1．はじめに

2022年6月8日、日本IBMは、AI倫理に関する調査レポート「AI倫理の実践 – 信頼できるAI実現へ、全社的取り組みを」の日本語版を公表した^[1]。AI倫理を重要だと考える経営層の割合は、2018年の50％弱から、2021年には75％近くに急増し、IT部門の課題から経営層の課題へと確実にシフトしていることが裏付けられている。そのため、最近では、AI倫理・原則の企業の取組み（実践）が注目され、AIガバナンスといった用語も見かけるようになった。さらに一歩進んで、法規制に舵を切る国も見られる。

そこで、本稿は、2022年6月16日にカナダ議会に提出された法案C-27（略称2022年デジタル憲章実施法案）の一部である「人工知能及びデータ法（Artificial Intelligence and Data Act, AIDA）」案^[2]や2021年4月に欧州委員会より提案されたAI規則案、米国でのAI関連規制法案の進捗動向から、最近のAIガバナンスの考え方を紹介することを目的とする。

最後に、同法案のようなハードローアプローチだけでなく、ソフトローアプローチやGPAI（Global Partnership on AI）のような国際連携といった、幅広い意味でのAIガバナンスに関する国内外の動向から、わが国への若干の示唆を検討する。

なお、本稿は2022年8月1日時点で筆者が調査した情報に基づいている。

2．欧州の動向概要

欧州AI規則案（人工知能に関する調和の取れたルールを定める規則の提案^[3]、以下「AIA」という）が2021年4月に欧州委員会により提案され、包括的なAI規制をハードローアプローチで行うことに対する関心が一気に高まっている。

この関心の高さは、わが国でも同様であり、当時の報道等については、本誌の以前の記事で取り上げた^[4]。その後、わが国でも法案の概要^[5]と仮訳^[6]が総務省「AIネットワーク社会推進会議」のウェブサイトに掲載され、関係省庁のAI関連の検討会でも取り上げられている（経済産業省^[7]、内閣府）。さらに、同法案は研究者や実務家からの関心も高く、詳細な記事・報告が多くある^[8]。

他方で、最初のAIA提案以降の動向について、2022年4月の総務省AIネットワーク社会推進会議（第21回）AIガバナンス検討会（第17回）合同会議での報告^[9]以外、情報は少ない^[10]。筆者が主要と考える点を時系列で示すと表1のとおりである。

【表1】AIAに関する主な動向
（出典：各種公表情報より筆者整理*）

最も大きな動きは、2021年12月の会合にて公表された2021年11月29日付けのAIAの修正案であろう^[11]。AIAの法案の理念は維持しつつ、重要な変更を加えている。100頁を超える修正案の概要は、Kazimらによる論文^[12]に譲るが、同論文に依拠すると、主な変更は国家安全保障、研究開発における汎用AIシステムを免除の対象とすること、保険におけるAIの使用は高リスクにあたることの説明、私的領域におけるソーシャルスコアリングの禁止の拡張（AIAにおいて公的機関によるソーシャルスコアリングは既に禁止対象となっている）などである。

最近では2022年6月、欧州理事会がAIAの進捗報告書を採択し、欧州議会のAIAを所管する消費者委員会（IMCO）と内務委員会（LIBE）においても、合同名義で1,000頁を超えるAIA全体の修正案を提示した^[13]。いずれも、基本的な方向としては、定義の明確化、GDPRなど既存法令との調和が求められている。

AIAが発効されるためには、今後、EU議会や理事会による法案の精査、AIシステムを含む新しいテクノロジーに関連する責任問題に対処するための製造物責任指令（the Product Liability Directive）の改正を要するが、既に上記のとおり、欧州理事会や欧州議会の所管委員会では、基本的な理念に賛同の上、詳細な議論が展開されている。そのため、次の関心は、AIAの適用時期であるが、規定上、発効から2年後とされているため、現状からすれば、適用開始は、早くとも2025年以降になろうか。

なお、AIA立法プロセスに直接の拘束力はないが、2022年5月3日、欧州議会は、AIに関する特別委員会による最終報告書を採択した^[14]。その報告書の中では、「欧州は、世界規模でAIの競争力を高める目標を達成するにはほど遠い」と指摘しており、公表に際して、欧州議会の委員からは、さらなるAIによるイノベーションを促進するために調和の取れたルールとスタンダード、法的確実性、公平な競争条件を提供することの重要性が強調されている。

