はじめに
昨今、生成AIの技術的な進化が著しく、生成AI関連の開発を進めているエンジニアは技術キャッチアップに日々奔走しているかと思いますが、並行して各国の政治家や学者、専門家が勢揃いで生成AIの開発や利用に関するガイドラインの整備を行なっています。
生成AIはその高度な機能上、社会的インパクトが非常に高いので、今までのAI開発以上に厳しいガバナンスが求められる可能性が高く、企業の法務部門のみならず実際に開発を行うエンジニアもガイドラインの検討動向を知っておいた方が良いと考えたので、今回は法律とエンジニアの2足のわらじを履いて(いこうとして)いる投稿者が現状までで調査した結果をわかりやすく解説します。
調査対象
今回は、ざっくりと以下の国のAIガイドライン・法規制の検討状況について調査しました。
- EU:AI規制法
- 中国:生成人工知能サービス管理暫定弁法
- アメリカ:AI権利章典とAI RMF(リスクマネジメントフレームワーク)
- 日本:広島プロセス国際指針
すべてを詳細に説明するのは別の機会に譲り、今回は概要とポイントのみまとめます。
各国のAIガイドライン・法規制
全体感
一般的に、法規制というと条文等で具体的に制約事項が定められ、制約事項から逸脱すると罰則が設けられていると認知されていると思います。
一方で、近年は社会様態の移り変わりが激しいため、厳しすぎる法規制を敷いてしまうことによって不自由な社会になり社会的発展が阻害されるリスクがあります。
特にAIのような技術分野は成長のスピードが著しく早く、かつ成長に伴う社会に対するリスクとベネフィットが複雑に絡み合っているため、綿密な検討を重ねずに厳しい法規制を引くことは大きな機会損失を生んでしまう可能性が高いです。
そのため、罰則等は明文化しないが一般的に"このように開発・活用するべき"といったことを示すのみにとどめた、ガイドラインを制定することが多いです。
前者の厳しい法規制をハードローと呼び、後者の比較的緩い法規制をソフトローと呼びます。
今回ご紹介する各国の取り組みは以下のように分類されます。
各国のAIに関する法規制と法分類
| 国 | 法分類 | 法名称 |
|---|---|---|
| EU | ハードロー | AI規制法 |
| 中国 | ハードロー | 生成人工知能サービス管理暫定弁法 |
| アメリカ | ソフトロー | AI権利章典とAI RMF(リスクマネジメントフレームワーク) |
| 日本 | ソフトロー | 広島プロセス国際指針 |
エンジニアが知っておくべきポイント
- 上記表の通り、EUと中国においては罰則が設けられている厳しい法規制となっており、また対象が各国の国民を対象にした場合であるため、開発自体は日本においてのみだとしても提供先が世界である場合は注意が必要です。
- また現状アメリカと日本はあくまでガイドラインレベルであり、罰則等はありませんが、今後の社会の動きによってはハードローとなりうる可能性があるため、今のうちに把握しておくことに損はないです。
EU:AI規制法
EUでは、AI規制法というものが2024年後半に施行される予定です。
ポイントとしては、リスクベースアプローチをとっていることであり、AIをリスク別に以下の4分類に分けており、それぞれに対して個別の制約が存在します。
AI規制法におけるリスク分類とその概要
| 分類 | 定義 | 規制内容 |
|---|---|---|
| 「許容できないリスク」のあるAI | 別途定められた人権侵害リスクのある類型に該当するAI | 全面禁止 |
| 「ハイリスク」のあるAI | 別途定められた人命や人権に影響を与える分野に対しての適用に該当するAI | 申請や評価等の手続き義務付与等の規制 |
| 「限定リスク」のあるAI | 「自然人と相互作用するシステム」および「感情推定や生体情報に基づくカテゴリー形成を行うシステム」および「ディープフェイク」 | 透明性の確保義務付与等の規制 |
| 「最小リスク」のAI | 上記にないその他のAI | 規制なし |
エンジニアが知っておくべきポイント
- 生成AI開発で最も開発されうるのが「限定リスク」のあるAIでありますが、"透明性の確保義務"とは、"AIであることを明示する義務"のことです。つまり、生成AIを使ったシステム作りの際には、AIで作ったことが明らかになるように表示する必要があります。
