新たなAI規制のリスクを管理する(2024年9-10月号)

新たなAI規制のリスクを管理する(2024年9-10月号)

ニール・ホッジ[*]


2024年9月-10月web特別版

 人工知能アプリケーションが急増する中、世界中の法管轄地域では、組織が責任を持ってこのテクノロジーを使用することを保証するための新しい規制を検討するケースが増えている。法律がばらばらになり、コンプライアンスが複雑になり、その結果、企業は AI ベースのシステムでのデータ処理方法をめぐって複数の規制当局から罰金を科されるという深刻なリスクにさらされる可能性がある。

 多くの場合、問題は規制の範囲に関する理解不足から生じる。多くの組織は、AI 規則がテクノロジーを使用する人々ではなく、テクノロジー企業やその他の開発者のみを対象としていると誤解していると、制裁を受ける可能性がある。その結果、さまざまな法域のデータ規制当局、およびさまざまな業界や規制監督分野から最終的に制裁を受ける可能性がある。

 そのような例の 1 つは、金融サービス会社による個人データの使用である。金融サービス会社のデータ使用方法は、特定の AI 規則に準拠する必要があり、データ保護およびサイバーセキュリティ法、金融サービス法、場合によっては消費者保護法にも準拠する必要がある。最終的に、このことは、管轄地域に応じて、プロセスが 3 つ以上の規制当局によって監視される可能性があり、同じ違反に対して同時に罰金が科されるリスクがあることを意味する。

 企業の AI 使用では、テクノロジーとほとんど共通点がないように見えるビジネス慣行に対して、他の規制当局から警告を受ける可能性もある。たとえば、法律事務所ウォーカー・モリス の規制およびコンプライアンスチーム・シニアアソシエイト、マイケル・コルドーによると、企業はマーケティングコミュニケーションに細心の注意を払い、AI の機能について誤解を招くような主張をしないようにする必要がある。そのような主張は、放送、広告、マーケティング監視機関から制裁を受ける可能性がある。一方、競争監視当局と消費者保護当局は、企業がアルゴリズムと AI システムを使用して価格を設定したり、消費者をターゲットにしたり、個人対応する提案を行ったりする方法を調査する可能性がある。

 「企業は、テクノロジー開発者自身が AI 関連の問題に対して単独で責任を負うと、よく想定することがあります」と、データ分析会社ダン&ブラッドストリートの倫理・コンプライアンス担当取締役ヒラリー・ウァンドールは述べる。「実際には、業務で AI と機械学習を使用しているすべての企業が直接責任を負います。社内であれ、サードパーティのソリューションを通じてであれ、AI を使用するすべての企業が、これらの重複する規制がどのように適用されるかを理解して、厳格なコンプライアンス基準を遵守できるようにすることが重要です。」

コンプライアンス課題に対処する

 2024 年 8 月 1 日に発効した EU の AI 法は、AI の使用を明示的に規制する最初の主要な規則セットであり、規制当局は最大 3,500 万ユーロまたは全世界のグループ売上高の 7% のいずれか高いほうの罰金を課すことができる。この法律は AI アプリケーションに関連するリスクのレベルを分類しているが、すべての AI システムに関係しているわけではなく、「禁止」および「高リスク」のシステムに焦点を当てている。企業は、自社のシステムと AI の使用がどのカテゴリに該当するかを判断し、コンプライアンスを確保するために必要な修正を行う必要がある。

 ただし、一般的に、多くの国の既存のデータ法には、個人データの収集、使用、保存、共有方法に関する規制がすでに存在しており、それが AI の監視と活用にも適用される。問題は、世界中で「個人データ」、「データ保護」、「同意」を構成するものについての理解が異なることである。

 法律事務所ハントン・アンドリュース・カースのパートナーであるサラ・ピアースによると、合法的なデータ処理の概念は各国のデータ保護法によって異なるものの、そうした処理は個人の同意に基づいて行われ、個人との契約の履行または関連企業の正当な利益を確保して開始される必要があるというのが共通のテーマである。しかし、AIの文脈ではこれを実証するのは難しい場合がある。「処理の目的は時間の経過とともに発展し変化する傾向があるため、最初の根拠や基盤がAIシステムによる処理に必ずしも十分ではないことになる可能性があります」と彼女は言う。

 同様に、個人データがどのように収集、使用、共有されるかに関する一般的な透明性要件を満たすことも難しい場合がある。AIの性質と技術的な複雑さ自体が「処理の目的が時間の経過とともに変化する可能性があり、人々の個人データがどのように使用されるかについて完全に透明性を保つことが困難になることを意味します」と、ピアースは説明する。

 もう 1 つの問題は、AI の悪用について、告訴人が有罪を証明するのではなく、企業が責任のないことを証明する必要がある可能性が高いことである。つまり、企業は AI の使用とコンプライアンスの理解を説明する義務を負うことになる。そのため、ノール社上級取締役リチャード・カーは、事前準備的および事後対応的なリスクマネジメントを可能にするために、学際的なスキルを備えた AI 機能を設置するよう企業にアドバイスする。企業は、リスクのマッピング、測定、監視、ガバナンスに関する方針とシステムを設定する必要がある。「訴訟の結果は証拠の質と堅固さに依存するため、AI がどのように訓練され、AIのアクションがどのように取られたかについて強力で防御可能な戦略を持つことが、成功にとって不可欠になります」とカーは説明する。「程度の問題ですが、これまでと同様に、法律を知らないことはまったく防御になりません。」

