第7回 日本のAI関連の法律、規制、ガイドライン ブックマークが追加されました
本連載では、AIのビジネス導入に欠かせない、AIのリスク対策「AIガバナンス」に係る多岐にわたるトピックについて詳しく紹介していきます。第7回の本記事では日本のAI関連の法律、規制、ガイドラインについて解説します。
AI技術を適切に利用することを目的としたAIの利用に関する法律・規制・ガイドライン等の整備は世界的な潮流となりつつありますが、日本においてもAI技術の急速な発展に対応するために、AI技術や周辺分野に向けた法律、規制、ガイドラインが整備されつつあります。今後、あらゆる分野のサービス・システム・ビジネスなどでAIの導入が進んでいきますが、AI技術の利用にあたってこれらの法規制やガイドラインに準拠した利用をする必要があり、各種法規制やガイドラインで何が求められているかを適切に把握していなければなりません。
本連載の第7回では「日本のAI関連の法律・規制・ガイドライン」をテーマに、日本国内におけるAI技術に向けた法規制・ガイドラインの現状と概要について解説していきます。
まず、日本におけるAI技術に対する規制のアプローチは欧州連合(EU)と異なり、現時点ではAI技術自体を対象とした法律が存在していません。日本で採用されている規制のアプローチは、ソフトローと形容されるガイドライン類を利用した、自主的なAI規制を特徴とするアプローチとなっています。
では、現在の日本ではどのようなガイドラインが策定されているのでしょうか。AI技術の倫理的な利用を促進するために、現在までに日本では官民それぞれでいくつかのガイドラインが策定されています。例えば近年の大きな動向として、経済産業省と総務省は2024年に「AI事業者ガイドライン(第1.0版)」を発表し、既定のガイドラインである「AI開発ガイドライン」(2017年、総務省)、「人間中心のAI社会原則」(2019年、内閣府)、「AI利活用ガイドライン」(2018年、総務省)、「AI原則実線の為のガバナンスガイドラインVer1.1」(2022年、経済産業省)の4つのガイドライン・ドキュメントを統合・アップデートしました。
「AI事業者ガイドライン」は広範なAI技術を活用する企業や研究機関向けにAIの社会実装及びガバナンスを実践するためのガイドラインとして、AI開発・提供・利用にあたって倫理的且つ適切な利用を促進するために必要な取組の基本的な考え方を示しています。このガイドラインではAI事業における登場人物として「AI開発者」(AIシステムを研究開発する事業者を含むAIシステムを開発する事業者)、「AI提供者」(AIシステムをアプリケーションなどに組み込んだサービスとしてAI利用者や業務外利用者に提供する事業者)、「AI利用者」(事業活動において、AIシステムまたはAIサービスを利用する事業者)の3つの主体を対象とし、主体ごとに参照すべき事項を定める形で整理しています。また、ガイドライン内ではAI技術に対して存在している、世界共通の概念を以下の10の指針として再構成し、示しています。
「AI事業者ガイドライン」ではこれらの原則を遵守することで、企業の自発的な対応促進を図ると共に、AI技術の利用における倫理的課題に対応し、社会的信頼を確保することが期待されています。
前述の「AI事業者ガイドライン」はより広範なAI技術の利活用向けに策定されたガイドラインですが、特定の産業や分野に対してガイドラインなどの策定も進んでいます。例えば金融業界におけるAI技術の利用に関しては金融情報システムセンター(FISC)や金融データ活用推進協会(FDUA)がガイドラインを策定し、発表しています。
FISCは従来のシステム監査基準にAIに関する項目を追加する形で改定を行った「金融機関等のシステム監査基準(第2版)」(2024年、金融情報システムセンター)を公開し、システム監査実施に係る個別論点としてAIに係るシステム監査に関する追記を実施しました。この追記ではAIシステムに係る監査の視点として、「データの品質と適切な使用」、「アルゴリズムの透明性と説明可能性」などの新たな監査の視点を示しており、今後はガイドラインで示された新たな観点を考慮してシステムを運用していく必要があります。また、FISCは「金融機関によるAIの業務への利活用に関する安全対策の観点からの考察」(2024年、金融情報システムセンター)も公開していますが、本考察をベースとして「金融機関等コンピュータシステムの安全対策基準・解説書」の改定が実施される予定となっており、今後もAI技術の利用に関連してガイドラインのアップデートが進んでいくと考えられます。
