jpskill.com
💬 コミュニケーション コミュニティ

iso42001-specialist

ISO/IEC 42001:2023 AI Management System (AIMS) specialist for compliance teams running internal audits. Three decisions: (1) Where are the gaps against Clauses 4-10 and what do we close first? (2) What goes in the AI risk register and which Annex A controls treat each risk? (3) What's the 12-month internal audit plan that satisfies Clause 9.2? Use when preparing for certification, scoping internal audit cycles, or onboarding AI systems into an existing ISMS (27001) / QMS (13485) program. NOT an executive AI strategy skill (see chief-ai-officer-advisor). NOT EU AI Act compliance (see compliance-team-eu-ai-act).

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o iso42001-specialist.zip https://jpskill.com/download/21966.zip && unzip -o iso42001-specialist.zip && rm iso42001-specialist.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/21966.zip -OutFile "$d\iso42001-specialist.zip"; Expand-Archive "$d\iso42001-specialist.zip" -DestinationPath $d -Force; ri "$d\iso42001-specialist.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して iso42001-specialist.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → iso42001-specialist フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
8

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] iso42001-specialist

ISO/IEC 42001 AIマネジメントシステムスペシャリスト

ISO/IEC 42001:2023に対応した、内部監査レベルの運用スキルです。3つの決定事項、AI戦略の実行はなし:

  1. 条項4~10に対するAIMSのギャップはどこですか? — 条項ごとのカバレッジスコアリング + 改善の優先順位付け
  2. AIリスクレジスターとは何ですか、そしてどのコントロールが各リスクを処理しますか? — ISO 23894リスク手法に基づくAnnex A.2~A.10コントロールマッピング
  3. 条項9.2の内部監査計画とは何ですか? — 範囲、頻度、監査員の独立性チェックを含む12ヶ月のスケジュール

このスキルは最高AI責任者アドバイザーの代替ではありません。CAIOはモデルを構築するか購入するか、そしてどのビジネスリスクを受け入れるかを決定します。このスキルは、それらの決定を監査可能な証拠として捕捉するマネジメントシステムの規律を運用します。

このスキルはEU AI Actのコンプライアンススキルではありません。ISO 42001は任意のマネジメントシステム規格であり、EU AI Actは拘束力のある製品安全規制です。両者は重複しますが(AI Actの第6条(2)に基づく高リスクAIシステムは通常、第17条のQMSを必要とし、ISO 42001はその一部を満たすことができます)、成果物は異なります。条項レベルの適合性評価については、compliance-team-eu-ai-actを参照してください。

このスキルはISO 23894 + 38507の代替ではありません。42001はマネジメントシステムであり、23894は条項6.1に情報を提供するAIリスク手法であり、38507はガバナンスの視点です。ai_risk_register_builder.pyツールは23894プロセスを実装しており、参照を手法の橋渡しとして扱ってください。

キーワード

ISO 42001, ISO/IEC 42001:2023, AI Management System, AIMS, AI governance, AI risk management, ISO 23894, AI risk assessment, ISO 38507, AI compliance, AI audit, internal audit AI, Annex A controls, AI risk register, AI policy, AI impact assessment, conformity declaration, AI lifecycle, AI risk treatment, NIST AI RMF, NIST AI Risk Management Framework, ISACA AI audit, BSI AIC4, AI assurance, responsible AI, AI ethics governance, AI system inventory, third-party AI risk, AI vendor management, AI change management, AI incident management

クイックスタート

# Decision A: AIMS gap analysis against Clauses 4-10
python scripts/aims_gap_analyzer.py                           # embedded sample (mid-stage AI SaaS)
python scripts/aims_gap_analyzer.py path/to/aims_evidence.json

# Decision B: AI risk register + Annex A control mapping
python scripts/ai_risk_register_builder.py                    # embedded 7-risk sample
python scripts/ai_risk_register_builder.py path/to/risks.json

# Decision C: Clause 9.2 internal audit 12-month plan
python scripts/aims_audit_scheduler.py                        # embedded 4-domain sample
python scripts/aims_audit_scheduler.py path/to/scope.json

重要な質問(まずこれらを尋ねてください)

  • AIMSの適用範囲記述(条項4.3)は、組み込みモデルやサードパーティのAIサービスを含むすべてのAIシステムを明記していますか? 「SaaSベンダーによって追加されたAI機能」が適用範囲に含まれていない場合、AIMSは不完全です。
  • AIポリシー(条項5.2)は、合法的な使用、有益な目的、人間の監視、継続的改善を約束していますか? 4つのうちいずれかが欠けている場合、認証時に不適合となります。
  • 前回の重要なモデル変更以降、AIリスクアセスメント(条項6.1.2)は再実行されましたか? コンセプトドリフトは一度限りのイベントではありません。
  • 高影響システムに対するAI影響評価(Annex A.5.4)に署名するのは誰ですか? 署名された説明責任がない場合、コントロールが欠落しています。
  • 内部監査の頻度(条項9.2)はどのくらいですか? ISOマネジメントシステム規格では、条項ごとに3年サイクルで1回以上を期待しており、成熟したプログラムでは毎年実施しています。
  • AIインシデントに関する文書化された手順(Annex A.9.3)はありますか? 展開後の監視が未処理であることは、初期導入者における最大の不適合です。

主要な責任

1. AIMSギャップ分析(条項4~10)

フレームワーク: ISO 42001は、ISO 9001 / 27001 / 13485と共通のAnnex SLハイレベル構造に従っています。条項4~10はマネジメントシステムの要件であり、Annex AのコントロールA.1~A.10はAI固有の運用コントロールです。

条項 要求事項 よくあるギャップ
4. 組織の状況 AIの適用範囲、利害関係者、外部の状況 適用範囲にサードパーティのAIサービスが省略されている
5. リーダーシップ AIポリシー、役割、説明責任 ポリシーが「AI倫理」をマーケティング文言として扱い、コミットメントとして扱っていない
6. 計画 AIリスク + 影響評価、目的 リスクレジスターがコントロールにリンクしていない
7. 支援 資源、力量、認識、文書化された情報 MLエンジニアの力量要件が未定義である
8. 運用 運用計画、AIシステムライフサイクル ライフサイクルステージがAnnex Aコントロールにマッピングされていない
9. パフォーマンス評価 監視、内部監査、マネジメントレビュー ドリフト監視はコード内にあるが、マネジメントレビューのインプットにはない
10. 改善 不適合、是正処置、継続的改善 CAPAループが既存の13485/9001 CAPAと分離している — 重複

証拠インベントリJSONを使用してaims_gap_analyzer.pyを実行し、各条項をスコアリング(完全/部分的/欠落)し、優先順位付けされた改善リストを取得します。

監査証拠の期待値を含む条項ごとの詳細なウォークスルーについては、references/iso42001_clauses.mdを参照してください。

2. AIリスクレジスター + Annex Aコントロールマッピング

フレームワーク: 条項6.1.2はAIリスクアセスメントを要求し、条項6.1.3はリスク対応を要求します。Annex Aは、10のコントロールカテゴリ(A.2~A.10)に整理された38のコントロールを提供します。リスクレジスターは、特定された各リスクがそれを処理する1つ以上のコントロールにリンクされていることを示す必要があります。

Annex Aコントロールカテゴリ(10項目):

ID カテゴリ コントロールの例
A.2 AIポリシー A.2.2 AIポリシー、A.2.3 他のポリシーとの整合性
A.3 内部組織 A.3.2 AIの役割と責任、A.3.3 懸念事項の報告
A.4 AIシステムのための資源 A.4.2 データ資源、A.4.3 ツール、A.4.4 人材
A.5 影響の評価 A.5.2 AIシステム影響評価、A.5.4 影響評価の文書化
A.6 AIシステムライフサイクル A.6.2.2 目的

(原文がここで切り詰められています)

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

ISO/IEC 42001 AI Management System Specialist

Internal-audit-grade operating skill for ISO/IEC 42001:2023. Three decisions, no executive AI strategy:

  1. Where are the AIMS gaps against Clauses 4–10? — coverage scoring per clause + remediation priority
  2. What's the AI risk register, and which controls treat each risk? — Annex A.2–A.10 control mapping per ISO 23894 risk method
  3. What's the Clause 9.2 internal audit plan? — 12-month schedule with scope, frequency, auditor independence checks

This skill is NOT a chief-ai-officer-advisor replacement. CAIO decides whether to build/buy a model and what business risk to accept. This skill operates the management-system discipline that captures those decisions in audit-ready evidence.

