Alerts Byteサイズの正義:コロラドの新しいAI法案はアルゴリズムによる差別(Algorithmic Discrimination)への対処を目指す – Byte-sized Justice: Colorado’s New AI Bill Seeks to Address Algorithmic Discrimination

2024年06月06日

Written by John M. BrigaglianoJon Neiditz and Meghan K. Farmer with contributions from Summer Associate Carter Christopher   (和訳:穐場 仁)

一般的な背景

2024年5月17日、コロラド州のJared Polis知事は、コロラド人工知能(AI)法(CAIA)を制定した。この法律は、米国初の重要なAI安全法制で、まずバイアスに焦点を当てた最初のフレームワークとして、CAIAのスポンサーが「chassis」と呼ぶ重要なマイルストーンとなった。CAIAはリスクの高いAIシステムを定義し、そのようなシステムのデベロッパー(developer)とデプロイヤー(deployers)双方の義務を明確にしている。デベロッパーは、アルゴリズムによる差別を防ぐためにデューデリジェンスを実施し、デプロイヤー(およびコロラド州司法長官(Colorado Attorney General))に包括的な文書を提供しなければならない。デプロイヤーは、リスク・マネージメント・ポリシーの確立と年次影響評価の実施を主に担当する。排他的執行権は司法長官にあり、消費者はAIの事前使用通知や一部の意思決定からオプトアウトできる権利(重要な例外を除く)を付与される。

営業秘密の保護や特定の基準を満たす中小企業、保険会社、消費者金融機関に対する適用除外など、抗弁や例外についても概説されている。これらの例外は、リスクの高いAIシステムや差別に関するリスクに焦点をあてていることと相まって、この法律がAIを包括的に規制するものではないことを物語っている(一部法律系メディアではそのように書かれているかもしれないが)。しかし、差別への焦点は「chassis」戦略の一部とみなすことができ、拡張を許容し、ハイリスクのシステムに焦点をあてることは適切な規制の優先させる一方で、イノベーションを促進する信用度を高める方法なのかもしれない

ハイリスクAIシステムとは何か?

ハイリスクAIシステムとは、「展開された時に、結果的に重大な決定(consequential decision)を下す、または重大な決定を下す際の実質的な要因となるあらゆる人工知能システム」である。1 重大な決定とは、「(a)教育就学または教育機会、(b)雇用または雇用機会、(c)金融または融資サービス、(d)必要不可欠な政府サービス、(e)ヘルスケア・サービス、(f)住宅、(g)保険、または (h)法的サービス」に法的または重要な影響を及ぼす決定である。2

デベロッパー(Developers)にはどのような義務が負うのか?

CAIAの下では、デベロッパーとデプロイヤーには、それぞれ異なる要件がある。法律で定義されるデベロッパーとは、コロラド州内で活動する、人工知能システムを作成または変更する個人または事業体である。

デベロッパーの義務は以下のように要約される:

  • 意図された、または契約された使用によるアルゴリズム差別の既知または予見可能なリスクから消費者を保護するためにデューデリジェンスを行使する
  • システムの用途、リスク、データ、バイアス、意図、緩和プロトコル、およびその他の詳細に関する情報を開示する
  • デベロッパー向けハイリスクのAIシステムの詳細が記載した公開文書を準備する
  • アルゴリズムによる差別を発見した場合、速やかに司法長官(AG)に通知すること

デプロイヤー(Deployers)にはどのような義務があるか?

コロラド州の住民と接する事業体として、デプロイヤーはCAIAの下、デベロッパーと比較してより大きな責任を負う。本法律で定義されるデプロイヤーとは、コロラド州内でハイリスク人工知能システムの運用を開始する個人または事業体を指す。

デプロイヤーの義務には以下が含まれる:

