ISO/IEC 27090 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 — AIセキュリティ及びプライバシー管理策の利用に関するガイダンス

ISO/IEC 27090は、ISO 27000ファミリーに属する策定中の国際規格であり、人工知能（AI）に特化したセキュリティとプライバシー管理策の実装ガイダンスを提供します。これは新しい管理策リストではなく、ISO/IEC 27002:2022に記載されている既存の管理策を、敵対的攻撃やデータ汚染といったAI特有の脅威に対応するためにどのように適用するかを解説するものです。本規格は、一般的な情報セキュリティの枠組みとAI技術の独自リスクとの間のギャップを埋め、EU AI法などの新規制に準拠するための実用的な指針となります。

企業は3つのステップでISO 27090を応用できます。1) NIST AI RMFなどを利用し、AIアプリケーション固有の脅威を特定するリスクアセスメントを実施します。2) ISO 27090のガイダンスに基づき、ISO/IEC 27002から関連する管理策を選択・調整して実装します。例えば、データ汚染リスクに対しては、データの完全性に関する管理策を強化します。3) 敵対的テストなどを用いて管理策の有効性を継続的に監視・検証し、その記録を文書化して規制当局への準拠証明に用います。これにより、AI関連のセキュリティインシデント削減や監査対応の効率化が期待できます。

台湾企業が直面する主な課題は3つです。1) AIとサイバーセキュリティ双方に精通した人材の不足。対策として、部門横断チームの結成や外部専門家との連携が有効です。2) サードパーティ製モデルへの依存に伴うリスク。対策として、モデルカード等の提出を求めるAIサプライチェーンリスク管理の導入が求められます。3) 国内AI規制の不確実性。対策として、ISO 27090のような国際標準に準拠した柔軟なガバナンス体制を先行して構築し、将来の法規制に備えることが賢明です。

積穗科研は台湾企業のISO 27090に特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact