世界のAI倫理ナビ - AIシステムに対するデューデリジェンス義務：主要国の政策アプローチ比較と政策立案への示唆

AIシステムに対するデューデリジェンス義務：主要国の政策アプローチ比較と政策立案への示唆

Tags: AI倫理, AI政策, デューデリジェンス, リスク管理, EU AI Act, 国際比較

はじめに

AI技術の急速な進化と社会への浸透は、その恩恵を最大化する一方で、新たなリスクや倫理的課題も生じさせています。これに伴い、AIシステムの開発者、提供者、そして利用者（展開者）が、潜在的なリスクを事前に特定、評価、緩和するための「デューデリジェンス（適正評価手続き）」を実施することの重要性が認識されています。

デューデリジェンスは、単に技術的な安全性を確保するだけでなく、プライバシー侵害、差別、透明性の欠如、責任の所在不明確化といった倫理的・社会的な課題に対応するための重要なメカニズムとなり得ます。各国政府は、AIエコシステムにおける信頼と責任を構築するため、このデューデリジェンス義務に関する政策やガイドラインの策定を進めています。

本記事では、主要国におけるAIシステムに対するデューデリジェンスに関する政策アプローチを比較分析し、それぞれの特徴、異同、そして我が国のAI政策立案にどのような示唆が得られるかについて考察します。

AIシステムにおけるデューデリジェンスの概念

一般的に、デューデリジェンスとは、企業活動において対象となる事業や取引に関するリスクや価値を詳細に調査・評価するプロセスを指します。AIシステムの文脈におけるデューデリジェンスは、AIシステムの企画・開発段階から運用・廃棄に至るライフサイクル全体を通じて、そのシステムが引き起こし得る潜在的なリスク（技術的、倫理的、法的、社会的リスクなど）を網羅的に評価し、適切な緩和策を講じる一連の取り組みを指します。

具体的には、以下のような活動が含まれることが想定されます。

リスク評価: AIシステムの目的、適用分野、使用データ、潜在的な影響に基づき、発生しうるリスク（例: バイアス、セキュリティ脆弱性、プライバシー侵害、説明不能性、環境負荷など）を特定し、その可能性と深刻度を評価する。
緩和策の実施: 特定されたリスクを低減するための技術的、組織的措置（例: アルゴリズムの修正、データセットの検証、セキュリティ対策、人間の監督体制の構築、利用者への情報提供など）を講じる。
試験・検証: システムの安全性、セキュリティ、公平性、頑健性などを検証するための試験を実施する。
文書化: リスク評価の結果、講じた緩和策、試験結果、意思決定プロセスなどを詳細に記録する。
監視・レビュー: システムの運用開始後も継続的にパフォーマンスとリスクを監視し、必要に応じてデューデリジェンスプロセスを見直す。
透明性・説明責任: 関係者（利用者、規制当局など）に対して、システムの機能、限界、リスクに関する情報を提供し、問題発生時の責任体制を明確にする。

このデューデリジェンスは、主にAIシステムの「提供者（開発者や販売者）」に求められる側面と、「展開者（実際にサービスや製品に組み込んで利用する事業者）」に求められる側面があります。政策においては、それぞれの立場に応じた義務や推奨事項が定められる傾向にあります。

主要国の政策アプローチ比較

主要国は、AIシステムに対するデューデリジェンスの必要性を認識しつつも、そのアプローチには違いが見られます。

EU（欧州連合）

EUは、AIシステムに対するデューデリジェンス義務に関して、最も包括的で法的拘束力の高い枠組みを提案しています。欧州委員会が提案し、現在法制化が進められている「人工知能に関する調和規則案（通称：AI Act）」は、AIシステムをそのリスクレベルに応じて分類し、特に「高リスクAIシステム」に対して厳格な義務を課しています。

