリティ、コンプライアンスの各機能にまたがります。1つの機能――多くはコンプライアンスまたはIT――だけが完全に所有する導入は、組織の残りが使わないガバナンスフレームワークを生みがちです。経営層の後押しを受けた部門横断の運営委員会は任意ではなく、成功の前提条件です。
認証とコンプライアンスを混同すること。 認証は、ある時点においてマネジメントシステムが規格要求事項を満たしていることを示すにすぎません。組織が運用するすべてのAIシステムがバイアスから無縁で、完全に透明で、適用されるすべての規制に準拠していることを保証するものではありません。AIMSは、継続的改善を推進する生きたシステムでなければならず、一度きりの認証作業であってはなりません。
導入期間と投資
ISO 42001導入の現実的な期間は、組織の複雑性によって異なります:
組織プロファイル | 一般的な期間 | 主要な変数 |
|---|---|---|
小規模組織(AIシステム1〜10件)、ISO 27001導入済み | 4〜6か月 | 適用範囲の複雑性、証跡の準備状況 |
中堅企業(AIシステム10〜50件)、一定のマネジメントシステム成熟度あり | 9〜12か月 | 部門横断の連携、AIインベントリの完全性 |
大企業(AIシステム50件超)、複数事業部門を対象 | 12〜18か月以上 | 組織の複雑性、シャドーAIの発見、グローバル連携 |
ISO 27001認証を既に取得している組織は、実質的に先行しています。統合構造により、リスク管理フレームワーク、内部監査プロセス、文書化された情報管理、継続的改善サイクルはそのまま引き継がれます。複数の認証機関が、証跡を共有し監査日数を短縮できるISO 27001 + ISO 42001の統合監査プログラムを提供しています。
投資は時間だけではありません。予算面では、認証機関の監査費用(範囲と複雑性によって変動)、部門横断チームにおける社内リソース配分、証跡収集およびAIインベントリ管理のためのツール導入の可能性、そしてAIガバナンスに新たに求められる役割向けの研修が含まれます。多くの導入で最大のコスト要因となるのは、証跡の収集と文書化に必要な人的労力です。特に、AIシステムのメタデータ、試験記録、リスク評価を追跡する中央集約システムがない組織では顕著です。
大規模なAIポートフォリオ全体でISO 42001を導入することは、ガバナンス上の課題であると同時に、インフラ上の課題でもあります。必要な証跡の量――モデルカード、試験ログ、バイアス評価、データ系譜記録、影響評価、そして数十のAIシステムにまたがる変更管理の成果物――は、スプレッドシートや共有ドライブでは持続できない水準です。Enzaiでは、この課題に対応するためにプラットフォームを設計しました。中央集約型AIインベントリ、構造化された附属書A管理策マッピング、自動化された証跡収集、そしてISO 42001のマネジメントシステムサイクルに整合した継続的監視を提供します。認証準備を進める組織は、デモを予約することで、実際の動作をご確認いただけます。
Enzaiは、組織が抽象的な方針から実運用の監督へ移行できるよう設計された、業界をリードする企業向けAIガバナンスプラットフォームです。私たちのAIリスク管理プラットフォームは、エージェント型AIガバナンスを管理し、包括的なAIインベントリを維持し、EU AI Act準拠を確実にするために必要な専門インフラを提供します。複雑なワークフローを自動化することで、Enzaiは企業がグローバル標準である ISO 42001 およびNISTとの整合性を維持しながら、安心してAI導入を拡大できるよう支援します。
参考文献
[1] IBM, 「IBM、ISO 42001認証を取得した最初の主要オープンソースAIモデル開発企業に」, 2024年9月; Anthropic, 「AnthropicがISO 42001認証を取得」, 2025年1月; Microsoft Learn, 「ISO/IEC 42001:2023 コンプライアンス」; KPMG Australia、BSIによる認証取得; Changi Airport Group、SGSによる認証取得、2025年2月。
[2] ISO/IEC 42001:2023, 情報技術 - 人工知能 - マネジメントシステム。国際標準化機構、2023年12月。
[3] ISO/IEC 42001:2023, 附属書A(参照用管理目的および管理策)。実施ガイダンスについては附属書Bを参照。
[4] ANABは、anab.ansi.orgでISO 42001の認定を受けた認証機関の登録簿を管理しています。ISO/IEC 42006(AIMSの監査および認証を行う機関向け要求事項)は開発中です。
[5] 2026年4月時点で、EU AI Actに対する適合推定の地位を持つAI固有の整合規格は、EU官報に掲載されていません。ISMS.online, 「Presumption of Conformity: Why ISO 42001 Isn't Your AI Act Legal Shield - Yet」, 2025。
[6] CEN-CENELEC, 「AI標準化に関する最新情報」, 2025年10月。prEN ISO/IEC 42001の意見公募は2025年11月〜2026年2月; prEN 18286の意見公募は2025年10月30日から。
組織がAIを採用し、管理し、監視する能力を、企業レベルの信頼性で強化します。規模で運営する規制対象の組織向けに構築されています。