AI 事業者ガイドラインは総務省・経済産業省により作成された AI を事業に利用するためのガイドラインです。まずはこのガイドラインが策定された背景を確認しましょう。
このガイドラインは AI 戦略会議(座長:松尾豊 東京大学大学院工学研究科教授)が作成した「AIに関する暫定的な論点整理」を受けて作成されたものです。
この報告では生成 AI による新たなリスクに対して、法令やガイドラインの遵守を AI 開発者や AI サービス提供者に求めることの重要性と、既存の法令・ガイドラインで対応できない場合には必要な対応を検討することの必要性が強調されました。一方で、これまでに作成された主なガイドラインは生成 AI に対応していませんでした。たとえば、総務省・経済産業省により作成された次のガイドラインは生成 AI に触れられていません。
AI 事業者ガイドラインはこれまでに作成されているガイドラインに加えて、次の2つの事項を踏まえて作成されています。第一に、これは国際協調の中で作成されています。ガイドラインでは「広島 AI プロセス」などの国際的な取り組みについて言及されており、グローバルな観点が盛り込まれています。同時に、AI を巡る考え方には地域差がある点にも触れられており、現地の法令への対応が必要な旨も述べられています。
第二に、生成 AI を含む新技術への技術的な動向には深い注意が払われています。このガイドラインは 2024 年 4 月現在の生成 AI の技術に基づいて作成されましたが、生成 AI に関連した技術は急速な進歩を遂げ続けています。このため、このドキュメントは「アジャイル・ガバナンスの思想を参考にしながら、マルチステークホルダーの関与の下で、Living Document として適宜更新を行うことを予定」と適宜更新する運用が宣言されています。
このように、AI事業者ガイドラインは過去の経緯を踏まえたものとなっており、現在の生成 AI のリスクに対応しつつ、将来の技術的な進歩に対応できるものとなっています。
AI 事業者ガイドラインの及ぼす影響
AI 事業者ガイドラインの背景を確認したところで、次にその及ぼす影響を確認しましょう。
AI事業者ガイドラインはソフトロー
AI 事業者ガイドラインはあくまで「ガイドライン」であり、それ自体は拘束力を持ちません。このため、このガイドラインを採用するかどうかは自由ですし、ガイドラインに反したときの罰則規定もありません。AI 事業者ガイドラインはいわゆるソフトローとしての運用が想定されており、ガイドラインを参考とした個別契約 (サービスの開発時の業務委託契約、サービスの利用契約など) を締結することにより効力が発揮されます。これは具体的な罰則規定のある EU の AI Act とは対象的です。
AI 開発者は AI サービスを提供するためのシステムの開発を行う事業者です。また、AI に関する研究開発を行う事業者もここに含まれます。より具体的な役割は次の通り定義されます。
AI モデル・アルゴリズムの開発、データ収集(購入を含む)、前処理、AI モデル学習及び検証を通してAI モデル、AI モデルのシステム基盤、入出力機能等を含む AI システムを構築する役割を担う。
AI 提供者は AI システムをサービスに組み込み提供する事業者を指します。AI 提供者にはサービスを開発する事業者だけではなく、たとえば ChatGPT のような既存の AI を組み込んでいるサービスを提供している事業者も含まれます。また、役割も次のように定義され、広い範囲にわたって責任を果たすことが期待されています。
AI システム検証、AI システムの他システムとの連携の実装、AI システム・サービスの提供、正常稼働のための AI システムにおける AI 利用者(AI Business User)側の運用サポート又は AI サービスの運用自体を担う。AI サービスの提供に伴い、様々なステークホルダーとのコミュニケーションが求められることもある。
AI 利用者は AI サービスを利用する事業者を指します。AI 利用者については次の通り述べられています。
AI 提供者が意図している適正な利用を行い、環境変化等の情報を AI 提供者と共有し正常稼働を継続すること又は必要に応じて提供された AI システムを運用する役割を担う。また、AI の活用において業務外利用者に何らかの影響が考えられる場合は、当該者に対する AI による意図しない不利益の回避、AI による便益最大化の実現に努める役割を担う。
AI 開発者や AI 利用者だけではなく、AI サービスの利用者 にも及ぶ (ただし、個人利用者は除く) のは少し意外に感じられるかもしれません。一方で、たとえばタクシーの運転手やトラックのドライバーが、車の業務利用に関して適切に利用することを期待されるように、AI を業務利用する場合も適切に利用することが期待されるのは妥当かと思われます。
また、上記とは別に「高度な AI システムに関係する事業者」というカテゴリーも定義されています。これは「最先端の基盤モデル及び生成 AI システムを含む、最も高度な AI システム」に関係するステークホルダーを全体を指します。このため、AI 開発者のみではなく、定義上は AI 提供者や AI 利用者も含まれます。
また、実際にシステムやサービスを運用する人だけでなく、経営層の責任についても触れられている点は特徴的です。AI ガバナンスを効果的な取り組みとするためには、経営層の責任は大きい旨が述べられています。このため、日本において AI に関連したサービスを事業として提供しようとしている場合、AI 事業者ガイドラインを経営層を含めて理解しておく必要があります。
AI 事業者ガイドラインの求める取組事項
「共通の指針」に加えて主体毎に重要となる事項
AI 事業者ガイドラインの求める取組事項は、次の表に端的にまとめられています。「高度な AI システムに関係する事業者」については追加の取り組み事項が追加されますが、それについては後ほど確認しましょう。
セキュリティ確保 : 不正な操作によって AI システムの振る舞いに意図せぬ変更や停止が生じないよう、セキュリティの確保に努めること
透明性 : AI サービスの検証可能性を確保しながら、必要かつ技術的に可能な範囲でステークホルダーに合理的に情報提供を行うこと
アカウンタビリティ : AI サービスに関するリスクの程度を踏まえ、事実上・法律上の責任を果たせるよう体制などを整備すること
教育・リテラシー : AI システムの正しい理解や正しい利用ができるよう、必要な教育を行うこと
校正競争確保 : AI をめぐる公正な競争環境の維持に努めること
イノベーション : 社会全体のイノベーションの促進に貢献するよう努めること
アカウンタビリティは AI 事業者ガイドライン独自の範疇となっている点には注意が必要です。AI 事業者ガイドラインにおけるアカウンタビリティは「責任者を明示する」「責任の所在を明確にする」「それらを文章化する」といった、責任の所在の明確化についての取組事項となっています。アカウンタビリティは「説明可能性」と定義されることがありますが、これは上記のうち「6. 透明性」に整理されます。
それぞれの観点について詳細に確認すると長くなりすぎてしまうためここでは避けますが、総じて広く AI サービスに適用できるよう抽象的な記述となっており、ベストプラクティスを抽象化したような記述となっています。とくに AI ガバナンスについては解釈の幅が広い記述となっています。
個々の AI サービスにおける具体的な実施事項を定義するためには、AI 事業者ガイドラインを理解した上で個別のサービスの事情を踏まえた具体化が必要です。
高度な AI システムに関係する事業者に共通の指針
高度な AI システムに関係者する事業者には、これまでの事項に加えて、次の事項を「遵守すべきである」と強い言葉で求めています。再掲ですが、「高度な AI システム」とは「最先端の基盤モデル及び生成 AI システムを含む、最も高度な AI システムを指す。」とされており、これは広島 AI プロセスでの定義を引用しています。
AI ライフサイクル全体にわたるリスクを特定、評価、軽減するために、高度な AI システムの開発全体を通じて、その導入前及び市場投入前も含め、適切な措置を講じる
