2024年5月17日、コロラド州知事ジャレッド・ポリスはコロラド人工知能法 (“CAIA”) を法律として署名しました。CAIAは広範なAIシステムを対象とする初めての州法であるため、米国におけるAI規制の重要な節目です。コネチカット州で提案された類似の法案は法制化されませんでしたが、この動きを追随する州が増える可能性が高いです。

CAIAはEU AI法と比較してどうなのでしょうか？

CAIAはEU AI法と3つの点で類似しています。

第一に、両法の大部分の要件は高リスクAIシステムに関連しています。第二に、ISO/IEC 42001 - AIマネジメントシステムのような標準に準拠することで、両法に一貫していることをかなりの程度で示すことができます。第三に、両法とも高リスクシステムの影響評価を要求しています。

CAIAとEU AI法の間には、少なくとも2つの主要な違いもあります。

まず、EU AI法の要件はCAIAのそれよりも深くなっています。CAIAは主にアルゴリズムによる差別に関心があり、その高リスクAIシステムの定義からいくつかの一般的な種類のAIシステムを除外しています。また、特定の要件を満たす50人未満の従業員を持つ導入者も多くの要件から免除されています。

第二に、その規定の多くはEU AI法のそれよりもずっと早く施行されます。CAIAは2026年2月1日に施行され、企業は20ヶ月弱で遵守する必要があります。対照的に、EU AI法の高リスクシステムに対する要件は、そのEUジャーナルへの公開から24ヶ月後に発効します。

CAIAはどのAIシステムを対象としていますか？

CAIAは、コロラド州で事業を行うAIシステムの開発者または導入者に適用されます。開発者とはAIシステムを開発または意図的かつ大幅に改変する人、導入者とは高リスクAIシステムを導入する人を指します。

CAIAによると、AIシステムが「結果的な決定を行う、またはその決定に大きな影響を与える」とされた場合に高リスクと見なされます。結果的な決定とは、教育の登録または機会、雇用または雇用の機会、金融または貸付サービス、基本的な政府サービス、医療サービス、住宅、保険、または法的サービスの提供または拒否に対して「実質的な法的または同様の重要な効果」を持つ決定を指します。さらに、いくつかの種類のAIシステムは高リスクカテゴリから除外されています。

CAIAはどのように執行されるのでしょうか？

‍コロラド州検事総長が独占的権限を持ち、規則やガイダンスを提供します。CAIAは個別の法的措置を認めていません。もしコロラド州検事総長が執行手続きを開始した場合、導入者はNIST AIリスクマネジメントフレームワーク（“AI RMF”）またはISO/IEC 42001に準拠したリスク管理ポリシーおよびプログラムを有していれば、消費者をアルゴリズムによる差別から保護するために合理的な注意を払ったという「反論可能な推定」が与えられます。また、執行手続きにおいて、NISTによって定義されたフィードバック、対抗試験やレッドチーミング、または内部レビューによってCAIAの違反を発見し修正し、かつ「他の点でも」NIST AI RMFおよびISO/IEC 42001に準拠している場合、会社は「積極的防御」を持ちます。

リスク管理ポリシーとプログラムの作成方法に関する詳細なガイドを無料でご請求ください。AIポリシーの作成をお手伝いしますこちら。

‍

‍

CAIAは高リスクAIシステムの開発者および導入者に何を要求しますか？

CAIAは、開発者および導入者に、既知または予見可能なアルゴリズムによる差別のリスクから個人を保護するために「合理的な注意」を払い、ウェブサイト上で高リスクAIの使用について説明することを要求しています。

開発者は、既知または予見可能なアルゴリズムによる差別のリスクについて、90日以内にコロラド州の検事総長や既知の導入者に遅滞なく通知する必要があります。導入者も、システムがアルゴリズムによる差別を引き起こしたことを知ったら、遅滞なくかつ90日以内にコロラド州の検事総長に通知する必要があります。

開発者は、「予見可能な使用および既知の有害または不適切な使用」についての一般的な声明と関連する文書を提供する必要があります。

導入者は、毎年およびAIシステムの「意図的かつ大幅な改変」の90日以内に高リスクAIシステムの影響評価を実施する必要があります。

‍

‍

導入者はリスク管理ポリシーとプログラムを用意し、帰結的な決定を行う前に個人に通知する義務があり、否定的な帰結的決定がどのように行われたかを説明し、関連する間違った個人情報を訂正する機会を提供し、そのような決定に対する異議申し立ての機会を与える必要があります。

すべてのAIシステムは『ラベル付け』が必要

CAIAの要件の多くは高リスクAIシステムに関連していますが、そのラベリング要件は、個人と相互作用することを意図したすべてのAIシステムに適用されます。そのようなシステムでは、開発者または導入者は、個人がAIシステムと相互作用していることを開示する必要がありますが、これは「合理的な人にとって明白」な場合を除きます。

エンザインがサポートします

エンザインの製品は、コロラド州の要件、NIST AI RMF、ISO/IEC 42001、EU AI法およびその他の国際的な規制および保証制度を遵守するのに役立ちます。詳細を知るにはこちらまでご連絡ください。