どうすれば取得できる?ISO/IEC 42001取得手順を徹底解説!認証審査を突破する7つのステップ

2026.07.14

WorkWonders

どうすれば取得できる?ISO/IEC 42001取得手順を徹底解説!認証審査を突破する7つのステップ

この記事のまとめ

ISO/IEC 42001の取得は、AIを扱う組織がマネジメントシステムを整え、第三者の審査を受けて認証を得るまでの一連の流れです。手順は大きく分けて7つのステップで進めます。この記事では、取得を検討している方に向けて、規格の全体像から審査突破のポイントまでを整理してお伝えします。

  • ISO/IEC 42001はAIマネジメントシステムの国際規格で、附属書Aに9目的38管理策が示されています
  • 取得は経営層の関与、ギャップ分析、方針整備、リスクアセスメント、管理策運用、内部監査、認証審査の7ステップで進めます
  • 適用宣言書とAIインパクトアセスメント記録は、審査で重要な文書です
  • 取得後は改善サイクルを回すことで、AI特有のリスクに対応し続ける体制を保てます

ISO/IEC 42001とは

ISO/IEC 42001とは

AIマネジメントシステムの国際規格

ISO/IEC 42001は、AIを扱う組織のためのマネジメントシステムを定めた国際規格です。

この規格はISO/IEC JTC 1/SC 42/WG 1で開発され、2023年に第1版が発行されました。正式なタイトルは「情報技術-人工知能-マネジメントシステム」で、AIシステムを開発、提供、または利用する組織を対象にしています。組織がAIシステムを適切に開発、提供、利用するために必要なマネジメントシステムを構築する際の要求事項を規定しています。日本では2025年8月に対応するJIS規格「JIS Q 42001:2025」も発行されました(参照*1)。

私がこの規格を重要だと感じるのは、「AIを使う組織」の範囲が想像以上に広いからです。開発する会社だけでなく、AIを組み込んだサービスを提供する会社や、業務でAIを利用する会社にも当てはまります。生成AIコンサルティングの現場で支援している企業の多くは、自分たちがどの立場でAIに関わっているかを整理できていません。取得を検討する際はまず、自社がAIの「開発者」「提供者」「利用者」のどれに当たるかを明確にするところから始めることをお勧めします。

認証取得の目的と背景

認証取得の背景には、AI活用にともなう新しいリスクへの対応があります。

AIの活用は組織の生産性を大きく高める一方で、誤回答(ハルシネーション)による誤った業務判断や、企業データの意図しない漏洩といった新たな事業リスクをもたらします。私自身、生成AI導入支援の相談を受ける中で、「AIが間違ったことを言ったとき、誰が責任を持つか決まっていない」という組織を何度も見てきました。このような状況に対して、顧客が安心してAIを使える環境を提供するためのマネジメントシステムが必要だという認識が、ISO/IEC 42001の取得を決める理由として挙げられています(参照*2)。

経営層の関与も重要です。総務省の資料では、経営層のリーダーシップのもと、AIマネジメントシステムと組織のビジネスプロセスを確実に統合させることが重要だと示しています。具体的には、十分なリソースの確保、要件適合の重要性を組織内で伝えること、有効性に貢献する人材を指揮・支援することが期待されるとまとめました(参照*3)。

こうした背景を踏まえると、取得は単なる証明書の獲得ではなく、AIを扱う体制そのものを整える取り組みだとわかります。生成AI導入が「便利だから使おう」という雰囲気で始まり、ルールも責任範囲も曖昧なまま現場に広がるケースは多い。ISO/IEC 42001の取得プロセスは、そうした曖昧さを組織として解消する機会にもなります。経営層が旗を振り、現場が動く体制を作ることが出発点です。