市場投入を含む導入後、脆弱性、及び必要に応じて悪用されたインシデントやパターンを特定し、緩和する
高度な AI システムの能力、限界、適切・不適切な使用領域を公表し、十分な透明性の確保を支援することで、アカウンタビリティの向上に貢献する
産業界、政府、市民社会、学界を含む、高度な AI システムを開発する組織間での責任ある情報共有とインシデントの報告に向けて取り組む
特に高度な AI システム開発者に向けた、個人情報保護方針及び緩和策を含む、リスクベースのアプローチにもとづく AI ガバナンス及びリスク管理方針を策定し、実施し、開示する
AI のライフサイクル全体にわたり、物理的セキュリティ、サイバーセキュリティ、内部脅威に対する安全対策を含む、強固なセキュリティ管理に投資し、実施する
世界の最大の課題、特に気候危機、世界保健、教育等(ただしこれらに限定されない)に対処するため、高度な AI システムの開発を優先する
国際的な技術規格の開発を推進し、適切な場合にはその採用を推進する
適切なデータインプット対策を実施し、個人データ及び知的財産を保護する
高度な AI システムの信頼でき責任ある利用を促進し、貢献する
「高度な AI システムに関係する事業者に共通の指針」は主に最先端の基盤モデルや生成 AI を作成する AI 開発者に向けたものとなっており、その開発時には十分な注意を払って検証を行うことを求めています。また、AI ガバナンスについても十分な体制を構築することを求めています。AI 提供者や AI 利用者には 12 を遵守するとともに、 他の事項については適切な範囲で遵守することが求められています。
AI 事業者ガイドラインは包括的ではある一方、 EU の AI Act とは異なり拘束力のないソフトローとして作成されていますが、このアプローチについては概ね好評です。パブリックコメントには日本マイクロソフトや Google といったガイドライン中では AI 開発者や AI 提供者と位置づけられる事業者とともに、全国消費生活相談員協会といったエンドユーザーの代表となるような団体も参加しています。反対意見もありますが、これらの団体がガイドラインそのものについて賛成していることは特筆すべきでしょう。
一方で、数々の問題も指摘されているので取り上げていきます。
まず、AI 事業者ガイドラインで取り上げられている取組事項には、開発者が実際には実行できないか、実行のために多大なリソースが必要になることが含まれている旨の指摘がなされています (p.26)。とくに、「高度な AI システムに関係する事業者に共通の指針」で述べられている事項すべてに対応するためには、大変な人的・金銭的リソースが必要となります。これは技術力で勝負したいスタートアップや、新たな事項に取り組む研究開発組織にとっては大変な参入障壁となりえます。
たとえば、機械学習モデルの訓練に用いられるデータについて『特定の条件を満たすもののみ許可する』といった、現状と比較してかなり強い制限を求めている箇所があります。このような提案を検討することは、著作者の権利保護の観点から重要ですが、十分に慎重な検討が必要です。たとえば、データを訓練のために利用することに強い制約を日本語でのみ設ける場合、生成 AI 分野での日本語の対応を阻害することに繋がりかねません。このように、AI サービスの開発者・提供者とコンテンツの著作者との間にはデータの扱いに関してスタンスに大きな違いがあります。
AI 事業者ガイドラインの発表を受けて、各事業者が対応すべきことについて検討します。とはいえ、過度に恐れる必要はありません。AI 事業者ガイドラインは総じて機械学習サービスの運営のために必要となる基本的なことを述べており、求められる取り組みの内容もサービスの性質に応じて柔軟に選択できます。
AI 事業者ガイドラインの発表を受けてできる短期的な取り組みと、中長期的な組織的な取り組みについて検討しましょう。ご自身が機械学習サービスを運営しているチームであれば「短期的な取り組み」から、経営メンバー・法務担当者・人事担当者であれば「中長期的な取り組み」からご覧ください。
短期的な取り組み
AI 事業者ガイドラインを受けてすぐにできる取り組みは、別添資料の「具体的なアプローチ検討のためのワークシート」を埋めてみることでしょう。