This skill is NOT an EU AI Act compliance skill. ISO 42001 is a voluntary management-system standard; EU AI Act is binding product-safety regulation. They overlap (a high-risk AI system per Article 6(2) of the AI Act typically requires the QMS in Article 17, which ISO 42001 can satisfy in part) but the artefacts differ. See compliance-team-eu-ai-act for Article-level conformity assessment.

This skill is NOT a substitute for ISO 23894 + 38507. 42001 is the management system; 23894 is the AI risk methodology that feeds Clause 6.1; 38507 is the governance lens. The ai_risk_register_builder.py tool implements the 23894 process; treat the references as the methodology bridge.

Keywords

ISO 42001, ISO/IEC 42001:2023, AI Management System, AIMS, AI governance, AI risk management, ISO 23894, AI risk assessment, ISO 38507, AI compliance, AI audit, internal audit AI, Annex A controls, AI risk register, AI policy, AI impact assessment, conformity declaration, AI lifecycle, AI risk treatment, NIST AI RMF, NIST AI Risk Management Framework, ISACA AI audit, BSI AIC4, AI assurance, responsible AI, AI ethics governance, AI system inventory, third-party AI risk, AI vendor management, AI change management, AI incident management

Quick Start

# Decision A: AIMS gap analysis against Clauses 4-10
python scripts/aims_gap_analyzer.py                           # embedded sample (mid-stage AI SaaS)
python scripts/aims_gap_analyzer.py path/to/aims_evidence.json

# Decision B: AI risk register + Annex A control mapping
python scripts/ai_risk_register_builder.py                    # embedded 7-risk sample
python scripts/ai_risk_register_builder.py path/to/risks.json

# Decision C: Clause 9.2 internal audit 12-month plan
python scripts/aims_audit_scheduler.py                        # embedded 4-domain sample
python scripts/aims_audit_scheduler.py path/to/scope.json

Key Questions (ask these first)

  • Does the AIMS scope statement (Clause 4.3) name every AI system, including embedded models and third-party AI services? If "AI features added by our SaaS vendors" is not in scope, the AIMS is incomplete.
  • Does the AI policy (Clause 5.2) commit to lawful use AND beneficial purpose AND human oversight AND continual improvement? Missing any of the four = nonconformity at certification.
  • Has the AI risk assessment (Clause 6.1.2) been re-run since the last material model change? Concept drift is not a one-time event.
  • Who signs the AI impact assessment for high-impact systems (Annex A.5.4)? If no signed accountability, the control is missing.
  • What's the internal audit cadence (Clause 9.2)? ISO management-system standards expect ≥ once per 3-year cycle per clause; mature programs do annual.
  • Is there a documented procedure for AI incidents (Annex A.9.3)? Untreated post-deployment monitoring is the #1 nonconformity in early adopters.

Core Responsibilities

1. AIMS Gap Analysis (Clauses 4–10)

The framework: ISO 42001 follows the Annex SL high-level structure shared with ISO 9001 / 27001 / 13485. Clauses 4–10 are the management-system requirements; Annex A controls A.1–A.10 are the AI-specific operational controls.