FDUAが発表した「金融機関における生成AIの開発・利用に関するガイドライン(第1.0版)」(2024年、金融データ活用推進協会)では金融業界における生成AIの健全な活用を目的として、「AI事業者ガイドライン」にて示されている3主体に加えて、「企画者」(新たな生成AIサービスの内容を企画し、データ処理・学習~提供において、企画時に設定した目的・用途・適用範囲に沿って開発及び利用を推進する立場)という主体を含めた4主体を定義し、各主体が考慮すべき事項をAI原則や生成AIライフサイクルの観点から整理しています。
「AI事業者ガイドライン」や「金融機関における生成AIの開発・利用に関するガイドライン」はAI技術の利用主体に着目して整理を行ったガイドラインですが、AIの品質に関する基準を主眼に置いたガイドラインも策定されています。産業技術総合研究所が2020年に発表した「機械学習品質マネジメントガイドライン」(2020年、産業技術総合研究所)は改定が重ねられ、2024年現在第4版となっています。このガイドラインはAI技術を利用したシステムの中でも、特にシステムの中に含まれた機械学習で実装されたソフトウェアコンポーネント(機械学習要素)の品質に関する基準と達成目標を整理したもので、AIの誤りによって発生する損失を減らすことを目的としています。
また、2024年2月に日本におけるガイドラインの標準を示すなど国内におけるAIの安全性に係る評価手法や基準の検討・推進を担う機関として、内閣府の支援に基づいて、IPA内にAI Safety Institute(AISI)が設置されました。AISIは関係省庁や各国の研究機関と連携しながら活動していく機関となりますが、既にLLMを構成するシステムをリリースする際に考慮すべき評価観点を「AIセーフティに関する評価観点ガイド」として発表し、LLMを利用したサービスを展開する際に対応する必要があるリスクを示しています。加えて、LLMモデルに対する攻撃リスクへの対応手段のガイドとして「AIセーフティに関するレッドチーミング手法ガイド」を発表するなど、ガイドライン整備やより実務的な観点からの環境整備に精力的に取り組んでいます。
FISCやFDUAが策定したガイドラインが示すように、金融業界では現在、金融機関がAI技術を安全に運用するための基準や指針の整備が進められています。しかし、この潮流は金融業界に限定されるものではなく、AISIの活動や「AI事業者ガイドライン」、「機械学習品質マネジメントガイドライン」からも分かる通り、各業界・産業分野でそれぞれAI技術に関するガイドラインや指針の整備が実施されており、今後も新技術の登場や利用実態に即したアップデートが進んでいくと考えられます。
次に日本におけるAI周辺分野を対象とした法律・規制・ガイドラインの現状を見ていきます。
AI技術の周辺分野としてまず一番に挙がるものはデータの利活用ではないでしょうか。現在、AI技術の利活用と大量データの取り扱いは別個のものとして考えることは出来なくなってきています。個人情報保護法(PIPA)はAI技術におけるデータ利用について、極めて重要な役割を果たしています。AIが既に大量のデータを取り扱うことがもはや当たり前になっている現状において、どのように収集されたデータがどのように利用されるかは法規制の対象となることに異論はありませんが、PIPAでは個人情報の適切な取り扱いを規定し、データの収集、利用、保存に関する規制を設けることで、プライバシー保護の観点からデータの利活用についての規制として、重要な立ち位置を占めています。但し、PIPAは初めからAI技術によるデータ利活用を考慮した法律だったわけではなく、2003年の成立から定期的に改正がされており、近年ではAI技術によるデータ利用を念頭に置いた「AI・ビッグデータ時代への対応」として、事業者が個人情報を取り扱う際に本人の権利利益との関係で説明責任を果たしつつ、本人が予測可能な範囲内で適正な利用がなされるようにするための改正も実施されています。
現在のPIPAは、よりAI技術によるデータの利活用を考慮し、例えばAIが個人データを分析・利用する場合は特定の個人を識別できないように仮名加工情報として加工していればデータの安全性を保ちつつ、「内部での分析・利用であることなどを条件として新たな目的で利用可能」、「漏洩等の報告・本人への通知義務の適用外となる」、「開示・利用停止などの請求対応義務の適用外となる」が可能(41条9項)となるなど、一定のプライバシーは保護しつつもイノベーションを阻害しないような法規制へとなっています。但し、仮名加工情報としない場合は従来と同様に上述の義務は発生していることに注意が必要です。
