「AIを使ってみたいけれど、情報が漏れないか不安で踏み出せない」。テクノロジーの相談窓口をしていると、ここ最近でとくに増えているのが、この声です。新しい道具へのワクワクと、見えないリスクへの不安。その両方を同時に抱えている人は、決して少なくありません。
そんな「期待」と「不安」のあいだに、静かに置かれはじめた“ものさし”があります。AIを組織としてきちんと管理できているかどうかを、第三者の審査を通じて示すための国際規格、ISO/IEC 42001(AIMS)です。今回は、この規格の普及に挑む株式会社UPF 代表・仲手川啓を訪ね、AIを安心して使える社会をどうつくるのかをうかがいました。
AIの業務利用が急速に広がる一方で、その「使い方」そのものが新たなリスクとして意識されはじめている。こうしたなか注目を集めるのが、AIの開発・利用を組織として適切に管理するための国際規格 ISO/IEC 42001、通称 AIマネジメントシステム(AIMS)だ。
ISO/IEC 42001 は、2023年に発行された、AIマネジメントシステムに関する世界初の国際規格である。組織がAIにまつわるリスクと機会を適切に管理し、透明性や説明責任を確保しながら、AIを責任ある形で運用するための枠組みを定める。情報セキュリティの ISO/IEC 27001 など、ほかのISO管理規格と整合する構造を持ち、すでに ISMS に取り組む組織にとっては、その延長線上で導入を考えやすい。
国内でも、2025年4月に株式会社Godotが第一号の認証を取得し、5月にはi-PRO社がBSIから取得。2026年1月には日本品質保証機構(JQA)が審査サービスを開始するなど、まさに普及の入口にある段階だ。長年 Pマーク・ISMS の認証取得支援を手がけてきた株式会社UPFも、2025年12月に AIMS 取得支援サービスを開始し、自社でも年内の取得完了を目指して審査を進めている。
【編集部解説】
「ふだんの業務」から生まれるAIのリスク
AIを使うことが当たり前になるほど、トラブルの起こり方も変わってきました。仲手川氏は、現場で実際に起きているリスクを三つに整理します。
典型的なのは三つです。便利だからと、機密情報を生成AIに入力してしまう。AIの誤った出力を、そのまま顧客向けの資料に使ってしまう。そして、委託先が裏側でAIを使っていて、渡した情報が知らないうちにAIに入力される。どれも悪意ある攻撃ではなく、ふだんの業務から生まれるリスクなんです。
仲手川啓氏
いずれも、特別な攻撃者がいるわけではありません。善意で、効率を求めて使った結果として起きてしまう。だからこそ、個人の注意に委ねるのではなく、組織の仕組みとして受けとめる必要がある、というわけです。
PマークやISMSだけでは守りきれない理由
では、すでに Pマークや ISMS を取得している企業なら安心かというと、そうではないと仲手川氏は言います。守ろうとしている対象が、根本から違うからです。
決定的な違いは、守る対象です。ISMSは『情報』という静的な資産を守る。漏れない、改ざんされない、消えない。一方でAIMSが管理するのは、AIの『振る舞い』です。入力した情報が正しくても、出力が間違うことがある。つまりハルシネーションです。さらに、採用や与信にAIを使えば、人の人生に関わる判断を機械がすることになる。差別的な判断をしていないか、説明できるか。静的な資産管理から、動き続けるシステムの挙動管理へ。影響評価という考え方が中核に入ってくるのが、最大の違いです。
仲手川啓氏
「情報をどう保管し、誰に渡すか」を管理する従来の枠組みに対し、AIMSが問うのは「出力が正しいか」「判断を説明できるか」という別次元の論点です。ここは、既存の認証だけでは拾いきれません。
AIMSの中身 ― 有効性・公平性・透明性をどう実装するか
AIMSが確実にしようとするのは、大きく「有効性・公平性・透明性」の三つの観点です。言葉は抽象的に聞こえますが、仲手川氏は「実装はかなり具体的だ」と言います。
有効性は『そのAIを何のために使い、成果をどう測るか』を決めること。公平性は、AIの判断が特定の人に不利益を与えていないかを、影響評価で点検すること。透明性は、どのデータで何を判断したか、ログと記録を残して説明できる状態にすること。実務に落とすと、AI利用の台帳をつくる、利用ルールを定める、影響評価を回す、教育する──ISMSをやってきた会社なら、馴染みのあるマネジメントの作法で実装できます。
仲手川啓氏
