ISO27001 × ISO42001——2つの規格を統合管理する現実的なアプローチ

「ISO27001を取ったけど、AIのリスク管理もやらないといけない。ISO42001も必要？」——この問いが増えている。

ISO27001（情報セキュリティ）とISO42001（AIマネジメント）——2つの規格が視界に入ってくる会社が増えている。AIを業務に導入する以上、情報セキュリティだけでなくAI固有のリスクにも向き合う必要が出てきた。

でも、2つの規格を別々に構築・運用するのは中小組織にとって現実的じゃない。今回は「2つの規格をどう使い分け、どう統合するか」を整理する。

→ ISO 42001とは何か？AIマネジメント規格を中小企業向けに現場目線で解説

目次

1. 2つの規格は何が違うのか：守備範囲の整理
2. 共通点が多い：統合管理が成立する理由
3. 統合のアプローチ：ISMSを土台にAIを乗せる
4. リスクアセスメントの統合：情報資産＋AIリスクを一本化する
5. 文書体系の統合：規程を二重に作らない
6. 内部監査の統合：1回の監査で両方カバーする
7. 中小組織こそ統合管理が合理的だ

1. 2つの規格は何が違うのか：守備範囲の整理

まず前提を整理する。ISO27001とISO42001は別の規格だが、目的も構造も近い。

ISO27001は情報セキュリティマネジメントシステム（ISMS）の規格だ。組織の情報資産を機密性・完全性・可用性の観点で保護する仕組みを定める。対象は「情報」全般だ。

ISO42001はAIマネジメントシステム（AIMS）の規格で、2023年に発行された新しい規格だ。AIシステムの開発・提供・利用に伴うリスクを管理する仕組みを定める。対象は「AIシステム」に特化している。

守備範囲は異なるが、マネジメントシステムとしての構造は共通している。これが統合管理を可能にする理由だ。

2. 共通点が多い：統合管理が成立する理由

ISO27001もISO42001も、ISOのマネジメントシステム規格に共通する「附属書SL」という上位構造に基づいている。つまり、以下の要素が両方に存在する。

リーダーシップとコミットメント・リスクアセスメント・管理策の実施・内部監査・経営者レビュー・継続的改善——この骨格が同じだから、2つの規格を一つの管理体系で運用できる。

別々に構築すると、文書が二重になり、監査が二度必要になり、担当者の負担が倍増する。中小組織でこれは現実的ではない。

3. 統合のアプローチ：ISMSを土台にAIを乗せる

統合の考え方はシンプルだ。既存のISMS（ISO27001）を土台にして、AIに関するリスク管理をその上に乗せる。

ISO27001をすでに取得している組織なら、ISMSの枠組みは整っている。そこにISO42001が求める「AI固有のリスク評価」「AIのライフサイクル管理」「透明性・説明可能性への対応」を追加する形で統合できる。

ゼロからISO42001を構築するより、ISMSの延長線上にAIマネジメントを位置づける方が、文書も体制も効率的だ。

4. リスクアセスメントの統合：情報資産＋AIリスクを一本化する

リスクアセスメントは両規格の中核だ。統合する場合、情報資産に対するリスクとAIシステムに対するリスクを一つのアセスメントシートで管理できる。

具体的には、既存のリスクアセスメントシートに「AIリスク」の列を追加する形で対応できる。

AIリスクの例としては、AIモデルへの入力データに個人情報が含まれるリスク・AIの出力結果が誤っている場合の業務影響・AIサービスの可用性が低下した場合の業務停止リスク・AIの判断プロセスが説明できないリスク——こういったAI固有のリスクを、既存の情報セキュリティリスクと並べて評価する。

別々のシートで管理するより、一つのシートで「情報セキュリティリスク」と「AIリスク」を横並びに見る方が、対応の優先順位が判断しやすい。

5. 文書体系の統合：規程を二重に作らない

文書の統合は実務上最も効果が大きい。情報セキュリティポリシーの中にAIに関する方針を含める形にすれば、AIポリシーを別文書で作る必要がなくなる。

具体的な統合方法としては、情報セキュリティポリシーに「AIシステムの利用に関する方針」の章を追加する。リスクアセスメント手順書にAIリスクの評価基準を追加する。教育計画にAIリテラシー教育を組み込む——新しい文書を作るのではなく、既存文書にAIの章を足すのが効率的なアプローチだ。

→ 中小企業の生成AI利用ガイドライン——今日から始められる5つのアクション

6. 内部監査の統合：1回の監査で両方カバーする

内部監査も統合できる。ISO27001の内部監査チェックリストにAI関連の確認項目を追加するだけで、1回の監査で両規格の要求事項をカバーできる。

追加すべきAI関連の監査項目としては、AI利用に関する方針が周知されているか・AIの入出力データの管理が適切か・AIの利用状況が記録されているか・AIの判断結果に対する人間のレビュー体制があるか——こういった項目を既存のチェックリストに組み込む。

監査を年2回別々に実施するのと、1回で統合して実施するのでは、担当者の負荷が全く違う。中小組織では統合監査一択だと思っている。

中小組織こそ統合管理が合理的だ

大企業ならISO27001とISO42001を別々のチームで運用することも可能だ。でも中小組織では、担当者もリソースも限られている。2つの規格を別々に回す余裕はない。

ISMSを土台にAIマネジメントを統合することで、文書は一本化され、監査は1回で済み、担当者の負担は最小化される。これは妥協ではなく、合理的な設計だ。

次回は、ISO42001が具体的にどんな管理策を求めているかを、中小企業向けに噛み砕いて解説する。

→ セキュリティは「機器」より「仕組み」で決まる——ISO27001を現場目線で解説

関連記事

・ISO 42001とは何か？AIマネジメント規格を中小企業向けに現場目線で解説
ISO42001の基本的な考え方と全体像を解説した入門記事。

・中小企業の生成AI利用ガイドライン——今日から始められる5つのアクション
AIマネジメントの第一歩として、すぐに始められるガイドライン整備の話。

・セキュリティは「機器」より「仕組み」で決まる——ISO27001を現場目線で解説
統合管理の土台となるISO27001の基本。