AIソフトウェア企業にとって、技術力だけでは十分ではありません。AIを信頼できる形で開発・運用するための堅牢なガバナンス体制を備えていることも同様に重要です。
6月26日、QueryPieはR&DセンターにおいてISO/IEC 42001認証授与式を開催しました。
今回の認証取得は、QueryPieが責任あるAIの開発・運用を実現するためのマネジメントシステムを、国際規格に準拠して構築していることを示す重要なマイルストーンとなります。

[写真: 左からBrant Hwang, CEO of QueryPie、Il-Hyeong Lee, Managing director of LRQA Korea]
認証授与式では、LRQAよりQueryPieのISO/IEC 42001認証取得が祝福されました。授与式後に実施したインタビューでは、認証取得に至るまでの取り組みやAIガバナンス構築の経験、そして今後の責任あるAI運用に向けた展望について話を伺いました。
1. QueryPieは、2016年にシリコンバレーで設立されたエンタープライズセキュリティ企業です。クラウドインフラ、SaaS、オンプレミス環境におけるセキュリティとガバナンスを統合的に支援するプラットフォームを提供しています。
2020年には、KakaoやNaver出身のエンジニアをはじめ、各分野の専門家との協力により**Access Control Platform(ACP)**を正式リリースしました。現在では、データ、インフラ、業務システムに対するアクセス制御や監査の分野で着実に成長を遂げています。
さらに近年では、このセキュリティ基盤の上にAI機能を追加し、企業がAIツールやAIエージェントを活用する際にも、一貫した権限管理、承認プロセス、監査、機密情報保護を実現できるよう支援しています。
また、QueryPieはAI Platformも提供しており、企業内で利用されるSaaSアプリケーションやデータ、各種業務システムをAIエージェントと連携させることで、実践的なワークフロー自動化とAX(AI Transformation)の推進を支援しています。
AI Platformには、リアルタイム通訳サービス「Lingo」や、社内データを活用して資料作成を支援する「NotePie」など、QueryPie独自のアプリケーションも含まれています。
2. AIソフトウェア企業として、ISO/IEC 42001認証の取得を検討し始めた最大の理由は何でしたか。顧客ニーズ、市場からの信頼、社内マネジメント体制など、さまざまな観点から教えてください。
ISO/IEC 42001認証の取得を検討し始めた最大の理由は、AI市場が急速に拡大する中で、「AIを開発できること」だけでは十分ではなく、「AIを信頼できる形で提供できること」を客観的に示す必要があると考えたためです。
近年、エンタープライズのお客様による導入審査やセキュリティ評価では、「AIはどのようなデータを処理するのか」「どのモデルやサービスを利用しているのか」「社内情報や個人情報は安全に保護されているか」「AIの出力結果はどの程度信頼できるのか」「問題が発生した際に責任の所在や管理体制は明確か」といった質問が急増しています。
このような状況を受け、AIサービスを提供する企業には、単に優れた技術を提供するだけでなく、その安全性や信頼性に対して責任を果たすことが求められるようになっています。
QueryPieは、アクセス制御、監査、モニタリング、リスク管理などの分野で長年培ってきたセキュリティ基盤を有しています。ISO/IEC 42001は、その基盤の上に責任あるAIの管理・運用体制を構築していることを国際標準に基づいて証明できる、最も明確な手段であると考えました。
最終的に、この認証取得は単なる機能競争から一歩進み、「信頼」を組織的・制度的に確立するための重要な選択でした。
3. 認証取得の準備を始める前に、社内で最初に見直した点は何でしたか。
認証準備にあたり、最初に取り組んだのは、ISO/IEC 42001の観点から、現在のAI活用状況と管理対象を明確に把握することでした。
