2024年9月23日に、米国司法省 (DOJ) はガイダンスを更新し、企業のコンプライアンスプログラムをどのように評価すべきかに関する検事のための指針を提示しました。DOJの上級職員であるNicole M. Argentieri氏が、テキサスで開催された企業コンプライアンスと倫理協会の第23回年次コンプライアンス＆倫理インスティテュートでの講演で最新のガイダンスを発表しました。このガイダンスには、企業がAIをどのように利用し、そのリスクを管理するかについての考慮が含まれています。

ガイダンスの目的は何ですか？

DOJは、企業のコンプライアンスプログラムの評価（ECCP）に関するガイダンスを発行しており、DOJの検事が企業のコンプライアンスプログラムが a) よく設計されているか、b) 誠実に適用されているか、c) 実際に機能しているかを評価するのを助けることを目的としています。

ECCPはDOJの検事のために書かれたものであり、その文書の考慮事項は法律的に拘束力のあるものではありませんが、ECCPは数年前から一般に公開されており、その間、多くの会社の役員やコンプライアンスチームにとって有用な指針として役立っています。

改訂されたECCPは多くの新しいトピックに触れていますが、最も重要な改訂は、AI、エマージングテクノロジー、コンプライアンスプログラムにおけるデータ分析の役割、内部告発者保護の領域にあります。

改訂されたガイダンスはAIの利用について何を示していますか？

ECCPは、企業のAI利用に関連する以下を含む要因を検事が評価するようガイドします。 

·  企業がAI利用に対するリスク管理プログラムを備えているか？

·  AIシステムにリスクレベルが割り当てられているか？

·  企業はAI利用から特定されたリスクに効果的に対処しているか？

·  企業はAIシステムが意図通りに機能していることを監視しているか？

·  高リスクシステムに対して適切な人による監視が行われているか？

·  従業員はAIシステムの利用について適切に訓練されているか？

·  企業のコンプライアンスプログラムがデータ分析とテクノロジーを適切に活用して効果的に機能しているか？

·  企業はベンダーリスクに効果的に対処しているか？

·  企業はコンプライアンスプログラムに適切なリソースを投入しているか？

·  AIコンプライアンスプログラムが適切に文書化されているか？

より広い文脈とは？

改訂されたガイダンスは、企業のAI使用に対するDOJの継続的な関心を示しています。サンフランシスコで3月に行われた講演で、法務副長官のLisa Monaco氏は、AIに現行法の例外は存在しないことを強調し、AI悪用に対する「より厳しい刑罰」を求める意向を発表し、ECCPの改訂を予告しました。

今年の初めに、DOJはまた、AIがDOJの努力とどのように交差するかを知らせるために「市民社会、業界、学界、法執行機関のステークホルダー」の一連の会議を開催するジャスティスAIイニシアチブを立ち上げました。

改訂されたECCPに関するArgentieri氏の講演は、DOJの改訂にさらに多くの情報を追加し、生成AIが企業に与える可能性のある影響に対する洗練された理解を示しました。彼女は、例えば「検事は、企業が偽の承認やAIによって生成された文書などの新しい技術によって可能となる犯罪計画に対して脆弱であるかどうかを考慮する」と述べました。

Enzaiが支援します

EnzaiのAI GRCプラットフォームは、EU AI法、コロラドAI法、NIST AI RMF、ISO/IEC 42001などのベストプラクティスや新しい規制、基準およびフレームワークに従って、貴社がAIを展開するのを支援します。詳細についてはこちらまでご連絡ください。