認証取得のメリットと注目される理由

認証取得のメリットと注目される理由

AI特有リスクへのガバナンス強化

ISO/IEC 42001の取得は、AI特有のリスクに対するガバナンスを強める手段になります。

ある企業の事例では、AI機能がモデル単位およびシステム単位の管理フレームワークに基づいて統制されており、モデル情報シート、リスク評価、ライフサイクルの文書化、監視要件、透明性を担保するための各種資料が整備されています(参照*4)。

私が企業のAI導入を支援する中で感じるのは、「モデルを入れたあとの管理」が最も手薄になりやすいという点です。新しいモデルを試すことには積極的でも、どのモデルをいつ何の目的で使い、問題が起きたときにどう追跡するかを記録している組織は少ない。モデルごとに情報を残し、リスクを評価し、稼働後も監視を続ける仕組みは、事故が起きたときの原因追跡にも役立ちます。まずモデル情報、リスク評価結果、監視記録の3点を整えるところから着手できます。

取得企業の事例に見る効果

国内外で認証を取得する企業が増えています。

国内では、株式会社L is Bに対して一般財団法人日本品質保証機構がISO/IEC 42001:2023に基づいた認証を行い、2026年6月8日に本部にて登録証の授与式が行われました。同機構にとってISO/IEC 42001に基づく認証は初めてでした(参照*5)。

海外では、デジタル・アイデンティティサービスを提供するDaonがISO/IEC 42001の認証を取得しました。第三者機関による独立監査を経て授与されたもので、AIシステムのライフサイクル全体にわたるガバナンス体制、すなわちリスクアセスメント、モデル文書化、人による監督、パフォーマンスモニタリング、透明性、アカウンタビリティ、改善プロセスが評価されました。認証は米国、アイルランド、英国、オーストラリア、日本を含むグローバル事業全体に適用されます(参照*4)。またAWSは2024年11月にAIサービスに対するISO/IEC 42001:2023 AIマネジメントシステムの認証を取得しました(参照*3)。

業種も規模も異なる企業が取得している事実は、規格が幅広い組織に適用できることを示します。特にAWSのような大規模クラウドプロバイダーが取得しているという事実は、取引先へのアピールとしても無視できません。AIサービスを選ぶ側の企業が、ベンダーにISO/IEC 42001の取得を求め始めるという流れは、今後強まっていくと見ています。

取得前に押さえるべき規格構造

取得前に押さえるべき規格構造

附属書Aの9目的38管理策

取得の準備を始める前に、規格の構造を理解しておくことがポイントです。

ISO/IEC 42001はISOマネジメントシステム規格に共通の構成と要求事項を採用しています。ISO/IEC 27001と同様に、リスクに基づく手法(リスクベースアプローチ)を採用しており、附属書Aに9つの目的と38の管理策を記載しています。9つの目的は、A.2 AIに関連する方針、A.3 内部組織、A.4 AIシステムの資源、A.5 AIシステムのインパクトのアセスメント、A.6 AIシステムのライフサイクル、A.7 AIシステムのデータ、A.8 利害関係者のための情報、A.9 AIシステムの利用、A.10 サードパーティ及び顧客との関係で構成されています(参照*1)。

この9つの軸は、ギャップ分析のチェックリストとしてそのまま使えます。「自社のAI方針は文書化されているか」「AIシステムのライフサイクル管理は誰が担っているか」「サードパーティとのAI関連の契約条件は整理されているか」といった問いに対して、今の状態を正直に棚卸しするところから準備が始まります。全部できていない状態からのスタートでも、どこが弱いかが見えること自体が価値です。

ISMSやNIST AI RMFとの関係

ISO/IEC 42001は、他のフレームワークと組み合わせて理解すると全体像が見えやすくなります。

EU AI Actは域外にも影響を及ぼす規制で、リスクベースの分類に基づいて用途を4つの主要カテゴリーに分けています。ハイリスクに分類されるのは、医療機器、雇用スクリーニング、信用スコアリング、必須の公共サービスなど、個人の安全や基本的権利に大きく影響する用途です(参照*6)。また、ISO/IEC 42001とISO/IEC 23894(AIリスクマネジメント)を組み合わせた学習プログラムも提供されています(参照*7)。

