2024年1月22日、欧州連合AI法（「AIA」）の最終文書が公に流出しました。これは、AIエコシステム全体に多くの新たな義務を課し、違反には大きな制裁が科されることから、今こそ組織が対応に着手すべき時です。

本ブログでは、貴組織が適合を確保するうえで考慮すべき重要事項をいくつかご案内します。

義務の概要

第16条では、高リスクAIシステムの提供者に対する主要な義務が定められています。組織にとってこれらの遵守義務の核心は、品質管理システム、リスク管理システムの構築、詳細な技術文書の作成・維持、および適合性評価の実施にあります。以下では、これらの要件を順を追って整理し、組織が必要な対応を迅速に進めるための実践的な助言をご紹介します。

本ブログで示す義務を遵守する法的要件は、主としてEUの定義に適合する高リスクAIシステムに適用されますが、これは、これらの仕様に該当しないAIシステムが貴社にとって重大なリスクをもたらさないという意味ではありません（また、今後の進化に伴い定義に該当する可能性があるという点も含みます）。AIAは、組織が法的枠組みにおける特定要件の適用を自主的に採用することを奨励しており、当社としても、あらゆる形態のリスクが確実に管理されるよう、その実施は理にかなっていると考えます。

EU AI法における品質管理システムとは何か

適合に向けた第一歩として、AI品質管理システム（「QMS」）を構築することが挙げられます。QMSの目的は、AIがもたらし得るリスクを適切に管理できるよう、貴組織が十分に備えることにあります。これは包括的な仕組みであり、貴組織がAIとどのように関わるかについてのルールを定める方針、手順、指示の形で整備されるべきものです。

QMSには、とりわけ以下の要素を含める必要があります。

1. 規制遵守のための戦略（そして極めて重要な点として、AIシステムおよび／または規制の変更に対応するための計画と手順も含める必要があります）。

2. リスク管理システムに関する要件（以下参照）。

3. 詳細な技術文書（同じく以下参照）。

4. 設計、設計管理、設計検証のための手法。

5. 品質管理および品質保証の手順。

6. データ管理に関するシステムおよび手順。

7. 上市後監視システムの構築、実施、および維持。これにより、AIシステムがそのライフサイクル全体を通じてAIAに適合し続けることを確保します。

最初のステップとして、上記の項目を網羅するAIポリシーの策定に着手すべきです。当社では、これらのAIポリシーの起草方法に関する無料かつ包括的なガイドをご用意しています。こちらからご覧いただけます。

‍

‍

EU AI法におけるリスク管理システムとは何か

QMSの義務では、組織が自らのAIに関してリスク管理システム（「RMS」）を導入することが求められます。

ここにはQMSとRMSの間に重要ですが微妙な違いがあります。QMSは、組織全体にわたってリスクをどのように管理し、規制に適合するかを対象とするのに対し、RMSは、個々のAIシステムに関してどのようにリスクを管理し、規制に適合するかを対象とします。

RMSは、高リスクAIシステムのライフサイクル全体を通じて継続的かつ反復的に進められるプロセスであり、体系的な見直しと更新を必要とします。具体的には、以下の手順を含みます。

1. AIシステムが意図された目的に従って使用された場合に、健康、安全、または基本的権利に対して生じ得る、合理的に予見可能なリスクの特定および分析。

2. 合理的に予見可能な誤用の条件下でAIシステムが使用された場合に発生し得るリスクの見積もりおよび評価。

3. 上市後監視システムから収集されたデータの分析に基づくリスク評価。

4. 上記要件に従って特定されたすべてのリスクに対処するために設計された、適切かつ的を絞ったリスク管理措置の採用。

最終的には、RMSを通じて特定されたリスクについて、各ハザードに関連する残余リスクおよび高リスクAIシステム全体の残余リスクがいずれも許容可能と判断される必要があります。リスクを排除できない場合には、必要に応じて適切な緩和措置および管理措置を講じるべきです。また、試験に関する追加要件や、18歳未満の者への影響に関する追加の考慮事項もあります。

