# ISO 42001 技術統制の実装——Annex A 制御策をAIシステムへ組み込む > ISO/IEC 42001 Annex Aの38制御策をAIシステムへ実装する方法を解説。A.6ライフサイクル管理・A.7データ管理の技術統制を設計・監視・監査証跡に落とし込む実装パターンを示します。 - Canonical: https://kuucorp.com/blog/iso-42001-technical-controls-implementation/ - Date: 2026-06-18 - Last modified: 2026-06-18 - Publisher: Kuu株式会社 (https://kuucorp.com) --- 本番AIシステムにISO 42001を「取得済み」で終わらせているチームには共通のリスクがある。Annex Aの38制御策が認証審査の紙上の回答で終わり、実際のシステム設計・監視・監査証跡と結びついていないケースだ。本記事はISO/IEC 42001のAnnex A技術統制を、AIシステムの設計・運用に組み込む実装パターンを解説する。 本記事は[AIエージェントガバナンス](/ai-governance/)のピラーコンテンツに連動しています。[エージェントの可観測性とトレース設計](/blog/agent-observability-tracing-instrumentation/)および[ポリシーエンジンとガードレール設計](/blog/agent-runtime-policy-engine-guardrails/)と合わせて参照してください。 ## ISO 42001 Annex Aの技術統制はどう構成されているか > Annex Aは38制御策を9ドメインに分類します。技術実装の核は「A.6 ライフサイクル管理」と「A.7 データ管理」の計14制御策です。 Annex Aは9つの制御目標(A.2〜A.10)にわたる38の制御策で構成される。制御策は原則ベースで記述されており、技術的な実装手段は組織が選択する設計になっている。全制御策の中で、システム設計・コード・監視基盤への直接的な実装が必要なのは主に以下のドメインだ。 | ドメイン | 制御数 | 技術実装の重点 | |---|---|---| | A.5 影響評価 | 4 | 影響評価プロセスの文書化と記録保持 | | A.6 ライフサイクル管理 | 9 | 設計ドキュメント・テスト基準・運用監視・イベントログ | | A.7 データ管理 | 5 | データ品質基準・来歴追跡・プロバナンス記録 | | A.8 関係者情報 | 4 | インシデント通知手順・外部報告チャネル | SoA(Statement of Applicability)は「38制御策のうちどれが自社のAIシステムに適用されるか、なぜ除外するものを除外するか」を文書化するISOの必須成果物だ。適用可否の根拠と実装方法を対応させる構造は、ISO 27001経験者には馴染み深い。 ## A.6 ライフサイクル制御策——設計・検証・監視への実装 > A.6の9制御策は、設計ドキュメント・テスト閾値・ドリフト監視・イベントログを本番AIシステムに直接組み込む技術実装要件です。 A.6の9制御策のうち、技術チームが実装する4点を解説する。 **A.6.2.3 設計ドキュメント**: MLアプローチ・学習アルゴリズム・データ品質前提・ハードウェアおよびソフトウェア構成要素の設計判断をトレーサブルに記録する。Gitリポジトリのアーキテクチャ記録・モデルカードとの連携が実装の主軸となる。 **A.6.2.4 検証・バリデーション**: ユースケースごとに「許容エラー率」の閾値を定義し、受入基準を文書化する。CIパイプラインに自動テストゲートとして組み込み、閾値を超えた変更が本番にマージされないよう機械的に制御する。[ゴールデンデータセットを使った回帰テスト設計](/blog/agent-regression-test-golden-dataset/)と直接対応する。 **A.6.2.6 運用監視**: 本番における性能監視・ドリフト検知・データポイズニング脅威の検出を要求する。この制御策は[本番トラフィックのオンライン評価設計](/blog/online-evaluation-production-traffic-sampling/)で解説した入力分布の変化検知と直接対応する。監視設計を「ISO 42001 A.6.2.6準拠」として文書化し、監査証跡に含める。 **A.6.2.8 イベントログ**: 最低でも運用フェーズにおいて、どのイベントをどのライフサイクルステージで記録するかを定義する。