Posted: 24 Jan. 2025 9 min. read

第6回 海外のAI関連法規・ガイドライン

AIガバナンスの最前線

本連載では、AIのビジネス導入に欠かせない、AIのリスク対策「AIガバナンス」に係る多岐にわたるトピックについて詳しく紹介していきます。第6回の本記事では、海外のAI関連法規・ガイドラインについて解説します。

はじめに

近年、AIの利活用が進められる反面、AIによる倫理的な問題や人の権利をいかに守っていくかといった、「信頼できるAIとは何か」に関する議論が注目を集めるようになってきました。その中で、EU・米国を始め様々な国や地域で、ソフトローやハードローの路線は異なれど、AIの利活用を促進するための基盤的な要素の一つとして、企業や団体に対してAIのリスク管理を促すための法規やガイドラインの策定が行われています。本記事では、まず、EU、米国におけるぞれぞれの動向の概観を掴めるよう、まとめております。次に、国際的なコンセンサスの形成に向けた動きについて解説し、最後に各社が対応を検討していく上での要点を示します。

 

EU・米国におけるAI関連法規・ガイドラインの動向

EU – EU 域外へも影響を及ぼす、EU AI Act

EUにおける動向としては、何といってもEU AI Actの施行でしょう。2021年4月から長らく検討されてきた世界初の包括的なAI関連の法規である EU AI Actは、生成AIの勃興による時代の変化による影響も取り込みながら、2024年8月についに施行されました。そのEU AI Actの主な特徴は、以下3点です。

  1. 域外適用
    EU AI Actにおいては、EU域外の事業者であってもAIシステムをEU域内で上市する場合や、AIシステムのアウトプットがEU域内で使用される場合、規制の対象となります。
  2. 多額の制裁金
    EU AI Actは、GDPR等他のEUのデジタル関連の法案と同様に多額の制裁金を設定しています。特に、禁止AIに関連する違反では、「最大3,500万ユーロもしくは、違反者が事業者の場合、前年度における世界売上高の最大7%のいずれか高い金額」の制裁金が課されることが定められており、事業へ多大な影響を及ぼすことが想定されます。
  3. リスクベースでのAIリスク対策の要求
    EU AI Actにおいては、AIの利用目的やAIモデルの特性別に、各種要求事項を定めるリスクベースアプローチを採用しています。特に高リスクとみなされるAIの利用においては、リスク管理システムの導入や関係当局への報告など、AIのライフサイクル全体を通したマネジメントと報告・アカウンタビリティが求められます。

以上のように、日本企業であっても、AIシステムをEUで上市する場合やEU域内に子会社を抱える場合には、対応の検討が必要になります。一方で、現行の条文には、具体的に法令を遵守するための基準等は示されておらず、対応を迫られている企業は頭を悩ませている実情があります。その中で、今後法令に紐づく整合規格(CEN/CENELECが整備を担当)やガイドライン、テンプレートが公開される予定となっております。直近でも、「汎用AI行動規範の第2ドラフト版の公開」や「汎用AIに関するFAQの公開」を始め、ルールの適用に向け、EU委員会から関連文書の作成や議論が進められています。順次情報が追加されていく中で、各社においては、対応する部署やプロセスを整理しておくことで、具体的なアップデートを即時に落とし込めるような土台を構築しておくことが重要になります。

なお、詳細については、こちらの記事もぜひご参照ください。具体的な要求事項や対策の観点について解説しております。

米国 – 大統領令を受けたNIST・AI Safety Instituteによる活動と州法による個別領域の規制

※本記事は、1/10時点の情報をもとに記載しております。以降の動向として、トランプ大統領の就任に伴い、2025/1/20に「Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」は破棄され、1/23に新たなAI行動計画の策定を指示する大統領令(REMOVING BARRIERS TO AMERICAN LEADERSHIP IN ARTIFICIAL INTELLIGENCE EXECUTIVE ORDER)が発令されており、AIガバナンスに関する方針の転換が見込まれます。

米国における、AI関連の法規・ガイドラインの全体像を把握するためには、2つの枠組みで考える必要があります。1つ目が政策的な動向で、もう一つが法規制の動向です。

まず1つ目の政策的な動向から解説いたします。米国政府は、AIの安全、安心、信頼できる開発を推進するための基本路線として米国のBig Techを中心とした企業との対話を通じた各社の自主的な取り組みを促す方針を取っていました。その後、2023年10月にそれまでの取り組みの内容も踏まえながら「AIシステムの潜在的なリスクから米国民を守る」ことを目的とした大統領令(「Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」)を発令しました。その中で、商務省(Secretary of Commerce)には、NIST(米国国立標準技術研究所)を通して、AIの安全性とセキュリティに関するガイドライン、標準、およびベストプラクティスの開発を進めていくことが指示されています。

NISTは、大統領令以前にも、AIリスクを管理するためのフレームワークである「AI Risk Management Framework」を作成していましたが、生成AIのリスク管理やAIに関する標準の作成計画等の新たな5つの文書・ツールを公開しました。また、NISTの直下に「国家安全保障、公共安全、個人の権利など、さまざまなリスクにわたってAIの安全性の科学、実践、採用を推進」する専門機関として、US AI Safety Instituteが設立され、英国や日本の同様の機関との連携を行っています。実際、AI Risk Management Frameworkと日本の総務省・経済産業省が発行した「AI事業者ガイドライン」のクロスウォークが実施されるなど、日本の動向にも影響を与えることが予想されるため、注視していくことが必要です。

一方、法規制について、米国全体に影響を及ぼす連邦法は、何度か法案が提出されてはいるものの、未だ制定の目途は立っていない状況です。しかし、各州レベルで利用目的や利用場面を限定した州法の制定が進められています。

