Alerts 人工知能に関する米大統領令(Executive Order)はアンクル・サム(米政府)だけのものではない:大統領令の主要な要素と民間セクターへの潜在的な影響 – The U.S. Executive Order on Artificial Intelligence Is Not Only for Uncle Sam: Key Components of the Executive Order and Potential Impact on the Private Sector

2023年11月07日

Written by Alexander J. BorovskyJoshua S. Ganz and Meghan K. Farmer  (和訳:穐場 仁)

2023年10月30日、バイデン-ハリス政権は、人工知能(AI)に関するアメリカのリーダーシップとガバナンスを推進するための、「人工知能の安全、安心かつ信頼できる開発と使用に関する大統領令(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, EO)を発表した。1 一方で、公聴会や米国の立法者による法案提出にもかかわらず、議会(Congress)は包括的なAI法制化について大きな進展を遂げていない。連邦政府によるAI法制化が進んでいない状況を踏まえると、EOは間違いなく米国のAI規制に関する最大の進展である。

EOは、関連するリスクを軽減しつつ、米国政府がAIの大きな利点を活用できるようにすることを意図している。そのため、EOは主に米連邦機関に対して義務を課しており、その概要はKTS Legal Alertの第1部に要約されている。しかし、本Legal Alertの第2部で議論されるように、EOは民間セクターによるAIの創造と利用に大きな影響を及ぼす可能性が非常に高く、EOには様々な米連邦機関から今後出されるであろうガイダンスのための貴重な要点とロードマップを含んでいる。

a) 米大統領令(EO)8原則と関連する米連邦機関の具体的な義務

EOのセクション2では、AIの開発と利用に関する8原則が定められている。これら8原則に関連する米連邦機関の具体的な責務は、EOのセクション4から11で述べられている。8原則のハイレベルな概要と、それに関連する米連邦機関の主な責務は以下の通りである:

1.AIが安全、安心であることを確保すること。そのために、AIに関連するリスクを軽減し対処するためのAIシステムのテストと評価が必要である。この原則を推進するために、EOセクション 4.1(a) では、米商務長官(Secretary of Commerce)に、米国立標準技術研究所(National Institute of Standards and Technology, “NIST”)長官を通じて、安全、安心かつ信頼できるAIシステムの業界標準のコンセンサスを促進するためのガイドラインとベスト・プラクティスを確立し、AI開発者がAIシステムの欠陥と脆弱性を発見するためのテストを実施できるようにするためのセーフガードを確立することを課している。一方、EOセクション4.5(c)では、アメリカ人にコンテンツが本物であるかどうか判断できるようにするため、AIが生成したコンテンツにラベル付け(「透かし」など)を行い、各省庁にガイダンスを発行するよう米商務長官(Secretary of Commerce)に求めている。

2.責任あるイノベーション、競争、協力を推進する。そのために、AIへの投資を必要とすると同時に、知的財産に関する問題を追跡し、AIのための公正で、オープンで競争力のあるエコシステムと市場を促進する。この原則の知的財産の要素を更に推進するために、EOセクション5.2(c) に基づき、米商務省知的財産担当次官(Under Secretary of Commerce for Intellectual Property)と米特許商標庁(United States Patent and Trademark Office, USPTO)長官は、USPTOの特許審査官と出願人対し、発明者の地位(inventorship)とAIの使用、およびAIと知的財産の交差する点に関する他の考慮事項を扱うためのガイドラインを発行する任務を負っている。

3.アメリカの労働者を支援する。そのために、労働者の生活を向上させるとともに、AIが、権利を損ない、仕事の質を悪化させ、過度な労働者監視を助長し、市場競争を低下させ、新たな健康安全リスクを導入し、または有害な労働力の混乱を引き起こすような方法で、職場に導入されることを防止することが必要である。EOのセクション6(b)に基づき、米労働省長官(Secretary of Labor)が、従業員の福祉に及ぼすAIの潜在的な害を軽減し、その潜在的な利益を最大化するために使用され得る雇用者のための原則とベスト・プラクティスを開発し公表する責務を負っている。そしてこれには、雇用主がAIに関して取るべき具体的なステップが含まれている。

4.公平と公民権の向上に合致したAIポリシーを実施する。これには、既存の連邦法を遵守し、堅固な技術評価、注意深い監督、影響を受けるコミュニティとの関与、および規制の推進が含まれいる。EOのセクション7.1では、米司法長官(Attorney General)に対して、AIに関連する公民権と市民の自由の侵害および差別に対処するため、既存の連邦法の実施と執行において、各省庁と調整し支援を行うように求めている。

5.AI及びAI対応製品を使用、対話、または購入するアメリカ人の利益を保護する。これには、既存の消費者保護法と原則の執行を奨励し、AIによる詐欺、意図しない偏見、差別、プライバシーの侵害、およびAIから生じる他の被害に対する適切な保護措置を制定することが含まれる。EOのセクション8(a)は、AIから生じる可能性のある消費者リスクに対処する独立規制機関を奨励し、一方でEOのセクション8(b) – (e)で、医療、公衆衛生、福祉、交通、教育、通信セクターにおける米連邦機関に対する具体的な行動を規定している。

