欧州のAI規制:人権アプローチの適用

Photo by artJazz on iStock

2024年5月21日

要点

  • 当ブログでは、EUAI規制に人権に基づくアプローチがコンプライアンスの確保につながる理由を説明する。

企業はAI規制への準備をどのように始めるべきか

BSRの最新ブログ「欧州のAI規制:自社への影響を理解する」で解説したように、AI規制は適用範囲が広く、多岐にわたるAIシステムと、AIの開発から利用に至るバリューチェーンのあらゆる部分の企業に適用される。AIを開発または使用する企業にとって、AI規制のどの要件が適用されるかを理解することは極めて重要である。多くの法務・コンプライアンスチームが既にその把握に取り組んでいる。

AI規制が自社にとって何らかの影響を有するのかを判断する段階で、経営者が問うべき重要な質問は以下の通りである。

  • 当社はAIを開発、展開、または使用しているか、もしくは近い将来使用する可能性があるか。

  • その場合、当社は地域的にAI規制の適用範囲に入るか。例えば、EU域内に拠点を置いている、EU域内で事業を行っている、もしくはEU域内の市場でサービスを提供している場合、その企業は適用範囲に含まれる。

この2つの質問に該当するのであれば、具体的にどの要件が関連するのかを知るために、以下の質問に答える必要がある。

  • 当社は、開発者、デプロイヤー、輸入業者、輸出業者、製品メーカーのいずれかとみなされるか。

  • 当社が開発・導入・使用するAIシステムの中に、禁止されているAI関連行為、高リスクのAIシステム、自然人と対話するAIシステム、汎用目的型AIモデルの4つの主要カテゴリに含まれるものはあるか。

これらの質問に対する回答は、企業がAI規制のどの条項が自社に関連するのか、また、コンプライアンスを確保するためにどのような体制やプロセスを導入し始める必要があるのかを判断するのに役立つ。優先順位をつける必要がある場合には、規定が施行される順番に注目するとよい。まず、禁止されているAI関連行為がないことを確認することを優先し(規則は6カ月後に施行される)、次に汎用目的型AIモデル(12カ月後)、次に自然人と相互作用するAIシステム(2年後)、最後に高リスクのAIシステム(3年後)を検討することが推奨される。

AIへの人権に基づくアプローチはどのように役立つか

EUの他のハイテク関連規制(デジタルサービス法など)と同様、人権(EUの法体系では「基本的人権」と呼ばれる)の保護はAI規制の多くの条項に織り込まれている。市民社会からは、集団監視や顔認識技術の禁止などに対する規制上の制限が不十分であるとの批判があるものの、今後AIシステムを開発・展開する企業にとっては、これらのシステムが人権に及ぼす潜在的な悪影響を理解することが不可欠である。最も重要な、特に高リスクのAIシステムとの関連性の高い条項は以下の通りである。

  1. リスク管理体制:企業は、高リスクのAIシステムを開発する際には、リスク管理体制を構築・実施する必要があり、この体制には、基本的権利に対する潜在的リスクの特定と分析が含まれなければならない。

  2. データとデータガバナンス:基本的人権に悪影響を及ぼす可能性のあるバイアスの検証を含めなければならない。

  3. 透明性とデプロイヤーへの情報提供:リスクの高いAIシステムのデプロイヤーは、その運用が「デプロイヤーがシステムの出力を解釈し、適切に利用できるよう、十分な透明性」を確保するように設計・展開しなければならない。これには、特に基本的権利に対する潜在的な悪影響の詳細を含む使用説明書を提供することが含まれる。

  4. 人間による監督:企業は、高リスクのAIシステムを、人間が効果的に監督できるように設計・開発する必要がある。このような人間による監視は、システムが使用される際に、意図されたものであれ、「合理的に予見可能な不正利用」であれ、基本的権利に対するリスクを防止または最小化することを目的としなければならない。

  5. 人権影響評価:特定の高リスクのAIシステムの導入前に(主に公共部門でシステムが使用される場合)、デプロイヤーはシステムの使用が基本的人権に与える影響の評価を実施しなければならない。この評価には、影響を受ける可能性のある個人および集団の詳細、具体的な危害のリスク、およびリスク軽減措置の実施状況を含めなければならない。

  6. 重大インシデントの報告:EU市場に高リスクのAIシステムを提供するプロバイダーは、重大インシデントが生じた場合には発生地の加盟国の市場監督当局に報告しなければならない。「重大インシデント」には、基本的権利の保護を目的とするEU法上の義務違反も含まれる。

前述の通り、AI規制における「高リスク」の定義に基づき、重要な公共サービスやインフラの提供に携わる企業や、AIを使用して個人の信用度を評価する金融サービスセクターなど、一部のセクターは他よりもAI規制の要件による影響を受ける可能性が高くなる。一方で「高リスク」AIシステムの種類によっては、AIによる従業員の感情認識や、採用目的でのAIの使用など、セクターに関係なく、AIの社内利用に関連する場合もある。

これらの一連の規定はすべて、企業に対し、AIの開発や利用が人権に及ぼす可能性のある影響について理解を深め、それらの影響を緩和するための措置を講じることを求めている。このように、AI規制は、人権デューデリジェンスを要求する他の既存および策定中の規制と重複している。企業は、人権、特に「ビジネスと人権に関する国連指導原則(UNGP)」に立脚した調和的なアプローチを全社的に採用することで、こうした新たな規制要件に対応することが可能となる。

BSRは、企業がUNGPを遵守するための支援に加え、金融サービス、消費者、ヘルスケア、小売セクターにおける責任あるAIに関するガイダンスや、近く完成予定の​生成AIに関するセクター規模の人権評価​​​​​​など、AIの人権影響に特化した各種のリソースを開発している。企業が今できることとしては、主に以下の点を推奨する。

  1. 社内の既存のAIユースケースの棚卸しを行う。

  2. 既存および計画中のAI利用について人権デューデリジェンスを実施し、リスクの高い分野を特定する。

  3. AIの使用目的を明確に定義し、導入ガイドラインの中で使用制限を設けることを検討する。

  4. 社内の部門横断的な監督委員会や社外の諮問委員会など、AIの責任ある利用のためのガバナンス体制を確立する。

  5. AIのリスクの多くがプライバシーやデータ保護に関係していることを考慮し、社内で高水準のデータ保護を確保する。

  6. 潜在的な差別的影響を緩和するために、AIモデルのバイアスや外部性をテストする。

  7. 敵対的テストとレッド・チーミング(AIシステムをストレス・テストし、システムが悪用されたり、有害な結果を招いたりする可能性のある方法を発見する作業)を実施する。

  8. AIモデルがどのように機能するかについて、ユーザーに透明性を提供する。

  9. AI技術の不正利用や濫用の可能性に関する報告チャネルを確保し、フィードバックを統合する。

  10. 同じセクターの他企業との対話に参加する。

  11. AIのライフサイクルを通じて外部のステークホルダーと対話し、AIの開発、販売、使用に関する意思決定に活用する。外部のステークホルダーを外部諮問委員会の一員とすることを検討する(4参照)

AI規制についての詳細や貴社のビジネスへの影響に関するご相談は、BSRまでお気軽にお問い合わせください

Let’s talk about how BSR can help you to transform your business and achieve your sustainability goals.

Contact Us