2024年5月17日、コロラド州知事ジャレッド・ポリスはColorado人工知能法（「CAIA」）に署名し、同法は成立しました。CAIAは、幅広いAIシステムを対象とする初の州法であるため、米国のAI規制における重要な節目となります。コネチカット州で提案された同様の法案は成立しませんでしたが、今後も他の州がコロラド州の動きに続き、AIの利用を広く規制していく可能性は高いと考えられます。

CAIAはEU AI Actとどのように比較されるのでしょうか？

CAIAは、3つの点でEU AI Actと類似しています。

第一に、両法における要件の大半は、高リスクAIシステムに関するものです。第二に、ISO/IEC 42001 - AI Management Systemsのような規格に準拠することで、両法への整合性を相当程度示すことができます。第三に、両法とも高リスクシステムに対して影響評価を義務付けています。

一方で、CAIAとEU AI Actの間には少なくとも2つの大きな相違点があります。

第一に、EU AI Actの要件はCAIAよりも踏み込んでいます。CAIAは主としてアルゴリズムによる差別に焦点を当てており、高リスクAIシステムの定義から、いくつかの一般的なAIシステムを除外しています。また、一定の条件を満たす場合、従業員50人未満の導入者については多くの要件が免除されます。

第二に、その大部分の規定は、EU AI Actの大部分よりもはるかに早く施行されます。CAIAは2026年2月1日に施行されるため、企業に残された準拠期間は20か月弱です。これに対し、EU AI Actの高リスクシステムに関する要件が発効するのは、EU官報での公布から24か月後の2026年半ばとなります。

CAIAの対象となるAIシステムはどれですか？

CAIAは、コロラド州で事業を行うAIシステムの開発者または導入者に適用されます。開発者とは、AIシステムを開発する、または意図的かつ実質的に変更する者を指し、導入者とは高リスクAIシステムを導入する者を指します。

CAIAによれば、AIシステムは、導入時に「結果的な意思決定を行う、またはその意思決定において実質的な要因となる」場合、高リスクとされます。結果的な意思決定とは、教育の入学または機会、雇用または雇用機会、金融サービスまたは貸付サービス、不可欠な政府サービス、医療サービス、住宅、保険、または法的サービスについて、いずれの消費者に対する提供または不提供、あるいはその費用または条件に対し、「重大な法的、またはそれに類する重要な影響」を及ぼす意思決定を指します。さらに、一定の種類のAIシステムは高リスク区分から除外されています。

CAIAはどのように執行されるのでしょうか？

‍コロラド州司法長官が、同法の執行および関連する規則やガイダンスの提供について、専属的な権限を有します。CAIAには私人による訴権は認められていません。コロラド州司法長官が執行措置を開始した場合、導入者は、NIST AI Risk Management Framework（「AI RMF」）またはISO/IEC 42001に整合するリスク管理方針およびプログラムを備えていれば、アルゴリズムによる差別から消費者を保護するために合理的な注意を尽くしたという「反証可能な推定」を受けます。さらに、執行措置において、企業は、NISTが定義するフィードバック、敵対的テスト、またはレッドチーミング（これらの用語はNISTによって定義されます）、あるいは社内レビュー・プロセスによりCAIA違反を発見して是正し、かつNIST AI RMFおよびISO/IEC 42001に「その他の点では準拠している」場合、「積極的抗弁」を主張できます。

リスク管理方針およびプログラムの策定方法について詳しく知りたい方は、AIポリシーをどのように作成できるかを解説した無料の包括的ガイドをこちらからご請求ください。

‍

‍

高リスクAIシステムの開発者および導入者には、CAIAに基づき何が求められますか？

CAIAは、開発者および導入者に対し、アルゴリズムによる差別の既知または予見可能なリスクから個人を保護するために「合理的な注意」を払い、自社ウェブサイト上で高リスクAIの利用内容を説明することを求めています。

開発者は、既知または合理的に予見可能なアルゴリズムによる差別のリスクについて、遅滞なく、かつ90日以内に、コロラド州司法長官および把握している導入者に通知しなければなりません。導入者は、システムがアルゴリズムによる差別を引き起こしたことを認識した時点で、遅滞なく、かつ90日以内にコロラド州司法長官に通知しなければなりません。

開発者は、関連文書とともに、「合理的に予見可能な利用方法、および既知の有害または不適切な利用方法を説明する一般的な声明」を提供する必要があります。

導入者は、高リスクAIシステムについて毎年影響評価を実施し、またAIシステムに対する「意図的かつ実質的な変更」から90日以内にこれを実施する必要があります。

‍

‍

導入者は、リスク管理方針およびプログラムを整備し、AIシステムが結果的な意思決定に使用される前に個人へ通知し、不利益な結果的意思決定がどのように行われたかを個人に説明し、当該意思決定に関連する誤った個人情報を訂正する機会を提供し、さらに当該意思決定に対して異議申立てを行う機会を提供しなければなりません。

すべてのAIシステムに「ラベリング」が必要です

CAIAの大半の要件は高リスクAIシステムに関するものですが、ラベリング要件は、個人とやり取りすることを意図したすべてのAIシステムに適用されます。このようなシステムについて、開発者または導入者は、合理的な人にとって明白である場合を除き、個人がAIシステムとやり取りしていることを開示しなければなりません。

Enzaiが支援します

Enzaiの製品は、コロラド州の要件、NIST AI RMF、ISO/IEC 42001、EU AI Act、その他のグローバルな規制および保証の枠組みへの準拠に役立ちます。詳細をご希望の方は、こちらからお問い合わせください。

Enzaiは、業界をリードするエンタープライズAIガバナンス・プラットフォームであり、抽象的なポリシーから運用上の監督へと組織が移行できるよう支援するために設計されています。EnzaiのAIリスク管理プラットフォームは、エージェント型AIガバナンスの管理、包括的なAIインベントリの維持、そしてEU AI Actへの準拠を確実にするために必要な専門的インフラを提供します。複雑なワークフローを自動化することで、Enzaiは企業がグローバル標準であるISO 42001およびNISTとの整合性を維持しながら、自信を持ってAI導入を拡大できるよう支援します。