欧州の動向からわかることは、規制対象の定義が法的確実性を左右することはあっても、AIAの制定がイノベーションを阻害するのではなく、むしろ促進に役立つと考えている点である。ルール形成でグローバルスタンダードを目指す欧州の特徴がAIAの立法過程にも良く表れている。

3．米国の動向概要

3.1　過去の動向

米国では、AIAより前の2019年4月、下院・上院の民主党議員が、「アルゴリズム説明責任法（Algorithmic Accountability Act）」案の成立を目指そうとしたことがある^[15]。同法は、平均年間総売上が5,000万ドルを超えるなど一定規模の企業を対象に、AIツールとシステムの「正確性、公平性、偏見、差別、プライバシー、セキュリティ」に配慮することを義務付け、AIツールの倫理的で非差別的な使用を強調し、データ、セキュリティ、プライバシーへの影響に対処することを企図したものであった。しかし、法案は賛成を得られず廃案となった。

その後、州法レベルでは、雇用場面におけるAI技術の規制が進んでいる。

例えば、2020年1月よりイリノイ州では、AI面接技術を使用している場合は、事前通知と当該技術の説明義務を課し、同意を経たうえで行わなければならないとし、メリーランド州では2020年10月より、採用面接において顔識別技術を使用する場合には、応募者に書面による同意を必要とする規制が制定されている。

また、2021年11月、ニューヨーク州では、雇用決定におけるAIの使用を規制する法律^[16]が可決され、2023年1月1日より施行される。同法では「自動化された雇用決定ツール」を、「機械学習、統計モデリング、データ分析又はAIから派生した、スコアを含む単純化された出力を発行する任意の計算プロセス」として広く定義し、当該ツールを使用する場合は、1年ごとにバイアス監査をしなければならず、雇用決定に使用する場合は、応募者に対しその旨通知する義務を課す。

3.2　2022年提出法案の概要

連邦法レベルでは、前回の廃案から約3年後の2022年2月3日、下院・上院の民主党議員が「2022年のアルゴリズム説明責任法（Algorithmic Accountability Act of 2022）」案（以下「AAA」という）を提出している^[17]。

規制対象は大きく2つに分かれており、その詳細は以下のとおりとなる。

1. 平均年間総売上が5,000万ドルを超える事業体又は直近の会計年度に先行する課税対象期間の3年間の株式価値が2億5,000万ドルを超える企業（そのグループ企業も含まれる）のうち、ACDP（augmented critical decision processes：強化された重要な決定プロセス）又はADS（automated decision system：自動化された意思決定システム）を開発または展開する目的で、100万を超える消費者、世帯、または消費者デバイスに関する識別情報を変更、処理、分析、制御その他の方法で使用するもの。
2. 直近の会計年度に先行する3年間の課税対象期間の平均年間総売上が500万ドルを超え又は株式価値が2,500万ドルを超えると見なされる企業のうち、1の対象事業者がACDPにおいて導入または使用するために開発されるか、対象事業者が導入または使用すると合理的に期待する自動決定システムを展開しているもの。

これらの対象事業体には、個人の人生に「重要な影響」を与える決定に関与するアルゴリズムその他自動化されたシステムの使用について組織に責任を負わせ、連邦取引委員会（FTC）規則に従い、対象事業者が使用・販売する自動化システムの影響評価を実施することを義務付ける法案である。

この「重要な決定」には8つのカテゴリがあり、（A）評価、認定又は認証を含む教育及び職業訓練、（B）雇用、労働者の管理、個人事業主、（C）電気、熱、水、インターネット又は電気通信アクセス若しくは輸送などの必須のライフライン、（D）養子縁組・生殖サービスを含む家族計画、（E）住宅ローン会社等の金融サービス、（F）メンタルヘルスケア、歯科又は視覚を含むヘルスケア、（G）賃貸を含む住宅又は宿泊施設、（H）私的仲裁又は調停を含む法律サービス、（I）その他委員会が規則で定める消費者の生活に重大又は類似の重大な影響を与えるものを指す。そのため、この法案が成立すれば、ヘルスケア、求人・人事、不動産、金融業界の多数の企業において、使用するAIの評価を実施する義務が生じる。

