ISO/IEC 27090 人工知能 — AIセキュリティ及びプライバシー管理策の利用に関するガイダンス

ISO/IEC 27090は「AIセキュリティ及びプライバシー管理策の利用に関するガイダンス」という策定中の国際規格です。ISO 27000シリーズの一環として、AI特有のリスクに対応するために設計されています。その目的は、AIライフサイクル全体で適切な管理策を選択・導入するための実践的指針を提供することです。ISO 27001のような認証規格ではなく、ISO/IEC 23894（AIリスクマネジメント）等の原則を具体的な行動に移すための支援文書です。データポイズニングや敵対的攻撃といった脅威を軽減し、EUのAI法などの規制遵守を支援します。

ISO 27090はAIリスク評価とセキュリティ実装の橋渡し役を担います。応用は3段階です。①リスク特定：NIST AI RMF等に基づき、データ汚染や敵対的攻撃といったAI特有の脅威を識別します。②管理策の選択と調整：本規格の指針に従い、ISO/IEC 27002から管理策を選び、モデルファイルやAPIへのアクセス制御を強化するなどAI向けに調整します。③統合と監視：管理策をMLOpsに組込み、継続的に監視します。これにより、例えば金融機関は与信モデルのセキュリティを強化し、規制準拠と事業リスク低減を達成できます。

台湾企業には3つの課題があります。①人材不足：AIとセキュリティ双方の専門家が少ない。対策は、部門横断チームの結成と外部専門家の活用です。②法規制の不確実性：台湾のAI専門法が未整備。対策は、EUのAI法を参考に先行導入し、競争優位を築くことです。③リソース制約：特に中小企業で投資が困難。対策は、個人情報等を扱う高リスクなAIから優先的に保護し、オープンソースツールを活用してコストを抑えることです。まずギャップ分析から着手し、試行プロジェクトを進めるのが効果的です。

積穗科研は台湾企業のISO 27090に特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact