欧州議会は、人工知能(AI)技術とその応用を世界的に規制する最初期の包括的な規制の1つを可決しました。人工知能法(AI法)は、正式には「人工知能に関する調和規則を定め、特定の連合立法行為を修正する欧州議会および理事会の規則(人工知能法)」と題されており、欧州連合(EU)におけるAIの使用、ガバナンス、および規制の方法を形作る画期的な法的枠組みです。
2021年に最初に提案されたAI法は、その野心的な範囲と、AI駆動技術を開発または展開する企業への重大な影響により、世界的な注目を集めました。3年後の現在、正式に承認され、2024年5月の立法会期の終わりに発効し、正式な公開から24か月後に完全に適用される予定です。
EU内で事業を展開している、またはEU内の企業と提携している企業にとって、AI法は第三者リスク管理(TPRM)に大きな影響を与えます。特に、EUの管轄内でAI関連の活動に従事したいヨーロッパ以外の企業にとってはそうです。この記事では、AI法の詳細な分析と、TPRM戦略への潜在的な影響について説明します。
EU AI法とは
AI法は、AIアプリケーションに対する包括的なガバナンスおよびコンプライアンスのフレームワークを確立し、AI駆動技術が安全性、透明性、および説明責任に関するEU基準に準拠することを保証します。この法律は、AIの開発および利用方法を規制するための厳格な規則を導入し、基本的人権の保護、リスクの軽減、および倫理的なAIイノベーションの促進を全体的な目標としています。
AI法の主な目的
AI法は、以下の目的で設計されています。
- AIアプリケーションによってもたらされるリスクを特定し、軽減する。
- 高リスクAIアプリケーションを定義し、その開発および利用に関する厳格な要件を確立する。
- AIプロバイダーおよびユーザーにコンプライアンス義務を課す。
- 高リスクAIシステムの展開前に適合性評価プロセスを確立する。
- AI監視のためのヨーロッパおよび国家レベルでのガバナンス構造を構築する。
また、本法には、リスクが高すぎる、または倫理的に問題があると見なされる特定のAIユースケースに対する明確な制限が含まれています。
禁止および高度に規制されたAIアプリケーション
AI法は、リスクベースのアプローチに基づいてAIシステムを分類し、次の4つの層に分類します。
1. 容認できないリスク(禁止されたAIシステム)
安全性、基本的人権、または民主主義に対する明白な脅威と見なされるAIアプリケーションは、厳しく禁止されています。これには以下が含まれます。
- 機密性の高い特性(人種、性別、宗教など)に基づく生体認証分類。
- オンラインソースまたはCCTV映像からの対象を絞らない顔認識データスクレイピング。
- 職場や学校での感情認識。
- 行動または個人的特徴に基づいて個人を分類するソーシャルスコアリングシステム。
- プロファイリングまたは行動評価のみに基づく予測型警察活動。
- 有害な行動を助長するAI駆動の子供向け玩具など、人間の行動を操作したり、脆弱性を悪用したりするAIシステム。
2. 高リスクAIシステム
これらのAIアプリケーションは、使用前に厳格な規制要件があります。例としては、以下で使用されるAIが含まれます。
- 雇用および採用プロセス。
- 法執行および国境管理。
- 教育、信用、または公共サービスへのアクセス。
- 医療や輸送などの重要なインフラ。
高リスクAIを導入する組織は、以下を保証する必要があります。
- 堅牢なリスク評価と軽減戦略。
- 偏った意思決定を防ぐための高品質なデータセット。
- ロギングとドキュメントによるトレーサビリティ。
- AIシステム利用者に対する明確かつ透明性の高い情報。
- 自動化バイアスを防ぐための強力な人的監督。
- セキュリティ、精度、および信頼性対策。
さらに、ChatGPTのような生成AIなどの汎用AIモデルは、以下を含む特定の透明性基準を遵守する必要があります。
- コンテンツがAIによって生成されたものであることの開示。
- 違法コンテンツの生成の防止。
- トレーニングで使用された著作権データの概要の公開。
- AIに関連する重大なインシデントの報告。
3. 限定的リスクAIシステム