私が企業に伝えているのは、ISO/IEC 42001を単独で一から立ち上げようとせず、既存のISMS(ISO/IEC 27001)やリスクマネジメントの枠組みに乗せる形で考えるほうが現実的だということです。すでに情報セキュリティの管理体制を持っている企業なら、そこにAI固有の要件を上乗せするイメージで進められます。ゼロから全部作ろうとすると、途中で息切れするケースが多い。

ISO/IEC 42001取得の7ステップ

ISO/IEC 42001取得の7ステップ

STEP1 経営層のコミットメントと適用範囲決定

最初のステップは、経営層のコミットメントを確立し、適用範囲を決めることです。

総務省の資料では、経営層のリーダーシップのもと、AIマネジメントシステムと組織のビジネスプロセスを確実に統合させることが重要だと示しています。十分なリソースの確保、要件適合の重要性を組織内で伝えること、有効性に貢献する人材を指揮・支援すること、継続的な改善を促進することが期待されるとまとめました(参照*3)。

私の経験では、生成AI導入プロジェクトが途中で止まる原因の多くは、経営層の関与が「承認」止まりになっていることです。経営層が「AIをどう使うか」を自分の言葉で語れる状態にならないと、現場に優先度が伝わらず、担当者が孤立します。この段階では、経営層がAIをどう位置づけるかを言葉にし、対象とする事業や部門、AIシステムの範囲を明確にします。範囲が広すぎると運用が回らず、狭すぎると効果が限られます。最初は範囲を絞って始め、サイクルを回しながら広げる判断が現実的です。

STEP2 ギャップ分析とプロジェクト体制構築

次のステップは、現状と規格要求のギャップを分析し、体制を組むことです。

附属書Aの9つの目的と38の管理策に沿って、自社の現在の状況を点検します。方針、組織、資源、インパクト評価、ライフサイクル、データ、情報開示、利用、外部関係の各領域で、すでにできていることとこれから整備すべきことを洗い出します。

体制構築では、経営層の直下に事務局を置き、開発、運用、法務、情報セキュリティなど関係部門の担当者を集めた横断チームを作る進め方があります。ここで重要なのは、プロジェクト推進の担当者が「業務を言語化できる人」かどうかです。AIに何をさせるか、どこに品質リスクがあるかを分解して説明できる人がいないと、ギャップ分析も形式的なチェックで終わります。専門知識を持つ人材が不足する場合は外部支援も検討しますが、その際も「業務の中身を知っている人」を社内に残しておくことが定着の条件になります。

STEP3 AI方針と文書体系の整備

3つ目のステップは、AI方針を定め、文書体系を整えることです。

ある取得企業では、すでに運用しているISMS(ISO/IEC 27001および27017)を土台とし、そこにAI特有の要件(公平性、透明性、安全性など)を組み込むことで、二重管理の負担がなく現場に定着しやすい体制を構築しました。また、難解なISO規格を現場が直感的に理解して行動できる平易な言葉に落とし込んだ「AIマネジメントシステムルールブック」を作成し、「AIを使う・開発する前にやること」「AIの利用・開発で守るべきこと」といったプロセスに応じたルールおよび手順を定義しました(参照*2)。

私がこの事例で評価するのは、「現場が読める言葉で書く」という設計です。ISO規格の文章をそのまま社内ルールとして配っても、読まれません。コンサルティング会社時代に上司から「中学生にもわかるように書きなさい」と言われた経験が今でも基準になっていますが、方針文書だけでなく、日々の業務で参照できる手順書やチェックリストまで整えることが定着につながります。文書の量より、現場が迷わず行動できる設計を優先してください。

