コロラド州、AIシステムを広範に規制する初の州に

2024年5月17日、コロラド州知事ジェレッド・ポリスは、コロラド州人工知能法（「CAIA」）に署名し、成立させました。CAIAは、広範なAIシステムを対象とする初の州法であるため、米国におけるAI規制の重要な節目となります。コネチカット州で提案された同様の法案は成立しなかったものの、他の州もコロラド州にならい、AIの利用を幅広く規制していく可能性が高いと考えられます。

CAIAはEU AI Actとどのように比較されるのでしょうか。

CAIAは、3つの点でEU AI Actと類似しています。

第一に、両法の要件の大半は高リスクAIシステムに関するものです。第二に、両法への整合性は、ISO/IEC 42001 - AI管理システムのような標準に準拠することで、かなりの程度示すことができます。第三に、両法はいずれも高リスクシステムに対する影響評価を求めています。

一方で、CAIAとEU AI Actには少なくとも2つの大きな違いもあります。

第一に、EU AI Actの要件はCAIAよりも詳細です。CAIAは主としてアルゴリズムによる差別を対象としており、高リスクAIシステムの定義から、いくつかの一般的な種類のAIシステムを除外しています。また、一定の基準を満たす場合、従業員数が50人未満の導入事業者には、その多くの要件を適用除外としています。

第二に、その大半の規定は、EU AI Actの規定の大部分よりもかなり早く施行されます。CAIAは2026年2月1日に施行されるため、企業には対応まで約20か月弱しかありません。これに対し、EU AI Actの高リスクシステムに対する要件が発効するのは、EU官報での公布から24か月後の2026年半ばまで待つ必要があります。

CAIAの対象となるAIシステムはどれですか。

CAIAは、コロラド州で事業を行うAIシステムの開発者または導入事業者に適用されます。開発者とは、AIシステムを開発する者、または意図的かつ実質的に修正する者を指し、導入事業者とは、高リスクAIシステムを導入する者を指します。

CAIAによれば、AIシステムは、展開時に「結果的意思決定を行う、またはその形成において重要な要因となる」場合、高リスクとされます。結果的意思決定とは、教育の入学または機会、雇用または雇用機会、金融サービスまたは貸付サービス、不可欠な政府サービス、医療サービス、住宅、保険、または法律サービスについて、いずれかの消費者への提供もしくは提供拒否、またはその費用や条件に対し、「重大な法的影響、あるいはこれと同等に重要な影響」を及ぼす決定を指します。さらに、一部の種類のAIシステムは高リスクのカテゴリーから除外されています。

CAIAはどのように執行されますか。

‍コロラド州司法長官が、これを執行し、関連する規則およびガイダンスを提供する唯一の権限を有します。CAIAには私的訴権は認められていません。コロラド州司法長官が執行措置を開始した場合、導入事業者は、NIST AI Risk Management Framework（「AI RMF」）またはISO/IEC 42001に整合したリスク管理方針およびプログラムを有していれば、アルゴリズムによる差別から消費者を保護するために合理的な注意を払っていたという「反証可能な推定」を受けます。さらに、執行措置において、フィードバック、敵対的テストまたはレッドチーミング（これらの用語はNISTの定義による）、あるいは社内レビュー・プロセスに起因してCAIA違反を発見・是正し、かつNIST AI RMFおよびISO/IEC 42001に「その他の点では適合している」企業には、「積極的抗弁」が認められます。

リスク管理方針およびプログラムの策定方法について詳しくは、AIポリシーの作成方法をまとめた無料の包括的ガイドをこちらからご請求ください。

‍

‍

CAIAは高リスクAIシステムの開発者および導入事業者に何を求めていますか。

CAIAは、開発者および導入事業者に対し、アルゴリズムによる差別に関する既知または予見可能なリスクから個人を保護するために「合理的な注意」を払うこと、ならびに自社ウェブサイト上で高リスクAIの利用状況を説明することを求めています。

開発者は、アルゴリズムによる差別に関する既知または合理的に予見可能なリスクについて、合理的な遅滞なく、かつ90日以内に、コロラド州司法長官および既知の導入事業者に通知しなければなりません。導入事業者は、システムがアルゴリズムによる差別を引き起こしたことを認識した時点で、合理的な遅滞なく、かつ90日以内に、コロラド州司法長官に通知しなければなりません。

開発者は、関連文書とあわせて、「システムの合理的に予見可能な利用および既知の有害または不適切な利用を説明する一般的な記述」を提供しなければなりません。

導入事業者は、高リスクAIシステムについて毎年、またAIシステムの「意図的かつ実質的な修正」から90日以内に影響評価を実施しなければなりません。

‍

‍

導入事業者は、リスク管理方針およびプログラムを整備し、AIシステムが結果的意思決定に用いられる前に個人へ通知し、不利な結果的意思決定がどのように行われたかを個人に説明し、当該決定に関連する誤った個人情報を訂正する機会を提供し、さらに当該決定に対して異議を申し立てる機会を提供する必要があります。

すべてのAIシステムは「ラベル付け」されなければなりません

CAIAの要件の大半は高リスクAIシステムに関するものですが、ラベル付け要件は、個人とやり取りすることを意図したすべてのAIシステムに適用されます。そのようなシステムについては、開発者または導入事業者は、これが「合理的な人にとって明らか」でない限り、個人がAIシステムとやり取りしていることをその個人に開示しなければなりません。

Enzaiがお手伝いします

Enzaiの製品は、コロラド州の要件、NIST AI RMF、ISO/IEC 42001、EU AI Act、その他の世界的な規制および保証制度への対応を支援します。詳細をご希望の方は、こちらからお問い合わせください。

Enzaiは、エンタープライズAIガバナンス向けの先進的なプラットフォームであり、抽象的な方針から運用レベルの統制へと組織が移行するために特化して設計されています。弊社のAIリスク管理プラットフォームは、専門的な基盤を提供し、エージェント型AIガバナンスの管理、包括的なAIインベントリの維持、そしてEU AI Act準拠の確保を支援します。複雑なワークフローを自動化することで、Enzaiは、ISO 42001やNISTのようなグローバル基準との整合性を維持しながら、企業が自信を持ってAI導入を拡大できるよう支援します。