「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
米国商務省の国立標準技術研究所(NIST)は2023年1月、AI技術のリスク管理のためのガイダンスである「AIリスクマネジメントフレームワーク」(AI RMF)を発表しました。日本の組織にとって非常に有益なドキュメントであるAI RMFについて解説します。
はじめに
米国政府は、AI規制についてソフトローによるガバナンスやエンフォースメントで対応を進めています。つまり、EUのハードローによる厳格な法規制とは異なり、ガイドラインなどによる緩やかな規制への誘導という戦略をとっています。
こうした考え方の下、米国商務省の国立標準技術研究所(NIST)は2023年1月、人工知能(AI)技術のリスク管理のためのガイダンスである「AIリスクマネジメントフレームワーク」(以下、「AI RMF」)1を発表しました。AI RMFは以下の点において、日本の組織にとっても非常に有益なドキュメントであると言えます。
- 米国政府や企業とAIに関連するビジネスを行う際、AIリスク管理の考え方を統一できる
- NISTサイバーセキュリティフレームワーク(CSF)2と類似した概念に基づくため、既存のセキュリティ管理業務と整合性を合わせやすい
- 生成AIに限らず、一般的なAIのリスク管理手法として活用できる
AI RMFの概要
AI RMFは、AIに関連するリスクを効果的に管理するためにNISTによって開発されたものであり、民間企業や公共機関との協力によって成り立っています。フレームワーク作成のプロセスでは、草案に対するパブリックコメントやワークショップなどが行われ、約1年半の時間をかけて合意形成されました。
AI RMFは2部構成であり、前半では「AIに関わるリスクの考え方」や「信頼できるAIシステムの特徴」、後半では「AIシステムのリスクに対処するための実務」が説明されています。主な読者対象は、AIシステムの設計、開発、展開、評価、利用を行う者であり、AIのライフサイクル全体にわたってリスク管理の取り組みを推進するAI関係者(AIアクター)です。
図表1に示したAIライフサイクル活動は、OECDのAIシステム分類フレームワークを基にしており、内側の円は主要なディメンション、外側の円はAIライフサイクルの段階をそれぞれ表しています。理想的には、組織は「Application Context(アプリケーションコンテキスト)」から着手し、「Data and Input(データと入力)」「AI Model(AIモデル)」「Tasks and output(タスクとアウトプット)」の流れでリスク管理することが推奨されています。また、それぞれの段階では、プロダクトマネージャー、AI設計者、テスト評価(TEVV)担当、コンプライアンス担当など、組織の異なるAIアクターが関与する必要があるとしています。
AI RMFは、一般的なシステムリスクとは異なり、「AIによってもたらされるリスクには独特な点がある」と指摘しています。例えば、「教師データによって予期しない結果が出力される」「不具合が発生した場合に検知や対応が困難である」「社会や人間の行動への影響が大きい」といったことが挙げられています。これらのリスクに対して、NISTは「AI RMFを活用することで、AIリスクを管理するプロセスを強化でき、社会への影響を組織が認識できるといった効果が期待できる」としています。
信頼できるAIシステムの特徴
AI RMFでは、AIの信頼性を向上させるアプローチとして、AIに関する負の要素(リスク)を軽減することを推奨しており、7つのリスクで構成される「信頼できるAIシステムの特徴」(図表2)を整理しています。これらの状態が確保できていることで、はじめて「信頼できるAIシステム」であると言えます。
- 有効性/信頼性
システムに不具合がなく、意図したとおりに動作している状態 - 安全性
人間の生命、健康、財産、環境が危険にさらされていない状態 - セキュリティと回復力
不正アクセスや外部からの攻撃に耐えられる状態、予期せぬ事態から回復できる状態 - 説明可能かつ解釈可能
AIシステムの動作の根底にあるメカニズムを言語化でき、アウトプットが解釈できる状態 - プライバシー保護
個人情報やプライバシーが保護されている状態 - 公平性(有害なバイアス管理)
偏見や差別といった問題が起きず、平等性や公平性に配慮されている状態 - 説明責任と透明性
AIのライフサイクルに応じた適切なレベルの情報へのアクセスを提供できる状態
組織内での活用方法
NISTサイバーセキュリティフレームワーク(CSF)と同じように、AI RMFには「コア」という概念が存在します。AI RMFコアでは、取るべき対応策を「統治(Govern)」「マップ(Map)」「測定(Measure)」「管理(Manage)」の4つに分類しています(図表3、4)。
組織内でAI RMFを利用するシーンとして、自組織のAIリスク管理の成熟度をアセスメント(評価)する際のフレームワークとしての活用が考えられます。AI RMFコアには、それぞれカテゴリーとサブカテゴリーが明記されており、各要件を満たしているのか評価することが可能です。また、一次的なアセスメントだけではなく、AIシステムのライフサイクルの各段階を通じて、継続的にリスク管理を行う際にも活用が可能です。