[トレース計装の設計](/blog/agent-observability-tracing-instrumentation/)と監査要件を統合し、ログの保持期間・アクセス制御・改ざん防止設計を[監査ログスキーマ設計](/blog/audit-log-tamper-proof-schema-design/)と紐づけて整備する。 ## A.7 データ管理制御策——品質基準と来歴追跡の実装 > A.7の5制御策は、データ品質基準・来歴記録・偏り評価をMLOpsパイプラインへ組み込む実装要件です。 **A.7.4 データ品質**: 訓練データと本番データの両方に対して、精度・完全性・通貨性・代表性の明示的な品質基準を設定し、その基準を実際に満たしているか検証を文書化する。品質チェックはデータパイプラインのゲートとして自動化し、基準を満たさないデータが訓練・推論に流入しないよう制御する。 **A.7.5 データ来歴(Provenance)**: データセットの作成・更新・変換・転送にわたるリネージを追跡し、監査での回復が可能な状態にする。DVC(Data Version Control)やApache Atlas、商用データカタログを用いたバージョン管理が実装手段として機能する。 **A.7.3 データ取得記録**: データセットの出所・選択根拠・既知のバイアス・過去の使用履歴を文書化する。特に外部データセットや第三者APIからのデータ取得は、契約・ライセンス条件とともに記録し、SoAで参照できる形式を維持する。 ## 監査証跡とSoAの継続的整備 > SoAはAIシステム変更のたびに更新する動的文書です。CI/CDゲートにタグ付きコミットを組み込み、実装証跡を継続的に整備します。 ISO 42001の認証審査では、SoAに記載した各制御策の「実装証跡」が求められる。紙の手順書だけでは不十分で、実際のシステムログ・テスト結果・モニタリングダッシュボードとの対応が審査で確認される。 実装証跡を継続的に整備するパターン: - **制御策タグ付きコミット**: GitコミットメッセージやPRのメタデータに対応するISO 42001制御策番号(例: `[A.6.2.8]`)を記録し、変更と制御策の対応を追跡可能にする - **CI/CDゲートの文書化**: 各パイプラインステップが対応する制御策を文書化し、ゲートの実行ログを監査証跡として自動保存する - **変更トリガーの定義**: AIシステムの変更・モデル更新・データソース変更を影響評価(A.5.2)の再実施トリガーとして定義し、SoAを最新状態に保つ エンタープライズ規模でISO 42001の技術統制をAIシステム全体に整備するには、MLOps・セキュリティ・ガバナンスの各チームを横断した設計が必要です。[Kuuの企業向けRDEサービス](https://kuucorp.com/services/rde/)では、Annex A制御策の実装設計から審査対応まで一貫して支援しています。 ## 参考 - [ISO 42001 Annex A Controls List: A.5, A.6, A.7, A.8 — Mindset Cyber](https://mindsetcyber.com.au/iso-42001-controls-list/) - [ISO 42001 Annex A Controls Explained — ISMS.online](https://www.isms.online/iso-42001/annex-a-controls/) - [ISO 42001 Controls Explained: Annex A — Hicomply](https://www.hicomply.com/hub/annex-a-controls) ## まとめ ISO 42001 Annex Aの38制御策をシステムに「落とし込む」ことは、認証の取得と別のエンジニアリング作業です。 実装上の核となる3点を整理します。 1. **A.6 ライフサイクル制御策**: 設計ドキュメントをGitリポジトリに統合し、テスト閾値をCIゲートに変換し、ドリフト監視とイベントログを本番監視基盤と接続する 2. **A.7 データ管理**: データ品質基準をパイプラインゲートとして自動化し、来歴追跡をデータカタログと統合する 3. **SoA継続更新**: 制御策番号タグ付きコミットでシステム変更と証跡を紐づけ、変更イベントで影響評価を再実施する [エージェントガバナンス](/glossary/agent-governance/)を制度・技術の両面で機能させるために、Annex A実装はシステム設計と同時並行で進める必要があります。技術統制の設計から審査対応まで支援が必要な場合は、[KuuのRDEサービス](https://kuucorp.com/services/rde/)にご相談ください。