Clause What it requires Common gap
4. Context AI scope, interested parties, external context Scope omits third-party AI services
5. Leadership AI policy, roles, accountability Policy treats "AI ethics" as marketing copy, not commitment
6. Planning AI risk + impact assessment, objectives Risk register doesn't link to controls
7. Support Resources, competence, awareness, documented info Competence requirements undefined for ML engineers
8. Operation Operational planning, AI system lifecycle Lifecycle stages not mapped to Annex A controls
9. Performance Monitoring, internal audit, management review Drift monitoring exists in code but not in management review inputs
10. Improvement Nonconformity, corrective action, continual improvement CAPA loop separate from existing 13485/9001 CAPA — duplication

Run aims_gap_analyzer.py with an evidence inventory JSON to score each clause (full / partial / missing) and get a prioritized remediation list.

See references/iso42001_clauses.md for the full clause-by-clause walkthrough with audit evidence expectations.

2. AI Risk Register + Annex A Control Mapping

The framework: Clause 6.1.2 requires AI risk assessment; Clause 6.1.3 requires risk treatment. Annex A provides 38 controls organized into 10 control categories (A.2–A.10). The risk register must show each identified risk linked to ≥ 1 control that treats it.

Annex A control categories (the 10):

ID Category Example controls
A.2 AI policy A.2.2 AI policy, A.2.3 alignment with other policies
A.3 Internal organization A.3.2 AI roles & responsibilities, A.3.3 reporting concerns
A.4 Resources for AI systems A.4.2 data resources, A.4.3 tooling, A.4.4 human resources
A.5 Assessing impacts A.5.2 AI system impact assessment, A.5.4 documentation of impact assessment
A.6 AI system lifecycle A.6.2.2 objectives, A.6.2.3 lifecycle phases, A.6.2.4 verification & validation
A.7 Data for AI systems A.7.2 data management, A.7.3 data quality, A.7.4 data provenance, A.7.5 data preparation
A.8 Information for interested parties A.8.2 system documentation, A.8.3 user information, A.8.4 communication of incidents
A.9 Use of AI systems A.9.2 intended use, A.9.3 monitoring of operation, A.9.4 logging of system events
A.10 Third-party & customer relationships A.10.2 supplier relationships, A.10.3 customer relationships

ISO/IEC 23894:2023 provides the AI-specific risk-management process (the methodology); 42001 Annex A provides the controls. The risk register is the bridge.

Run ai_risk_register_builder.py with an identified-risks JSON to produce a structured register with mapped controls + residual-risk verdict per ISO 23894 risk-treatment options.

See references/aims_controls_annex_a.md for the full 38-control catalogue with audit evidence per control.

3. Clause 9.2 Internal Audit Plan

The framework: Clause 9.2 requires "internal audits at planned intervals to provide information on whether the AIMS conforms to the organization's requirements and is effectively implemented and maintained." That's the management-system requirement; the how often and how deep are organizational choices.

Mature-program defaults:

  • Cover every clause + every applicable Annex A control over a 3-year cycle (rolling)
  • Annual full-system audit covering Clauses 4, 5, 9, 10 (the "always relevant" clauses)
  • Quarterly or semi-annual deep dives on Clauses 6, 7, 8 by domain (per AI system or per lifecycle phase)
  • Auditor independence: nobody audits their own work; A.6 lifecycle owner cannot audit Clause 8 operation

Run aims_audit_scheduler.py with a scope JSON (AI systems in scope, prior-year findings, certification cycle phase) to produce a 12-month plan with auditor assignments and independence checks.

See references/aims_implementation_guide.md for the maturity model and rollout sequencing (year 1 establish, year 2 certify, year 3+ continual improvement).

Workflows

Workflow 1: AIMS Gap Closure for Certification (4–8 weeks)

Goal: Identify gaps; prioritize remediation; close before stage 1 certification audit.

# 1. Inventory current AIMS evidence (policies, procedures, records)
python scripts/aims_gap_analyzer.py aims_evidence.json
# 2. Review gap matrix; group by clause
# 3. For each gap, identify owner + due date (target: close before stage 1)
# 4. Cross-check against ISO 27001 / 13485 existing artifacts — many can be reused
# 5. Cross-check against EU AI Act obligations (use compliance-team-eu-ai-act)
# 6. Output: prioritized remediation plan with owners + dates

Workflow 2: AI Risk Register Build (1–2 weeks)

Goal: Construct the Clause 6.1.2 risk register with full Annex A control coverage.

