AIに“信頼の証明書”を。国内初の「AIMS適合性評価制度」が始動した理由
INDEX
生成AIの社会実装が加速する一方で、従来からある情報漏洩や著作権侵害、誤情報の拡散が新たな形で顕在化・増幅するなど、AI特有のリスクへの備えが企業に求められています。
こうした状況下で注目を集めるのが、組織のAI活用を国際標準で管理・証明する仕組み「AIMS適合性評価制度」です。これは、国際規格「ISO/IEC 42001」に基づき、企業が社内で運用するAIマネジメントシステム(AIMS)が規格要求事項を満たしているかを第三者が客観的に評価・認証する制度になります。
そこで今回は、IT関連の国際規格やマネジメントシステムの適合性評価制度に詳しい一般財団法人日本情報経済社会推進協会(JIPDEC)常務理事(一般社団法人情報マネジメントシステム認定センター(ISMS-AC)代表理事を兼務)の山内 徹氏にインタビューを実施し、AIMS適合性評価制度の概要や、AI時代において企業が取るべき具体的なアクションについて詳しく伺いました。
なぜ各国の法規制を追うだけでは、リスクに備えきれないのか
━━AI活用が加速するなか、日本企業はどのような課題に直面しているのでしょうか?
山内:私の認識ですが、日本は欧米や中国と比べると、生成AIの活用においてまだ遅れをとっているのが現状ではないでしょうか。
背景には大きく2つの理由があると考えています。1つは、「どこまで、何をやれば安全なのか」というベースラインの共通認識が共有されていないことです。企業の皆さんは手探りの状態だと思います。もう1つは人材の問題で、「AIを使いこなせる人」「リスクを管理できる人」がなかなか育っていないことです。
AIへの期待が高まる一方で、AIを利用した詐欺の巧妙化や誤情報の拡散、知的財産権の侵害など、リスクも多様化しています。だからこそ、適切なリスク評価と対策を通じて、AI活用を加速させるための仕組みや基準を、組織内で整備する必要があると考えています。
━━AIのリスク管理やルール作りについて、海外ではどのような動きが出ているのでしょうか?
先行する海外では、地域ごとに異なるアプローチが進んでいます。
たとえばヨーロッパでは、2024年に「EU AI Act(欧州AI法)」が成立し、順次施行されています。これはAIシステムをリスクの高さに応じて4段階に分類し、高リスクのものには厳しい義務を課す、世界初の包括的なAI規制法です。
一方、アメリカは少し毛色が異なります。法律で直接縛るのではなく、政府の技術系専門機関であるNIST(米国国立標準技術研究所)が「AIリスクマネジメントフレームワーク」というガイドラインを公表し、企業が自主的に参照できる形をとっています。
中国でも、生成AIサービスに対して当局への登録を義務づけるなど、独自の規制を敷いています。ただ難しいのは、こうした各国の法規制を一つひとつ追いかけても、グローバルにビジネスを展開する企業にとっては根本的な解決策にならないということです。
━━なぜ、各国の法規制を追いかけるだけでは解決に至らないのでしょうか。
地域ごとにルールがバラバラなうえに、政治的な思惑で内容が次々と変わっていくからです。
そこで日本企業に注目していただきたいのが、AIのリスク管理に関するISOの国際規格の動向です。国際規格の策定プロセスには、よい意味で各国の政治的利害が直接出てきません。
なぜなら、アメリカ、ヨーロッパ、中国、日本など、世界中の専門家が協力し、純粋な技術的議論を通じて「共通のルール」を粛々と決めているからです。地域のイデオロギーに偏らないからこそ、グローバルにビジネスやサービスを展開する企業にとって非常に使いやすい指標になります。
その代表例が、2023年12月に発行された「ISO/IEC 42001」です。これは世界中のAI専門家が集まる国際的な技術委員会によって作られた、AIMSの要求事項を定めた国際規格です。
欧州AI法などの派手な動きに比べると地味に映るかもしれませんが、この国際規格を基盤とした環境整備は着実に進んでいます。国ごとに異なる規制に振り回されるのではなく、国際標準という「世界共通言語」を基盤として、自社にAIMSを構築する。それこそが、確実なリスク対策への第一歩となるはずです。
