AIリスクをめぐる規制動向解説、日本企業はどのようにAIリスクと向きあうべきか

2024-08-07

諸外国および日本におけるAI利活用の拡大

AIの産業活用はグローバル規模で進展し、あらゆる国・業界へと広がっています。特に中国および米国におけるAI活用によるGDPへのインパクトは大きく、日本でも今後の実質GDPの押し上げ効果が期待されています。

活用の推進と同時に、AIが原因となったインシデントも世界的に増加傾向にあり、倫理違反、人種や性別などによる差別的バイアスや公平性の欠如、プライバシーやセキュリティの侵害といった、AIリスクに対する懸念も高まっています。

AIがはらむリスク

米国商務省の国立標準技術研究所（NIST）が公開した「Artificial Intelligence Risk Management Framework（AI RMF 1.0）」（以下、AIリスクマネジメントフレームワーク）では、AIにおけるリスクを7つの要素に整理し（図表1）、「信頼できるAIシステム」構築のためには、これらのリスクを軽減することが重要だとしています。

生成AIの台頭と新たなAIリスク

AIリスクを語るうえで外せないのが、近年急速に台頭し普及した生成AI（Generative AI）の存在です。

生成AIとは、画像や、文章、音声、プログラムコードなどさまざまなコンテンツを生成することのできるAI（人工知能）を指します。データの特徴を学習して予測や分類などを行う機械学習は、データの特徴を機械自体が判断する深層学習（ディープラーニング）へと発展し、そこからさらに発展したものが生成AIです。学習したデータをもとに識別をしたり、認識をして推論したりするAIが、指示に従ってオリジナルの画像や文章、音声などを生成するものへと大きく進化したのです。

これまでのAIガバナンスを巡る議論で言及されてきたように、学習データやモデルの説明可能性や透明性、公平性、制御可能性、アカウンタビリティなど、人が留意しなくてはならない範囲は、生成AIが評価対象に加わっても大きく変わらないでしょう。しかし生成AIの大きな特徴として、アクセスがしやすいという点や、人間らしいアウトプットが得られるという点が挙げられます（図表2）。これまでのAIと異なり、技術的なバックグラウンドがないユーザーでもすぐに生成AIを活用することができ、また内容の真偽はともかく、まるで人が回答してくれているような自然な文章を得ることができます。

それゆえに、ひとたびサイバー犯罪や機密情報の漏洩、大衆扇動などのインシデントが発生すると、そのインパクトは大きなものになる可能性があります。また、著作権侵害の問題も確実に複雑なものとなります。2024年7月末現在、著作物の学習は日本では違法ではなく、著作物から生成された生成物の著作権についてはルールもなく、学習データの開示なども求められていません。

企業はこのようなAIリスクや、生成AIの技術的な特性を理解したうえで、安全に運用する必要があります。例えば人事における判断を行う場合や、人のグループにある種の評価（スコアリングなど）を行う場合など、その結果に対する説明が求められるような事象には、従来の統計的手段を用いるなどの考慮が必要です。また、生成物は必ず人が目視で確認し、責任をもって活用しなければなりません。

AIリスクを巡る世界各国の規制動向

AIリスクの顕在化を受け、各国ではAIリスクのコントロール実現に向けたルール整備が急速に進んでいます。

ルールの枠組として主に、

OECD（経済協力開発機構）やGPAI（Global Partnership on AI）などの国際機関や各国政府が取りまとめた原理原則
各国政府が定める中間的ルール
企業ごとに自主的に取り組む企業ルール

などがありますが、代表的なルールとして、欧州では初の国際的なAI法案ともいえる「AI法案」が成立しました。また、米国では人工知能（AI）がもたらすメリットを把握し、AIリスクを管理することを目的とした「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」（人工知能の安全・安心・信頼できる開発と利用に関する大統領令）が公表されました。さらに中国では、既存の法令とアルゴリズム規制、AI倫理規制などを組み合わせた独自のAIガバナンスモデルが形成されつつあります。日本企業がこれらの国・地域でAIに関連するビジネスを展開する場合には、これらの法令要件への対応が必要になると見られ、ビジネスへの影響が予想されます。

日本においても、総務省・経産省が「AIガバナンスの統一的な指針を示し、イノベーションの促進と連鎖リスクの緩和を両立する枠組みを共創していくことを目指す」ことを目的に「AI事業者ガイドライン」を公表しました。これはAIを活用する事業者（政府・自治体などの公的機関を含む）がAIを安全安心に活用するための望ましい行動指針となることが期待されています。