上述の通り、定期的に改正されているPIPAですが、現在は次回改正案について検討が進められています。2025年に成立・2027年に施行が見込まれる改正個人情報保護法の検討項目に「データ利活用に向けた取組に対する支援等の在り方」の項目が存在し、本項目内では「本人同意を要しない公益に資するデータ利活用等の在り方」の検討を行っています。その中で生成AIも影響として含んだ上で検討が進められているため、改正案成立後は更なる対応要否の変更が発生する可能性もあり、今後の動向について注視が必要です。
また、法律ではありませんが、AIの利用時に発生するデータの利用について、同じく個人情報保護委員会が「生成AIサービスの利用に関する注意喚起等について」(2023年、個人情報保護委員会)を発表し、生成AIサービスの利用にあたって事業者・利用者それぞれが留意すべき事項を発信しています。類似のガイドライン類として、文化庁からも「AIと著作権に関する考え方について」(2024年、文化審議会著作権分科会法制度小委員会)で、AIによって生成された作品の著作権者やAIの学習に使用するデータの著作権侵害について指針が発表されており、指針の検討が続けられている状況となります。
AI技術の利用にあたって対応が必要となる法規としてサイバーセキュリティ基本法も挙げられます。AI技術及びAI技術を利用したシステム・サービスのセキュリティはその信頼性と安全性を確保するために不可欠となっています。サイバーセキュリティ基本法はサイバー攻撃からシステムを守るための措置を規定し、サイバー関連事業者及びその他事業者に対して自主的かつ積極的なサイバーセキュリティ対策を求めています。また、「AI事業者ガイドライン」では10の指針の1つに「セキュリティ確保」を挙げ、各主体がAIシステム・サービスの開発・提供・利用において、不正な操作によってAIの挙動に意図しない変更や停止が生じないようにセキュリティを確保することが重要である、と示していますが、内閣サイバーセキュリティセンターが発表した「サイバーセキュリティ2024」ではAIの安心・安全な利用に向けて、「AI事業者ガイドライン」にて指針の確認が可能というように参照先として「AI事業者ガイドライン」を挙げています。
「サイバーセキュリティ2024」で「AI事業者ガイドライン」に言及しているように、今後はAI技術の周辺分野に係る法規制・ガイドライン対応についても、より柔軟にアップデートが可能なソフトローと組み合わせることで、より適切かつ現実に即した規制を実現していく事が想定されます。
ディープラーニングや生成AIの登場といったAI技術の急速な進展は私たちの生活や産業に多大な影響を与える一方で、新たな倫理的・社会的課題を表出させてきています。AI技術のビジネス利用に向けてAIガバナンスを考える際には、「日本におけるAI技術をターゲットとした法律・規制・ガイドラインの現状」にてご紹介した通り、日本国内のAI技術をターゲットとしたガイドライン類にて挙げられている指針の考慮が必要となって来ています。また、日本で策定されているAI規制として、AI技術をターゲットにしたガイドライン類だけではなく、AI技術を利用するために必要となる周辺分野向けの法規制・ガイドライン対応が不可欠となるため、AIガバナンスを検討するにあたって、AI技術単体だけではなく、より包括的な分野を対象とした検討が必要となります。
また、今後の展望を考える上では2024年12月にAI戦略会議・AI制度研究会から発表された「中間とりまとめ(案)」について言及すべきでしょう。本とりまとめ案では日本における法令の適用にも言及されており、AI技術に対する法規制について、イノベーション促進とリスクへの対応を確立するために、事業者の自主的な努力による対応が期待できないもののみ法令による規制を行うべきであるとしています。
これに対応する形で新法案が政府から提出される見込みであるという報道が出ております(2024年1月時点)。本法律の全容は現時点では判明しておりませんが、今後関連するガイドラインと共に日本のAI規制を考える上で重要な法案となる可能性は十分にあり、今後の動向について注視が必要です。