  • アルゴリズムによる差別の既知または合理的に予見可能なリスクから消費者を保護すること
  • アルゴリズムによる差別を特定し、緩和するための手順と担当者について説明する堅牢なリスク・マネージメント・ポリシーを確立すること
  • システムの目的、意図された使用、差別のリスク、緩和戦略、およびその他の関連する責任に関する詳細を提供する年次影響評価を実施すること
  • 消費者に、AIの使用、意思決定プロセス、およびオプトアウトのオプションを開示した事前展開使用説明書を発行すること
  • アルゴリズムによる差別を発見した場合、速やかに司法長官(AG)に通知すること。

業界とデータ固有の考慮事項

i. 金融機関

融資、保険、およびヘルスケアに関連する差別を規制しているにもかかわらず、本法律はかかるサービスを提供する多くの機関も適用外としている。CAIAは、Gramm-Leach-Bliley Act’s (GLBA) のプライバシー・ルール(一般的に消費者個人情報保護法に見られるような)の対象となるデータや企業に対する広範な免責を欠いているが、それでもCAIAは、CAIAよりも同等またはそれ以上に厳格な規制監督を受け、アルゴリズムによる差別の緩和を必要とする銀行および信用組合を除外している。

ii. ヘルスケア及び保険の免責条項

消費者金融におけるこれらの重要な免責条項とは反対に、法律のHIPAA「免責条項」は、リスクの高くないヘルスケアの意思決定のみ免責することで(法律が規制するのはハイリスクAIシステムのみ)、事実上無意味になるように交渉されたように見える。コロラド州Section 10-3-1104.9のアルゴリズム及び予測差別規制の対象となる保険会社も、同様にこの法律の除外対象となる。

iii. FCRAの適用

Colorado Privacy Act(CPA)によると、米公正信用報告法(Fair Credit Reporting Act, FCRA)の対象となるデータは、本法の適用範囲から除外されている(休眠通商条項の争いを回避できる可能性が高い)。この点において、CAIAはCPAと異なる。そのため、対象となる全てのユース・ケースにFCRAがベースとなるため、CPAの下では多くの企業が「プロファイリング(profiling)」をオプトアウトする権利を提供することを避けていたが、CAIAの下ではそのようなコンプライアンス回避の根拠は利用できなくなる。

iv. 広告の掲載

この新法は、住宅やヘルスケアといったサービスの広告を表示することが、法律の範囲で結果的に重大な決定(consequential decision)にカウントされるかどうかという興味深い問題を生み出している。ヘルスケアや融資のためにターゲット・オンライン・オファー(アド・テック・エコシステム内においてAIシステムによって形成される)が、差別的な方法で配信されないように、法律は十分に拡張される可能性があるのだろうか?規制当局がこの問題をどのように解釈するのかは定かではないが、新法の潜在的なコンプライアンス上の課題に対処する際には、この問題を検討する価値がある。更に、オンライン広告の差別的な配信に対抗することは、プライバシーと安全性の間の大きなトレードオフをもたらす可能性がある(つまり、差別的行為に対抗するためにユーザーの属性を推測する)。

執行および規則制定権限

Colorado Artificial Intelligence Accountability Act (CAIA)の下では、執行は司法長官(Attorney General)の権限に属し、排他的な権限を有する。司法長官はまた、本法の実施と執行を目的とした規則を公布する権限も与えられている。これらの規則には、情報開示、リスク・マネージメント・ポリシーに関する義務、影響評価に関する規定、反証可能な推定の基準、積極的抗弁の規定など、さまざまな側面を包含している。本法に違反した場合、違反した消費者関係または取引ごとに最高2万ドルの罰金が科せられる。

抗弁

CAIAはまた、抗弁とセーフハーバー(safe harbors)を提供している。関連法案の規定を遵守する者は、合理的な注意(reasonable care)を払っていたとの反証可能な推定を得ることが出来る。さらに、デベロッパーまたはデプロイヤー)がNIST人工知能リスク・マネージメント・フレームワーク(NIST Artificial Intelligence Risk Management Framework)に従って社内で違反を特定し是正した場合、積極的抗弁(affirmative defense)が可能である。これらの措置は、AIの開発と展開に関わる利害関係者にガイダンスと保護を提供し、説明責任と確立された基準の遵守を促進することを目的としている。

