DX時代、なぜ「ISO」がガバナンスの選択肢として再注目されているのか（後編）

EY Digital Trustのコラムシリーズ第４回は、ISO。

組織の競争力を高め、社会的信用を獲得するための国際共通規格であるISOの中でも、AI活用のリスク対策にフォーカスして解説します。

1. 「ガバナンス整理の入り口」としてのISO27001

Q：ISO27001の概要と、ガバナンスがどのように関連付いているのか教えてください。

ISOにはさまざまな規格がありますが、DX時代のガバナンスを考える上で、多くの企業が最初に直面する論点と親和性が高いのが、ISO27001です。ISO27001は、情報セキュリティマネジメントシステム（ISMS）の国際規格です。一般には、情報セキュリティに特化した規格として理解されることが多い規格です。

しかし、前編で整理したDX時代のリスクを振り返ると、企業が直面している多くの論点は、情報資産をどのように把握し、どのように管理しているかという点に集約されます。

ISO27001は、「どの情報資産を重要と捉え」、「どのリスクを許容し、どの統制を選択」し、「その判断や運用の背景を、組織として説明できる」形で整理するための枠組みです。全てのリスクに一律の統制をかけるのではなく、整理を行うことで、外部からの照会に対し、判断の背景や統制の選択理由を説明できる状態を支える土台となります。

情報資産の把握と管理が説明責任の中心となる領域であり、外部から説明を求められやすく、かつ自社でコントロール可能であることから、そうした領域から整理を進めたいと考える企業にとって、実務上の入り口になりやすいのです。
また、ISO27001では、①リスクアセスメント → ②統制設計 → ③運用 → ④見直し　というサイクルを通じて、判断の妥当性を継続的に確認することが規格の根幹になっています。

DX時代では、「当初は妥当だった判断が、環境変化によって見直しが必要になる」場面が少なくありません。そのため、外部からの照会に対する説明を、属人的な対応や一過性のルール整備に委ねることには限界があります。

ガバナンスにおいては、環境変化やリスクの変化を前提に、PDCAサイクルとして回し続けることが求められています。これがISO27001の特徴であり、ガバナンス整理の起点として位置付けやすい理由です。

2. ISO42001が示す新しい問い ― AI時代のガバナンス

AI活用が進む中で、企業が直面しているのは、AIの挙動が固定的ではなく、学習や更新によって変化し続けるという特性です。このため、従来のIT統制の延長では、判断の背景や妥当性を十分に説明しきれなくなる場面が増えています。

具体的には、次のような点が挙げられます。

• 判断プロセスが見えにくい
• 導入後も挙動が変化し続ける
• 結果だけでなく「なぜそうなったか」が問われる

こうした特性のもとでは、AIを業務に活用する企業にとって「導入時にルールを決めて終わり」という統制では、対応が難しくなる局面が増えています。

Q：ISO42001の概要と、ISO27001 との違いについて教えてください。

ISO42001は、AIを技術そのものではなく、マネジメント対象として捉え、態勢・運用・ガバナンスを継続的に管理する考え方を示しています。

構造はISO27001と近く、PDCAを回しながら、判断を見直し続ける点に共通性がありますが、違いは、AIを使うかどうか、どこまで使うかといった判断を、どのようなプロセスで行うかにあります。

例えば、

• その業務にAIを使う判断は誰が行ったのか
• 想定される影響やリスクをどのように評価したのか
• 出力結果に対して、最終的に誰が責任を持つのか

AI活用が広がるほど、こうした問いは現場判断に委ねられ、属人的になりやすくなります。

ISO42001は、これらの判断を組織として共有し、説明できる状態をあらかじめ整えておくための枠組みだと言えます。

ISO27001が、比較的安定した情報資産や業務を前提に、「何を守り、どのように管理するか」を整理する枠組みであるのに対し、ISO42001は、判断や影響が変化し続けるAI活用を前提に、「誰が、どのようなプロセスで判断し続けるか」を管理する枠組みである点に特徴があります。

3. ステークホルダーに合わせた説明責任の強化

ここまで見てきたISO27001・ISO42001は、組織としての判断や運用を整理し、“説明できる状態”を作るための枠組みです。

一方で、ステークホルダーによっては、「組織全体としてどう管理しているか」に加えて、特定の業務やサービスについて、より具体的な確認を求められる場面もあります。
そのため、ISOだけで対外説明を完結させるのではなく、目的に応じてSOCやISMAPといった枠組みを組み合わせ、「誰に・何を・どこまで示すか」を整理しておくことが重要になります。

SOC:
SOC（System and Organization Controls）は、特定の業務プロセスやサービスを対象に、統制のデザインの適切性や運用状況の有効性を第三者が評価・報告する枠組みです。

ISMAP：
ISMAP（政府情報システムのためのセキュリティ評価制度）は、政府・公共分野にクラウドサービスを提供する際に求められる、特定用途向けの評価制度です。

ISOは組織として、統制や判断を継続的に回していることを示す「基盤」、SOCは特定の業務・サービスについて、統制の適切性や有効性を示す「保証」、ISMAPは特定の相手（政府・公共分野）に対して、要求水準を満たしていることを示す「制度対応」という位置付けになります。

4. EYが提供できる価値 ― 「全体設計」と「一貫性」

制度や標準が増えるほど、対応が個別最適になりやすく、全体像が見えにくくなります。

EYは、ISO、SOC、ISMAPといった枠組みを個別の制度対応としてではなく、ガバナンス全体の設計として整理する支援を行っています。
これは、認証機関としての知見や、監査・アシュアランス業務を通じて培ってきた第三者評価の視点を有しているからこそ可能なアプローチです。
判断や統制、対外説明を一貫した考え方で整理し、照会に対して説明できる状態をあらかじめ整えておくことが、知見と第三者の視点を持つEYだからこそ提供できる価値の1つです。