規制・法令

JIS Q 42001:2025(AI マネジメントシステム)— 9 領域 38 管理策と日本企業の 12 ヶ月実装ロードマップ

admin · · 最終更新 2026年6月5日 · 13 min read

JIS Q 42001 — 38 controls and a 12-month AI management roadmap. Illustrations by Storyset
Illustration: Storyset (line, brand-recolored)

2023年12月18日、ISO/IEC JTC 1/SC 42がAIマネジメントシステム(AIMS)の国際規格として世界初となるISO/IEC 42001:2023を発行した。その技術内容をそのままJIS化したJIS Q 42001:2025が2025年8月20日に日本規格協会(JSA)から発行され、2026年1月には株式会社国際協力データサービスがISMS-AC認定下で国内第1号の認証を取得した。同年中に大手SIer・調達部門のRFP(提案依頼書)に「ISO/IEC 42001取得または準拠」が条件として付与され始めており、AIガバナンスはいよいよ認証制度の中核に入った。

JIS Q 42001:2025Annex A — 9 領域 38 管理策の全体像9 AREAS MAP (3 GROUPS × 3 AREAS)GROUP A — 基礎・組織(3 ヶ月目まで)1A1. AI ポリシーAI policy — 基本方針・原則・適用範囲2A2. 内部組織Internal organisation — 役割・責任・体制3A3. リソースResources — 人材・予算・教育・ツールGROUP B — プロセス(6 ヶ月目まで)4B4. AI 影響評価Impact assessment — リスク・便益・影響の評価5B5. AI システムライフサイクルAI system life cycle — 企画〜運用〜廃止の管理6B6. データData — 収集・品質・保護・来歴・アクセスGROUP C — 外部整合(12 ヶ月目まで)7C7. 関係者への情報提供Information for interested parties — 透明性・説明8C8. 責任ある利用Responsible use — 利用上の統制・ガードレール9C9. 第三者関係Third-party relationships — 委託先・供給網・契約Reference controls。Statement of Applicability で採用範囲を決定Omamori AI — AI Security MediaSource: JIS Q 42001:2025 / Omamori AI editorial読み方(実務の進め方)– Group A(赤): 体制と方針を早期に整備して、以降の統制を乗せる土台を作る– Group B(ネイビー): 評価・ライフサイクル・データのプロセスを標準化して運用へ– Group C(薄ネイビー): 外部説明・責任ある利用・第三者を整えて持続的に改善※ Annex A は参照用。組織の状況に応じ、SoA で採用する管理策を決定する
インフォグラフィック: JIS Q 42001:2025 Annex A — 9 領域 38 管理策の全体像(3 グループ × 3 領域)/ Omamori AI editorial

JIS Q 42001:2025とは何か — ISMSのシスター規格

JIS Q 42001:2025は、ISO/IEC 42001:2023(2023年12月18日発行)の技術内容を変更せずJIS化した規格であり、2025年8月20日に日本規格協会が発行した。本規格はAnnex SL(ISO共通管理システム要素 — すべてのISOマネジメント規格に共通する章立て・用語・要求事項の骨格)に準拠しているため、ISMS(ISO/IEC 27001/情報セキュリティマネジメントシステム)と同じPDCAサイクル構造で運用できる。Clause 4から10が管理システム要求事項を定め、Annex A(附属書A、参照管理策)に9領域38管理策が列挙される。国内第1号認証は2026年1月、株式会社国際協力データサービスがISMS-AC(情報マネジメントシステム認定センター)認定下で取得した。「ISMSは保有しているがAIMSはまだ」という企業は、2026年下期から調達RFPで不利な立場に置かれ始めており、ISMS運用基盤を持つ企業ほど早期着手の費用対効果が高い。

9領域38管理策の全体像

Annex A(附属書A、参照管理策)は9領域38管理策で構成される。9領域は①AIポリシー、②内部組織、③リソース、④AIシステム影響評価、⑤AIシステムライフサイクル、⑥データ、⑦関係者への情報提供、⑧責任ある利用、⑨第三者関係(外部ベンダー・サブプロセッサー・モデル提供者との関係管理)である。これらはreference controls(参照管理策 — 規格が提示する管理策の候補リスト)であり、すべてを一律に適用するのではなく、自社のAIリスク評価結果に基づいてStatement of Applicability(適用宣言書 — どの管理策を採用・除外するかとその理由を文書化したもの)で採否と根拠を明示する。以下、各領域を経営層が意思決定できる粒度で整理する。

