ISO 31000を用いて解説、AIシステムのリスクマネジメントのためのガイダンスを公表　欧州データ保護監督機関

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [ISO 31000を用いて解説、AIシステムのリスクマネジメントのためのガイダンスを公表　欧州データ保護監督機関](https://www.newton-consulting.co.jp/itilnavi/flash/id=8853)【ニュートン・コンサルティング株式会社】(2025年12月01日) --- > [!NOTE] この記事の要約（箇条書き） - 欧州データ保護監督機関（EDPS）が2025年12月1日に、AIシステムのリスクマネジメントに関するガイダンスを公表。 - ガイダンスの名称は「Guidance for Risk Management of Artificial Intelligence systems」（全55ページ）。 - EUの公的機関がAIシステム開発・調達・展開時にEUDPRの義務を遂行することを支援することを目的とする。 - ISO 31000のフレームワークを用い、個人データ処理を伴うAIシステムによるデータ主体の権利侵害リスクとその軽減策を解説。 - ガイダンスは「リスク特定」と「リスク対応」に焦点を当て、データ保護原則の不遵守リスクと技術的コントロールを示す。 - 民間企業にとっても、GDPRとEUDPRの基本原則が共通しているため参考となる。 - 付録には、AIシステムの性能評価メトリクス、リスク概要一覧、AIシステムライフサイクルにおけるリスクチェックリストが含まれる。 > [!NOTE] 要約おわり --- サイバー／デジタルリスクNavi 欧州データ保護監督機関（EDPS）は11月11日、欧州連合（EU）の公的機関がAIシステムを開発・調達・展開する際にデータ管理者としてEUDPRに基づく義務を遂行できるよう、ガイダンスを公表しました。このガイダンスは公的機関向けですが、EUDPRとGDPR（一般データ保護規則）は公平性、正確性、データ最小化、セキュリティおよびデータ主体の権利といったデータ保護の基本原則が共通しているため、AIシステムを開発・調達・展開する民間企業にとっても参考になります。公表されたガイダンスは「Guidance for Risk Management of Artificial Intelligence systems」（PDF文書、全55ページ）です。EUの公的機関が、個人データの処理を伴うAIシステムを開発・調達・展開する際にどのようなリスクがあり、どのようにリスクを軽減できるかをISO 31000のフレームワークを説明した上で解説しています。個人データの処理を伴うAIシステムを活用する場合、データ主体の基本的権利を侵害する恐れ（リスク）があります。AIにはバイアスがあったり、ハルシネーションや不正確な予測を行ったりする可能性があるためです。 EUの行政機関はデータ管理者としてEUDPRの適用を受けます。EUDPRとは「Regulation（EU）2018/1725」のことであり、EUの公的機関を対象としたデータ保護規則です。EUDPRには、説明責任（アカウンタビリティ）の原則があります。ガイダンスはこのアカウンタビリティの履行を支援する目的で作成されました。具体的には、EUの公的機関はリスク特定とリスク軽減措置、そしてこれらリスクをどのように特定してコントロール（軽減）したのか（措置の有効性）を証明する責任を負っています。ガイダンスでは、ISO 31000に準拠したリスク管理プロセスの「リスク特定」と「リスク対応」のフェーズに焦点を当て、データ保護原則の不遵守という具体的なリスクと、その軽減に向けた技術的コントロール（対策）を示しています。ガイダンスは本編（セクション1～6）と付録（Annex）で構成されています。付録（Annex 1）では、AIシステム（AIモデル）の性能と有効性を評価するためのメトリクス（評価基準）とベンチマークを説明しています。メトリクスとベンチマークは自然言語処理や画像認識といったAIのタイプ別に整理されています。付録（Annex 2）では、懸念事項（Concerns）という大分類の下に、どのようなリスクが存在するのかを簡潔にリストアップした概要一覧が掲載されています。EUDPRが求める原則の違反につながってしまう、具体的な事象（リスク）との対応関係がわかります。付録（Annex 3）では、AIシステムのライフサイクルにおいて、開発段階と調達段階で発生する可能性があるリスクに関するチェックリストが提供されています。 ## 参考情報 [記事一覧](https://www.newton-consulting.co.jp/itilnavi/flash-list/) --- ## Related Articles おすすめの記事[EU AI法と企業に求められる対応とは](https://www.newton-consulting.co.jp/itilnavi/guideline/eu_ai_act.html) [ リスク対応（Risk Treatment） ](https://www.newton-consulting.co.jp/bcmnavi/glossary/risk_treatment.html)[ GDPRと世界のプライバシー法規制の現在 ](https://www.newton-consulting.co.jp/itilnavi/column/gdpr_privacy_laws.html)[ ISO31000:2018 リスクマネジメント―指針 ](https://www.newton-consulting.co.jp/bcmnavi/guideline/iso31000.html)[ ISO/IEC 42001 情報技術 - 人工知能（AI）-マネジメントシステム‐ガイドライン解説 ](https://www.newton-consulting.co.jp/itilnavi/guideline/iso-iec42001_ai_management-system.html)[ AI事業者ガイドライン（第1.0版） ](https://www.newton-consulting.co.jp/bcmnavi/guideline/draft_ai_guidelines_for_business.html)[ AI Risk Management Framework (AIリスクマネジメントフレームワーク、AI RMF 1.0) ](https://www.newton-consulting.co.jp/itilnavi/guideline/ai_rmf.html)[ AIリスクマネジメントとISO/IEC42001と認証制度 ](https://www.newton-consulting.co.jp/bcmnavi/voice/iso42001.html)[ Agentic AI／Generative AI（自律型AI／生成AI） ](https://www.newton-consulting.co.jp/itilnavi/glossary/agentic-ai_generative-ai.html)[ 「EUデータ法」適用開始、自動車産業向けにガイダンスを公表　欧州委員会 ](https://www.newton-consulting.co.jp/itilnavi/flash/id=8725) ![TOPへ戻る](https://www.newton-consulting.co.jp/files/rcms_conv_webp/files/user/common/to-top.png_1723014866.webp?v=1727246419)