- また、「ハイリスク」のあるAI以外においても、現状罰則はないが、「ハイリスク」のあるAIの規制内容である申請や評価等の手続きの際に求められる要件は守るべきとの考え方があるため、今のうちに把握しておくとよいです。(詳細は別の機会にまとめます)
中国:生成人工知能サービス管理暫定弁法
中国では生成人工知能サービス管理暫定弁法が2023年8月15日に施行されました。
この弁法は、既に制定されている中国サイバーセキュリティ法などの類似法を踏襲する形で制定されており、要件や義務、罰則も類似法に準ずるものが多いです。
詳細な条文全ては解説しきれないので、今回は独断と偏見に基づいたエンジニアに関連しそうなポイントのみを提示します。
適用対象
- 技術対象:生成系人工知能技術を利用
- 提供先:中国境内[本土内]の公衆を対象としている
- 対象サービス1:テキスト、画像、音声、動画(ビデオ)等のコンテンツを生成するサービス
- 対象サービス2:他人(開発・提供元)が開発・提供する上記生成AIを、API等を介してそのまままたは加工等して提供するサービス
規制項目
- テロリズムの禁止
- 差別・倫理違反の禁止
- 独占・不正競争の禁止
- 基本的人権の侵害禁止
- AI生成である旨の隠匿禁止
サービス開発における義務
- データおよびモデルの合法性の確保
- 訓練データの品質確保
- セキュリティ要件確保
- 利用者への悪用抑制指導
- AI生成コンテンツであることの明確化
- 違法行為・コンテンツ・通報への対応
- データへのラベル付けのルール設定・品質評価
etc..
エンジニアが知っておくべきポイント
- 基本的には既存法である、「中国サイバーセキュリティ法」、「中国データセキュリティ法」、「中国個人情報保護法」、「中国科学技術進歩法」等の法律に準拠していますし、それ以外はEUのAI規制法と似ています。
- まだ施行されたばかりで、具体的にどうするのかといった話が少ないため、現状は特にセキュリティや利用に関する安全性の基本原則に基づいて開発することまでが求められると思います。
アメリカ:AI権利章典とAI RMF(リスクマネジメントフレームワーク)
米国科学技術政策局は、AIを含む自動化システムの設計、使用、導入の指針となるべき5つの原則を特定し「Blueprint for an AI Bill of Rights」を2022年10月に公表しました。
また、2023年1月には国立標準技術研究所(NIST)によりAIに関連するリスクを効果的に管理するためにAI RMF(リスクマネジメントフレームワーク)が開発され、具体的なガイドラインとしての活用が目指されています。
AI権利章典5原則
- 安全で効果的なシステム
- アルゴリズム由来の差別からの保護
- データのプライバシー
- ユーザーへの通知と説明
- 人による代替手段、配慮、フォールバック
AI RMF(リスクマネジメントフレームワーク)
組織がAIシステムのリスクに実際に対処するための具体的な機能として、4つのコアが定められておりこのコアごとにさらに72個ものサブカテゴリーが用意され、自組織のAIリスク管理の成熟度をアセスメント(評価)する際のフレームワークとしての活用が示されています。
-
公式サイトで参照が可能
-
各コアごと、サブカテゴリーごとに検索ができる
-
Suggested Actions等を参考に、自組織のAIリスク管理成熟度のアセスメントが可能
エンジニアが知っておくべきポイント
- RMFは開発に関するガイドラインが多いため、今回紹介している中では最もエンジニアが具体的イメージが持ちやすい印象です。
- ただしサブカテゴリー等を含めるとかなりボリュームある(かつ難易度高い)ため、全てを把握・活用していくというよりは、現状このような観点があるというレベルまででも十分かと思います。
日本:広島プロセス国際指針
日本では、G7広島サミットの結果を踏まえ、2023年5月に、G7関係者が参加して生成AIについて議論するための「広島AIプロセス」を立ち上げし、10月30日にAIシステムの開発者を対象にした全11項目の「広島プロセス国際指針」とを公表しました。
広島プロセス国際指針
- AI ライフサイクル全体にわたるリスクを特定、評価、軽減するために、高度な AI システムの開発全体を通じて、その導入前及び市場投入前も含め、適切な措置を講じる
- 市場投入を含む導入後、脆弱性、及び必要に応じて悪用されたインシデントやパターンを特定し、緩和する
- 高度な AI システムの能力、限界、適切・不適切な使用領域を公表し、十分な透明性の確保を支援することで、アカウンタビリティの向上に貢献する
