הרגולציה מגיעה לתחום הבינה המלאכותית (AI) – הכירו את תקן ISO/IEC 42001:2023

ארגון התקינה הבינלאומי (ISO) מסכם את שנת 2023 ממש בשבוע האחרון שלה, בפרסום של ISO/IEC 42001:2023. התקן, מסמן אבן דרך משמעותית בתחום הבינה המלאכותית (AI) שעד כה לא "זכה" בהגדרת תקנים וסטנדרטיים. בימינו, יישומים וטכנולוגיות של AI משולבים במוצרים רבים, וכמעט אין סטארט אפ שעוסק ב DATA, שאינו משלב טכנולוגיה זו בצורה כזו או אחרת.
תקן זה מצטרף לשורת רגולציות ותקנים בתחום ה DATA כגון ISO27001, GDPR, SOC2  ועוד.

ולמה זה מעניין?

להבדיל מתקני אבטחת מידע שמתייחסים בעיקר לסביבה הארגונית של שמירה על המידע, להיבטי IT ולתהליכים ארגוניים, לתקן זה יש השפעה על המוצר עצמו, בהיבטי התכן והפיתוח (Design), ולכן חשוב להטמיע את הדרישות כבר בשלבים הראשונים של הפיתוח, על מנת להימנע מהתאמות רטרואקטיביות. מבחינה זו התקן דומה ל GDPR (רגולציית הפרטיות האירופאית) בה יש דרישות להטמעת פרטיות במוצר עצמו (Privacy by design).

ISO/IEC 42001:2023 מציג מסגרת חזקה הכוללת הקמה, יישום, תחזוקה ושיפור של מערכות ניהול בינה מלאכותית. המטרה העיקרית שלו היא להבטיח את הפיתוח, הפריסה והשימוש האחראי של AI על ידי התייחסות לשיקולים אתיים, איכות נתונים וניהול סיכונים. סט מקיף זה של קווים מנחים תוכנן אסטרטגית כדי לשלב בצורה חלקה ניהול בינה מלאכותית בתהליכים ארגוניים, תוך שימת דגש רב על ניהול סיכונים ומציע בקרות מפורטות ליישום.

דגש על ה Integrity של ה DATA

היבט מרכזי בתקן מתייחס למדידת ביצועים, המדגישה את המשמעות של תוצאות כמותיות ואיכותיות כאחד, לצד הדגשת היעילות של מערכות בינה מלאכותית בהשגת התוצאות המיועדות להן. התקן מחייב עמידה בדרישות ספציפיות וביקורות שיטתיות כדי להעריך מערכות AI בקפדנות. יתר על כן, הוא מדגיש את הצורך בהערכות יסודיות של ההשפעה החברתית והפרטנית של AI, תוך שימת דגש על החשיבות של איכות הנתונים כדי לעמוד בדרישות הארגוניות.

ארגונים מחויבים לתעד בקרות עבור מערכות ה-AI שלהם ולהצדיק את החלטותיהם, תוך שימת דגש על התפקיד המרכזי של הממשל בהבטחת ביצועים ותאימות. התקן דוגל בהתאמת מערכות ניהול כך שיכללו שיקולים ספציפיים לבינה מלאכותית, כולל שימוש אתי, שקיפות ואחריות. בנוסף, זה מחייב הערכת ביצועים ושיפור מתמשכים כדי להבטיח את היתרונות והבטיחות של מערכות AI.

הקשר לרגולציית ה AI Act האירופאית

בולט המתאם בין ISO/IEC 42001:2023 לבין חוק הבינה המלאכותית של האיחוד האירופי. חוק הבינה המלאכותית מקטלג מערכות בינה מלאכותית לקטגוריות אסורות ובעלות סיכון גבוה, כל אחת נושאת בחובות רגולטוריות שונות. ההתאמה של ISO/IEC 42001:2023 עם חוק הבינה המלאכותית מתגלה דרך הדגש שלו על ניהול בינה מלאכותית אתית, הפחתת סיכונים, איכות נתונים ושקיפות, ובכך מספקת מפת דרכים למילוי הוראות חוק הבינה המלאכותית.
כלומר, התקן יכול להיות כלי אפקטיבי לניהול תהליך Compliance ל AI act.

תחת האיסורים של חוק הבינה המלאכותית נמצאות מערכות בינה מלאכותיות ספציפיות כמו סיווג ביומטרי וטכנולוגיות לזיהוי פנים. ISO/IEC 42001:2023 יכול לשמש מסגרת מנחה עבור ארגונים לזהות יישומים כאלו ולתת להם מענה כנדרש. עבור מערכות בינה מלאכותית בסיכון גבוה, חוק הבינה המלאכותית מחייב ניהול סיכונים חזק, רישום, ניהול נתונים ושקיפות – היבטים שמסגרת ISO/IEC 42001:2023 מצוידת לתמוך בהם. זה יכול לסייע לספקים של מערכות בינה מלאכותית בסיכון גבוה בהקמת מסגרות יעילות לניהול סיכונים ותחזוקת יומנים תפעוליים כדי להבטיח מערכות שאינן מפלות ומכבדות זכויות.

יתרה מכך, ISO/IEC 42001:2023 יכול למלא תפקיד מרכזי בסיוע למשתמשים של מערכות בינה מלאכותית בסיכון גבוה לעמוד בהתחייבויות כגון פיקוח אנושי ואבטחת סייבר. יש לו פוטנציאל להקל על הניהול של מודלים בסיסיים ו-General Purpose AI (GPAI), שהם הכרחיים על פי חוק AI.

תקן פורץ דרך זה מציע לארגונים גישה מקיפה לניהול מערכות בינה מלאכותית, המאפשרת פיתוח של AI המקיים זכויות יסוד וסטנדרטים אתיים, וכמובן עומד בקנה אחד עם דרישות הרגולציה המתגבשת.