1. AIポリシー

経営層が承認したAI利用方針を文書化する領域である。「AI倫理原則」をウェブサイトに掲示するだけでは要件を満たさない。組織として何をAIで実現するか・しないかの境界、価値観、ガバナンス体制を明示した上で、取締役会レベルの承認と毎年の定期レビューが要求される。ポリシーの範囲が曖昧なまま審査に臨む企業が最初に指摘を受けるのがこの領域であり、文書の承認者と改訂履歴の管理体制まで問われる点に留意が必要だ。

2. 内部組織

AIに関する役割と責任の割り当てを具体化する領域である。「AI委員会を設置した」という事実だけでは不足であり、個々のAIシステムについて誰がオーナーで誰がレビュアーか、問題発生時のエスカレーション経路、開発者と運用者の責任分界をそれぞれ個人レベルで指名・文書化することが求められる。組織図上の肩書ではなく、実態として機能する責任体制かどうかが審査の焦点となる。

3. リソース

AIシステムに投入されるリソース(人材・データ・計算資源・ツール)の文書化と適切性評価を扱う領域である。スキル要件の定義、必要な訓練の実施記録、学習・推論に必要なデータ品質の基準、ハードウェアおよびクラウド計算資源の可用性要件まで含む。「必要な能力が組織として担保されているか」を経営レベルで説明できる状態を維持することが論点であり、外部委託先のスキルも評価対象に含まれる。

4. AIシステム影響評価(Impact Assessment)

AIが個人・組織・社会に及ぼす影響をシステム稼働前に評価する領域である。EU AI ActのFRIA(Fundamental Rights Impact Assessment/基本的権利影響評価)に近い概念であり、リスクが高いAIには強い管理策を、低リスクには軽い管理策を割り当てるプロポーショナリティ原則(リスク水準と対応策の比例原則)が基盤にある。評価結果は記録として残し、システムの変更や再学習のたびに再評価することが求められる。

5. AIシステムライフサイクル

設計・開発・検証・展開・運用・廃止までの一連の工程(ライフサイクル)に対する管理を扱う領域である。バージョン管理・変更管理・モデル再学習・稼働中モニタリング・廃止プロセスがすべて対象となる。MLOps(機械学習システムの開発・運用を統合する実践体系)と監査要求が交差する領域であり、既存の開発プロセス文書をどこまでAIMS要求にアップデートできるかが工数を左右する。

6. データ

学習データ・推論データ・出力データの取り扱いを包括する領域である。データ品質・出所の明確化・代表性(特定集団への偏りがないか)・バイアス(統計的な偏り)の検出・プライバシー保護まで含む。個人情報保護委員会が2026年4月に改定したAI関連ガイドラインとの整合が実務上必要であり、個人データを学習に用いる場合は特に取り扱い根拠と消去手続きの整備が求められる。

7. 関係者への情報提供

AIシステムを利用する者・その影響を受ける者への透明性確保を義務付ける領域である。利用者への通知、AIによる判断の説明可能性(どのような根拠で出力が生成されたかを利用者が理解できる状態)、出力に対する異議申し立て手段の整備が含まれる。BtoCサービスでAIを用いる組織では影響を受ける人数が大きいため管理策の重みが増し、UI上の開示設計まで審査の視野に入る。

8. 責任ある利用

AIを組織として責任を持って運用するガバナンスを扱う領域である。HITL(Human-In-The-Loop/人手レビュー — AIの判断に対して人間が関与・確認するプロセス)の設計、誤用防止策、目的外利用の検知、利用ログの監査体制が対象となる。本誌の「AI監査ログ最低条件」記事(2026年5月20日)と直接対応する領域であり、ログの保存期間・アクセス制御・定期的なレビュー頻度を文書化することが審査の具体的な確認事項となる。