高リスクAIシステムの提供者には、以下のような義務が求められます。

リスク管理システム: システムのライフサイクル全体を通じてリスクを継続的に特定、分析、評価、管理するためのリスク管理システムを確立、実施、文書化する。
データガバナンス: トレーニング、検証、テストに使用されるデータセットが、その目的や文脈に照らして適切で、関連性があり、代表的で、エラーがなく、完全であることを確保する。
文書化と記録: システムの設計、開発、性能に関する技術文書を作成し、自動的に生成されるログを一定期間保持する。
透明性と情報提供: 高リスクAIシステムの機能、特に人間の監督が必要な場合や意図した目的、システムの精度、安全性、リスクに関する情報を利用者（展開者）に提供する。
人間の監督: システムが人間の監督の下で効果的に機能することを可能にする技術的・組織的措置を設計・開発する。
頑健性、安全性、サイバーセキュリティ: 高リスクAIシステムが、その意図された目的に関連する精度、堅牢性、サイバーセキュリティのレベルを達成するように設計・開発する。
品質管理システム: システムの設計、開発、生産、展開、運用、市場投入後の監視を保証するための品質管理システムを確立する。
適合性評価: 市場投入前に、システムがAI Actの要件に適合していることを証明するための適合性評価手続き（第三者機関による評価または自己評価）を受ける。

展開者にも、高リスクAIシステムの指示通りの使用、監視、記録の保持などが義務付けられています。AI Actのアプローチは、リスクに応じた階層的なデューデリジェンス義務を課す点に特徴があります。

米国

米国連邦政府は、特定のAIシステムに対する義務的なデューデリジェンス規制を設けるよりも、各セクターの既存規制や自主的な枠組み、標準化を重視する傾向にあります。

例えば、国立標準技術研究所（NIST）が発行した「AIリスクマネジメントフレームワーク（AI RMF）」は、AIシステムのリスクを管理するための自主的なフレームワークを提供しており、そのプロセスにはリスクの「マップ作成（Mapping）」「測定（Measuring）」「管理（Managing）」「統治（Governing）」といった活動が含まれ、これは実質的にデューデリジェンスの実践を推奨するものです。

また、連邦政府機関によるAI調達においては、特定の倫理的・安全要件を満たすことが求められる場合があります。しかし、EUのAI Actのような、AIシステムの種類に応じた包括的かつ法的拘束力のあるデューデリジェンス義務の枠組みは、現時点では連邦レベルでは存在していません。各州や特定のセクター（例: 医療、金融）においては、関連する法規制やガイダンスが存在する場合もあります。アプローチとしては、イノベーションを阻害しないよう、柔軟な自主規制や標準化を促す側面が強いと言えます。

日本

日本のAI戦略や関連するガイドラインにおいても、AIシステムの開発・利用における責任ある行動やリスク管理の重要性が繰り返し述べられています。例えば、「AI原則」では、安全性、セキュリティ、プライバシー、透明性、説明責任などが重要な要素として挙げられています。

内閣府の「人間中心のAI社会原則」に基づき、政府は様々な分野でAIに関するガイドラインを策定していますが、これらは多くの場合、法的拘束力を持たないソフトローとしての性格が強いです。事業者が自主的にリスクを評価し、適切な対策を講じることの重要性が強調されており、デューデリジェンスという言葉が直接的に用いられるかはさておき、その考え方は各ガイドラインの根底にあります。

具体的な義務化や詳細なデューデリジェンスプロセスに関する法的枠組みは、EUのAI Actと比較すると限定的です。今後、国内外の動向を踏まえ、特定の高リスク分野や特定の主体に対するデューデリジェンス義務の導入が検討される可能性はあります。

英国

英国政府は、AI規制に関してセクター別アプローチを基本とし、既存の規制機関（データ保護、競争、安全衛生など）がそれぞれの管轄領域でAI関連のリスクに対応することを想定しています。包括的な法的義務としてのAIデューデリジェンス義務は、現時点では導入されていません。

しかし、政府はAIの安全に関する研究や国際協力に積極的であり、リスク評価や管理の重要性を認識しています。特定のセクターにおけるAI導入ガイドラインなどでは、デューデリジェンスに相当する活動が推奨されることが考えられます。英国のアプローチは、既存の規制枠組みを活用しつつ、柔軟性とイノベーションの促進を重視する点に特徴があります。

