Przejdź do treści 
Ciekawa książka – ISO 42001 and Legal Compliance
W erze, gdy sztuczna inteligencja przenika każdy aspekt działalności biznesowej, organizacje stają przed fundamentalnym pytaniem: jak wdrożyć systemy AI odpowiedzialnie i zgodnie z dynamicznie zmieniającymi się przepisami? Matthew Seet proponuje podejście oparte na zasadach etycznych, które łączy wymagania normy ISO 42001 z wymogami prawnymi różnych jurysdykcji.
O książce
Autorem jest Matthew Seet – prawnik, wykładowca międzynarodowego prawa na National University of Singapore, założyciel LAIRisk (pierwszej na świecie firmy edtech zajmującej się zarządzaniem ryzykiem prawnym AI). Posiada certyfikaty Lead Auditora ISO/IEC 42001:2023, ISO/IEC 27001:2022 oraz IAPP AI Governance Professional. Książka została wydana przez Apress w 2025 roku i stanowi pierwszą część planowanej trylogii poświęconej standardom ISO w zakresie zarządzania cyfrowego.
Kluczowe tezy
Pierwsza teza dotyczy trójkąta dyscyplin AI. Autor wyodrębnia trzy powiązane, lecz odrębne dziedziny: odpowiedzialną AI (responsible AI) jako cel etyczny, prawo AI jako zbiór wymogów regulacyjnych oraz governance AI jako system operacjonalizujący obie poprzednie. ISO 42001 stanowi pomost między zasadami etycznymi a wymogami prawnymi.
Druga teza koncentruje się na pryncypialnym podejściu do wdrożenia. Zamiast instrukcji krok po kroku, Seet proponuje implementację opartą na sześciu zasadach etycznych: bezpieczeństwie i ochronie, prywatności, sprawiedliwości, przejrzystości i wyjaśnialności, odporności oraz rozliczalności. Każda organizacja powinna wybrać zasady odpowiednie dla swoich przypadków użycia.
Trzecia teza wskazuje na status prawny normy. ISO 42001 nie jest prawnie wiążąca, jednak może być uznana za międzynarodowe „miękkie prawo” ze względu na szeroki konsensus państw członkowskich ISO/IEC JTC 1 SC 42, w tym USA, Chin i państw UE.
Czwarta teza podkreśla dwukierunkową relację z prawem. Przepisy wpływają na wdrożenie ISO 42001 poprzez kontekst zewnętrzny organizacji, a jednocześnie certyfikacja ISO 42001 może stanowić „bezpieczną przystań” demonstrującą zgodność regulacyjną.
Piąta teza akcentuje znaczenie harmonizacji. Dzięki wspólnej strukturze wysokiego poziomu z innymi normami ISO (27001, 27701), organizacje mogą zintegrować system zarządzania AI z istniejącą infrastrukturą bezpieczeństwa informacji i prywatności.
Wybrane koncepcje szczegółowo
Architektura prawna a ISO 42001
Szczególnie wartościowy jest rozdział trzeci, w którym autor analizuje przepływy między prawem a normą ISO 42001. Przepisy prawne determinują kontekst zewnętrzny organizacji (klauzula 4.1), wymagania interesariuszy (klauzula 4.2) oraz identyfikację ryzyk i szans (klauzula 6.1.1). Z drugiej strony, wdrożenie ISO 42001 wspiera organizację w wykazaniu zgodności z regulacjami takimi jak EU AI Act, chińskie przepisy o AI czy amerykańskie regulacje stanowe.
Dla audytora kluczowe jest zrozumienie, że norma wymaga od organizacji uwzględnienia przepisów prawnych dotyczących zabronionych zastosowań AI, wytycznych i decyzji regulatorów wpływających na interpretację wymogów prawnych, a także kultury, tradycji i norm etycznych w odniesieniu do rozwoju i użycia AI. Audytując kontekst organizacji, należy weryfikować kompletność tej analizy.
Sześć zasad etycznych jako rama audytu
Rozdziały od czwartego do dziewiątego stanowią systematyczne omówienie każdej zasady etycznej w trójczłonowej strukturze: zasady teoretyczne, przepisy prawne (głównie EU AI Act, GDPR, chińskie regulacje) oraz praktyki wdrożeniowe.
Zasada rozliczalności obejmuje nadzór nad systemem AI, zapewnienie jakości, kontestowalnośćdecyzji oraz możliwość śledzenia wejść i wyjść systemu. W praktyce oznacza to wdrożenie mechanizmów human-in-the-loop oraz procedur zgłaszania incydentów.
Bezpieczeństwo i ochrona dotyczą zarówno klasycznego bezpieczeństwa informacji (poufność, integralność, dostępność), jak i specyficznych zagrożeń AI takich jak ataki adversarialne, data poisoning czy model inversion. Autor szczegółowo omawia również problematykę deepfakes i dezinformacji.
Prywatność jest analizowana przez pryzmat ośmiu zasad Fair Information Practices, ze szczególnym uwzględnieniem napięć między minimalizacją danych a potrzebą testowania stronniczości algorytmów.
Relacje między zasadami
Rozdział podsumowujący przedstawia matrycę relacji między zasadami – które się wspierają, a które mogą pozostawać w konflikcie. Ta analiza jest nieoceniona dla audytora planującego zakres audytu. Przykładowo, przejrzystość i wyjaśnialność wspierają rozliczalność, ale pełna transparentność modeli open-source może zagrażać bezpieczeństwu. Testowanie stronniczości wymaga danych wrażliwych, co może naruszać prywatność.