STEP4 リスクアセスメントとインパクトアセスメント

4つ目のステップは、リスクアセスメントとインパクトアセスメントの実施です。

AIインパクトアセスメント(AI Impact Assessment)はAIマネジメントシステム内の重要な運用ツールで、責任あるAI開発と展開を確保するためにマネジメントシステムと連携して機能します。ISO/IEC 42001では、インパクトアセスメントは要求事項の1つとされ、ISO/IEC 42005を活用してその要求事項を満たすことができます(参照*8)。

リスクアセスメントは、AIシステムがもたらす可能性のある不利益や損害を洗い出し、影響度や発生可能性を評価する作業です。インパクトアセスメントは、個人や社会への影響に焦点を当てます。私が現場で見ていて感じるのは、技術的なリスク(誤回答、モデルの劣化など)には目が向きやすい一方、社会的な影響(採用判断や与信へのAI利用が特定属性に不利に働く可能性など)は後回しになりやすいという点です。両者を組み合わせることで、技術面と社会面の両方をカバーできます。評価の記録は後の審査で必要になるため、様式を決めて残す運用が欠かせません。

STEP5 管理策の実装と運用

5つ目のステップは、選んだ管理策を実装し、日々の運用に落とし込むことです。

ある企業ではISO/IEC 42001に整合した生成AIの安全性評価を実務として実施するための、分析、テスト、報告の3フェーズからなる「AIマネジメントシステムに基づく生成AI安全性評価プロトコルとその実装ガイド」および評価用テンプレートを整備しました(参照*9)。

管理策は文書に書くだけでは意味がありません。実際の開発プロセスや業務手順に組み込む必要があります。私がAI活用プロジェクトを手伝う際に強調しているのは、「プロンプトだけ配っても定着しない」という点と同じ構造です。評価テンプレートのように、現場が使える道具を用意することで運用が回り始めます。運用の記録も、後の内部監査や認証審査で確認される要素です。

STEP6 内部監査とマネジメントレビュー

6つ目のステップは、内部監査とマネジメントレビューの実施です。

内部監査では、AIマネジメントシステムが規格要求どおりに運用されているかを組織内部の視点で点検します。監査員は独立性を保つ必要があり、自分が担当する業務を自分で監査することは避けます。指摘事項があれば是正処置を計画し、実行します。

マネジメントレビューでは、経営層が監査結果、リスク評価の状況、パフォーマンス指標などを確認し、システムの有効性を評価します。ここが形式的な報告会になると改善サイクルが止まります。「何が問題で、次に何を変えるか」を経営層が自分の言葉で決める場にできるかどうかが、運用が続くかどうかの分岐点です。

STEP7 認証機関による審査(Stage1・Stage2)

最後のステップは、認証機関による審査です。

2025年7月にISO/IEC 42006:2025(AIMS認証機関に対する要求事項)が発行されました。これを受けて、ISMS-AC(情報マネジメントシステム認定センター)がAIMS適合性評価制度を開始しました(参照*1)。

審査は一般的に2段階で行われます。第1段階審査(Stage 1)で文書と準備状況を確認し、第2段階審査(Stage 2)で実際の運用状況を審査する流れです。ここで重要なのは、「文書は整っているが運用していない」状態で審査に臨まないことです。Stage 2では、担当者が実際にどう動いているかを確認されます。審査前に現場の担当者と一度ロールプレイをしておくことを、私はお勧めしています。

審査を突破するための文書と準備

審査を突破するための文書と準備

Statement of Applicability(適用宣言書)

審査で中心となる文書の1つが適用宣言書です。

適用宣言書は、どの管理策要件が適用されるかを定め、それらを含める、除外する、または実装する状態にした根拠を文書化するものです。識別されたリスクと該当する管理策を明確に結びつけることで、透明性、一貫性、監査可能性を支えます(参照*10)。