例えば、Govern 1.1の要件については、「NIST AI RMF Playbook」3を参照することで、詳細な要求事項が分かります。図表5のとおり、Govern1.1では、AIに関する法規制を把握し、対応状況を文書化することが求められています。このようなサブカテゴリーは全部で72個あり(2023年5月1日時点)、それぞれの対応状況を把握することで、不足しているリスク管理項目を明確にすることが可能になります。
まとめ
NISTの「AIリスクマネジメントフレームワーク」(AI RMF)は、一般的なAIのリスク管理手法に関するフレームワークであり、生成AIに関しても組織の成熟度を把握する上で有益です。また、NISTサイバーセキュリティフレームワーク(CSF)と類似した概念に基づくため、既存のセキュリティ管理業務と整合性を合わせやすいことが特徴です。
特に米国政府や企業とAIに関連するビジネスを行う企業にとっては、重要なフレームワークと言えるため、AIリスク管理に活用することが推奨されます。
1 NIST, 2023, AI RISK MANAGEMENT FRAMEWORK, 2023/5/1閲覧,
https://www.nist.gov/itl/ai-risk-management-framework
2 NIST, 2018, Cybersecurity Framework Version 1.1, 2023/5/1閲覧,
https://www.nist.gov/cyberframework
3 NIST 2023, AI RMF Playbook, 2023/5/1閲覧,
https://airc.nist.gov/AI_RMF_Knowledge_Base/Playbook
生成AIを巡る米欧中の規制動向最前線
10 results
Loading...
米国における「人工知能の安全・安心・信頼できる開発と利用に関する大統領令」の解説
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
世界初のAI包括的ルール「広島AIプロセス」関連文書の解説
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
プライバシー法規制のトレンドと企業に求められる対応 生成AIと個人情報―法的論点と実務上の対策の概説
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
Loading...
最新のインサイト
100 results
Loading...
EU DORAにおける脅威ベースのペネトレーションテスト(TLPT)義務化の動向
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
特定卸供給制度におけるサイバーセキュリティ対策届出の対応
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
米国SECサイバーセキュリティ開示規則適用後の5つの傾向
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用しました。新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。
「営業秘密」の保護と利活用 第3回:無形資産の戦略的保護―営業秘密管理体制の要諦―
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第3回となる本稿では、「営業秘密保護の組織体制」に焦点を当て、どのように最適な管理体制を構築すべきかについて解説します。
カスタマーID・アクセス管理の重要性:事業成長とセキュリティの両立
カスタマーIDの管理は、単なるセキュリティ対策にとどまらず、顧客体験の向上、事業の成長、そして顧客からの信頼を獲得するための重要な投資です。適切なアクセスマネジメントを実現することで、企業は顧客からの信頼を獲得し、持続的な成長を実現できるでしょう。
企業におけるID・アクセス管理の重要性
企業におけるID・アクセス管理には、全体像を理解した上で、組織固有のシステム構成や規制、コストの分析が必要であり、また情報システム部門以外の他部署との連携も不可欠です。
サイバーレジリエンス法の要件実装と認証制度―製造業に求められる対応
欧州サイバーレジリエンス法(CRA)への適合を行う上での選択肢である認証制度EUCCについて概観した上で、製造業がCRA適合に向けて取りうるアクションとEUCCの活用について紹介します。
「運命の出会い」に潜むリスク―増加するSNSロマンス詐欺の実態―
デジタルアイデンティティを悪用した詐欺、なりすましなどの被害拡大を受け、政府もマッチングアプリやSNS事業者に対して本人確認の厳格化を働きかけています。本稿では、ロマンス詐欺の実態を解説します。
Loading...