認定機関・認証機関・企業。三層構造で信頼をつくる「AIMS適合性評価制度」
━━改めて、「AIMS適合性評価制度」の概要について教えてください。
前提として、企業が自社で「国際規格に基づいてAIMSを運用しています」と主張するだけでは、取引先や顧客にとって本当に安全かどうかの判断がつきません。だからこそ、独立した第三者がその運用状況を客観的に審査し、お墨付きを与える仕組みが必要になります。
それが「AIMS適合性評価制度」です。
企業のAIMSが、国際規格である「ISO/IEC 42001」に沿って、適切に構築・運用できているか。それを、認定を受けた認証機関が第三者の立場で評価し、認証を与える仕組みです。
この認証を取得することで、企業は「我が社はAIに関するリスクマネジメントを適切に実施できている」ということを、対外的に証明できるようになります。
━━この制度は、どのような体制で運営されているのでしょうか。
全体としては、以下の図のように「認定機関」「認証機関」「企業」による三層構造で成り立っています。
まず、JIPDECの関連法人であるISMS-ACのような「認定機関」があります。認定機関は、企業を実際に審査する「認証機関」に対し、国際規格(ISO/IEC 42006:AIMS認証機関に対する要求事項)に沿って、適切に審査を行う能力があるか(規格で規定されている要求事項に適合しているか)を客観的に評価し、認定する役割を担っています。
そして、その国際規格に適合した認証機関から審査を受けるのが、自社のAIMSを構築・運用する「企業」です。
つまり、企業を審査する側も、さらに上位の機関から評価を受ける「二重のチェック体制」を敷くことで、制度全体の公平性と、企業が取得する認証の信頼性を厳格に担保しています。
なお、認定機関自身も、認定機関に対する要求事項を規定している国際規格に基づいて認定活動をしています。さらに、異なる認定機関同士で定期的に相互監査を行うことで、認定の公平性や適切性を担保しています。適合性評価制度は、全て国際規格に基づく制度なのです。
━━海外でのAIMSの動きはどうなっていますか?
アメリカでは、すでに3つの認定機関が20以上のAIMS認証機関を認定しています。こうした動きを背景に、AWS、Google、Microsoftといった大手企業も、すでにAIMS認証を取得したようです。
注目すべきは、その取得の進め方です。全社一括ではなく、その一部であるAIの開発・提供・利用に関わるリスクの高い部局のみがピンポイントで認証を受ける形が主流になっています。
AIMSの導入を必要な範囲から段階的に始める、という現実的な進め方です。韓国、オランダ、インド、シンガポール、トルコなどでも、認定を受けた認証機関によるAIMS認証が続々と始まっています。さらに、国境を越えた「国際相互承認」の動きも進んでおり、近い将来、各国のAIMS認証は世界で同等の価値を持つ見込みです。
国内初、AIMS認証機関が誕生。認定された認証機関の意義
━━日本でも、国内初となるAIMSの認証機関として、ISMS-ACがSGSジャパン株式会社、テュフ ラインランド ジャパン株式会社の2機関を認定しました。
世界的にAIMSへの関心が高まりを見せる中、ISMS-ACは2026年1月に国内初となるAIMS認証機関の認定を行いました。
実は、ISMS-ACが認定機関として動いた背景には、あまり知られていない事情があります。
現在の日本には、認証活動そのものを直接規律する法律が存在しません。制度上は、認定を受けていない機関が独自基準で「AIMS認証機関」を名乗ることも可能な状態です。
しかし、それでは「本当にその審査は国際標準を満たしているのか」という、制度全体の実効性に不安が残ります。だからこそ、情報セキュリティのISMS分野で20年以上の実績を持つISMS-ACが、AIMSにおいても認定を開始しました。日本国内に、信頼を担保する「確かな起点」を置くこと。それこそが、ISMS-ACが果たすべき役割だと考えています。
━━企業がAIMS認証を取得することで、具体的にどのような価値が得られるのでしょうか。