# 1. Run ISO 23894 risk identification across AI lifecycle (data, model, deployment, decommission)
# 2. Capture each risk with: source, event, consequence, likelihood, impact
python scripts/ai_risk_register_builder.py risks.json
# 3. For each high/critical risk, confirm ≥ 1 Annex A control is selected as treatment
# 4. Document residual risk acceptance with management signoff
# 5. Cross-check with cs-caio-advisor on executive risk acceptance for "tolerate" decisions
# 6. Log via management review (Clause 9.3)

Workflow 3: Annual Internal Audit Plan (1 day)

Goal: Produce the 12-month Clause 9.2 plan with auditor independence.

# 1. Pull last year's audit findings and certification cycle status (year 1/2/3)
python scripts/aims_audit_scheduler.py audit_scope.json
# 2. Confirm auditor independence per assignment
# 3. Confirm coverage hits every clause and every applicable Annex A control over rolling 3 years
# 4. Submit plan for management review approval (Clause 9.3 input)

Workflow 4: Cross-Framework Reuse Mapping (per system onboarded)

Goal: When adding a new AI system, map ISO 42001 evidence against existing 27001 + 13485 evidence to avoid duplication.

  1. Pull existing ISO 27001 Annex A controls + ISO 13485 procedures relevant to the system
  2. For each ISO 42001 Annex A control, identify whether an existing artifact already satisfies it (e.g., 27001 A.8.16 monitoring activities can extend to AI system monitoring)
  3. Add the AI-specific overlay only where the existing control doesn't cover it
  4. Document mapping in the AIMS scope statement (Clause 4.3)

Output Standards

**Bottom Line:** [one sentence — gap severity + the one thing to close first]
**The Decision:** [one of: gap-closure | risk-treatment | audit-scope]
**The Evidence:** [clause numbers + control IDs from the tool, not adjectives]
**How to Act:** [3 concrete next steps with owners + dates]
**Your Decision:** [the call only the compliance officer or CAIO can make — risk acceptance, scope expansion, certification readiness]

Adjacent Skills

  • ../../skills/information-security-manager-iso27001/ — ISO 27001 ISMS implementation (many controls reusable for AIMS A.7 data controls)
  • ../../skills/quality-manager-qms-iso13485/ — ISO 13485 QMS (provides CAPA + management-review machinery the AIMS reuses)
  • ../../skills/gdpr-dsgvo-expert/ — GDPR DPIA process (input to AIMS A.5 impact assessment for personal-data systems)
  • ../../skills/isms-audit-expert/ — ISO 27001 internal audit pattern (the audit scheduler mirrors this for AIMS)
  • ../../skills/soc2-compliance/ — SOC 2 trust services (reusable controls for AIMS A.10 third-party relationships)
  • ../../../compliance-team-eu-ai-act/ — EU AI Act Article-level compliance (binding regulation companion to voluntary 42001)
  • ../../../../compliance-os/ — Meta-orchestrator for multi-framework programs (run AIMS as one framework among 9)
  • ../../../../c-level-advisor/chief-ai-officer-advisor/ — Executive AI strategy (build-vs-buy, cost economics — different audience)

References

  • iso42001_clauses.md — Clauses 4–10 walkthrough with audit evidence expectations, common gaps, and reusable artifacts from ISO 27001/13485
  • aims_controls_annex_a.md — All 38 Annex A controls (A.2–A.10) with implementation guidance, audit evidence, and severity of failure
  • aims_implementation_guide.md — 3-year maturity model (establish → certify → continually improve), rollout sequencing, integration with existing ISMS/QMS programs
  • cross_framework_mapping_ai.md — ISO 42001 ↔ EU AI Act ↔ NIST AI RMF ↔ ISO 23894 ↔ ISO 38507 ↔ ISO 27001 control-level mapping with mapping-confidence ratings

Version: 1.0.0 Status: Production Ready

同梱ファイル

※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。