すでに述べていますが AI 事業者ガイドラインはソフトローであり、ガイドライン自体に強制力はありません。AI 事業者ガイドラインを基にした契約が締結されることで、効果を持つものとなります。たとえば AI 提供者の場合、サービスの提供先の事業者が利用契約の締結時に AI 提供者に「AI 事業者ガイドライン」に準拠していることのエビデンスを、チェックリストのような形で求めることが考えられます。AI 事業者ガイドラインへの対応状況について、ワークシートを用いて網羅的に確認しておくことで、このような場合に備えられます。
AI 事業者ガイドラインを受けて、すぐに動き出せるのは現在機械学習サービスを運営しているチームでしょう。機械学習チーム単体で記入可能な範囲は、多くのケースで 2. までとなるので、まずここを目指すことになると思います。共通の指針関連や「ガバナンスの構築」関連は組織的な取り組みが必要となるため、すぐには埋めきれないかもしれません。その場合は現在明らかに記入できる箇所は埋めておき、確認が必要な箇所や今後の取組が必要な箇所を明らかにすると良いでしょう。
AI サービスの発注側や、サービス利用者に向けた注意も述べておきます。開発の発注時や、AI サービスの利用契約締結時に、サービス開発者や提供者に「具体的なアプローチ検討のためのワークシート」のすべてに対応することを求めるのは、チェックリストとして想定していない利用法です。契約時に必要な項目だけに絞り込む、自分たちのユースケースに合わせて項目を具体化する、といった手法で合理的な範囲になるようカスタマイズする必要があります。
また、AI サービス開発の発注時や、利用契約の締結時に「別添3. AI 開発者向けで挙げられた「具体的な手法」について、すべて対応していること」のような一文をいれるのも避けるべきです。「具体的な手法」として挙げられたそれぞれの手法には制約事項があり、すべての手法を採用することは技術的に不可能です。具体的な手法を指定するのではなく、「検討にあたって必要な事項」の粒度で指定すべきでしょう。
中長期的な取り組み
AI 事業者ガイドラインによるもっとも大きな変化は、機械学習サービスのステークホルダーとして法務担当者、経営メンバー、人事担当者の重要度が上がったことでしょう。ガイドラインと個別開発契約や利用規約の整合性を保って運用すうるために法務担当者の、AI ガバナンスの実現と運用に関して経営メンバーの、AI システムの適切な理解と適切な利用のための教育について人事担当者の取り組みが必要となります。
法務担当者
法務担当者は AI 事業者ガイドラインと AI サービスについて深い理解を要求されます。AI 事業者ガイドラインはソフトローであり、個別契約によって効力を持つといった構図になっているため、実現したい AI サービスの運用を契約時の文面として織り込む必要があります。とくに、これまでと異なり、法務担当者は自組織が AI 開発者・提供者ではなくAI 利用者であったとしても、深い関与が必要となります。自組織で活用されている AI の詳細やそのリスクについて、機械学習チームと連携しながら情報をドキュメント化するとよいでしょう。
また、ハイリスクな業務に AI を用いている場合や生成 AI を用いている場合、状況が流動的である点には注意が必要です。これらの AI サービスについてはグローバルな法整備が現在進行中であり、また新技術の開発も急速度で進行中です。関連する法整備や ISO などの国際標準について、十分な情報収集が必要となるでしょう。
経営者
経営者は AI 事業者ガイドラインにおいて、AI ガバナンスの構築に大きな責任があるとされています。AI ガバナンスの実現のためにはにおいては、自社で提供している AI サービスや業務利用している AI サービスについて、利用によりもたらされる便益やリスクを把握して分析したうえで、責任範疇を明らかにし、適切なステークホルダーに合理的な範囲で情報提供できるような体制を構築する必要があります。また、AI ガバナンスのための体制を評価し、継続的に評価して適切に運用や体制の再設計を行う、アジャイル・ガバナンスが必要となります。