わかりやすいのは、認定シンボルなどで国際標準への準拠を対外的に示せる「信頼の可視化」です。
しかし、経営における真の価値は、将来的な事故や損害賠償といった「事業継続に影響を及ぼすリスクを最小化できる点」にあります。
たとえば、意図せぬ「知的財産権の侵害」です。政府も知財保護の指針づくりを進めていますが、重要なのは「ルールを遵守する仕組み」をAIMSに組み込んでおくことです。万が一、インシデントが起きても、「国際標準に基づき、ここまで徹底して対策していた」と客観的な説明ができます。
海外の事例ですが、SNSを利用した利用者がメンタルヘルス被害を訴え、それに対してSNSの設計に問題があったとしてSNS運営会社に巨額の損害賠償が命じられた、といったケースもありました。
生成AIにおいても同様の事態が起こる可能性は十分にあります。たとえば「生成AIから不適切な助言を受けて損害を被った」といった訴えが、日本でも数年以内に提起される可能性は否定できません。
こうした事態に、現場での個々の判断や運用だけで対応するのは不可能です。リスク評価から定期監査までを仕組みとして体系化し、予測不能なAI社会を生き抜く「盾」を手に入れる。その「盾」こそがAIMSであり、国際標準の裏付けがあってこそ、企業は自信を持ってAI活用を加速できるのです。
認証取得は単なるスタートライン。AI時代に問われる経営者の手腕
━━制度の今後のロードマップや、普及の見通しについて聞かせてください。
普及のスピードは、想像以上に速いと考えています。現在、ISMS-ACには国内外の認証機関から認定の申請や相談が相次いでおり、2026年内にはさらに複数のAIMS認証機関の認定を見込んでいます。
将来的には、国内にあるISMS認証取得組織の約半数がAIMS認証を取得すると見込んでいます。国内でISMS認証を取得している企業は約8,500社に上りますが、これらの企業はすでにISMSというマネジメントシステムを運用しています。ISMSで構築したマネジメントシステムの仕組みに「AIのリスク管理」を組み込むことによって、比較的スムーズに対応できると考えています。導入のハードルは決して高くないと考えています。
今年度のAIMS認証件数は数十社程度になると予想しています。これを起点に、数年以内には年間100〜200社規模へ、さらに5年後には累計500〜1,000社規模まで認証取得が拡大すると見込んでいます。
━━最後に、AI活用を推進する経営層へメッセージをお願いします。
AIMSはあくまで、AIのリスクを適切に管理し、活用を加速させるためのフレームワークに過ぎません。したがって、認証の取得自体がゴールではありません。
重要なのは、このフレームワークをベースに「自社のAIを活用したビジネスをどう展開していくか」を考え抜くことです。認証を取得してから構築した仕組みを日々の事業活動にどう活かし、競争力に繋げていくか。そこが一番重要な部分であり、まさに経営者の腕の見せどころでもあります。
今後、各国の法規制や政府のガイドラインはさらに目まぐるしく変化していくでしょう。だからこそ、最新情報を常にキャッチアップし、変化に即応できる体制を整えておくことが不可欠です。
私どもJIPDECも、一般社団法人生成AI活用普及協会(GUGA)と連携し、生成AIの健全な普及を支援しています。生成AI活用における信頼の基盤の一つとして「AIMS適合性評価制度」があります。この国際的な仕組みを通じて、日本企業が自信を持ってAIを使いこなせる土台を共に築いていきたいと思っています。
PROFILE
一般財団法人 日本情報経済社会推進協会(JIPDEC)常務理事 兼 一般社団法人 情報マネジメントシステム認定センター(ISMS-AC)代表理事。
奈良県橿原市出身。内閣官房IT担当室(2007〜2009年)、経済産業省等においてIT政策および基準認証政策の企画立案に携わった後、一般社団法人JPCERTコーディネーションセンター主席研究員を経て、2015年6月よりJIPDEC常務理事に着任。2018年4月にISMS-AC代表理事を兼任。生成AIベンチャー・AIデータサイエンス株式会社の技術顧問も務め、2025年に生成AIパスポートを取得。
