ISMS-AC　ISMS/AIMS/ITSMS/BCMS認定主任審査員　郡司　哲也

• 印刷用PDFファイルをダウンロード
• 講演資料

一般社団法人情報マネジメントシステム認定センター（ISMS-AC）は、マネジメントシステムの認証機関の認定と国際レベルの認定機関間の相互承認を主な事業として活動しています。

ISMS適合性評価制度は一般財団法人日本情報経済社会推進協会（JIPDEC）が運用を開始し、2006年からアジア太平洋認定協力機構（APAC：Asia Pacific Accreditation Cooperation）に加盟、翌年、APACの上位機関である国際認定フォーラム（IAF：International Accreditation Forum, Inc.）に加盟しました。

その後、2018年に認定機関としての独立性・公平性をより確実にするため、一般社団法人として現在のISMS-ACが設立され、同年に情報セキュリティマネジメントシステム（ISMS）の認定に係る国際的な相互承認協定（MRA：Mutual Recognition Arrangement）に署名しました。以降、ISMS、ITサービスマネジメントシステム（ITSMS）、事業継続マネジメントシステム（BCMS）と、2025年7月から開始している今回のテーマであるAIマネジメントシステム（AIMS）の認証を行う認証機関を認定する役割を担って活動しています。

「◯◯認証」という言い回しは良く使われていますが、適合性評価制度においては、認証は制度の一部分となります。適合性評価とは、規格等で定められた要求事項が満たされていることを実証する行為を指し、ISMS認証であれば、認証基準であるISO/IEC 27001で定められている要求事項への適合性を認証機関が審査し、適合の証として認証登録証を発行します。

なお、適合性評価（要求事項に適合していることの実証）には、三通りの方法があります。

• 第一者：自社による自己宣言
• 第二者：取引先の発注者等による監査の受審
• 第三者：第三者の独立した適合性評価機関による監査の受審

この第三者による監査（審査）のことを「認証」と呼びます。したがって、第三者認証という言い方をされる場合がありますが、そもそも第三者による審査＝認証であることをご理解ください。（図1）

適合性評価制度においては、「認定」という言葉も登場します。認証を行う立場の認証機関が規格に基づき適切に認証活動を行っているかについて、さらに第三者である認定機関が審査をする行為が「認定」です。

適合性評価制度とは、以上の「認証」と「認定」を含む制度全体を指します。

AIMS認証は、認証を取得したい企業が認証機関に審査を依頼し、認証基準であるISO/IEC 42001「AIマネジメントシステムのための要求事項」の要求事項に適合していれば、認証登録証が発行される仕組みとなっています。

AIMS認証を提供する認証機関に対し、ISMS-ACは、認定基準であるISO/IEC 42006「AIMS認証を行う機関に対する要求事項」に基づき適切な認証サービスが行われているかを審査し、適合と判断された認証機関を認定する仕組みとなっています。（図2）

ISMS-ACはISMSの認証機関を27機関認定し、2026年3月時点で、これらの認証機関によるISMS認証は、8,435組織を数えます。一方、AIMS認証については、今年１月に国内初のAIMS認証機関として、SGSジャパン株式会社、テュフ ラインランド ジャパン株式会社の2機関を認定しました^１。

• 1. AIMS認証機関一覧別ウインドウで開く
• AIMS認証登録組織一覧別ウインドウで開く

冒頭で説明したように、国際的にも有効な認証であることを担保するために、JIPDEC時代の2006年にAPACに、翌年の2007年にIAF（現Global Accreditation Cooperation Incorporated²）に加盟しました。

認証を受けた組織は、ステークホルダーである取引先や顧客に対し、認証を取得した旨を示すことができます。また、認証機関は認定機関から認定を受け、認証活動を行っていることを示すことができます。

一方、認定機関が適切に審査しているかを担保するためには、IAFに加盟している各国の認定機関同士が定期的に相互評価を行う仕組みがあり、これにより国際的な相互承認協定（MRA）が実現します。この仕組みにより、日本で認定を受けた認証機関による認証が国際的にも同等であることが担保できるのです。（図3）

さらに、APACでは、新たにISO/IEC 42001に基づくAIMS認証に関しても相互承認協定に取り組むことが決定しています。

• 2. IAFとILACの統合について別ウインドウで開く

2023年5月のG7－広島サミットでの「広島AIプロセス」の創設により、国際的にもAIの適切な取り扱いに関する議論が開始され、国内では「AI事業者ガイドライン」も発行されましたが、AIMS適合性評価制度にとっては「ISO/IEC 42001」（2023年12月）と「ISO/IEC 42006」（2025年7月）の発行が大きなトピックとなります。両規格の発行を受けて、ISMS-ACは2025年7月に認定を開始し、2026年1月に二つの認証機関を認定しました。

政府機関の動向としては、独立行政法人情報処理推進機構（IPA）内にAIセーフティ・インスティテュート（AISI）が発足し、AIセーフティ評価に関するWG内に設置された適合性評価サブWGには、ISMS-ACから山内　徹代表理事他が参加しています。

ISMS-ACはAIMSに関する規格や特徴などをWebサイト³等で紹介したり、経済産業省もISO/IEC 42001発行直後に「AIマネジメントシステムの国際規格が発行されました」⁴ として解説をウェブサイトで紹介されています。(図4)

• 3. ISMS-AC 「AIMS適合性評価制度」別ウインドウで開く
• 4. 経済産業省「AIマネジメントシステムの国際規格が発行されました」（2026年1月15日）別ウインドウで開く

国内でもいくつかの組織がすでにAIMS認証を取得していますが、日本国内ではSGSジャパン株式会社、テュフ ラインランド ジャパン株式会社がAIMS認証機関として認定されています。認証取得をお考えの方は、ISMS-ACによる認定を受けたAIMS認証機関にお問い合わせください。（図5）

本内容は、2026年3月30日から4月20日にかけてオンデマンド配信されたJIPDECセミナー「AIのリスクマネジメントとAIマネジメントシステム（AIMS）認証の最新動向」での講演内容を取りまとめたものです。