6.データの収集、使用、保持が合法で安全であり、プライバシーと機密保持のリスクが軽減することを保証することにより、アメリカ人のプライバシーと市民の自由を保護する。EOのセクション9(a)では、米行政管理予算局長官(Director of Office of Management and Budget)に対して、以下を要求している。(i) 政府機関が、第三者から調達した個人を特定可能な情報を含む商用的に利用可能な情報を特定すること、および (ii) そのような情報の収集と処理に関するプライバシーと機密保持のリスクを軽減することを目的とした基準と手順の確立、を求めている。EOのセクション9(b)では、商務長官(Secretary of Commerce)に対して、AIを含む「差分プライバシー保証(differential-privacy-guarantee)」の保護の有効性を評価するためのガイドラインを各省庁が作成することを求めている(以下で詳しく説明)。最後に、EOのセクション9(c)は、米政府による「プライバシー強化技術(privacy-enhancing technologies)」または「PETs」の研究、開発、および実装に焦点を当てている。なお、PETsはAIに関連して、「…データ処理から生じるプライバシーリスクを軽減するためのソフトウェアまたはハードウェアソリューション、技術プロセス、技術、またはその他の技術的手段…」と定義されている。

7.AIのリスクを管理し、米連邦政府によるAIの効果的な使用を確保すること。これには、公共サービス指向のAI専門家を通じて、および政府の労働力のための訓練を確保することが含まれる。EOのセクション10.1(a) では、米行政管理予算局長官(Director of Office of Management and Budget)に、各省庁のプログラム及び運用におけるAIの開発と利用を調整するために省庁間カウンセルを招集し議長を務めることを求めている。

8.国際的な同盟国とパートナーと協力してAIの枠組みを構築し、他国とともに責任あるAIの安全で安心原則を推進することにより、グローバルな社会、経済、技術の進歩を主導する。EOのセクション11(ii)では、国務長官(Secretary of State)が、AIのリスクを管理し、利益を活用するための共通の原則とともに、強力な国際的なフレームワークを確立する努力を主導するように求めている。

b) 米大統領令(EO)の民間セクターへの適用可能性とAIガバナンスへの実践的提案

米大統領令(EO)は主に米連邦機関とその規制制定権に向けられたものだが、民間セクターの組織にも要件を課すことができる。EOのセクション4.2(a)は、商務長官(Secretary of Commerce)に対し、潜在的な「デュアル-ユース基盤モデル(dual-use foundation model)」2を開発する意図を持つ企業に対し、米連邦政府への継続的な報告を求めるとともに、企業または個人に対し、潜在的な「大規模コンピューティング・クラスタ(large-scale computing cluster)」3の取得、開発、保有について報告を義務付けている。さらに、セクション4.2(c)(i)は、商務長官(Secretary of Commerce)に対して、悪意のあるサイバー対応活動に使用される可能性のある存在的な能力を持つ大規模AIモデルを保持するために、外国人が該当プロバイダーと取引を行う場合、サービスプロバイダーとしての米インフラストラクチャー(United States Infrastructure)に報告要件を実施することを求めている。

重要なことは、EOに基づいて発行されるガイダンスは、AIサービスの創出、利用、展開、およびAIに関連するリスクの軽減に関して、民間セクターのベスト・プラクティスを強く示唆することである。多くの企業に広く適用されると思われる主な重点分野には、以下が含まれる:

1.米国立標準技術研究所(NIST)ガイドラインとベスト・プラクティス。前述したように、NISTは安全、安心かつ信頼できるAIシステムの展開するためのガイドラインとベスト・プラクティスを開発し、EOの日付から270日以内に、既存のNIST AIリスク・マネージメント・フレームワーク(NIST AI Risk Management Framework) のコンパニオン・リソース(companion resource)を開発する責務を負う。そのため、今後のガイドラインとベスト・プラクティスを待つ間、組織は、現行AIリスク・マネージメント・フレームワーク(NIST AI Risk Management Framework)に対して、既存のAIリスク・マネージメント・フレームワークを評価することを検討すると良いだろう。これは、追加のガイダンスが提供されるまでの間、組織がAIリスク・マネージメント・プログラムのベースラインを策定する際に役立つだろう。

2.従業員と社内AI利用に関する原則とベスト・プラクティス。上記で述べたように、米労働長官(Secretary of Labor)が公表する原則とベスト・プラクティスは、EOの日付から180日以内に公表される予定である。これらの原則とベスト・プラクティスは、従業員や組織内部でAIを活用できるか、またどのように活用するのがベストなのかを、組織に示す可能性がある。一方、以前の記事articleで一部取り上げたように、組織は引き続きAIツールを慎重に選択し、AIツールを取り巻く内部ガバナンスを導入すべきである。現実的には、企業は、AIの社内利用、セーフガード、監督を規定する内部AIポリシーを策定し、義務化されたルール作りの進展に合わせてポリシーを改良するべきである。