一般的な免責条項

CAIAは、アルゴリズムによる差別にほぼ排他的に焦点を当てた狭い法案であるが、本法の範囲と適用可能性をさらに狭める免責を設けている。最大の免責の1つは、営業秘密の開示である。営業秘密が連邦法によって開示から保護されている場合、本法を遵守するために開示する義務はない。3 CAIAはまた、AIの使用に適用される類似の、またはより厳格な規制制度の対象であり、システムの定期的な監査を必要とする銀行と信用組合も免除している。

一部の中小規模企業も、デプロイヤーの責任から免除される。デプロイヤーのフルタイム従業員が50人未満で、自社のデータでハイリスクAIシステムをトレーニングせず、ハイリスクAIシステムの使用を事前に開示されたものに限定し、デベロッパーが消費者への影響評価を提供する場合、デプロイヤーはリスク・マネージメント・プログラム、評価、および通知を省略することができる。

消費者の権利

コロラド州法では、私的な法的措置は認められていないが、リスクの高い決定に異議を唱えるなど、消費者に特定の権利を認めている。AIシステムが結果的に重大な決定(consequential decision)に使用される前に、消費者は使用前通知を受けなければならない。また、AIシステムが消費者と対話することを意図している場合は、消費者に通知しなければならない。さらに、はるかに狭いColorado Privacy Actの下では、自動化された決定におけるプロファイリングのオプトアウトを選択することができる。

さらに、消費者は不利な結果的に重大な決定に直面した場合、執行可能な権利を有する。消費者は、意思決定の背後にある主な理由、AIシステムの貢献度、使用されたデータ、そしてその出典につき詳細に説明を受ける権利を有する。さらに、消費者はAIシステムによって利用された個人データの不正確さを訂正する権利を有し、(一部の例外を除き)人間によるレビューを求めることができる。

ユタ州との比較

ユタ州では最近、AI Lawとして知られる S.B. 149が制定され、これは、生成AIを利用して消費者と関わる企業や個人は、米消費者保護部(Division of Consumer Protection)によって監督される商業活動に関し生成AIの使用を開示することが義務付けられた。この開示は、目立つように表示され、目につきやすいものでなければならない。ただし、これは、消費者が人間と対話するのかAIと対話するのかを明示的に尋ねた場合にのみ必要とされる。さらに、本法は、規制された職業は、特定の要求がなくても、同じコミュニケーション媒体を通じて、生成AIとのやり取りを個人に知らせなければならないと規定している。

対照的に、コロラド州の最近の法律は異なるアプローチをとっており、AIが消費者と直接関与することよりも、結果的に重大な決定(consequential decisions)を下す際の役割に焦点を置いている。とはいえ、コロラド州も同様に、消費者と直接対話するAIシステムの開示を義務付けている。

結論

コロラド州の最新の法律は、人工知能の規制に関する国の立法的なランドスケープにおいて大きな前進を意味する。こうした新たな法律は、消費者、企業、業界の行動を統制し、責任あるAIの活用を促進することを目的としている。AI関連法を制定したのはわずか5州だが、他の7州は立法過程に積極的に関与しているか、同様の法案を可決しようとしている。コロラド州の主導的な立場を取る姿勢は、この領域におけるパイオニア的州として位置づけられ、全州規模でのAI規制の進化するダイナミクスを反映している。

AIの法規制がますます関連性を持ち始める中、企業はAIシステムの実装に積極的に取り組む必要がある。企業は、法規制の動向傾向を理解し、業界のベストプラクティスを常に把握し、コンプライアンスを確保する必要がある。企業はまた、新法が特定の業務や業界に与える影響を理解するために、自社のAI技術、アプリケーション、使用状況を内部調査する必要もある。雇用主は、自社のシステムと法令遵守の間にあるリスクやギャップを特定すべきである。企業は、AIの利点を最大限に生かしつつ、コンプライアンスを確保するストラテジーを実践すべきである。

Click here for the Original English version.

 

Footnotes
1 6-1-1701(9)(a)
2 6-1-1701 (3)(a)-(h)
3 6-1-1703 (8)