規格そのものも、AIシステムが個人や社会に与える影響を評価する「影響評価(インパクトアセスメント)」を中核の要求事項として置いています。たとえば採用AIが過去のデータの偏りを学習し、特定の性別を不利に扱ってしまう——そうした事態を未然に点検し、必要なら利用を止める判断につなげる。AIMSは、そうした「振る舞いの管理」を、組織の仕組みとして回し続けることを求めているのです。
「お客様に頑張らせない」 ― UPFの強みとストーリー
仲手川氏が認証支援に取り組むようになった原点は、自身の苦い経験にあります。
もともとUPFは、ダイレクトメールの会社でした。個人情報を大量に預かる商売ですから、Pマークは必須だった。ただ、いざ取ろうとすると、規程や帳票の山で、何が正解かも分からない。専門用語の壁もある。本業をやりながらこれをこなすのは、中小企業には現実的に無理だと痛感しました。この『取る側の苦しさ』を知っていることが、いまの支援スタイルの原点です。だから当社は伴走型で、お客様の手間や労力を最小限にすることにフォーカスしています。
仲手川啓氏
その思想は、「認証取得はゴールではなく、企業成長の手段である」という言葉に凝縮されています。
認証は、額縁に飾るためのものではなく、取引を広げ、組織に型をつくるための道具です。Pマークがあるから入札に参加できる、ISMSがあるから大手と取引できる──つまり認証は『信頼の流通手段』なんです。取って終わりにすると、監査前に慌てるだけの負債になる。運用し続けて初めて、社員の意識や業務の質に効いてくる。だから当社は、取得よりむしろ取得後の運用・更新の伴走に力を入れています。
仲手川啓氏
Pマーク・ISMSを中心に累計5,400社以上(※2026年6月現在)を支援し、業界トップクラスのシェアを持つUPF。高い取得成功率の背景にも、同じ哲学が貫かれています。
一言でいえば、『お客様に頑張らせない』ことです。一般的なコンサルは助言をして、書類はお客様がつくる。当社は規程や帳票の作成まで、実務ごと引き受けます。お客様の負担を最小にして、本業に集中していただく。それを支えているのが、数千社の支援で蓄積した審査の知見と、属人化させない標準化されたプロセスです。誰が担当しても同じ品質で出せる仕組みにしてあることが、結果として成功率に表れています。
仲手川啓氏
そして、取得後に運用が形骸化しないための工夫を、二つ挙げてくれました。
一つは、ルールを組織ごとの現場の業務フローに合わせて設計すること。立派すぎる規程は、必ず形骸化します。実態に合った、回る仕組みにする。もう一つは、取得後も年間を通じて伴走することです。サーベイランス審査の前だけ慌てるのではなく、日常の運用や記録の維持を、当社が実務面で支える。認証を『取らせる会社』ではなく、『運用を支え続ける会社』であること。これが当社の本質だと思っています。
仲手川啓氏
いまはどのフェーズか ― ISMSの歴史と重ねる
長く ISMS の普及を見てきた立場から、仲手川氏はAIMSの現在地をこう読み解きます。
ISMSでいえば、2000年代前半に認証が出はじめて、感度の高い企業から取得が始まった黎明期と、そっくりです。ISMSはその後、2010年頃から大手の取引条件や入札要件に組み込まれて、一気に標準になりました。AIMSも同じ道をたどると見ています。『AIを使っているなら、管理体制を示してください』が取引の前提になる日は、想像より早く来る。いまは普及の入口で、先に取り組んだ企業が、そのまま信頼で選ばれる時期です。
仲手川啓氏
これから取り組む企業へ ― 今日からできる二つのこと
とはいえ、多くの読者にとってAIMSの取得はまだ先の話かもしれません。仲手川氏は、「使う側」の企業がやるべきことは、もっとシンプルだと言います。
開発・提供する側は、モデルの設計やデータガバナンス、ライフサイクル全体の説明責任まで問われます。一方、世の中の大多数である『使う側』の企業がやるべきことは、もっとシンプルです。①どのAIを誰が使っているかを把握する、②入れてはいけない情報の線を引く、③出力を鵜呑みにしない検証の仕組みをつくる、④委託先のAI利用を管理する。この四つ。『うちは開発していないから関係ない』が、一番危ない。使うだけでも、リスクの当事者です。
仲手川啓氏
とりわけ見落とされがちなのが、④の委託先の管理です。仲手川氏は、最初に投げかけるべき質問を具体的に教えてくれました。
まず『AIを使っていますか。私たちが渡した情報は、AIに入力されますか。学習に使われますか』と聞いてください。この質問に明確に答えられるかどうかが、最初のふるいになります。そのうえで、AI利用の方針やルールが文書化されているか、契約にAI利用の条項を入れられるか、再委託まで管理しているか。将来的には、AIMSのような第三者認証が『説明できる会社』の目印として機能していくはずです。