この文書は、どの管理策を採用し、どれを除外し、なぜそうしたかを一覧できる形にしたものです。審査員はこの文書を出発点にして、実際の運用と整合しているかを確認します。「除外する理由」を丁寧に書けているかどうかが、審査員に準備の質を見せる部分でもあります。根拠が「対象外のため」だけでは不十分で、なぜ対象外と判断したかの論理が必要です。

AIインパクトアセスメント記録

もう1つの重要な文書が、AIインパクトアセスメントの記録です。

AIインパクトアセスメントはAIマネジメントシステム内の重要な運用ツールで、責任あるAI開発と展開を確保するためにマネジメントシステムと連携して機能します。ISO/IEC 42001では、インパクトアセスメントは要求事項の1つとされ、ISO/IEC 42005を活用してその要求事項を満たすことができます(参照*8)。また取得企業の事例では、モデル情報シート、リスク評価、ライフサイクルの文書化、監視要件、透明性を担保するための各種資料が整備されています(参照*4)。

記録に残す情報には、モデルごとの情報、リスク評価の結果、ライフサイクルの各段階での判断、監視の記録、透明性を保つための説明資料が含まれます。審査時にこれらの記録が体系的に整っていることが、実運用の証拠になります。「記録がある」だけでなく、「なぜその判断をしたか」が追跡できる記録になっているかどうかが、実際の審査での評価を左右します。

取得後の継続改善と失敗しない運用

取得後の継続改善と失敗しない運用

認証取得はゴールではなく、改善の出発点です。

AIシステムは静的ではありません。モデルは更新され、利用範囲は広がり、外部環境も変化します。レッドチーミングのように、攻撃者の目線で対象AIシステムの弱点や対策の不備を能動的に発見し、修正・堅牢化していく仕組みを持つことが、AIセーフティを維持または向上させることにつながります(参照*11)。

ある取得企業は、審査を通じて得られた知見を活かし、適合性の確認にとどまらず、AI特有のリスクやガバナンスについて実務的な観点から多くの助言を得られたと振り返っています(参照*2)。

私が生成AI事業に携わってきた2年半で実感しているのは、AIの難しさはモデル選定よりも、組織の意思決定とルール整備の継続にあるという点です。認証を取った後、次のサイクルで何を改善するかを最初から設計しておくことが、形式的な維持審査で終わらない運用につながります。

おわりに

ISO/IEC 42001の取得手順は、経営層のコミットメントから始まり、認証審査を経て改善へと続きます。附属書Aの9目的38管理策を理解し、適用宣言書とAIインパクトアセスメント記録を軸に準備を進めることが、審査突破の要になります。

国内外で認証を取得する企業が着実に増えており、AIを扱う組織にとって重要な選択肢になりつつあります。ただし、取得そのものを目的にすると、証明書だけ手に入って組織が変わらないという結果になりやすい。7つのステップを一つずつ進める中で、「自社のAIをどう管理するか」を具体的に決める作業こそが本質です。自社の状況に合わせて、着実に進めてください。

監修者

安達裕哉(あだち ゆうや)

デロイト トーマツ コンサルティングにて品質マネジメント、人事などの分野でコンサルティングに従事しその後、監査法人トーマツの中小企業向けコンサルティング部門の立ち上げに参画。大阪支社長、東京支社長を歴任したのち2013年5月にwebマーケティング、コンテンツ制作を行う「ティネクト株式会社」を設立。ビジネスメディア「Books&Apps」を運営。
2023年7月に生成AIコンサルティング、およびAIメディア運営を行う「ワークワンダース株式会社」を設立。ICJ2号ファンドによる調達を実施(1.3億円)。
著書「頭のいい人が話す前に考えていること」 が、95万部(2026年6月時点)を売り上げる。
(”2023年・2024年上半期に日本で一番売れたビジネス書”(トーハン調べ/日販調べ))

参照

ワークワンダースからのお知らせ

ウェブ集客に効く、AI検索対策「AUTOMEDIA」のご紹介はこちらから。

WORK WONDERSメディアの記事も「AUTOMEDIA」で執筆されています。