企業が EU のAI規制法を遵守するにはどうすればよいか

By 清水 孝郎 - APRIL 30, 2024

SHARE:

本文の内容は、2024年4月30日に NIGEL DOUGLAS が投稿したブログ(https://sysdig.com/blog/how-businesses-can-comply-with-the-eus-artificial-intelligence-act/)を元に日本語に翻訳・再構成した内容となっております。

2024 年 3 月 13 日、欧州議会はAI規制法を可決するという重要な節目を迎え、AI に特化した世界初の包括的な法規制の前例となりました。 

データ品質、透明性、人間による監視、説明責任に関する EU 全体の規制を含む AI規制法では、領域外への重大な影響を伴う厳しい要件が導入されており、最大3,500 万ユーロまたは世界の年間収益の 7% のいずれか大きい方の罰金が課せられる可能性があります。この画期的な法律は、EU 市場に携わる膨大な数の企業に影響を与える構えです。欧州議会によって採択された AI規制法の公式文書は、ここで見つけることができます。

2021 年 4 月の欧州委員会による提案に端を発し、AI規制法は広範な交渉を経て、2023 年 12 月に政治的合意に達しました。詳細については、こちらをご覧ください。 AI規制法は欧州議会の承認を待って施行可能となりつつあり、組織がその規定に従うための重要な準備段階を開始しています。

リスクベースの報告

AI規制法は、リスクベースの規制アプローチを強調しており、AI システムプロバイダー、輸入業者、流通業者、導入業者を含む幅広い組織を対象としています。 AI アプリケーションは、厳格なコンプライアンスを要求する許容できない高リスクのカテゴリから、制約が少ない限定的で最小限のリスクのアプリケーションまで、もたらすリスクのレベルによって区別されます。 

EU の AI規制法の Web サイトには、ユーザーが自社の AI システムが新しい規制要件の対象となるかどうかを判断できるように設計された対話型ツールであるEU AI Act Compliance Checker が用意されています。ただし、EU AI 法はまだ交渉中であるため、このツールは現時点では、今後の法律に基づく潜在的な法的義務を見積もるための予備ガイドとしてのみ機能します。

一方、企業は潜在的な脆弱性を備えた AI ワークロードをクラウドネイティブ環境に導入するケースが増えており、敵からの攻撃にさらされています。ここで、「AI ワークロード」とは、よく知られた AI ソフトウェア パッケージのいずれかを含むコンテナ化されたアプリケーションを指しますが、これらに限定されません。

“transformers”

“tensorflow”

“NLTK”

“spaCy”

“OpenAI”

“keras”

“langchain”

“anthropic”

リスクの分類を理解する

AI規制法のアプローチの鍵となるのは、リスクカテゴリーに基づくAIシステムの区別であり、基本的人権やプライバシー権への脅威に基づいて容認できないとみなされるAI慣行に対する具体的な禁止事項を導入しています。特に、リスクの高いAIシステムは、安全性、正確性、サイバーセキュリティの確保を目的とした包括的な要件の対象となります。同法はまた、ジェネレーティブAIの新興分野にも対応し、リスクと影響に基づく汎用AIモデルのカテゴリーを導入しています。

汎用 AI システムは多用途であり、複数の分野にわたって幅広いタスクを実行できるように設計されており、多くの場合最小限の調整や微調整が必​​要です。利用可能な計算リソースとユーザーが開発した革新的なアプリケーションの増加により、その商業的有用性は高まっています。その蔓延にもかかわらず、これらのシステムが機密性の高いビジネス情報にアクセスすることを防ぐ規制はほとんどなく、GDPR などの確立されたデータ保護法に違反する可能性があります。

ありがたいことに、この先駆的な法律は単独で存在するのではなく、GDPReプライバシー指令などのデータ保護とプライバシーに関する既存の EU 法と連携して機能します。 AI規制法の制定は、欧州国民の信頼を育み基本的権利を保護しながら、AIのイノベーションと技術進歩を促進するバランスの取れた法律の確立に向けた重要な一歩となります。

GenAIの導入がサイバーセキュリティの機会を創出

組織、特にサイバーセキュリティ チームにとって、AI 法の遵守には、単なるコンプライアンス以上のものが含まれます。それは、透明性、責任、継続的なリスク評価の文化を受け入れることです。この新しい法的状況に効果的に対処するために、組織は AI システムの徹底的な監査の実施、AI リテラシーと倫理的な AI 実践への投資、AI リスクを積極的に管理するための堅牢なガバナンス フレームワークの確立を検討する必要があります。 

Gartnerによると、” Microsoft Security Copilot、Sysdig Sage、およびCrowdStrike Charlotte AIのようなAIアシスタントは、これらのテクノロジーがセキュリティオペレーションの効率を向上させる方法を示しています。セキュリティTSPは、埋め込みAI機能を活用して、差別化された成果とサービスを提供できます。さらに、エンドユーザーとTSPがAIイノベーションを推進するにつれて、GenAIに焦点を当てたセキュリティコンサルティングおよび専門サービスの需要が生じるでしょう。 ” 1とあります。

AIコンプライアンス

まとめ

規制当局と連携し、業界コンソーシアムに参加し、AIセキュリティと倫理のベストプラクティスを遵守することは、組織がAI規制法を遵守するだけでなく、信頼できるAIエコシステムを育成するための重要なステップです。Sysdigは、AIワークロードを保護し、アクティブなAIリスクを軽減するために、組織を支援することをお約束します。2024年5月6日~9日に開催されるRSAカンファレンスでは、リアルタイムAIワークロードセキュリティの戦略を発表し、EU AI規制法のような今後予定されているコンプライアンスフレームワークの遵守に不可欠なAI監査機能に特に焦点を当てます。

  1. Gartner; Quick Answer: How GenAI Adoption Creates Cybersecurity Opportunities; Mark Wah, Lawrence Pingree, Matt Milone; ↩︎