「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
米国商務省の国立標準技術研究所(NIST)は2023年1月、AI技術のリスク管理のためのガイダンスである「AIリスクマネジメントフレームワーク」(AI RMF)を発表しました。日本の組織にとって非常に有益なドキュメントであるAI RMFについて解説します。
はじめに
米国政府は、AI規制についてソフトローによるガバナンスやエンフォースメントで対応を進めています。つまり、EUのハードローによる厳格な法規制とは異なり、ガイドラインなどによる緩やかな規制への誘導という戦略をとっています。
こうした考え方の下、米国商務省の国立標準技術研究所(NIST)は2023年1月、人工知能(AI)技術のリスク管理のためのガイダンスである「AIリスクマネジメントフレームワーク」(以下、「AI RMF」)1を発表しました。AI RMFは以下の点において、日本の組織にとっても非常に有益なドキュメントであると言えます。
- 米国政府や企業とAIに関連するビジネスを行う際、AIリスク管理の考え方を統一できる
- NISTサイバーセキュリティフレームワーク(CSF)2と類似した概念に基づくため、既存のセキュリティ管理業務と整合性を合わせやすい
- 生成AIに限らず、一般的なAIのリスク管理手法として活用できる
AI RMFの概要
AI RMFは、AIに関連するリスクを効果的に管理するためにNISTによって開発されたものであり、民間企業や公共機関との協力によって成り立っています。フレームワーク作成のプロセスでは、草案に対するパブリックコメントやワークショップなどが行われ、約1年半の時間をかけて合意形成されました。
AI RMFは2部構成であり、前半では「AIに関わるリスクの考え方」や「信頼できるAIシステムの特徴」、後半では「AIシステムのリスクに対処するための実務」が説明されています。主な読者対象は、AIシステムの設計、開発、展開、評価、利用を行う者であり、AIのライフサイクル全体にわたってリスク管理の取り組みを推進するAI関係者(AIアクター)です。
図表1に示したAIライフサイクル活動は、OECDのAIシステム分類フレームワークを基にしており、内側の円は主要なディメンション、外側の円はAIライフサイクルの段階をそれぞれ表しています。理想的には、組織は「Application Context(アプリケーションコンテキスト)」から着手し、「Data and Input(データと入力)」「AI Model(AIモデル)」「Tasks and output(タスクとアウトプット)」の流れでリスク管理することが推奨されています。また、それぞれの段階では、プロダクトマネージャー、AI設計者、テスト評価(TEVV)担当、コンプライアンス担当など、組織の異なるAIアクターが関与する必要があるとしています。
AI RMFは、一般的なシステムリスクとは異なり、「AIによってもたらされるリスクには独特な点がある」と指摘しています。例えば、「教師データによって予期しない結果が出力される」「不具合が発生した場合に検知や対応が困難である」「社会や人間の行動への影響が大きい」といったことが挙げられています。これらのリスクに対して、NISTは「AI RMFを活用することで、AIリスクを管理するプロセスを強化でき、社会への影響を組織が認識できるといった効果が期待できる」としています。
信頼できるAIシステムの特徴
AI RMFでは、AIの信頼性を向上させるアプローチとして、AIに関する負の要素(リスク)を軽減することを推奨しており、7つのリスクで構成される「信頼できるAIシステムの特徴」(図表2)を整理しています。これらの状態が確保できていることで、はじめて「信頼できるAIシステム」であると言えます。
- 有効性/信頼性
システムに不具合がなく、意図したとおりに動作している状態 - 安全性
人間の生命、健康、財産、環境が危険にさらされていない状態 - セキュリティと回復力
不正アクセスや外部からの攻撃に耐えられる状態、予期せぬ事態から回復できる状態 - 説明可能かつ解釈可能
AIシステムの動作の根底にあるメカニズムを言語化でき、アウトプットが解釈できる状態 - プライバシー保護
個人情報やプライバシーが保護されている状態 - 公平性(有害なバイアス管理)
偏見や差別といった問題が起きず、平等性や公平性に配慮されている状態 - 説明責任と透明性
AIのライフサイクルに応じた適切なレベルの情報へのアクセスを提供できる状態
組織内での活用方法
NISTサイバーセキュリティフレームワーク(CSF)と同じように、AI RMFには「コア」という概念が存在します。AI RMFコアでは、取るべき対応策を「統治(Govern)」「マップ(Map)」「測定(Measure)」「管理(Manage)」の4つに分類しています(図表3、4)。
組織内でAI RMFを利用するシーンとして、自組織のAIリスク管理の成熟度をアセスメント(評価)する際のフレームワークとしての活用が考えられます。AI RMFコアには、それぞれカテゴリーとサブカテゴリーが明記されており、各要件を満たしているのか評価することが可能です。また、一次的なアセスメントだけではなく、AIシステムのライフサイクルの各段階を通じて、継続的にリスク管理を行う際にも活用が可能です。
例えば、Govern 1.1の要件については、「NIST AI RMF Playbook」3を参照することで、詳細な要求事項が分かります。図表5のとおり、Govern1.1では、AIに関する法規制を把握し、対応状況を文書化することが求められています。このようなサブカテゴリーは全部で72個あり(2023年5月1日時点)、それぞれの対応状況を把握することで、不足しているリスク管理項目を明確にすることが可能になります。
まとめ
NISTの「AIリスクマネジメントフレームワーク」(AI RMF)は、一般的なAIのリスク管理手法に関するフレームワークであり、生成AIに関しても組織の成熟度を把握する上で有益です。また、NISTサイバーセキュリティフレームワーク(CSF)と類似した概念に基づくため、既存のセキュリティ管理業務と整合性を合わせやすいことが特徴です。
特に米国政府や企業とAIに関連するビジネスを行う企業にとっては、重要なフレームワークと言えるため、AIリスク管理に活用することが推奨されます。
1 NIST, 2023, AI RISK MANAGEMENT FRAMEWORK, 2023/5/1閲覧,
https://www.nist.gov/itl/ai-risk-management-framework
2 NIST, 2018, Cybersecurity Framework Version 1.1, 2023/5/1閲覧,
https://www.nist.gov/cyberframework
3 NIST 2023, AI RMF Playbook, 2023/5/1閲覧,
https://airc.nist.gov/AI_RMF_Knowledge_Base/Playbook
生成AIを巡る米欧中の規制動向最前線
10 results
Loading...
米国における「人工知能の安全・安心・信頼できる開発と利用に関する大統領令」の解説
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
世界初のAI包括的ルール「広島AIプロセス」関連文書の解説
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
プライバシー法規制のトレンドと企業に求められる対応 生成AIと個人情報―法的論点と実務上の対策の概説
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
Loading...
最新のインサイト
100 results
Loading...
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
悪用された脆弱性の傾向分析
2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。
IEC 62443シリーズの概要と近年の動向
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
Loading...