比較分析から得られる示唆

主要国のAIシステムに対するデューデリジェンス政策アプローチを比較すると、以下の点が明らかになります。

法的拘束力の違い: EUは法的拘束力のある包括的な規制による義務化を進める一方、米国や日本、英国はソフトローや自主規制、セクター別アプローチを基本としています。これは、各国の法文化、産業構造、イノベーションに対する考え方の違いを反映していると言えます。
リスクベースアプローチ: 多くの国で、AIシステムのリスクレベルに応じた対応の必要性が認識されています。特にEUのAI Actは、このリスクベースアプローチに基づいて具体的な義務を詳細に定めている点で先進的です。
対象者の範囲: 提供者（開発・販売）と展開者（利用）の双方に責任を求める考え方が共通しています。サプライチェーン全体での責任ある行動を促すためには、両者への適切な義務付けや推奨が必要です。
詳細度の違い: EUのAI Actは、リスク管理システム、データガバナンス、文書化、適合性評価など、デューデリジェンスの各側面について比較的詳細な要件を規定しています。他の国では、より一般的な原則や推奨事項に留まっている場合があります。
イノベーションとのバランス: デューデリジェンス義務の導入は、特に中小企業やスタートアップにとって負担となりうるため、イノベーションを阻害しないよう、その設計には慎重さが求められます。米国や英国の柔軟なアプローチは、この点を考慮していると言えます。

政策立案への示唆

主要国の動向は、我が国のAI政策立案に対していくつかの重要な示唆を与えています。

リスクベースアプローチの導入・強化: AIシステムの多様化に対応するため、リスクレベルに応じた階層的な規制・推奨の枠組みを検討することが有効です。高リスク分野については、より詳細で踏み込んだデューデリジェンス義務の導入を検討する価値があります。
供給側と展開側の責任分担の明確化: AIエコシステム全体での責任を明確にするため、システム提供者だけでなく、それを利用してサービスを提供する事業者にも、その立場に応じた適切なデューデリジェンス義務や推奨事項を定めることが重要です。
実効性確保のためのメカニズム検討: ソフトローによる推奨だけでは不十分な場合、特定の高リスク分野におけるデューデリジェンスの遵守を確保するためのメカニズム（例: 第三者認証、自己適合性宣言、市場監視など）を検討する必要があります。EUの適合性評価の仕組みなどは参考になります。
中小企業への配慮と支援: 過度な規制は、AI開発・利用の裾野を狭める可能性があります。中小企業やスタートアップがデューデリジェンスを適切に実施できるよう、ガイダンスの提供、ツール開発支援、専門人材育成などの支援策を併せて検討することが不可欠です。
国際的な整合性の考慮: AIシステムのグローバルなサプライチェーンやクロスボーダーでの利用を考えると、国際的な主要な枠組み（特にEUのAI Actなど）との整合性を考慮することは、国際競争力維持や貿易円滑化の観点から重要です。
技術進化への対応可能な柔軟な枠組み: AI技術は急速に進化するため、特定の技術やリスクに固定化されない、将来の変化にも対応可能な柔軟なデューデリジェンスの枠組みを設計することが望ましいです。

まとめ

AIシステムに対するデューデリジェンスは、責任あるAIの実現に向けた不可欠な要素です。主要国はそれぞれ異なるアプローチでこの課題に取り組んでおり、EUは法的拘束力のある包括的な義務化を、米国、日本、英国はより柔軟なアプローチを基本としています。

これらの国際的な動向を比較分析することで、我が国のAI政策立案において、リスクベースアプローチの導入、供給側と展開側の責任分担の明確化、実効性確保のためのメカニズム検討、中小企業への配慮、国際的な整合性、そして枠組みの柔軟性といった観点が重要であることが示唆されます。

今後も、AI技術の発展と社会への影響を注視しつつ、国際的な議論や各国の政策実践から学びながら、我が国にとって最適なAIシステムに対するデューデリジェンスに関する政策のあり方を検討していくことが求められます。