このカテゴリーは、AI駆動型チャットボットやレコメンデーションシステムなど、潜在的な影響が中程度のAIアプリケーションを対象としています。これらの技術を使用する組織は、ユーザーがAIと対話していることを通知することにより、透明性を確保する必要があります。
4. ミニマルリスクまたは無リスクAIシステム
スパムフィルターやAI搭載のビデオゲームの仕組みなど、リスクがごくわずかなAIアプリケーションは、ほとんど制限がありません。これらは、現在使用されているAIアプリケーションの大部分を占めています。
第三者リスク管理(TPRM)に対するAI法の意味
第三者ベンダーに対する新たなコンプライアンスの負担
EUの第三者AIベンダーまたはサプライヤーに依存している企業にとって、AI法への準拠は、ベンダーのデューデリジェンスおよびリスク評価の不可欠な部分になります。GDPRがデータプライバシー規制に影響を与えたのと同様に、ヨーロッパでビジネスを行う企業、またはEUを拠点とするプロバイダーから調達したAI技術を使用する企業は、同法の透明性と説明責任の基準に準拠する必要があります。
これは、組織が以下を行う必要があることを意味します。
- 第三者ベンダーのAIリスク分類を評価する。
- サプライチェーンで使用されるAIモデルのコンプライアンスリスクを評価する。
- AI関連の質問をベンダーリスク評価に組み込む。
- ベンダーがAIの透明性とデータガバナンスの義務を遵守していることを確認する。
- 最大で全世界売上高の7%または3,500万ユーロに達する可能性のある、高額な不遵守に対する制裁に備えてください。
「ハイリスクAI」の定義が広範であることを考慮すると、組織はベンダーに対し、AIモデル、データソース、コンプライアンス対策に関する具体的な質問をすることで、より厳格な精査を行う必要があります。SIGやSIG Liteのアンケートのような業界標準のベンダーリスク評価は、すでにAI関連のコンテンツを含むように進化しており、企業はこれらの評価がAI法への準拠を網羅していることを確認する必要があります。
TPRMにおけるAI関連の主要なリスク要因
規制上の懸念事項に加えて、組織はAIを活用したサードパーティソリューションを使用する際に、いくつかの重要なリスクも考慮する必要があります。
- データ品質と偏り: AIモデルは、学習に使用するデータの信頼性に左右されます。偏ったデータや低品質なデータは、差別を悪化させ、誤った意思決定につながる可能性があります。
- 透明性の課題: 多くのAIモデルはブラックボックスとして機能するため、意思決定がどのように行われたかを追跡することが困難です。組織は、説明可能性とドキュメント化を要求する必要があります。
- サイバーセキュリティとプライバシーのリスク: AI駆動のツールは、サイバー脅威やデータ侵害の主要な標的となる可能性があります。セキュリティ対策を確保し、データ保護法を遵守することが重要です。
- 人的監視の不足: 適切な人的監視なしにAIに過度に依存すると、エラーや意図しない結果につながる可能性があります。
- AI人材とスキルギャップ: AIガバナンス、偏りの軽減、コンプライアンスに関する深い専門知識を持つ専門家はほとんどおらず、大きな人材不足が生じています。
次のステップ:AIコンプライアンスとリスク管理の準備
EU AI法の成立は、AI技術が世界中でどのように規制されるかの転換を示しています。企業がAIを事業運営にますます統合するにつれて、政府はAIガバナンス、透明性、リスク管理に対する監視を強化し続けるでしょう。
サードパーティリスク管理チームにとって、重要なポイントは次のとおりです。
- ベンダーのエコシステム内でのAIの使用状況をレビューし、規制上のリスクを評価します。
- AI法コンプライアンスチェックを含めるように、ベンダーリスク評価を更新します。
- 他の管轄区域におけるAI関連の規制の動向を監視します。
- 社内のAIガバナンスポリシーを評価し、責任あるAIプラクティスを実装します。
- NIST AIリスク管理フレームワークなどの業界標準を採用して、AIの監視を強化します。
AI法の完全な実施までにはまだ2年かかるかもしれませんが、企業は今すぐ準備を開始する必要があります。社内およびサードパーティとの関係全体で、AIガバナンスへのプロアクティブなアプローチを採用することで、AI規制の新時代への移行がよりスムーズになります。
