Tekoälyä hyödyntävät organisaatiot joutuvat tällä hetkellä tasapainoilemaan kahden näkökulman välillä. Toisaalta organisaatioiden täytyy ymmärtää, mitä lainsäädäntö edellyttää. Toisaalta niiden on löydettävä käytännöllinen tapa hallita tekoälyä eri tiimien, käyttötapausten ja toimittajien välillä.

Tässä kohtaa kuvaan astuvat EU AI Act ja ISO 42001.

Pintapuolisesti tarkasteltuna molemmat käsittelevät samaa aihetta, mutta ne ratkaisevat eri ongelmia. EU AI Act on sitova EU-asetus, joka määrittelee tekoälyjärjestelmiin ja yleiskäyttöisiin tekoälymalleihin liittyvät lakisääteiset velvoitteet. ISO 42001 puolestaan on vapaaehtoinen kansainvälinen standardi, jonka avulla organisaatio voi luoda tekoälyn hallintajärjestelmän.

Monet organisaatiot tulevatkin hyödyntämään molempia: EU AI Actia ymmärtääkseen mitä vaatimuksia niiden tulee täyttää, ja ISO 42001ä rakentaakseen hallintamallin, jonka avulla vaatimuksia voidaan noudattaa johdonmukaisesti.

Mikä on EU AI Act?

EU AI Act on Euroopan unionin säädös tekoälyn hallintaan. Se määrittelee sitovat vaatimukset tekoälyyn liittyvien riskien perusteella ja asettaa velvoitteita sen mukaan, miten tekoälyä kehitetään, tarjotaan tai käytetään.

EU:n tekoälylaki on asetus (EU) 2024/1689, joka muodostaa EU:n yhdenmukaistetun säädöskokonaisuuden tekoälyä varten. Euroopan komissio kuvailee sitä ensimmäiseksi kattavaksi tekoälyä koskevaksi lainsäädännöksi, joka perustuu riskilähtöiseen lähestymistapaan. Sen tavoitteena on edistää luotettavaa tekoälyä ja samalla suojella terveyden, turvallisuuden ja ihmisoikeuksia.

Käytännössä tekoälylaki on tärkeä, koska se ei kohtele kaikkia tekoälyn käyttötapauksia yhdenvertaisesti. Siinä erotetaan toisistaan kielletyt käytännöt, riskialttiit tekoälyjärjestelmät, tietynlaisten tekoälyn käyttötapojen läpinäkyvyysvelvoitteet sekä yleiskäyttöisten tekoälymallien tarjoajia koskevat velvoitteet. Tämä rakenne on tärkeä, koska yrityksen velvoitteet riippuvat siitä, millaista tekoälyä se kehittää, tarjoaa tai ottaa käyttöön, sekä sen roolista tuotantoketjussa.

Merkitystä on myös sillä, että laki on jo astumassa voimaan vaiheittain. Komissio toteaa, että AI-laki tuli voimaan 1. elokuuta 2024 ja on täysimääräisesti sovellettavissa 2. elokuuta 2026, vaikka joitakin säännöksiä sovelletaan jo aiemmin. Kielletyt tekoälykäytännöt ja tekoälyosaamisen velvoitteet tulivat voimaan 2. helmikuuta 2025, ja yleiskäyttöisten tekoälymallien tarjoajia koskevat velvoitteet tulivat voimaan 2. elokuuta 2025. Organisaatiot toimivat siis siirtymäkaudella, jolloin osa velvoitteista on jo voimassa ja osa otetaan käyttöön asteittain.

Mikä on ISO/IEC 42001?

IISO/IEC 42001 on kansainvälinen standardi tekoälyn hallintajärjestelmän rakentamista varten. Se auttaa organisaatioita hallinnoimaan tekoälyä määriteltyjen toimintaperiaatteiden, prosessien, roolien ja jatkuvan parantamisen avulla.

ISO/IEC 42001:2023 on tekoälyn hallintajärjestelmien kansainvälinen standardi. ISO:n mukaan se tarjoaa vaatimuksia ja ohjeita organisaatioille, jotka kehittävät, tarjoavat tai käyttävät tekoälyjärjestelmiä, ja se on ensimmäinen globaali standardi, joka keskittyy tekoälyn hallintajärjestelmän perustamiseen, käyttöönottoon, ylläpitoon ja jatkuvaan parantamiseen.