新たな文書化義務とは何か

QMS要件では、高リスクAIシステムが市場に投入される前に、当該システムに関する技術文書を作成することも求めています。本法の附属書IVは、当該文書がカバーすべき具体的事項を定めています。最終的に、この文書は、権限のある当局および通知機関が、AIAの要件へのAIシステムの適合状況を明確かつ包括的に把握するために必要な情報を提供できる十分なものでなければなりません。これには、QMSおよびRMSに関するすべての文書、ならびに当該システムに関する技術文書が含まれます。 

当社のAIガバナンスソリューションを用いることで、これらの文書要件の一部を自動化できることをご存じでしたか。controls機能がどのようにこれを自動化できるかについては、こちらをご覧ください。さらに詳しくは、お問い合わせください。

‍

規格の役割

規格はAIA遵守において中心的な役割を果たします。Enzaiでは、すでに市場が特定のフレームワークを中心に収れんしつつあることを確認し始めています。米国国立標準技術研究所（NIST）はAIリスク管理フレームワークを公表しており、当社は、これらの要件に適合するフレームワークを開発するために多くの組織と協働してきました。2023年後半には、国際標準化機構（ISO）および国際電気標準会議（IEC）が42001規格を導入し、当社もまた、これを導入する組織を支援しています。なお、これらの規格はまだEUに採択されていないため、それ自体では適合を保証するものではありません。AIAでは、AIAの要件が完全には適用されない場合、またはAIAに定められた関連要件のすべてを網羅していない場合、組織はQMSにすべての技術的な立法上の仕様を組み込む必要があると規定しています。

特定の規格がEUによって承認される仕組みが設けられ、組織がそれらの規格に適合していることを示せれば、AIAへの適合推定が認められることになります。CEN-CENELEC（欧州電気標準化委員会）は、整合規格の策定に向けて合同技術委員会21「Artificial Intelligence」を設置しました。執筆時点である2024年1月現在、これらの規格の公表時期、ならびにEUによる承認時期は示されていませんが、AIA遵守においてこれらの規格が果たす重要な役割を踏まえると、年後半には公表時期が示されるものと見込んでいます。

適合性評価とは何か

適合性評価は、その名のとおり、AIシステムがAIAに適合しているかどうかを判断するための評価です。適合性を評価する手続は、いくつかの要素によって異なります。たとえば、前述のとおり、AIシステムが一連の整合規格への適合を示せる場合には、適合性の推定が認められます。システムの種類によっては、適合性評価を内部統制に基づいて実施できる場合もあれば、外部の通知機関による審査を要する場合もあります。

認証プロセスも整備され、承認されたシステムは製品にCEマークを付すことができるようになります。さらに、高リスクAIシステムの多くは、使用開始前にEUの中央データベースへ登録しなければなりません。

これらの運用メカニズムの一部は、EUが整備するまでに少し時間を要するでしょう。しかし確実に整備は進んでおり、QMSを構築しておくことで、すぐに対応できる状態を整えられます。

…ご安心ください。当社がお手伝いします

これらの新要件はやや圧倒的に感じられるかもしれませんが、当社がサポートします。当社のAIガバナンスおよびリスク管理ソリューションは、これらすべての義務に標準搭載で適合できるよう、ゼロから設計されています。当社のソフトウェアプラットフォーム自体がAIAで求められる品質管理システムであり、その機能群により、すべてのAIシステムに関するリスク管理システムを、抜け漏れなく迅速かつ効率的に展開できます。完全な適合に至らない可能性のある規格を用いる場合でも、Enzai上のQMSは導入しやすく、必要事項を漏れなく網羅できるよう設計されています。

当社がお手伝いできる内容の詳細については、ぜひこちらからお問い合わせください。

‍

Enzaiは、抽象的なポリシーから実運用の監督へと組織が移行することを支援する目的で構築された、業界をリードするエンタープライズAIガバナンスプラットフォームです。当社のAIリスク管理プラットフォームは、エージェント型AIガバナンスの管理、包括的なAIインベントリの維持、そしてEU AI法遵守の確保に必要な専門インフラを提供します。複雑なワークフローを自動化することで、Enzaiは、ISO 42001やISO 42001 および NISTのようなグローバル標準との整合性を維持しながら、企業が自信を持ってAI導入を拡大できるよう支援します。