取得の経緯と意義

NTT DATAは2021年より、安心・安全なAIシステムの提供をめざし、AIガバナンスやAIリスクマネジメントの取り組みを継続的に進めていました。これまでの活動をさらに高度化し、事業への価値貢献を図るため、ISO/IEC 42001の認証取得に踏み切りました。
また、生成AIソリューション「LITRON® Generative Assistant（以下、LITRON GA）」の開発および提供においては、信頼性の高いAIソリューションを提供するための組織的な改善活動を継続しており、「LITRON® Generative Assistant on finposs®」など、さまざまなお客さまへの導入実績があります。このような、お客さまが安心して生成AIを活用できる環境整備への取り組みが評価され、今回の認証の取得に至りました。

認証取得の意義は3つあります。

1つめは「AIガバナンス体制の高度化によるリスク軽減」です。ISO/IEC 42001の要求事項対応により、社内のAI開発・活用におけるリスクの管理体制を強化することができました。

2つめは「AIリーディングカンパニーとしてのプレゼンス向上」です。国際標準であるISO/IEC 42001対応により、グローバルなAIリーディングカンパニーとしてのブランドを確立することにつながります。

3つめは「AIサービスの品質担保による市場競争力強化」です。今回の認証取得により、LITRON GAは高品質な信頼性の高いAIサービスであることが客観的に保証され、サービスの価値向上に貢献することができます。

認証審査に向けた取り組み

2025年6月ごろから、ISOのマネジメントシステムにおける認証取得支援のコンサルティング実績が豊富なSOMPOリスクマネジメント株式会社との協業のもと、認証取得に向けた準備を開始しました（図2）。

図2：審査に向けた取り組み

AIガバナンス室では、これまでもAIガバナンス実装の根拠となる方針やポリシー、ガイドラインの整備を推進してきました。
グローバルで管理すべきAIリスクと、そのリスクマネジメントフレームワークを定めたAIリスクマネジメントポリシー、さらにそのポリシーにもとづいたリスクマネジメントを実現するため、AI全般について具体的かつ実効性のあるマネジメントルールを提供しています。また、生成AIに特化した開発・提供・利用3つの立場から留意事項と対処方針をまとめた利用ガイドラインの提供など、生成AIのプロジェクトで迷いがちなAI特有のリスク対応を効率よく進められるしくみを整備しています。

今回、ISO/IEC 42001の要求事項および附属書Aの管理策に対しては、これらのAIガバナンスとAIリスクマネジメントのドキュメント、およびLITRON GAの開発ドキュメントから、充足しているものを引き当てていき、不足している要求事項や管理策には「AIMS運用マニュアル」の策定や開発ドキュメントの追加をして補うこととしました。

ISO/IEC 42001はAIMSに関する国際標準規格として発行されたばかりの新しい枠組みのため、世の中にほとんど前例がなく、私たち自身も「手探り」で進める必要がありました。関係者との対話を深めながら規格で求められる要件を解釈し、NTTデータグループおよびNTTデータに最適なかたちを描き出していく点でも多くの試行錯誤を重ねる必要がありました。

2025年9月下旬のテュフ ラインランド ジャパン株式会社による一次審査では、主に文書を対象に規格への適合性の確認が行われ、不適合はなかったものの、二次審査までに、計画に沿った内部監査とマネジメントレビュー、ISO/IEC 42001の認知教育の実施と、AIMS運用マニュアルやLITRON GAの開発ドキュメントに対する追記や修正の指摘がありました。

一次審査で受けた指摘事項にすべて対応した上で、10月末の二次審査に臨みました。二次審査ではAIMSの運用状況を中心に審査が行われ、不適合はなく、推奨改善事項が3点あったものの、無事に認証取得となりました。

その後、テュフ ラインランド ジャパン株式会社が一般社団法人情報マネジメントシステム認定センター（ISMS-AC）から認証機関として国内第一号の認定を受けたことを受け、2026年1月中旬に正式認証となり、国際的にも通じる認証となっています。（https://www.tuv.com/press/jp/press-releases/newsroom-detail-page_528448.html）

今後に向けて

ISO/IEC 42001は認証が始まったばかりの新しい規格です。2025年末に日本政府が人工知能基本計画策定の一環で検討した「人工知能関連技術の研究開発および活用の適正性確保に関する指針」（https://www8.cao.go.jp/cstp/ai/ai_guideline/ai_guideline.html）でも、適正性確保のためにISO/IEC 42001にもとづいたマネジメントシステムの確立に言及しています。将来的にはISO/IEC 27001やプライバシーマークのように、AIシステム開発時の入札条件の1つになることも期待されます。
また、EUのAI規制法を策定した欧州委員会は、AIに関する4つのISO標準をAI規制法との適合性が高い規格に位置付けており、ISO/IEC 42001はその1つです。そのため、EUでは将来的にハイリスクと分類されたAIの提供組織に対し、準拠を求める規格になりうるもので、本規格の今後のグローバルでの普及も期待されます。

今回のISO/IEC 42001の認証取得を通じて、これまでに構築してきたAIガバナンスやAIリスクマネジメントのしくみが国際標準規格としても妥当であることが証明されたと受け止めています。しかしながら、今回の認証取得は、あくまでスタートラインであり、今後は認証の維持・更新を通じて、より実効性の高いAIガバナンスを確立していくことが重要だと認識しています。また、今回の認証取得で得た知見や運用ノウハウをグローバルに展開し、グループ全体のAIガバナンスをさらに強化していきます。あわせて、ISO/IEC 42001にもとづくしくみを活用し、「安心・安全」かつ信頼性の高いAIソリューションを社会に提供していくことで、より持続的な価値創出につなげていきます。