Praktyczne wnioski dla audytorów i menedżerów
Książka dostarcza konkretnych narzędzi dla osób zajmujących się certyfikacją ISO 42001. Po pierwsze, audytor powinien weryfikować, czy organizacja zidentyfikowała swoją rolę względem systemu AI – czy jest deweloperem, dostawcą, użytkownikiem czy kombinacją tych ról. Rola determinuje zakres stosowalności wymagań i kontrolek.
Po drugie, Statement of Applicability (SoA) powinien zawierać nie tylko listę stosowanych kontrolek z Załącznika A, ale również uzasadnienia wyłączeń. Audytor musi ocenić, czy te uzasadnienia są rzeczowe i oparte na analizie ryzyka.
Po trzecie, książka podkreśla znaczenie oceny wpływu systemu AI (AI system impact assessment) jako wymagania odrębnego od klasycznej oceny ryzyka. Audytor powinien weryfikować, czy organizacja uwzględniła wpływ na jednostki, grupy i społeczeństwo, a nie tylko ryzyka operacyjne dla samej organizacji.
Po czwarte, dla organizacji posiadających już certyfikowany system zarządzania bezpieczeństwem informacji ISO 27001, integracja z ISO 42001 powinna być naturalnym rozszerzeniem. Audytor może zweryfikować, czy organizacja wykorzystała synergię między normami, szczególnie w obszarach bezpieczeństwa danych treningowych i ochrony modeli AI.
Powiązanie z normami ISO
Książka stanowi doskonałe uzupełnienie samej normy ISO/IEC 42001:2023. Autor wielokrotnie odwołuje się do powiązanych standardów ISO/IEC: normy 22989 definiującej terminologię AI, normy 23894 dotyczącej zarządzania ryzykiem AI oraz normy 42005 dotyczącej oceny wpływu systemów AI.
Szczególnie wartościowe są fragmenty dotyczące integracji ISO 42001 z ISO 27001 oraz ISO 27701. Seet planuje tę książkę jako pierwszą część trylogii, co sugeruje, że organizacje powinny rozważać kompleksowe podejście do zarządzania cyfrowego, obejmujące AI, bezpieczeństwo informacji i prywatność.
Dla kogo jest ta książka?
Książka jest przeznaczona przede wszystkim dla specjalistów odpowiedzialnych za wdrożenie systemu zarządzania AI w organizacjach każdej wielkości – od jednoosobowych działalności po międzynarodowe korporacje. Audytorzy ISO 42001 znajdą tu pogłębioną analizę relacji między wymogami normy a przepisami prawnymi, co jest niezbędne do rzetelnej oceny zgodności.
Menedżerowie compliance i prawnicy korporacyjni docenią systematyczne omówienie EU AI Act, chińskich regulacji i amerykańskich przepisów stanowych w kontekście konkretnych kontrolek ISO 42001. Specjaliści ds. ochrony danych osobowych znajdą wartościową analizę napięć między GDPR a wymogami sprawiedliwości algorytmicznej.
Książka może być zbyt zaawansowana dla osób bez podstawowej wiedzy o systemach zarządzania ISO. Z kolei programiści AI szukający technicznych wytycznych implementacyjnych powinni sięgnąć raczej po dokumentację techniczną normy.
Podsumowanie
„ISO 42001 and Legal Compliance” wypełnia istotną lukę na rynku wydawniczym – łączy perspektywę prawną z praktycznymi wymogami normy zarządzania AI. Podejście oparte na zasadach etycznych zapewnia trwałość rekomendacji nawet w dynamicznie zmieniającym się otoczeniu regulacyjnym. Dla audytorów systemów zarządzania jest to pozycja obowiązkowa, stanowiąca kompendium wiedzy o powiązaniach między ISO 42001 a wymogami prawnymi głównych jurysdykcji. Rekomendowana szczególnie tym, którzy przygotowują się do audytów systemów zarządzania AI lub planują wdrożenie takiego systemu w swojej organizacji.
FAQ - ISO 42001 and Legal Compliance
Czy książka jest odpowiednia dla osób bez wykształcenia prawniczego?
Tak, autor wyjaśnia koncepcje prawne w przystępny sposób. Podstawowa znajomość systemów zarządzania ISO jest jednak pomocna.
.
Czy książka zastępuje samą normę ISO 42001?
Nie, autor wyraźnie wskazuje, że książka analizuje normę, ale organizacja powinna posiadać własny egzemplarz ISO/IEC 42001:2023 do celów wdrożeniowych.
Które jurysdykcje prawne są omówione najszerzej?
EU AI Act i GDPR są omówione najpełniej, z istotnymi fragmentami dotyczącymi chińskich regulacji AI oraz przepisów stanowych USA (szczególnie Kalifornii).
Czy książka zawiera checklisty audytowe?
Nie w formie gotowych list kontrolnych, ale każdy rozdział kończy się podsumowaniem kluczowych wniosków, które można przełożyć na pytania audytowe.
Jak aktualna jest książka w kontekście zmieniających się przepisów?
Autor uwzględnił stan prawny na wrzesień 2025 roku i prowadzi substack z aktualizacjami dotyczącymi późniejszych zmian legislacyjnych.
Czy książka jest dostępna w języku polskim?
Na chwilę obecną książka dostępna jest wyłącznie w języku angielskim.
Bibliografia:
- Seet, Matthew. *ISO 42001 and Legal Compliance: A Principled Implementation of the AI Management System*. Apress, 2025. ISBN: 979-8-8688-2099-1. https://link.springer.com/book/10.1007/979-8-8688-2099-1
- ISO/IEC 42001:2023. *Information technology — Artificial intelligence — Management system*. International Organization for Standardization, 2023. https://www.iso.org/standard/42001
- Benraouane, Sid Ahmed. *AI Management System Certification According to the ISO/IEC 42001 Standard*. Productivity Press, 2024.