2022 elején a Nemzetközi Szabványügyi Szervezet (ISO) új szabványt kezdett kidolgozni a mesterséges intelligenciával (MI) kapcsolatos kockázatok kezelésére vonatkozóan. Az ISO/IEC DIS 23894 („MI Kockázatkezelési ISO Szabvány”) a kockázatértékeléshez általános útmutatást nyújtó ISO 31000:2018 szabványra épül, elfogadása pedig jelenleg vizsgálati szakaszban van. A gyakorlatban ez azt jelenti, hogy a tervezetet az ISO tagjai (nemzeti szabványügyi testületek) átnézik, és kétharmados támogatás esetén (ha technikai módosításokra nem kerül sor) elfogadják. Ennek hiányában a szabványtervezet vizsgálati szakasza megismételhető.
A legfontosabb konkrét kockázatkezelési elvek az MI használata során
Az MI Kockázatkezelési ISO Szabvány segítségével az érintett szervezetek a kockázatkezelési elveket az alábbi alapelvek szerint építhetik be az MI-vel kapcsolatos tevékenységeikbe és funkcióikba:
Az érdekelt felek bevonása: A szervezeteknek törekedniük kell a párbeszédre a különböző belső és külső érdekeltekkel – az MI-vel kapcsolatos előnyök és ártalmak kommunikálása során, valamint a visszajelzéseknek és a tudatosságnak a kockázatkezelési folyamatba történő beépítése érdekében. Az érdekeltek véleményének kikérése hasznos a gépi tanulás felhasználási eseteinek azonosításához, és általában az automatizált döntéshozatali folyamatok meghatározásához, valamint az MI-rendszerek általános átláthatóságának és „megmagyarázhatóságának” („explainable AI”) biztosításához.
Dinamikus kockázatkezelés: Az MI-rendszerek folyamatos tanítást, finomítást és validálást igényelnek, ezért az MI-vel kapcsolatos jogi és szabályozási követelményeket gyakran frissíteni kell. A szervezeteknek ennek során törekedniük kell arra, hogy megértsék, hogyan integrálódik az MI az irányítási rendszerekbe, és milyen hatással van a környezeti lábnyomra, az egészségre és biztonságra, valamint a jogi és vállalati felelősségre.
A legpontosabb információk rendelkezésre állása: Mivel az MI hatással van arra, ahogyan az egyének interakcióba lépnek a technológiával és reagálnak rá, a szervezeteknek célszerű megőrizniük az MI-rendszerek használatára vonatkozó információkat az MI-rendszer teljes élettartama alatt.
Emberi tényező és kulturális környezet: Az emberi viselkedés és a kulturális környezet jelentősen befolyásolja a kockázatkezelés módját. A szervezeteknek ezért kiemelten vizsgálniuk kell az MI-rendszereknek a magánszféra védelmére, a véleménynyilvánítás szabadságára, a méltányosságra, a biztonságra, a foglalkoztatásra, a környezetre és általánosabban az emberi jogokra gyakorolt hatásait. A döntéshozatal során felmerülő esetleges torzításokat emberi felügyelet segítségével kell megelőzni.
Az MI alkalmazási környezetének megértése
Az MI Kockázatkezelési ISO Szabvány segítségével a szervezet az alábbi fő elemek vizsgálatával dokumentálhatja az MI szervezeten belüli alkalmazási környezetét:
- Az MI etikus használatára és kialakítására vonatkozó kormányzati, hatósági és iparági iránymutatások, illetve szabványok.
- Technológiai trendek és fejlesztések az MI különböző területein.
- Az MI-rendszerek alkalmazásának társadalmi és politikai következményei.
- Az MI-rendszerek működésével, illetve elfogultságával kapcsolatos vélemények az érdekelt felek részéről.
- A folyamatos tanulást alkalmazó MI-rendszerek hatása a szervezet szerződéses kötelezettségeinek teljesítésére.
- Az adatkezelések minőségének javítása az MI segítségével.
- A hálózatok és a függőségek összetettségének növekedése az MI használata következtében.
- Az MI-rendszer által bevezetett, módosított, adott esetben csökkentett felelősségi körök és feladatok hatása a szervezet kultúrájára, erőforrásaira, képzési szükségleteire.
Kockázatkezelési folyamatok meghatározása az MI használata során
Az MI Kockázatkezelési ISO Szabvány alapján a kockázatértékelési folyamatok meghatározása során különös gondot kell fordítani annak azonosítására, hogy a szervezeten belül hol fejlesztenek vagy használnak MI-rendszereket.
Ezen túlmenően, a kockázatkezelési folyamatok részeként a szervezeteknek figyelembe kell venniük az alábbiakat:
- Kik az MI használatával kapcsolatban érdekelt felek? Részei a szervezetnek, vagy a szervezeten kívüli ügyfelek, szerződéses partnerek, végfelhasználók vagy szabályozó hatóságok?
- Lehetséges-e azonosítani az MI használatával kapcsolatos kockázatokat és forrásaikat?
- Vannak-e bizonytalanságok az MI működése során használt szoftverekben, matematikai modellekben, emberi tényezőkben?
- Pontosan meghatározható az MI-rendszerek kockázati szintjének a szervezetre, illetve az MI használata által érintett személyekre gyakorolt hatása?
- Milyen a szervezet „MI-kapacitása”, tudásszintje és az MI-vel kapcsolatos kockázatok mérséklésére való képessége?
- Következetes-e a mérési módszerek hatékonyságának és megfelelőségének az értékelése?
Kitekintés – „AI Standards Hub” az Egyesült Királyságban
Az MI Kockázatkezelési ISO Szabvány elfogadása fontos lépés lenne abba az irányba, hogy az MI-t használó termékeket, rendszereket és szolgáltatásokat fejlesztő, telepítő vagy használó szervezetek egységes kockázatkezelési eljárást alkalmazzanak.
A szervezeteknek tehát érdemes figyelemmel kísérni az MI Kockázatkezelési ISO Szabvány véglegesítésének folyamatát, és az esetleges ország-szintű kezdeményezéseket. Az MI szabványosításának témájával például az Egyesült Királyság is aktívan foglalkozik – MI stratégiája szintén nagy hangsúlyt fektet a globális technikai szabványok kidolgozására, és ennek keretében hoztak létre egy új, MI-vel kapcsolatos szabványosítási központot (AI Standards Hub).
Az AI Standards Hub egyik célja, hogy a műszaki szabványokról és a fejlesztési kezdeményezésekről szóló információk hozzáférhető, felhasználóbarát és befogadó módon történő összegyűjtésével támogassa a globális MI-szabványok kidolgozását.
A végleges szabvány(ok) elfogadásáig javasolt már most megfontolni az MI Kockázatkezelési ISO Szabvány tervezete által meghatározott eljárásrendek beépítését a napi gyakorlatba, ezzel is segítve, hogy az érdekeltek megfelelő időben megértsék az MI-rendszerek hatását, és a kockázatértékelési folyamatok is átláthatóak legyenek.