要旨:本記事ではまず、世界的にもAI規制に関する初めての本格的な法整備となる「EU AI規制法」について概要を説明します。さらに、米国におけるAIの権利章典、州レベルの法律、NISTによるAIリスク管理フレームワークのほか、WHOのイニシアティブ、ISOの規格についても取り上げます。これらの枠組みはどれも、組織がAIのリスクを効果的に管理し、変革をもたらすテクノロジーを安全かつ倫理的に開発するための指針となるものです。
機械学習(ML)は、ある人々を熱狂させ、ある人々を不安にさせる、大きな力をもつテクノロジーです。他のツールと同じく、良いことにもそうでないことにも利用される可能性があります。AIが影響力を発揮するであろう未来の社会に備えて、その社会を守るために、各国政府や規制当局をはじめとするさまざまな組織が、急速に進化する機械学習の将来を見越して、規制、ガイドライン、および標準化に取り組んでいます。
先駆けとなる欧州のAI規制への取り組み
欧州はAI規制において、常に先導的な役割を果たしています。間もなく施行される、AIを包括的に管理する世界初の法律となる「EU AI規制法」にも、その姿勢が現れています。この法律は、基本的人権を保護し、AIテクノロジーに関する喫緊の課題に対応することを目的としたものです。また、欧州はAI・ML関連のスタートアップを支援するさまざまな取り組みを通じて、AIイノベーションの強化を支えることにも力を入れています。
このAI規制法の核となるのは、AI・ML関連のプロダクトに対して、品質とリスクを管理するシステムの確立、データ管理の実施、および透明性・説明可能性・堅牢性・サイバーセキュリティの保証を義務づけていることです。また、この法律では、AIシステムをいくつかのクラスに分類したうえで、一部を明確に禁止し、リスクが高いと判断されたものは規制し、リスクが限定的なものに対しては、透明性の確保、および行動規範とコンプライアンスを順守することを求めています。
2024年1月22日、EU AI規制法の最終案(見込み)の非公式版が発表されました。今や問題は、この法律が制定されるかどうかではなく、「いつ」制定されるかです。この法律は、さまざまな分野に影響を及ぼすことが予想され、製品やサービスが市場に出る前に必要となる、新たな「適合性評価」プロセスが導入される可能性があります。ヘルステックのような、すでに厳格な規制下にある分野では、この移行はそれほど大きな衝撃をもたらさないかもしれません。最初は多少の混乱はあるかもしれませんが、正しいことを行う際には、常にある程度の困難が伴うことは歴史が証明しています。最終的には、規制から長期的に得られるメリットが、初期段階の混乱というデメリットをはるかに上回るでしょう。
米国におけるAI法とAI権利章典
大西洋を挟んだ米国でも、2023年に複数の州がAI関連の法案を提出し、大きな一歩を踏み出しました。これらの法案は、教育におけるAI、危険な状況のコントロール、ヘルスケア、雇用に関連するAIアプリケーションなど、さまざまな分野をカバーし、データ保護、プロファイリング、偏見や差別の防止といった問題も重視されています。また、米国科学技術政策局(OSTP)は、AIの開発、実装、運用についての青写真となる「AI権利章典」を発表しています。その主な目的は、米国国民の民主的な権利と価値を守ることです。この権利章典では、AIシステムが安全かつ効果的であること、アルゴリズムによる差別の防止、データのプライバシーの保護、明確な説明の提供、人間中心の代替案やサポートの提供といった、AIの主要原則が明確にされています。これらはどれも、さまざまな業界におけるAIの倫理的で責任ある利用を推進することを目的としたガイドラインになっています。
NISTによるAIリスク管理フレームワーク
2023年1月26日、NIST(米国国立標準技術研究所)は、AIリスク管理フレームワーク(RMF)を公開しました。NIST AI RMFプレイブック、AI RMF解説動画など、さまざまなサポート資料もあわせて用意されています。このフレームワークは、ML・AI製品を開発する企業が、リスク管理の実践を強化するために使用できるものです。MLベースの製品の設計、開発、使用における信頼性を最適化することを目的とした、AIリスク管理に関する一連の任意のガイドラインが含まれています。特定の業界に特化したものではなく、官民両セクターからのフィードバックや意見を取り入れて作成されたものです。フレームワークは2つの部分から構成されています。1つ目は、組織がAI関連のリスクを特定し、その属性を定義するための方法を説明するものです。2つ目は、フレームワークの核となる部分として、ガバナンス、マッピング、測定、管理というリスク管理の4つの側面について詳しく説明し、組織が実際にAIシステムのリスクに対処するのに役立つものになっています。