具体的には、自社で利用・提供しているAIモデル、サービス、システムの範囲を整理するとともに、それに関連する業務プロセス、関係者、責任者、さらに各ユースケースにおけるリスクや影響要因を洗い出しました。
当時、QueryPieでは製品開発、セキュリティ運用、カスタマーサポートなど、さまざまな部門でAIを活用していました。しかし、その多くは部門や担当者単位で個別に運用されており、組織全体として管理されている状態ではありませんでした。
そのため、まずAI活用を組織レベルで管理対象として「見える化」することが重要だと考えました。
また、ISO/IEC 42001を既存のマネジメントシステムとは切り離した新たな認証として運用するのではなく、すでに取得・運用しているISO/IEC 27001、27701、27017、27018、SOC 2、ISMS-P、CSA STARなどの成熟した管理体制と統合し、一つの**Integrated Compliance Management Cycle(統合コンプライアンス管理サイクル)**として発展させることを重視しました。
そのため、最初に実施したのはAIインベントリ(AI資産一覧)の整備と、既存マネジメントシステムとの接続ポイントの整理でした。
4. ISO/IEC 42001の準備を進める中で、当初想定以上に重要だと感じた点、あるいは最も苦労した点は何でしたか。
準備を進める中で、AI技術をどれだけ高度に活用しているか以上に重要だったのは、「AIを組織の正式なマネジメントシステムの中で、どのように説明し、統制できるか」という点でした。
先ほどお話ししたように、QueryPieではすでに製品開発、セキュリティ運用、カスタマーサポートなどさまざまな領域でAIを活用していました。当初は、AI活用の高度さそのものが認証準備において重要になると考えていました。
しかし実際には、「AIをどれだけ活用しているか」ではなく、「何の目的で、どの範囲でAIを利用し、その過程で生じるリスクや影響を組織としてどのように把握・管理しているか」を体系的に説明できることが重要でした。
特に多くの検討を重ねたのが、ISO/IEC 42001の**9.1項(監視、測定、分析および評価)**に基づく運用フレームワークの構築です。
AIマネジメントシステムが単なる文書上の仕組みではなく、実際に機能していることを示すためには、「何を監視し、どの指標で測定・分析・評価するのか」を明確に定義する必要がありました。
情報セキュリティやプライバシーマネジメントでは、脆弱性対応率、アクセス権レビュー結果、セキュリティインシデント対応状況、教育受講率など、比較的確立された指標があります。
一方、AIマネジメントシステムでは、AI利用件数やモデル一覧だけではAIのリスクや影響を十分に説明できません。
そのため、既存のセキュリティ・コンプライアンス指標を基盤としながら、AI特有の管理指標を新たに設計しました。
例えば、
- AIシステム・サービスの識別状況
- AIリスクアセスメントおよび影響評価の実施状況
- 高リスクユースケースのレビュー結果
- モデル・サービス変更時のレビュー状況
- AI関連ポリシーの遵守状況
- AI利用に伴う課題と是正措置の実施状況
- 社員向けAI教育・意識向上活動
などを継続的にモニタリングする仕組みを構築しました。
最終的には、既存のセキュリティ管理活動とAIマネジメントシステムを有機的に結び付ける指標体系を整備し、モデル選定、変更管理、リスク・影響管理、説明責任、継続的改善を一体的に示せるようにすることを重視しました。
こうしてISO/IEC 42001を単なる文書管理ではなく、PDCAサイクルに基づき実際の運用を通じて継続的に改善するマネジメントシステムとして定着させることを目指しました。
5. AIソフトウェアを提供する企業の立場から、AIマネジメントシステムにおいて特に重要だと考えた管理項目は何ですか。例えば、責任と権限、リスク管理、データ管理、セキュリティ、モニタリングなど、実務上特に重視した点を教えてください。
AIマネジメントシステムにおいて私たちが最も重要だと考えたのは、AIシステムのライフサイクル全体を通じた統制です。