仲手川啓氏
では、認証の前に、今日から踏み出せる第一歩は何か。答えは「禁止」ではありませんでした。
禁止ではなく、可視化です。多くの会社では、もう社員がAIを使っています。禁止すると隠れて使う、いわゆるシャドーAIになって、かえってリスクが見えなくなる。だから最初の一歩は、誰がどのAIを何に使っているかを棚卸しして、台帳を一枚つくること。そして『これは入力してはいけない』という線引きを示すこと。認証はその先の話で、今日からできるのは、この二つです。
仲手川啓氏
「不安」を「挑戦の土台」に変える
取材の最後に、AIMSが普及した先にどんな社会を見ているのかを尋ねました。仲手川氏の答えは、技術論ではなく、人の気持ちの話から始まりました。
不安を理由に立ち止まる人が減る。これに尽きます。いまは『使ってみたいけれど怖い』で足が止まっている企業が、本当に多い。でも不安の正体は、見方を変えれば『事故を起こして損失を被りたくない』『関係者に迷惑をかけたくない』という、真っ当な気持ちです。その気持ちを否定せず、仕組みで受けとめるのがAIMSです。管理できるから、安心して任せられる。安心は、挑戦の土台です。技術を恐れる関係から、説明し合える関係へ。そうなれば、AIの恩恵は大手だけでなく、中小企業にも行き渡ります。
仲手川啓氏
当社は自分たちを、単なる認証のBPO会社だとは思っていません。『企業の信頼を、実務で支える会社』です。創業から20年、Pマーク、ISMS、TISAXなど、いろいろな認証の取得と運用支援に特化してきました。AIMSと対象は広がりましたが、やっていることは一貫していて、お客様の信頼度を上げるという形で、その成長を支えること。AIの時代は、信頼の証明がこれまで以上に価値を持つ時代です。どんな規模の会社でも、誠実にやっている会社が正当に信頼され、選ばれる。そういう社会の土台を、実務で支えるパートナーでありたい。それがUPFの目指す世界です。
仲手川啓氏
【用語解説】
AIMS(ISO/IEC 42001)
AIマネジメントシステムに関する世界初の国際規格。AIの開発・提供・利用に伴うリスクを管理し、有効性・公平性・透明性を確保するための要求事項を定める。2023年発行。
ISMS(ISO/IEC 27001)
組織が持つ情報資産を、漏えいや改ざんなどの脅威から守り、安全に管理するための国際規格。情報セキュリティマネジメントシステムの略。
ハルシネーション
AIが事実に基づかない誤った情報を、もっともらしく生成してしまう現象。入力が正しくても出力が誤ることがある。
AIシステム影響評価(インパクトアセスメント)
AIの利用が個人や社会に与える潜在的な影響を、ライフサイクル全体にわたって評価・文書化する取り組み。AIMSの中核となる要求事項の一つ。
シャドーAI
会社が把握しないまま、従業員が業務で勝手にAIツールを使っている状態。利用を一律に禁止すると、かえって発生しやすくなる。
【参考リンク】
ISO/IEC 42001(AIマネジメントシステム)|JQA(外部)
ISO/IEC 42001 の概要や対象組織、規格が目指す観点を、審査機関の立場からわかりやすく整理した解説ページ。
株式会社UPF 公式サイト(外部)
Pマーク・ISMS支援で実績を重ね、AIMS取得支援も始めた株式会社UPFの公式サイト。サービス内容と支援実績を確認できる。
ISO 42001 認証取得支援|PwC Japanグループ(外部)
ISO/IEC 42001 の要求事項や、ISO 27001 など他規格との整合性を、コンサルティングの視点から整理した参考ページ。
【関連記事】
IPA「10大脅威2026 個人編」対策マッピングシート完全活用ガイド
最新の脅威をどう「使う資料」に落とし込むかを扱った一本。AI時代の備え方を実装目線で考えたい読者への導線になります。
XAI(説明可能AI)がビジネスを変える?:横浜国立大学 長尾先生にインタビュー
AIの判断を説明できることの価値を専門家に聞いた取材記事。透明性という共通テーマで本記事と響き合います。
【編集部後記】
取材を終えていちばん残ったのは、「不安は、悪者ではない」という仲手川さんの視点でした。AIへの不安は、裏を返せば「大切なものを守りたい」「迷惑をかけたくない」という、真っ当な気持ちです。それを否定せず、仕組みで受けとめる。AIMSという無機質に見える規格の奥に、そんな人間くさい思想が流れていることに、私は少し驚きました。
「未来を知りたい、触りたい、関わりたい」。その一歩を、安心して踏み出せる人がひとりでも増えるように。まずは台帳を一枚つくるところから——今日から始められることは、意外と身近にありそうです。