この評価の方法としては、意思決定プロセスの継続的なテストと分析が必要とされている。規制対象事業体はアルゴリズムシステムの開発、テスト又は維持に使用されるデータに関する文書を提供する必要がある。基本的には大規模事業者を想定しているが、2のように、アルゴリズムツールのベンダーのうち、重要な決定に使用されることが予想されるシステムを展開している事業者は、1と同様に、評価を実施する必要がある点に特徴がある。

なお、2019年の法案では「リスクの高い」システムに該当する場合に評価が義務付けられていたが、AAAでは、「重要な決定」を行う際に使用されるアルゴリズム技術の影響評価を義務付けることで、より規制対象を具体化している点に特徴がある。

対象事業体は、上記による技術評価に関する年次報告書を監督機関であるFTCに提出する必要があり、FTCは提出された報告書に基づき、集計、ケース分析を行い、最新のガイダンスを示す年次レポートを公表する^[18]。

3.3　AIAとAAAの比較^[19]

今般のAAAについては、AIAと比較検討する論考が複数見られる。影響評価に関してはFTC規則に委ねられる仕組みのため、現状不透明である。例えば、AIAでは、リスクベースアプローチは、業界によって差を設けないことの表れでもあるが、今回の法案の場合、FTCが適用範囲をある程度決める裁量があるため、対象事業者によって規制を異ならしめる可能性が指摘されている。

また、AIAでは、高リスクAIシステムには、公共部門（法執行機関、出入国管理、司法行政など）で使用されるAIシステムも含んでいるのに対し、前述のとおり、法案では、民間部門を対象としている点で違いがある。

さらに、AIAは、EU域内の流通前に適合性を示すCEマーキングを付ける必要があるが、AAAでは、AIの規制を製品安全法と位置付けず、独立した法制度としている点で違いがある。

4．カナダ

4.1　概要

カナダは、2021年11月に公表されたEUとカナダのAI規制の比較に関するレポート^[20]でも取り上げられているように、公的部門においては、既に自動化された意思決定に関する指令（Directive on Automated Decision-Making）がある。同指令では、データ駆動型社会において、手続上の公平性や適正手続に準拠した責任ある自動意思決定を担保するため、国家安全保障システムなどの一部例外を除き、一定の開発、調達システムなどの外部提供サービスを規制対象とし、自動意思決定システムを作成する前のアルゴリズム影響評価やその最終結果を公表することを義務付ける。また透明性を確保するため、事前の説明、影響を受ける個人に対しては、当該自動意思決定の説明、コンポーネントへのアクセスの保障、ソースコードの原則公開などを義務付けている。

他方で、民間部門に関する規制は、州法レベルでプライバシー関連法に自動意思決定の禁止が規定されるほかは、なかったといえる。そのため、冒頭で取り上げた2022年6月16日に下院議会に提出された法案C-27は、AIに関する包括的な規制としては初めての立法案であることから注目されている。

もっとも、C-27の大部分は、既存の連邦消費者プライバシー保護法^[21]の改正案であり、既に出されていた法案C-11と共通するが、新たなAIに対する包括的な規制立法として「AI及びデータ法（AIDA）」を含む構成になっている。

4.2　AIDAの概要

法案C-27のパート3がAIDAである。この法律の目的は、（a）AIシステムの設計、開発及び使用について、カナダ全土に適用される共通の要件を定めることにより、AIシステムの国際的及び州間の取引及び商業を規制すること、（b）人工知能システムに関連して、個人に重大な損害を与え、又はその利益を害するおそれのある一定の行為を禁止することである。

AIシステムを「人間の活動に関連するデータを、遺伝的アルゴリズム、ニューラルネットワーク、機械学習、その他の技術を用いて、一部または全部を自動的に処理し、コンテンツの生成や意思決定、推奨、予測を行う技術的なシステム」と定義し、個人情報の定義は、連邦消費者プライバシー法の定義を採用する。