例えば、ニューヨークの州法であるLocal Law 144 of 2021, Automated Employment Decision Toolsでは、雇用者や雇用機関が自動化された雇用決定ツールを使用する場合、ツールを使用する1年以内にバイアス監査を受け、その情報を開示することを規定しています。この法律の特徴としては、各社はバイアスの基準を自らで設定し、社会との対話の中でその正当性を評価していく運用となっている点になります。また、その他にも、商業目的の生体認証に関する法律やAIにおける個人情報の取り扱いに関する法律の制定も進められています。

以上のように、米国においてはNIST・ US AI Safety Instituteを中心に、様々な企業や団体が自主的にAIガバナンスを実践していく環境を整えるためにガイドラインやツール、基準等の開発を進めています。また、雇用に関するAI等、利用目的や利用データを限定した、特定領域に対する法律が州法レベルで制定されております。そのため、米国で事業を展開する企業においては、全体的な動向や具体的な対応策をNIST・ US AI Safety Instituteの活動を通して把握し、必要に応じて各社の取り組みに落とし込むとともに、個別の州単位での法的な制約にも気を付ける必要があります。

 

国際的なコンセンサスの形成に向けた動向

2023年末、G7サミットにて日本主導で立ち上げられた広島AIプロセスや英国にて各国政府・研究機関・大学等を招いて開催された世界初のAIの安全性と規制についての国際会議であるAI Safety Summitを経て、国際社会は、AIリスクへの対応として共通的な理念の醸成に向けて協力する体制の基礎を築きました。そして2024年、より広範な国々の巻き込みとして、40を超える国・地域の広島AIプロセス・フレンドグループへの参加が発表され、また、より具体的な対策に関する国際的イニシアティブとして9か国(米国、オーストラリア、カナダ、EU、フランス、日本、ケニア、韓国、シンガポール、英国)のAI Safety Instituteやそれに類する機関が「世界中で安全、安心、信頼できるAIイノベーションのための連携を推進し、科学的基盤を構築すること」を目指す「AI Safety Institute国際ネットワーク」の会合が実施されるなど、国際的なコンセンサスの形成に向けより前進しました。特に、AI Safety Institute国際ネットワークのミッションステートメントでは、先進的なAIシステムのテストに関するベストプラクティスの構築を共同で推進していくことなどが示されており、今後は実践的な世界共通の基準やツール・ベストプラクティスの開発も増していくことが予想されます。

 

海外法規・ガイドラインへの対応検討における要点

以上のように、各国・地域におけるAIリスクに対する法規・ガイドラインの状況が目まぐるしく変化する中、グローバル企業やグローバルに事業を展開する企業においては、対応方針の検討が喫緊の課題となっています。対応において、まずは、社内やグループ企業におけるAIの利活用状況(利用目的、アルゴリズム、利用範囲、利用データ等)を把握し、新規の法規やガイドラインへの対応の必要性を判断し、取捨選択していくことが重要になります。また、内部の担当部署の役割・責任の明確化や具体的な社内規程の策定等、柔軟にアップデートすることを前提としたガバナンス体制を構築し、対応が必要な各国法規・ガイドラインが出てきた場合に備えることが欠かせません。

 

まとめ

AI・生成AIの目まぐるしい性能向上に合わせて、各国のAI関連の法規・ガイドラインの検討も急ピッチで進められており、今後も続くと考えられます。このように、状況が刻一刻と変化する時勢において、各企業は、まずは、社内のAI利活用状況の整理とAIガバナンスの土台を形成することで、対応を実践していくための受け皿を準備しておく必要があります。その上で、新たな法規やガイドラインが策定された際には対応の必要性を判断・取捨選択しながら、アジャイル的にガバナンス体制をアップデートしていくことが、AI・生成AIの利活用を阻害せず、より推進していくために欠かせない要素になります。

以上、本連載第6回では、AI関連の法規・規制・ガイドラインに関する主要各国の状況や国際連携に向けた動向について紹介しました。今後の連載では、AIとの関わりも深い知的財産、プライバシーやサイバーセキュリティといった他領域との分野横断的な情報も発信していきます。

デロイト トーマツではAIガバナンスに関して様々な知見を発信しております。AIガバナンスの策定・実行を支援するサービスも提供しておりますので、下記のページよりお気軽にお問い合わせください。

AIガバナンス – 生成AI時代に求められる信頼できるAIの実現の道筋

 

執筆者

木畑 登樹夫

デロイト トーマツ リスクアドバイザリー合同会社

プロフェッショナル

長谷 友春/Tomoharu Hase

長谷 友春/Tomoharu Hase

有限責任監査法人トーマツ パートナー

財務諸表監査、IT監査のほか、SOC1/2保証業務、政府情報システムのためのセキュリティ評価制度(ISMAP)における情報セキュリティ監査業務などに従事しており、トーマツにおけるIT関連の保証業務全般をリードしている。また、一般社団法人AIガバナンス協会の業務執行理事としてAIの認証制度の検討・提言を進めている。公認会計士、公認情報システム監査人(CISA)。 著書:『アシュアランス ステークホルダーを信頼でつなぐ』(共著、日経BP)

染谷 豊浩/Toyohiro Sometani

染谷 豊浩/Toyohiro Sometani

デロイト トーマツ リスクアドバイザリー パートナー

25年以上に渡り、統計分析や機械学習、AI導入等の多数のデータ活用業務に従事。 同時に数理モデル構築やディシジョンマネジメント領域でのソフトウエア開発、新規事業やAnalytics組織の立上げなどの経験を通じて数多くの顧客企業のビジネスを改善。 リスク管理、AML/CFT、不正検知、与信管理、債権回収、内部統制・内部監査、マーケティングなどの幅広い分野でAnalyticsプロジェクトをリードしている。