責任と権限、リスク管理、データ管理、セキュリティ、モニタリングを、それぞれ独立した管理項目としてではなく、一連の流れとして相互に連携させながら管理すべき要素と捉えました。その考えに基づき、認証準備では特に次の4つの領域を重点的に整備しました。
第一に、「責任と権限」です。
AIシステムの企画、開発、レビュー、導入、運用、変更管理の各段階において、責任者を明確に定めました。また、新たなAI機能や高リスクと判断されるユースケースについては、本番環境へ展開する前に個別のレビューを実施するプロセスを整備しました。
第二に、「データ管理とセキュリティ」です。
まず、各AIシステムがどのようなデータと接続しているのか、また機密情報や個人情報が含まれる可能性があるかを把握しました。そのうえで、アクセス権限管理、ログ管理、API連携、脆弱性管理など、既存のセキュリティ管理策をAIシステムの特性に合わせて拡充しました。
特に、QueryPieのACP(PAM)製品を通じて培ってきた、データベース、サーバー、Kubernetesに対するアクセス制御の知見を、この分野に直接活用しています。
第三に、「リスクおよび影響評価」です。
AIのユースケースごとにリスクアセスメントと影響評価を実施し、高リスクと分類されたケースについては、それぞれに応じた管理レベルを設定しました。
第四に、「モニタリング」です。
AIシステムおよびサービスの把握状況、モデルやサービス変更時のレビュー状況、高リスクユースケースのレビュー結果、AI関連ポリシーの遵守状況などについて、継続的に測定・確認できる指標を整備・運用しています。
最終的に、AIソフトウェアを提供する企業にとって重要なのは、機能や性能の高さだけではなく、それらを信頼できる形で提供できることです。
QueryPieでは、既存のセキュリティおよびコンプライアンスのフレームワークと、ISO/IEC 42001に基づくAIマネジメントシステムを統合することで、セキュリティとAIガバナンスが一体となって機能する運用体制を構築しています。
6. ISO/IEC 42001認証の取得を検討している企業・組織に対して、準備の初期段階でまず確認すべきことは何だとお考えですか。
ISO/IEC 42001認証の取得を検討している企業・組織に対して、準備の初期段階では、まず次の3つのポイントを確認することをお勧めします。
第一に、規格の「考え方」を正しく理解することです。
ISO/IEC 42001は、AI技術の性能やセキュリティ機能そのものを評価する認証ではありません。組織がどのような目的・範囲でAIを利用しているのか、また、それに伴うリスクや影響をどのように特定・管理し、継続的に改善しているかを評価するマネジメントシステム規格です。
そのため、個別の文書や管理策の整備から着手するのではなく、まず規格が求めるマネジメントシステム全体の構造を理解することが重要です。
第二に、適用範囲(スコープ)を明確に定義することです。
組織全体でのAI活用を対象とするのか、特定のAIサービスや製品を対象とするのか、あるいは社内業務でのAI利用まで含めるのかによって、必要となる準備は大きく異なります。
適用範囲が曖昧なままでは、AIシステムの特定、リスクアセスメント、責任体制の明確化、モニタリングの設計など、すべての基盤が不安定になってしまいます。
第三に、ステークホルダーを明確にすることです。
AIシステムは開発部門だけのものではありません。製品部門、情報セキュリティ部門、プライバシー部門、法務、コンプライアンス、運用、営業部門に加え、お客様やエンドユーザーなど、さまざまなステークホルダーに影響を及ぼします。
それぞれの要求事項や期待、懸念事項を早い段階で把握しておくことで、その後の管理策の設計にも一貫性を持たせることができます。
実務的には、文書の作成に着手する前に、まず**「AIインベントリ(AI資産一覧)」**を整備することをお勧めします。
具体的には、組織が利用・提供しているAIシステムやAIサービスを一覧化することです。この一覧を整備することで、適用範囲、リスク、責任体制、モニタリングの方法などを適切に定義できるようになります。
7. 認証機関の選定にあたり、QueryPieがLRQAを選んだ理由を教えてください。