そして、適用範囲については、原則は、AIシステムを設計、開発、展開、または運用するすべての人（責任者）である。例外として、政府機関に適用はなく、カナダ国防大臣、安全保障情報局長、連邦・州の公的機関の責任者その他規則で定める者等の指揮・監督下にあるAI製品、サービス又は活動にも適用されないとする。

規制対象は、国際的または州間の貿易及び通商の過程で行われる、（a）人工知能システムを設計、開発、または使用する目的で、人間の活動に関連するデータを処理または使用できるようにすること、（b）AIシステムを設計、開発、使用できるようにすること又はその運用を管理すること、の2つである（表2）。

【表2】AIDAが要求する重要項目
（出典：C-27及びウェブサイト*より筆者整理）
* The Dawn of AI Law: The Canadian Government Introduces Legislation to Regulate Artificial Intelligence in Canada（https://www.mccarthy.ca/en/insights/blogs/techlex/dawn-ai-law-canadian-government-introduces-legislation-regulate-artificial-intelligence-canada#:~:text=One%20of%20the%20most%20significant,specifically%20 dedicated%20to%20regulating%20AI.）

4.3　AIAとAIDAの比較

「影響力の大きい」AIシステムの責任者のみが責任を負うAIDAは、AIAのリスクベースアプローチと比較すると、規制対象を最初から高リスクAIに限定している点に違いがある。

他方で、AIDAでは、AIシステムの使用目的での犯罪については「何人も」規制対象とする点に特徴がある。上記の個人データの不正取得、使用のほか、（a）合理的理由なしにAIシステムが個人に深刻な身体的または精神的危害を与える可能性又は個人の財産に重大な損害を与える可能性があることを知りながら使用し、損害が発生した場合や、（b）公衆をだまし、加害目的をもってAIシステムを使用可能にし、損失が生じた場合も含まれる。

このようなAIシステムを用いた被害を規制対象とすることは、個人データ保護の側面から、わが国の個人情報保護法の法目的として、個人が不当に選別されることからの個人の保護を重視する立場^[22も親和的である。

5．AIガバナンスに関する若干の考察

5.1　AIガバナンスとは

AIガバナンスとは、経済産業省「AI原則の実践の在り方に関する検討会」の報告書^[23]によると、「AIの利活用によって生じるリスクをステークホルダーにとって受容可能な水準で管理しつつ、そこからもたらされる正のインパクトを最大化することを目的とする、ステークホルダーによる技術的、組織的、及び社会的システムの設計及び運用」と定義されている。

わが国の企業におけるAIガバナンスの具体的取組は、総務省AI社会推進ネットワークにより2022年7月に「報告書2022」の中で取り上げられており^[24]]、組織内部での意見集約、外部とのコミュニケーションを重視するマルチステークホルダーを組み合わせる印象がある。

もっとも、報告書2022の企業は比較的大規模であり、中小企業やスタートアップ企業におけるAIガバナンスの必要性も指摘される。そのような背景から、日本ディープラーニング協会では、AIガバナンス概念を拡張し、監査や保険、標準化、第三者委員会などの外部環境との連携を行う「AIガバナンス・エコシステム」の構築を視野に入れた原則づくりや実践の積み重ねを行うべきであると提案している^[25]。

公的部門のAIガバナンスは、わが国では利用実績も少ないためか話題にならないが、前述のとおり、カナダでは自動意思決定に関する規制が公共部門に適用されるように、AIガバナンスが求められている。また、世界経済フォーラムでは、2020年6月、公共調達におけるAIや機械学習の利用を見据え、「AI公共調達ガイドライン」を公表している^[26]。

これまでカナダ、欧米のAI規制法案を概観してきたが、わが国におけるAIガバナンスは、民間主導、自主規制が中心となっている。政府の役割は、2022年4月に公表された「AI戦略2022」^[27]からは、「倫理、国内・国際的なガバナンス体制の形成」などであり、ソフトローアプローチのスタンスを採ることがうかがえる。

5.2　画像生成AIから見るAIガバナンス

ところで、2022年7月頃から画像生成AI「Midjourney」^[28]が話題になっている^[29]。Discordサーバを通じて作成するため、登録^[30が必要であるが、コマンドを使って生成したい画像の内容を英語で指示すると、AIがそれに合うと考える絵を提示する。筆者が登録して、試した結果は図1のとおりである（ちなみに、入力したキーワードは「日本における抒情的な夏の風景」である）^[31]。

