Punit Bhatia - FIT4PrivacyやGrow Skills Storeなどのブランドを立ち上げた、基調講演スピーカー兼起業家。
私は、多くの組織がコンプライアンスに失敗するのは「気にしていない」からではないと考えている。むしろ多くの場合、誤った規格から着手し、リソースを薄く広く分散させた結果、最終的に仕事の進め方を変えない文書だけが積み上がってしまうからだ。
国際標準化機構(ISO)/国際電気標準会議(IEC)の規格(例:ISO/IEC 27001、ISO/IEC 27701、ISO/IEC 42001、ISO 9001)のどれを選ぶべきか迷っているなら、最短ルートは「最も有名なものを選ぶ」ではない。いまの事業における最大のリスクに合致する規格を選ぶことだ。
以下は、経営陣とともに使える実践的な意思決定ツリーである。
1. 最も緊急性の高いリスクは何か?
セキュリティ事故が致命傷になり得る場合
情報漏洩が収益や顧客の信頼、あるいは規制市場への参入能力に深刻なダメージを与え得るなら、まずISO/IEC 27001から始めることを勧める。リスクアセスメント、管理策、ガバナンス、インシデント管理、サプライヤーセキュリティ、継続的改善を通じて、情報セキュリティマネジメントシステム(ISMS)の基盤を構築できるからだ。
ただし、次に当てはまる場合は27001から始めないほうがよいかもしれない。
• 「認証のバッジ」だけが欲しい一方で、マネジメントシステムを運用する担当者、予算、時間がない。
• 最大の課題がセキュリティではなく、業務品質(納期遅延、成果物のばらつき)にある。
プライバシーが最大の圧力点である場合(GDPR、顧客要求、監査対応)
最大のリスクが個人データの取り扱いにあり、とりわけ医療、テック、人事、SaaSに関わるなら、ISO/IEC 27701から始めるという選択肢がある。重要な点は、27701が27001のプライバシー拡張であることだ。実務上は、27001と27701を同時に導入するか、すでに27001を導入済みで次のステップとして27701を追加するかのいずれかになる。
ISO 27701は、プライバシー上の義務を運用上の管理策へと落とし込むため、有効に機能する。具体的には、役割、適法根拠、DPIA(データ保護影響評価)、委託先管理、保持期間、データ主体の権利、説明責任などである。
ただし、27001の基盤がない(または構築する予定がない)場合、あるいはデータ処理が最小限で、より大きな課題が製品品質やAIガバナンスにある場合は、27701から始めるのは避けたい。
AIが取締役会レベルのリスクになりつつある場合
AIを構築・展開している、または(社内利用か製品かを問わず)大きく依存しており、モデルリスクや説明責任、規制対応の準備状況に不安があるなら、ISO/IEC 42001から始めることができる。これはAIマネジメントシステム(AIMS)を提供する。ガバナンス、リスク管理策、ライフサイクル監視、人による監視、モニタリング、継続的改善である。顧客や規制当局に対し、本気で取り組んでいることを示すための体系的な方法だ。
一方で、次の状況に該当するなら42001から始めるのは避けたい。
- AIが(まだ)事業にとって重要ではない。
- AIがどこで使われ、誰が責任を持ち、「許容可能なリスク」とは何かを明確に定義できない。
- 基本的なセキュリティとプライバシーの衛生管理が安定していない。AIガバナンスは、脆弱な基盤を補うものではないからだ。
成果物の品質にばらつきがあり、それがコストになっている場合
最大の課題がオペレーションのパフォーマンス、すなわち手戻り、一貫性のない成果物、顧客クレーム、スケール上の問題であるなら、ISO 9001から始めるとよいだろう。再現性のある業務遂行を構築する最も明確な方法だと私は考えている。プロセスオーナーシップ、顧客要求事項、是正処置、内部監査、マネジメントレビューである。
ただし、単に知名度が高いという理由で9001を選ぶなら、私はそこから始めない。真のリスクがセキュリティやプライバシーにある場合はなおさらだ。加えて、エンタープライズ向けのセキュリティ質問票やベンダーデューデリジェンスを直接支援する規格が必要なら、最初は避けたほうがよい場合もある。
2. 「積み上げ」ルールを使う(最もシンプルなロードマップ)
多くの組織に必要なのは1つの規格ではなく、導入する順番である。そう、複数の規格を導入する必要があるかもしれないと言っている。実践的なシーケンスの一例は次のとおりだ。
1. ISO/IEC 27001(セキュリティの基盤)
2. ISO/IEC 27701(プライバシーの運用への落とし込み)
3. ISO/IEC 42001(AIガバナンス成熟度)
4. ISO 9001(業務遂行をスケールさせるための品質システム)
この順序は必須ではないが、これらのガバナンスシステムは互いに土台となる部分があるため、一般的である。
3. 簡易な意思決定ツリーを使う
多くの人が、次の思考フレームワークから恩恵を得られるはずだ。これは私が多くのクライアントに勧めているものでもある。
1. セキュリティリスクが最大の懸念なら、ISO/IEC 27001から始める。
2. プライバシー/GDPRリスクが主たる懸念で、ISMSにコミットできるなら、27001と27701に取り組む。
3. AIリスクが主たる懸念で、AIが事業にとって重要なら、ISO/IEC 42001を試す(多くの場合27001と並行して)。
4. 最後に、成果物の品質を改善したいなら、ISO 9001を使う。
ここで本当の問いは「90日でどんな成果が必要か?」である。これは多くの人にとって難題だが、知らないものは管理できない。したがって最初にすべきことは、社内に一定の知を生み出すことだ。そのために、ここまで取り上げた各ISO規格について、次の3つを実行することを勧める。
1. それぞれのテーマのオーナーになる人物を特定する。例えば、情報セキュリティの責任者は誰か、という具合である。
2. その人物を、担当領域に関連するISO規格の基礎コースに登録させ、完了期限の目標日を設定する。私の提案は30日以内だ。3つのステップで議論した内容を踏まえ、どの規格を学ぶべきか理解できるよう導く必要があるかもしれない。
3. 特定した人物に、その規格が組織にもたらす利点を、あなたと経営陣に説明させる。
こうして勢いと、物事を動かすために不可欠な知識が生まれる。経営陣と任命された担当者に、是正に向けた計画とロードマップを主導させればよい。あなたが行うのは、予算を確保し、さらに研修を手配することだけだ。
