2024年9月23日、米国司法省（DOJ）は企業コンプライアンス・プログラムの評価方法に関する検察官向けガイダンスを更新しました。DOJ上級当局者のニコール・M・アルジェンティエリ氏は、テキサス州で開催されたSociety of Corporate Compliance and Ethics第23回年次Compliance & Ethics Instituteにおける講演で、更新版ガイダンスを発表しました。今回のガイダンスには、企業によるAIの利用方法とそのリスク管理に関する考慮事項が新たに含まれています。

このガイダンスの目的は何ですか？

DOJは、企業のコンプライアンス・プログラムを評価するためのEvaluation of Corporate Compliance Programs（ECCP）に関するガイダンスを公表し、DOJの検察官が、企業のコンプライアンス・プログラムがa) 適切に設計され、b) 誠実に適用され、c) 実務上機能しているかを判断できるよう支援しています。

ECCPはDOJの検察官向けに作成されたものであり、文書内の考慮事項に法的拘束力はありませんが、数年前から公開されており、その間、企業の経営層やコンプライアンスチームにとって有用な指針として機能してきました。

改訂版ECCPは多くの新しいトピックに触れていますが、最も重要な改訂は、AI、新興技術、コンプライアンス・プログラムにおけるデータ分析の役割、ならびに内部通報者保護の分野にあります。

改訂版ガイダンスはAIの利用について何を述べていますか？

ECCPは、企業のAI利用に関連して、特に以下の要素を評価するよう検察官に指針を示しています： 

·  AI利用に関するリスク管理プログラムを整備しているか？

·  AIシステムにリスクレベルを設定しているか？

·  AI利用から特定されたリスクに効果的に対処しているか？

·  AIシステムが意図したとおりに機能していることを確認するため、監視しているか？

·  高リスクのシステムが、人による適切な監督の対象となっているか？

·  従業員はAIシステムを使用するために適切な訓練を受けているか？

·  コンプライアンス・プログラムが効果的に機能していることを確保するため、データ分析およびテクノロジーを適切に活用しているか？

·  ベンダー・リスクに効果的に対処しているか？

·  コンプライアンス・プログラムに適切なリソースを配分しているか？

·  AIコンプライアンス・プログラムが適切に文書化されているか？

より広い文脈はどうでしょうか？

改訂版ガイダンスは、企業によるAI利用に対するDOJの継続的な関心を示しています。サンフランシスコで行われた3月の講演で、リサ・モナコ副司法長官は、既存法にAIに対する例外は存在しないと強調し、AIの悪用に対して「より厳しい刑罰」を追求する意向を表明するとともに、ECCPの改訂内容を予告しました。

また、今年初めには、DOJはJustice AI Initiativeも立ち上げました。これは、「市民社会、産業界、学術界、法執行機関にまたがるステークホルダー」を集めた一連の会合であり、AIがDOJの取り組みとどのように交差するかを検討するためのものです。

改訂版ECCPに関するアルジェンティエリ氏の発言は、DOJの改訂内容にさらなる具体性を与えるとともに、生成AIが企業に及ぼし得る潜在的な影響についての繊細な理解を示しました。たとえば同氏は、「検察官は、新技術によって可能になった犯罪スキーム、たとえばAIによって生成された虚偽の承認や文書などに対して、当該企業が脆弱であるかどうかを検討する」と述べました。

Enzaiがお手伝いします

EnzaiのAI GRCプラットフォームは、EU AI Act、Colorado AI Act、NIST AI RMF、ISO/IEC 42001などのベストプラクティスや新たな規制、標準、フレームワークに沿って、貴社のAI導入を支援します。詳細については、こちらまでお問い合わせください。

Enzaiは、抽象的な方針から実効的な監督へと組織を移行させるために設計された、業界をリードする企業向けAIガバナンスプラットフォームです。当社のAIリスク管理プラットフォームは、エージェンティックAIガバナンスの管理、包括的なAIインベントリの維持、EU AI Actへの準拠を実現するために必要な専門的インフラを提供します。複雑なワークフローを自動化することで、Enzaiは、ISO 42001やNISTといったグローバル標準との整合性を維持しながら、企業が自信を持ってAI導入を拡大できるよう支援します。