QueryPieが認証機関としてLRQAを選んだ最大の理由は、単一の認証規格だけでなく、情報セキュリティ、プライバシー、クラウドコンプライアンスに関する複数のフレームワークを統合的に理解し、評価できる専門性を備えた機関であると考えたためです。
QueryPieでは、情報セキュリティ、プライバシー、クラウド分野において、複数のコンプライアンスフレームワークを運用しています。そのため認証機関を選定する際には、ISO/IEC 42001を審査できることだけでなく、AIマネジメントシステムと既存の認証・管理体制との関連性を正しく理解・評価できることを重視しました。
LRQAは、品質、情報セキュリティ、クラウドセキュリティ、サステナビリティ、サプライチェーン、サイバーセキュリティなど幅広い分野において、認証、検証、評価、教育・研修サービスを提供するグローバルなアシュアランスパートナーです。
特に、ISO/IEC 27001やCSA STARをはじめとする情報セキュリティおよびクラウドセキュリティ分野で豊富な実績を有しており、QueryPieが目指す統合コンプライアンスマネジメントの考え方とも高い親和性がありました。そのため、ISO/IEC 42001の認証プロセスにおいても、既存の情報セキュリティ、プライバシー、クラウドに関するマネジメントシステムとAIマネジメントシステムとのつながりを適切に評価していただけると考えました。
また、審査を通じて、LRQAの審査員の専門性とアプローチにも深い印象を受けました。
審査では、単にチェックリストに基づいて要求事項への適合性を確認するだけではなく、豊富な知見を活かしながら、QueryPieが運用している既存のマネジメントシステムと、ISO/IEC 42001に基づくAIマネジメントシステムがどのように連携し、実際に機能しているのかを総合的な視点で評価していただきました。
このような、当社の組織や管理体制を深く理解しようとする姿勢と、バランスの取れたコミュニケーションも、LRQAを選んだ重要な理由の一つです。
8. 最後に、今回の認証取得を踏まえ、今後QueryPieはAIガバナンスおよび責任あるAI運用の体制をどのように発展させていく予定ですか。
QueryPieにとって、今回のISO/IEC 42001認証取得はゴールではなく、新たなスタートだと考えています。
認証取得を通じて、AIマネジメントシステムを当社の業務プロセスの一部として定着させることができました。しかし、AI技術やその活用方法は絶えず進化しており、責任あるAIの運用も、それに合わせて継続的に発展させていくべき領域だと考えています。
今後は、実際の運用を通じて測定・評価・改善を繰り返すPDCAサイクルを基盤に、AIマネジメントシステムの継続的な運用と高度化に取り組んでいきます。
まず重点を置くのは、管理対象の拡大です。
QueryPieでは、製品や事業活動におけるAI活用が急速に広がっており、新たなAI機能やAIアプリケーションも継続的にリリースされています。今後も新たなAIシステムやユースケースが生まれるたびに、それらを適切に特定・評価し、AIマネジメントシステムへ自然に組み込めるよう、プロセスをさらに強化していきます。
また、モニタリングと説明責任の強化にも引き続き取り組みます。
現在実施しているAIリスクアセスメント、高リスクユースケースのレビュー、モデルおよびサービスの変更管理などについては、より高度な管理指標へと発展させていく予定です。これにより、AIシステムに伴うリスクや影響について、より迅速かつ客観的に説明・対応できる体制を構築していきます。
同時に、韓国国内および世界各国で急速に整備が進むAI関連の法規制や規格の動向を継続的に把握し、それらをマネジメントシステムへ反映するとともに、社員のAIリテラシー向上や責任あるAI利用を根付かせる企業文化の醸成にも取り組んでいきます。
最終的に、QueryPieが目指しているのは、お客様に「QueryPieとともにAIを導入・活用することで、より安全かつ信頼性の高い形でAIを運用できる」という確信を持っていただくことです。
今回の認証取得を一つの基盤として、今後も責任あるAI運用のフレームワークを着実に成熟・発展させていきます。