3.データ・プライバシーとセキュリティ・ガイダンスがまもなく発表される。組織のデータ・プライバシー及びセキュリティ・プログラムを主導または支援する立場にある者は、前述のEOのセクション9(b)のもとの「差分プライバシー保証(differential-privacy-guarantee)」保護の有効性を評価する商務長官(Secretary of Commerce)のガイドラインを確認したいと思うであろう。このガイドラインは、EOの日から365日以内に確定される予定である。EOのセクション3(j)では、「差分プライバシー保証(differential-privacy guarantee)」を、「…特定の団体に関する個人情報への不適切なアクセス、使用、または開示を証明可能に制限しながら、グループに関する情報を共有することを可能にする保護」と定義している。少なくとも、今後発行されるガイドラインには、差分プライバシー・セーフガードに関連する重要な要素と、差分プライバシー・プラクティスを実現するための一般的なリスクについての記述が含まれていなければならない。これらのガイドラインはAIに関して役立つだけでなく、一般的に組織のデータ・プライバシーとセキュリティ・プログラムを改良するためにも役立つ可能性がある。

4.その他のAIガバナンスに関する考慮事項。最後に、EOの主な適用対象が米政府であることを考慮すると、民間セクターを対象とした包括的な米連邦AI法を制定するために、議会の行動が必要である可能性が高いことに留意することが重要である。米国データ・プライバシー法と同様に、米連邦AI法がない場合、米国は州レベルでのAI法のパッチワークに終わる可能性がある。AI法のさらなる進展を待つ一方で、AI製品を使用し提供している組織は、AIの影響に対処するための行動を取るべきである。何を優先し、どのように使用すれば効果的かについては、組織がAIをどのように使用し、あるいはAI製品をどのように提供するかによって異なる可能性がある。例えば、組織の第三者ベンダーがAIを活用して製品を提供したり、組織のためにサービスを提供したり(例えば、マーケティング代理店が、AIを活用してマーケティング資料を作成している場合)、そうしたベンダーとの契約にはAI関連の条項を含める必要がある。もし、組織がAIを活用した製品やサービスを提供している場合、顧客契約や条項には、その製品を提供する際のリスクを軽減する主要な条項を含めるべきである(例えば、AIが生成するアウトプットに関する保証の放棄など)。さらに、消費者保護法とデータ・プライバシー法の下で、AIに適用される既存の原則を考慮することが重要である。例えば、AIの実践に関して消費者に適切な透明性を提供し、AI製品の開発における合法的かつ責任あるデータ収集の実務などが含まれる。

Click here for the Original English version.

 

Footnotes

1 米大統領令(EO)のセクション3(b)において、「人工知能」または「AI」は、「人間が定義した一連の目的に対して、予測、推奨、または現実または仮想環境に影響を与える決定を行うことができる機械ベースのシステム」と広く定義されている。これにより、EOは幅広いAIシステムに適用できる。
2 EOのセクション3(k)に基づき、「デュアル-ユース基盤モデル(dual-use foundation model)」とは、「…広範なデータで学習され、」を意味する: (i) 化学・生物・放射性・核(CBRN)兵器を設計、合成、入手、使用するための、非専門家の参入障壁を実質的に低下させること、(ii) 広範なサイバー攻撃の潜在的標的に対する自動化された脆弱性の発見と悪用を通じて、強力な攻撃的サイバー作戦を可能にすること、(iii) 欺瞞や難読化の手段を通じて、人間の制御や監視の回避を可能にすること、などである」。EOは定義の中で、AIモデルが、ユーザーが関連する安全でない機能を利用することを防止しようとする技術的な保護措置を伴って、エンド・ユーザーに提供される場合であってもこの定義に合致すると明確に定義している。
3 「大規模コンピューティング・クラスタ(large-scale computing cluster)」は、EOの下では定義されていない。しかし、EOのセクション4.2(b)では、「デュアル-ユース基盤モデル(dual-use foundation model)」および「大規模コンピューティング・クラスタ(large-scale computing cluster)」の技術的条件が、近日中に提示されることが明らかになっている。しかし、EOのセクション4.2(b)では、そのような技術的条件が定義されるまでは、商務長官(Secretary of Commerce)は、以下の報告要件の遵守を要求しなければいけないことも明確にしている:(i) 1026の整数演算または浮動小数点演算を超える計算能力を用いて学習されたモデル、または主に生物学的配列データを使用し、1023の整数演算または浮動小数点演算を超える計算能力を用いて学習されたモデル;および(ii) 単一のデータセンターに物理的に同居するマシンのセットを有し、100 Gbit/s以上のデータ・センター・ネットワーキングによって推移的に接続され、AIの学習用に毎秒1020の整数演算または浮動小数点演算を行う理論上の最大計算能力を有するコンピュータ・クラスターである。