9. 第三者関係

AIモデル提供者・SaaSベンダー・サブプロセッサー(処理の一部を再委託する事業者)との契約・監査・継続評価を扱う領域である。本誌の「AIベンダーDD 7質問」記事(2026年5月20日)と論点が完全に重なる。契約段階でAnnex A全9領域を担保できるベンダーは現時点で限られており、ベンダー選定基準の文書化と定期的な再評価サイクルの設計が、この領域でもっとも時間を要する実務作業となる。

AIMSはISMSの延長線にあるが、目を向ける先が「情報」から「判断」に動いた。

取得への12ヶ月ロードマップ

  1. 3ヶ月目まで(基礎固め): 領域1(AIポリシー)と2(内部組織)に集中する。取締役会でAIポリシーを正式承認し、AIシステムごとの責任者を個人レベルで指名して文書化する。ISMSを既に運用している企業は情報セキュリティポリシーの文書テンプレートと承認フローを流用できるため、この段階の所要工数は限定的に収まる。ギャップ分析もこの期間に完了させ、全9領域の現状評価を経営層に提示する。
  2. 6ヶ月目まで(プロセス構築): 領域4(影響評価)・5(AIシステムライフサイクル)・6(データ)のプロセスを定型化する。AI案件ごとに影響評価(Impact assessment)を実施するフォームと承認フローを整備し、MLOpsパイプラインへの変更管理・モニタリング要件を組み込む。EU AI Act対応のFRIA(基本的権利影響評価)を進めている企業は、影響評価フォームを共用することで二重の工数を回避できる。データ台帳の整備と個人情報保護委員会ガイドラインとの照合もこの期間に完了する。
  3. 12ヶ月目まで(外部整合と認証取得): 領域3・7・8・9を整備し、全体を認証水準に引き上げる。リソース台帳の更新、透明性確保のためのUI・通知設計、HITL(人手レビュー)の手順書、第三者(ベンダー・モデル提供者)との契約条項と定期評価サイクルを確定する。Statement of Applicability(適用宣言書)の最終版を内部監査部門と確認した上で、適合性評価機関(認証機関 — JQA・SGS・BSI等の第三者審査機関)による第1段階審査(文書審査)と第2段階審査(実地審査)をこの期間内に受審する。

Omamori AIの結論

  1. 事実: JIS Q 42001:2025は2025年8月20日に発行され、2026年1月に国内初認証が発出された。大手SIer・調達部門のRFPへの組み込みはすでに始まっており、認証要求は特定業種にとどまらず広がりつつある。
  2. 判断軸: ISMS(ISO/IEC 27001)を既に運用している企業は、マネジメントシステムの基盤・文書・審査体制を流用できるため、AIMS単独取得を追加コスト30〜40%程度で実現できると試算される。ISMS未保有の組織であればISMS+AIMSの同時取得で2年計画が現実的である。
  3. 打ち手: ①既存のISMS文書をAIMS 9領域にマッピングし、ギャップ分析を3ヶ月以内に完了する。②Statement of Applicability(適用宣言書)の素案を内部監査部門と共同で作成し、経営層レビューを経て確定する。③適合性評価機関(JQA・SGS・BSI等)にプレ審査(事前確認)を依頼し、12ヶ月以内の第2段階審査をターゲット日程として予算計上する。

経営者視点で考えるべきこと

第一に善管注意義務(取締役が会社に対して負う善良な管理者としての注意義務)の観点から、2026年下期以降に調達条件として「AIMS取得または準拠」が明示された案件を受注できない事態は、機会損失として取締役会での説明責任の対象となりうる。第二にサードパーティリスクとして、自社がAIMSを取得していない状態では、取得済みの取引先から供給網の監査要求を受けた際に対応根拠を示せない。第三にEU AI Act(欧州AI規制法)の高リスク用途事業者にとって、AIMS取得は同Act第17条(AIシステムのリスク管理システム要求)の「推定適合手段」として機能する見通しであり、EU向け事業を持つ企業は二重の投資を一本化できる。第四にISMSとの相乗効果として、ISMS運用基盤を持つ企業はAIMS取得の限界費用が低く、先送りするほど競合他社との認証格差が開く構造にある。来期予算でAIMS取得を明示的に承認するかどうかが、2027年度の受注競争力の起点となる。

SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細