ガートナージャパン(Gartner)は、世界で進行するAI規制を踏まえ、日本企業に対し「企業は責任あるAIの使用に向けて今すぐ準備を開始すべき」と提言した。
GartnerはAIのリスクに対する必要な取り組みを「AIのトラスト/リスク/セキュリティマネジメント」(AI Trust, Risk and Security Management:AI TRiSM)と定義し、整理している。企業はそうした定義に基づいた実践的な取り組みを進め、リスクを軽減させる努力を継続していく必要があるという。
GartnerはAI TRiSMにおけるリスク要因を挙げている。それらは、「ほとんどの人は、AIモデルのマネージャー/ユーザー/消費者に対して、AIとは何か、AIが何をするのかを説明できない」「ChatGPTといった生成AIツールに誰でもアクセスできる」「サードパーティのAIツールがデータの機密性に関するリスクをもたらす」「AIモデル/アプリケーションを常にモニタリングする必要がある」「AIへの敵対的な攻撃を検知して阻止するには、新たな手法が必要である」「コンプライアンスの統制について、間もなく規則で定義されるようになる」の6つとなっている。
欧州連合(EU)の立法機関である欧州議会は3月13日、世界初となる包括的なAI規制法案を可決した。Gartnerによると、EUのAI規制法は今後、他の国々の規範となって広がる可能性があるという。これはEUの一般データ保護規則(GDPR)がプライバシー関連規制における世界のデファクトスタンダードのようになった経緯と同様だという。
世界各国のAI関連規制(EU、米国、日本、中国のAI関連規制の動向を時系列で示している)出典:Gartner(2024年4月)
EU以外にも各地域・国でAIの規制の動きが急ピッチで進行しており、米国においては2023年10月30日、AIの安全性確保に向けた大統領令が発令され、議会ではAI規制に関する法案作りが進められている。さらに中国においても、アルゴリズムの透明性の確保やAI倫理の側面から規制が行われている。
一方日本では、4月19日に経済産業省と総務省から「AI事業者ガイドライン(第1.0版)」が公表された。しかしこれには法的強制力はなく、対応については各事業者が自主的に取り組みを推進するしかない。
Gartnerでは、EUのAI規制法などが、許容できないリスクのAIは禁止し、高リスクのAIにはその要件や義務を定めていることを挙げ、責任ある企業として利用するAIについて説明責任が求められるとしている。現時点では高リスクのAIの開発や使用をしていない日本企業も多く、その場合法的対応の厳密性が問われることはないが、ネガティブインパクトを与える可能性がある場合には、典型的なAI原則に沿うべきだという。
さらにGartnerは、GDPRに対応してきた欧米の組織と比べると、日本の組織はそれに関連したコンプライアンス対応の成熟度が総じて低いとしている。そのため日本企業は基礎を築くところから取り組みを開始する必要があるという。
例えばEUのAI規制法では、さまざまな議論を経て、特定のAIシステムとして、チャットボットや音声・画像・映像・テキストコンテンツ生成の汎用目的のAIを挙げ、透明性要件を課すなどして議論の結果を反映させている。
こうした動きの対応についてGartnerは、AI関連のルール策定では「テクノロジーが先、法律は後追い」になるため、日本企業も、法律中心ではなく「人中心」に考える必要があるとしている。