 法律事務所アーノルド&ポーターのパートナー、アレクサンダー・ルーサノフによると、企業は製品とサービスの開発のすべての段階でコンプライアンスとリスク削減を統合することを目指す必要があり、主に「デフォルトでプライバシーを設計する」アプローチを採用する必要がある。 AI コンプライアンス・リスクを軽減するためのその他の手順としては、部門別に設定された方針や手順ではなく、総合的なリスク分析とコンプライアンス・プログラムを実装すること、ベンダー/パートナーのデューデリジェンス、監査、テンプレート契約を整備することなどが挙げられる。

 マクガイヤーウッズ雇用担当弁護士アダム・ペンマンは、AI 規制は国ごとに策定され、詳細やコンプライアンス要件は大きく異なる可能性があるため、組織は関連する管轄区域の立法動向も追跡する必要があると述べている。さらに、企業は AI システムの既存および予定されている使用を包括的に監査する必要がある。「AI のユーザーは、このテクノロジーがすでにどれほど普及しているかに驚かされることがよくあります」と同氏は述べる。「採用や人事ツールから会計プロセスやマーケティングまで、低レベルの AI は以前から仕事に統合されており、すぐには気づかないかもしれません。」

 同氏は、AI リスクを回避するための決定を下すのに十分な権限を持ち、それらのリスクを管理する責任を負う「頼れる」AI 担当者を企業内に任命することも、ますます重要になると付け加えた。ペンマンはこれを、規制要件、監視、罰金の増加によって同様に促進された、専任のデータ保護担当者やマネーロンダリング報告担当者などの役職の最近の増加に例えた。

 マネーロンダリングやデータ保護規制と同様に、効果的な AI リスクマネジメントでは、プロセスの成文化に大きな価値が置かれることになる。「リスク軽減戦略を策定するために、すべての AI に関連するリスクレベルを分類、評価、文書化するのに都合の悪い時期などありません」とペンマンは述べる。「現在、方針で AI の活用を文書化することは、既存のデータプライバシー・ガバナンス方針と並行して行うことが重要である。そこでの重要な原則は、エンドユーザーと顧客に対する透明性である。明確な報告と責任の線引きを定めた総合的な AI方針が鍵となります」。AI に大きく依存している企業は、ビジネスモデルの保険への影響も検討する必要がある。「潜在的な責任とコストをビジネス戦略に組み込む必要がある」と同氏は述べる。

不確実性は残る

 コンプライアンスの面で企業にとって重要な問題の 1 つは、何をすべきでないかについてのガイダンスを提供する、規制措置の法的事例がほとんどないことである。

 これまでのところ、GDPR と EU AI 法は、生成 AI をめぐる新たなリスクについてはほとんど触れていない。「新しいプロセスのいくつかについての判決はあります」と、アナリティクス研究所教育担当取締役クレア・ウォルシュ博士は述べる。「伝統的に、国際データ保護法の下では、裁判官は『アルゴリズムによる不当利得の返還』をためらわずに行使してきました。これは、企業が違法に取得したデータで訓練したアルゴリズムを削除することを要求するものです。これは、機械学習のトレーニングに多くの時間と費用がかかるため重要です。この削除の脅しは、効果的な罰と抑止力の両方となっています。」

 ただし、これはまだ施行されていない。「企業は、合法的にデータを取得する余裕がなかったため、違法にデータを使用したことを公然と認めています。彼らは、誰も被害を受けていないため、最終目標を達成するために法律を破る価値があったと主張しています」と彼女は説明する。「アルゴリズムによる不当利得の返還が生成 AI テクノロジーで適用されないかどうかについて、実際にはまだ明確な判決が出ていません。多くの企業がすでにこの技術をビジネスモデルに組み込んでいることを考えると、これは驚くべきことです。」

 規制当局が AI の使用、そして誤用をより厳しく監視していることは間違いない。複数の罰金が同時に科される恐れがあるため、企業はこのテクノロジーの使用方法を見直し、責任を問われる可能性がある状況を理解する必要がある。AI の安全な使用に対する自社の責任を認識しないと、規制上およびビジネス上の重大なリスクが生じる可能性がある。

 「テクノロジー企業だけが責任を負うと考えるのは愚かなことです」と、法律事務所ルイス・シルキン実務開発弁護士リー・ラムゼイは言う。「危険信号を無視し、通常のコンプライアンスおよびリスクマネジメント・チェックを実施しないことは、重大な法的リスクおよび業務リスクにさらされる可能性があることを意味します。これは、規制措置、評判の失墜、および消費者の信頼の喪失につながる可能性があります。」

トピックス
サイバー、人工知能、新興リスク、法的リスク、規制、テクノロジー


注意事項:本翻訳は“Managing the Risks of Emerging AI Regulations ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/10/31/managing-the-risks-of-emerging-ai-regulations ) October 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ニール・ホッジは英国を拠点とするフリーランスジャーナリスト。