このように、各国・地域でルール作りが進んでゆく中で、日本企業はどのようにAIリスクと向き合っていくべきなのでしょうか。

AI事業を担う主体と、留意すべきリスク

日本政府が2024年に公表した「AI事業者ガイドライン」では、AIライフサイクルにおける具体的な役割を考慮し、AIの事業活動を担う立場として、「AI開発者」「AI提供者」「AI利用者」の3つに大別して整理されています。

AIリスクをコントロールし、AIを安心安全に利用していくためには、主体別にどのようなAIリスクがあるのかを把握することが重要です。

AI開発者としてのリスク

AIを開発するにあたっては、正確性を重視するためにプライバシーや公平性が損なわれたり、プライバシーを重んじすぎて透明性が損なわれたりするなど、リスク同士や倫理観が衝突する場面が想定されます。その際には、経営リスクや社会的な影響力を踏まえ、適宜判断・修正することが求められます。

（例）

学習データへ個人情報、機密情報、第三者に権利が帰属する著作物が混入し、権利侵害が発生する
学習データ、モデルの学習過程において、人種差別などのバイアスが混入する
AIが何らかの誤判定をしたとき「なぜそのような推論をしたのか」についての根拠を示すことができない

AI提供者としてのリスク

AIを活用したシステムやサービスを、開発者の意図・想定とは異なる範囲で実装してしまうと、社会やステークホルダーに対して権利侵害や意図しない不利益などを生じさせてしまうことがあります。

（例）

開発者が想定しない環境下や用途でAIを提供することで関係者に危害が発生する
提供したAIが経年や環境変化によって精度劣化や挙動の変化を招き、利用者に意図せず不利益をもたらす
最新の攻撃手法に対応できず、セキュリティ上の脆弱性を突かれてしまう

AI利用者としてのリスク

AIを商用利用する場合、業務外利用者からAIの能力や出力結果の説明を求められることがありますが、その要望に応えることができないと、社会やステークホルダーからの理解を得られず、事業活動に悪影響が及ぶ可能性があります。

（例）

AIから出力された内容や結果が他者の商標と類似し、著作権などの権利を侵害する
AIから出力された内容や結果に誤りがあり、それを参照した業務外利用者（エンドユーザー）から責任を問われてしまう
ステークホルダーからAIの能力や出力結果に関する説明を求められた際にそれが果たせず、レピュテーションの失墜を招く

今後に向けて

AIリスクに関する統一的な基準が示されたことで、今後これをもとに日本でも法令化の検討や業種ごとの基準策定など、さまざまなルールの検討が進むことが予想されます。企業においては、その流れと連動し、AIリスクマネジメントを整備することで、自社のAI利活用を加速させ、競争力を高めることが重要です。

執筆者

橋本哲哉

ディレクター, PwCコンサルティング合同会社

本田怜

マネージャー, PwCコンサルティング合同会社

生成AIを巡る米欧中の規制動向最前線

10 results

2024-09-09

「欧州（EU）AI規制法」の解説―概要と適用タイムライン・企業に求められる対応

2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州（EU）AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。

2024-01-23

米国における「人工知能の安全・安心・信頼できる開発と利用に関する大統領令」の解説

2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」（人工知能の安全・安心・信頼できる開発と利用に関する大統領令）について解説します。

2023-12-22

世界初のAI包括的ルール「広島AIプロセス」関連文書の解説

2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。

2023-10-24

プライバシー法規制のトレンドと企業に求められる対応生成AIと個人情報―法的論点と実務上の対策の概説

生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。

最新のインサイト

100 results

2025-05-29

「営業秘密」の保護と利活用第1回：競争優位性の維持向上に不可欠な営業秘密保護対応

営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。

2025-05-27

米国の船舶および港湾のサイバーセキュリティ法規制最新動向

グローバルでは近年、船舶サイバーセキュリティに関する統一規則（IACS UR E26/E27）の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。

2025-05-23

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関（EASA）が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS（委員会実施規則(EU) 2023/203および委員会委任規則2022/1645）について解説します。

2025-05-21

医薬品の安定供給を支える、OTセキュリティ実装の道筋とは

近年、製造設備などの制御系システムを守るOT（運用技術：Operational Technology）セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。

2025-05-19

事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性

本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。

2025-05-13

望ましいサイバーセキュリティの未来（銀行業界編）

スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。

2025-05-08

悪用された脆弱性の傾向分析

2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。