Tämä on merkittävä seikka. ISO 42001 ei ole laki, eikä se rajoitu yhteen tekoälytuotteeseen tai yhteen kapeaan oikeudelliseen luokkaan. Se on organisaatiotason hallintajärjestelmästandardi. Sen tarkoituksena on sisällyttää AI:ta koskevat toimintaperiaatteet, tavoitteet, prosessit, vastuuvelvollisuus ja jatkuva parantaminen. Toisin sanoen kyse on toistettavan hallintotavan luomisesta, ei pelkästään kertaluonteisten hallintakeinojen dokumentoinnista.

Tämä tekee ISO 42001:stä erityisen merkityksellisen organisaatioille, joiden on koordinoitava AI:n hallintaa tuotetiimien, AI:n sisäisen käytön, hankintojen, johdon valvonnan sekä auditointi- tai vahvistustoimintojen välillä.

Vaikka standardin noudattaminen on vapaaehtoista, se voi toimia jäsenneltynä toimintamallina vastuulliselle tekoälyn hallinnalle. Tämä viimeinen kohta on johtopäätös ISO:n kuvauksesta standardista organisaation laajuisena johtamisjärjestelmänä, jonka avulla luodaan toimintaperiaatteita, tavoitteita ja prosesseja tekoälyn vastuullista kehittämistä, tarjoamista tai käyttöä varten.

Keskeiset erot EU AI Actin ja ISO 42001 välillä

Lainvoimaisuus

Tämä on suurin ero näiden kahden välillä. EU:n tekoälyasetus on sitovaa lainsäädäntöä sen soveltamisalaan kuuluville organisaatioille ja tekoälyn käyttötarkoituksille. ISO 42001 on vapaaehtoinen standardi. Yritys voi päättää ottaa ISO 42001:n käyttöön osana hallinto-ohjelmaansa, mutta se ei voi jättäytyä tekoälyasetuksen ulkopuolelle, jos asetus koskee sitä.

Tarkoitus

Tekoälyasetuksen tarkoituksena on säännellä tekoälyn riskejä EU:n markkinoilla ja suojella yleisiä etuja, kuten terveyttä, turvallisuutta ja perusoikeuksia. ISO 42001 -standardin tarkoituksena on auttaa organisaatioita luomaan ja ylläpitämään tekoälyn hallintajärjestelmää, joka sisältää toimintaperiaatteet, prosessit ja jatkuvan parantamisen. Toinen on sääntelyä koskeva, toinen hallinnollinen.

Soveltamisala

AI-asetus asettaa velvoitteita tekoälyn tyypin, riskitason ja toimijan roolin, kuten tarjoajan tai käyttöönottajan, perusteella. ISO 42001 koskee hallintajärjestelmän tasoa koko organisaatiossa ja voi kattaa tekoälyn kehittämisen, tarjoamisen, hankinnan ja käytön laajemmin.

Kuinka täytäntöönpano toimii

AI-laki vaatii organisaatioita määrittämään, kuuluvatko tietyt järjestelmät tai mallit säänneltyihin luokkiin, ja täyttämään sitten asiaankuuluvat velvoitteet. ISO 42001 edellyttää organisaatioilta hallintorakenteen rakentamista, jossa määritellään vastuut, prosessit, hallintakeinot, tarkastusmekanismit ja kehityssyklit.

Miltä ”hyvä näyttö” näyttää

AI-lain mukaisesti näyttö liittyy asetuksen mukaisiin lakisääteisiin velvoitteisiin. ISO 42001 -standardin mukaan todisteet liittyvät enemmän itse hallintajärjestelmään: toimintaperiaatteisiin, rooleihin, dokumentoituihin prosesseihin, sisäisiin katselmuksiin ja jatkuvan parantamisen dokumentointiin. Tämä ero on tärkeä, koska vaatimustenmukaisuus ja hallintajärjestelmän kypsyys ovat toisiinsa liittyviä, mutta eivät identtisiä käsitteitä.

Yhteiset piirteet

Vaikka näiden kahden vaatimuskehikon luonne ja rakenne eroavat toisistaan, niillä on useita tärkeitä yhtäläisyyksiä.