AI ガバナンスは組織内だけではなく、バリューチェーン全体を通じた取り組みであるため、社外のステークホルダーとの対話も必要となります。このため、AI ガバナンスのゴールは経営上のゴールと合致したものとなる必要があり、場合によっては組織の再設計も必要でしょう。
このように、経営層には AI ガバナンスについて非常に複雑かつ重大な期待が寄せられています。AI ガバナンスの構築の前に、以下の事項を推奨します。
自社で開発している・利用している AI サービスについて、機械学習チームから詳細な情報を把握すること
自社で開発している・利用している AI サービスの背景となる技術について、体系だったトレーニングを受けること
AI ガバナンスのゴール設定や体制について、AI 事業者ガイドラインで触れられている事例を理解すること
3. について、AI ガバナンスの実現形態は多様に渡ることが事業者ガイドラインの事例を確認することでわかります。事例としては NEC グループをはじめとして大規模な組織の事例が載っていますが、ABEJA のようなスタートアップの取り組みも掲載されています。また、グループ全体のポリシーを定める場合も、事業ごとに個別のポリシーを定める場合もあることが確認できます。このように、ビジネスの特性に合わせて AI ガバナンスを実現するための方法はさまざまにあります。自組織での取り組みについて検討する前に、実現形態にはさまざまな種類があることを踏まえておくと、より良い選択肢が検討できるでしょう。
一般に、経営層の関与や組織文化が AI の利活用になって鍵になることは、MLOps の文脈からよく知られています。加えて、AI 事業者ガイドラインで、AI ガバナンスの構築においての責任の大きさを指摘された今、経営層はこれまで以上に機械学習の活用における技量を問われるようになったと言えるでしょう。
AI や機械学習という技術は、背景となる理論の難しさも相まって、これまではごく一部の研究者や開発者のみが理解していれば良い技術でした。しかし、生成 AI の登場によって誰もが日常的に業務利用している今現在では、ほぼ全社員が AI についてのリテラシーが求められるようになりました。このため、全社員に向けた AI の利活用やリテラシー教育が必要となります。技術的な背景だけではなく、個人情報保護法や著作権法などの関連する法制度についても教育プログラムの展開が必要です。
AI の利活用やリテラシーに関するトレーニングプログラムは、しばらく見直しを続ける必要があるでしょう。何度か触れていますが AI の関連する法整備や国際標準、新技術の開発の状況は激しく流動的であり、1年後の状況を予測することも著しく困難です。世の中の動きや採用している技術をもとに、トレーニングプログラムを見直しましょう。
AI ガバナンスが組織内外を含めた広範囲な取り組みである以上、組織内の誰もが AI に関して責任を担う可能性があります。また、新技術の採用は市場に対して破壊的な影響を持ちえるため、AI の利用者として便益やリスクを把握できることは、組織にとって重要になります。このため、トレーニングプログラムを提供して便益を最大化し、リスクを最小することは重要となります。
まとめ
AI 事業者ガイドラインへの対応について、短期的な取り組みから中長期的な組織的な取り組みまで検討しました。冒頭で述べたように、これらの内容は突飛な内容というよりは、MLOps の文脈でよく知られてきたプラクティスを明文化したものに近く、過度に恐れる必要はありません。AI 事業者ガイドラインへ対応することで、AI サービスの運用の品質向上を図るだけでなく、品質向上の体外的なアピールにもつながるでしょう。
AI 事業者ガイドラインへの対応がコストとしてみなされるのではなく、提供する AI サービスの品質向上の組織的な取り組みとなることを願っています。
AI 事業者ガイドラインへの対応を進めるうえで、お客様が AI ガバナンスを推進し、「共通の取組事項」「主体毎に重要となる事項」への対応を行っていくために、Citadel AI の提供するサービスはお役に立てると思います。