WHOとISOによるAI規制への取り組み
世界保健機関(WHO)は、医療・ヘルスケア分野でAIを扱う際に考慮すべき規制上の主要な事項をまとめた新しい文書を発表しました。この文書では、AIシステムの安全性と有効性を確立すること、必要な人々にシステムとガイダンスを提供すること、開発者・規制当局・メーカー・医療従事者・患者を含む幅広いステークホルダー間の対話を促進することの重要性が強調されています。また、透明性と文書化、リスク管理、データ検証、データ品質、プライバシーとデータ保護、コラボレーションという6つの観点から、AIに関して重視すべき側面を説明しています。これらはML関連の製品やサービスを開発する企業にとって指針となるものです。
国際標準化機構(ISO)は、機械学習とAIに関する複数の規格を発行しています。2023年初頭、ISOは「ISO 23894:2023 - AIのリスク管理に関するガイダンス」を導入しました。これはAIソリューションの開発と使用におけるリスク管理に関するガイダンスを提供するものです。リスクの評価、処理、コミュニケーション、モニタリング、レビューなど、リスク管理プロセスのあらゆる側面を網羅するものになっています。また、AIの目的、AI特有のリスク要因、AIシステムのライフサイクルにわたるリスク管理プロセス全般に関する情報を含んだ、有用な附属書も提供されています。なお、この規格は「ISO 31000:2018 リスクマネジメント - 指針」に大きく依存していることに留意する必要があります。そのため、AIのリスク管理プロセスを確立するには、両方の規格を確認する必要があるでしょう。
そして2023年の終わりに、長く待たれていた「ISO 42001:2023」が発表されました。これは、すでにAIソリューションを開発または利用している企業向けに、AIマネジメントシステムを詳細に規定するものです。共通の「附属書SL」構造に従っており、ISO 27001やISO 9001に準拠したマネジメントシステムとシームレスに統合できるようになっています。この規格はリスクベースのアプローチを採用し、組織に対して、マネジメントシステムとそのステークホルダーの状況や関係を定義し、リスクを分析し、AIの影響評価を実施することを義務づけています。他のISOマネジメントシステムと同様に、組織全体を網羅した、体系的で管理されたアプローチを実施することを目的としています。
課題と今後に向けて
AI規制が進化を続けるなかで、企業にとって最大の課題は、市場に出されるAIプロダクトの品質の管理と、継続的なイノベーションによる迅速な発展の促進との間で、いかにバランスを取っていくかです。十分な準備ができていない企業は、規制が正式に施行された時点から、競合他社に遅れを取ることになります。この状況を乗り切るためのカギは、先を見越した準備によって、規制変更直後の衝撃を軽減することです。さまざまな業界で企業のAI対応を支援してきたStarは、その経験にもとづいて以下のことをおすすめします。
- 完璧でなくても、最初の一歩を踏み出す:マネジメントシステムに取り組んだことのある人なら誰でも、完璧などありえないことを知っているはずです。改善は継続的なプロセスです。まずは小さな一歩から始め、ビジネスの重要な側面にフォーカスしながら、コントロールを確立し、次の領域に進みましょう。
- すでにある知見を活用する:確立された規格、ガイドライン、専門家の見識を活用し、同じことを何度も繰り返さないようにします。このアプローチにより、時間を節約できるだけでなく、規制当局や潜在的な顧客の目から見た信頼性も高められます。
- 他者から学ぶ:AI規制の状況は常に変化しています。専任のチームを用意したり、外部パートナーと連携したりして、規制や市場の動きに目を光らせることで、大きな競争優位性を確保できるでしょう。
AIテクノロジーの潜在力はまだ計り知れず、将来の可能性は無限に広がっています。大事なのは、時代の先端を走り続けることです。今後導入される規制に備え、AI製品に関連するリスクとステークホルダーへの影響を評価し、開発プロセスに倫理的な原則を組み込んで、責任をもってイノベーションを追求していきましょう。