- 産業界、政府、市民社会、学界を含む、高度な AI システムを開発する組織間での責任ある情報共有とインシデントの報告に向けて取り組む
- 特に高度な AI システム開発者に向けた、個人情報保護方針及び緩和策を含む、リスクベースのアプローチに基づく AI ガバナンス及びリスク管理方針を策定し、実施し、開示する
- AI のライフサイクル全体にわたり、物理的セキュリティ、サイバーセキュリティ、内部脅威に対する安全対策を含む、強固なセキュリティ管理に投資し、実施する
- 技術的に可能な場合は、電子透かしやその他の技術等、ユーザーが AI が生成したコンテンツを識別できるようにするための、信頼できるコンテンツ認証及び来歴のメカニズムを開発し、導入する
- 社会的、安全、セキュリティ上のリスクを軽減するための研究を優先し、効果的な軽減策への投資を優先する
- 世界の最大の課題、特に気候危機、世界保健、教育等(ただしこれらに限定されない)に対処するため、高度な AI システムの開発を優先する
- 国際的な技術規格の開発を推進し、適切な場合にはその採用を推進する
- 適切なデータインプット対策を実施し、個人データ及び知的財産を保護する
雑な意訳
エンジニアにはわかりにくかったので独断と偏見込みで各文を意訳しました。(精緻でないことをご認識ください。)
- AI開発する際には、リスクを踏まえたテストなどを行ってね。またどうやって作ったかもわかるようにしてね。
- 市場で使われ始めたら、悪用されていないかちゃんと確認して、悪用されていたら対処してみんなに報告してね。
- AIがどんなもので何ができてなにができないか、どうやって使うかを、使う人みんながわかるようにしてね。
- 開発者だけで情報を独占しないで、いろんな関係者に共有してね。
- 組織でAIガバナンスをちゃんと決めて、設定した方針を守れるようにメカニズムを作って、それがみんなにわかるようにしてね。
- セキュリティに気をつかってね。
- 技術的にできれば、生成物がAIで作られたものであること、どうやって作られたものかを使う人にわかるようにしてね。
- 開発する時は、精度向上よりもリスク軽減のほうを優先してね。
- グローバルで大きい課題に対してのAIシステム開発を優先してね。
- 国際的な技術基準で開発してね。
- 学習データの品質と透明性に気をつけてね。
エンジニアが知っておくべきポイント
- 開発者に対する規範のためアメリカのAI RMFと同様にイメージしやすいものになりそうな一方で、まだ策定中であり、具体的な部分が少ないため、こちらも動向を追う程度で問題ない印象です。
- ただしEUや中国と比較すると、日本の開発基準はかなり緩い印象で、上記規範のみで開発を行うとサービスを海外展開できないリスクがある印象です。
まとめ
今回は、どのような法規制・ガイドラインがあるかのご紹介とエンジニアが知っておくべきポイントをご紹介しました。
伝えたいメッセージをまとめると以下です。
- 各国のAI関連法規制・ガイドラインは開発者向けにかかれているものも多いため、エンジニアも知っておくべき
- 国によらず全体的にふわっとしている部分がまだ多いため、どういう方針で検討がなされているかを知っておくだけでも良い(今回の記事はこの何があるかだけ知っておこうという観点でのご紹介です。)
具体的な部分については語ることができなかったため、引き続き調査しまた別の機会にてご紹介させていただこうと思います。
最後まで読んで頂きありがとうございました!
質問・感想等、コメント欄へご投稿をいただけると幸いです!
参考・引用
EETimes:乗り遅れた日本、生成AIを巡る日米欧中の規制動向
KPMG:各国の規制まとめ
総務省:EUのAI規制法
GVA:【弁護士解説】日本の企業も知っておきたい…!EUのAI規制法案の概要について
総務省:米国の AI権利章典(AI Bill of Rights)について
ニュース:米国の大統領令の発動
企業法務ナビ:中国の規制法
PwC:NIST「AIリスクマネジメントフレームワーク(AI RMF)」の解説
ニュートンコンサルティング:AI Risk Management Framework (AIリスクマネジメントフレームワーク、AI RMF 1.0)
NIST:NIST AI RMF Playbook
NIST:AI RMF
文化庁:高度な AI システムを開発する組織向けの広島プロセス国際指針