以上の通り、第7回では「日本のAI関連の法律、規制、ガイドライン」をテーマに現状と概要を詳しく紹介していきました。
今後の連載ではAIと著作権やプライバシー、AIのセキュリティリスク等、より詳細なAIリスクに関連したトピックなどを紹介していきます。
デロイト トーマツではAIガバナンスに関して様々な知見を発信しております。AIガバナンスの策定・実行を支援するサービスも提供しておりますので、下記のページよりお気軽にお問い合わせください。
AIガバナンス – 生成AI時代に求められる信頼できるAIの実現の道筋
巻口 歩翔
デロイト トーマツ リスクアドバイザリー合同会社 マネジャー
AI Safety Institute「AI セーフティに関する評価観点ガイド(第 1.01 版)」
(https://aisi.go.jp/assets/pdf/ai_safety_eval_v1.01_ja.pdf)
AI Safety Institute「AIセーフティに関するレッドチーミング手法ガイド(第1.01版)」
(https://aisi.go.jp/assets/pdf/ai_safety_RT_v1.00_ja.pdf)
金融情報システムセンター「金融機関等のシステム監査基準(第2版)」
(https://www.fisc.or.jp/publication/book/006458.php)
金融情報システムセンター「金融機関によるAIの業務への利活用に関する安全対策の観点からの考察」
(https://www.fisc.or.jp/document/public/file/ai_opinion_20240924.pdf)
金融データ活用推進協会「生成AIWG」
(https://www.fdua.org/activities/generativeai)
経済産業省『「AI事業者ガイドライン(第1.0版)」を取りまとめました』
(https://www.meti.go.jp/press/2024/04/20240419004/20240419004.html)
個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」
(https://www.ppc.go.jp/news/careful_information/230602_AI_utilize_alert/)
産業技術総合研究所「機械学習品質マネジメントガイドライン 第4版」
(https://www.digiarc.aist.go.jp/publication/aiqm/guideline-rev4.html)
文化庁「AIと著作権に関する考え方について」
(https://www.bunka.go.jp/seisaku/bunkashingikai/chosakuken/pdf/94037901_01.pdf)
内閣サイバーセキュリティセンター「サイバーセキュリティ2024」
(https://www.nisc.go.jp/pdf/policy/kihon-s/cs2024.pdf)
AI制度研究会「中間とりまとめ(案)」
(https://www8.cao.go.jp/cstp/ai/ai_kenkyu/5kai/shiryou1.pdf)
「個人情報の保護に関する法律」
(https://laws.e-gov.go.jp/law/415AC0000000057/)
「サイバーセキュリティ基本法」
(https://laws.e-gov.go.jp/law/426AC1000000104#Mp-Ch_1-At_1)
財務諸表監査、IT監査のほか、SOC1/2保証業務、政府情報システムのためのセキュリティ評価制度(ISMAP)における情報セキュリティ監査業務などに従事しており、トーマツにおけるIT関連の保証業務全般をリードしている。また、一般社団法人AIガバナンス協会の業務執行理事としてAIの認証制度の検討・提言を進めている。公認会計士、公認情報システム監査人(CISA)。 著書:『アシュアランス ステークホルダーを信頼でつなぐ』(共著、日経BP)
25年以上に渡り、統計分析や機械学習、AI導入等の多数のデータ活用業務に従事。 同時に数理モデル構築やディシジョンマネジメント領域でのソフトウエア開発、新規事業やAnalytics組織の立上げなどの経験を通じて数多くの顧客企業のビジネスを改善。 リスク管理、AML/CFT、不正検知、与信管理、債権回収、内部統制・内部監査、マーケティングなどの幅広い分野でAnalyticsプロジェクトをリードしている。