1. Molemmat ohjaavat organisaatioita kohti tehokkaampaa hallinnointia ja vastuullisuutta. AI-laki tekee tämän lakisääteisten velvoitteiden ja toimijakohtaisten velvollisuuksien kautta. ISO 42001 tekee sen jäsennellyn johtamisjärjestelmän avulla, joka määrittelee toimintaperiaatteet, tavoitteet ja prosessit.
2. Molemmat käsittelevät riskienhallintaa. AI-laki on nimenomaisesti riskipohjainen, ja velvoitteet vaihtelevat tekoälyjärjestelmän tai -mallin luonteen mukaan. ISO 42001 on suunniteltu auttamaan organisaatioita hallitsemaan tekoälyyn liittyviä riskejä systemaattisen vaatimuskehikon avulla.
3. Molemmat perustuvat dokumentointiin, seurantaan ja arviointiin. Toimintamekanismit eroavat toisistaan, mutta kumpikaan vaatimuskehikko ei toimi vakuumissa. Organisaatiot tarvitsevat määriteltyjä vastuita, kirjanpitoa, sisäisiä prosesseja ja keinon seurata, hallitaanko tekoälyä tarkoitetulla tavalla.

Juuri tämä päällekkäisyys on syy siihen, miksi monet organisaatiot eivät pidä niitä toisensa vaihtoehtoina. He käsittelevät niitä osina kokonaisuutta. AI-laki asettaa ulkoiset vaatimukset. ISO 42001 voi auttaa luomaan vaatimuksia tukevan sisäisen hallintorakenteen.

Miten EU AI Actia ja ISO 42001:ta kannattaa hyödyntää yhdessä?

Monille organisaatioille hyödyllisin lähestymistapa on yhdistää nämä kaksi. Alkuun voi ottaa AI-lain ja käyttää sitten ISO 42001 -standardia sen toteuttamiseen käytännössä. AI-laki kertoo, mihin asioihin on kiinnitettävä huomiota lainsäädännöllisestä ja sääntelyllisestä näkökulmasta, kun taas ISO 42001 auttaa rakentamaan hallintajärjestelmän, jonka avulla toiminta voidaan varmistaa.

Järkevä etenemisjärjestys alkaa lainsäädännöllisen laajuuden määrittelystä. Organisaation tulisi ensin tunnistaa, mitä tekoälyjärjestelmiä tai yleiskäyttöisiä tekoälymalleja se kehittää, tarjoaa, ottaa käyttöön tai integroi toimintaansa, ja sitten selvittää, onko mikään niistä kielletty, korkean riskin, läpinäkyvyysvelvoitteiden alainen tai yleiskäyttöisen tekoälyn velvoitteiden piirissä. Tämä on sääntelyn kartoitus. Ilman sitä tiimit saattavat rakentaa hallintaprosesseja virheellisten oletusten perusteella.

Kun oikeudellinen tilanne on selvä, ISO 42001:stä tulee hyödyllinen hallintotason väline. Standardi voi auttaa organisaatiota määrittelemään tekoälyn käyttöä koskevat toimintaperiaatteet, jakamaan roolit ja vastuut, asettamaan tavoitteet, luomaan riskiarviointi- ja tarkastusprosessit, vakioimaan dokumentointikäytännöt sekä luomaan mekanismeja seurantaa ja jatkuvaa parantamista varten. Juuri nämä ovat asioita, jotka auttavat organisaatiota siirtymään tilapäisestä tekoälyn valvonnasta kestävään järjestelmään.

Siksi vahvin tapa jäsentää suhde on seuraava: EU:n tekoälylaki määrittelee laissa merkitykselliset velvoitteet, kun taas ISO 42001 tarjoaa hallintojärjestelmän, joka voi auttaa organisaatiota täyttämään nämä velvoitteet jäsennellyllä ja toistettavalla tavalla. Tämä on osittain yleistys, mutta se seuraa suoraan näiden kahden vaatimuskehikon virallisista tavoitteista.

Johtopäätöksenä

EU:n tekoälylakia ja ISO 42001 -standardia ei pitäisi nähdä joko-tai-valintana. Toinen määrittelee soveltamisalaan kuuluvan tekoälyn sääntelyvelvoitteet, kun taas toinen auttaa organisaatioita rakentamaan hallintojärjestelmää, joka on johdonmukaista, dokumentoitua ja toistettavissa.

Monille organisaatioille paras tie on käyttää niitä yhdessä. Aloita AI-laista selvittämällä, mitkä velvoitteet koskevat organisaatiota. Käytä sitten ISO 42001 -standardia hallintotavan rakentamiseen, joka auttaa organisaatiota täyttämään nämä velvoitteet käytännössä. Tämä on todennäköisesti realistisin reitti tiimeille, jotka haluavat sekä tekoälyn vaatimustenmukaisuuden että toimivan toimintamallin tekoälyn hallintaan.