【図1】Midjouneyより生成した画像
（出典：筆者／Midjourney）

日本の象徴は、過去のデータからすれば、富士山や神社（あるいはその象徴の鳥居）、田園風景であることを示唆している。ただ、この情景はおそらく江戸時代にもあったはずで、そこから300年近くのデータは出力結果には反映されていない。このAIが東京タワー、あるいはスカイツリーを指すまでには時間がかかるのであろう。そう考えると、AIの意思決定は、温故知新としての意味合い程度で、新しい問題解決に対しては、示唆は受け取れても、最終的な決定にはまだ危険を伴う。そうすると、AIシステムにおける自動意思決定による個人データの選別的利用の危険性についてもイメージが湧くかもしれない。

「Midjourney」の創業者であるDavid Holz氏は、インタビュー^[32]の中で、AIは新しい「水源」に過ぎないとしている。つまり、畏怖の対象ではなく、時に水に溺れる可能性がある意味で脅威となる存在ではあるが、一方で、泳ぐこともでき、ボートを作って水上を進むこともでき、文明の原動力になるという。筆者は、以前、知的財産法分野の論文の中で、このインタビューと同様に、文化資源を水に喩え、プールされた空間を、誰もが自由に利用できるパブリックドメインとして確保することこそが重要であると指摘したことがある^[33]。このような、本来、一定領域の排他的独占権を付与する知的財産の保護の在り方やその解釈に関して、パブリックドメインの醸成と保護に着目するアプローチは「パブリックドメイン・アプローチ」と呼ばれ、最近注目を集めている^[34]。

この議論は、AI原則が提唱され始めた時期に、強調されていた人間中心原則あるいは“Human-Oriented”なAIの在り方にも示唆を与え、AIが仕事を奪うといった議論に対する一つの回答を示しているように思える。つまり、もともとAIに学習させるデータ自体は、既に存在していたデータ群である。これによって新しい何らかの決定、成果を出す場合、それが許されるのは、もともとそれが許容される領域（知的財産法学でいうパブリックドメイン）に限られる。このように、“Human-Oriented”なAIの議論は、パブリックドメイン・アプローチのように、自由利用と権利の範囲を表から見るか、裏から見るかという観点に類似している。

この観点から見ると、AIガバナンスのゴールは、パブリックドメインの確保に相当する部分、AIの利活用によって生じるリスクが、ステークホルダーにとって「受容可能な水準で管理」できることにある。

その規制のデザインとして、日本のようなソフトローアプローチ、欧州のハードローアプローチといった選択肢がある。しかし、重大な影響を与え得るAIシステムを、(1)受容可能な水準の評価、(2)リスク管理を自主規制でせよというスタンスは、むしろ企業側にとってはリスクかもしれない。AIAのように、製品安全規制の中に組み込み、法令でリスクベースアプローチを採用する方が、上記の(1)と(2)が客観的に行われる分、公平で明確性が担保されるメリットとなる。

なお、この文脈では、共同規制^[35]は自主規制の実効性担保を政府補強措置に委ねているに過ぎず、自主規制の一類型と評価できる^[36]。

カナダのAIDAや米国のアルゴリズム説明責任法案は、これまでAIガバナンスに取り組んできた企業にとっては、負担とならない一方で、そうでない企業や、リソースの少ない中小企業、スタートアップには負担となる（そのため、中小規模事業者が適用除外となるよう、売上等による規制がされることが一般的である）。

本稿では、ソフトローアプローチ路線を採るわが国のAIガバナンスとは異なったハードローアプローチを採る、あるいは採ろうしている国外動向を中心に制度概要を俯瞰してきた。いずれも一長一短があるが、さらなる国際連携を目指すわが国では、そうした双方のアプローチに目配せをしたAIガバナンスへの取組みが政府レベルでは求められる。また、民間部門においては、AIガバナンスに向けた自主的な取組みの他、サプライチェーン全体を見たとき、欧米の法規制動向を注視することも求められる。

2022年、わが国はGPA^[37]サミットのホスト国となることが予定されている。本稿では取り上げなかったが、アジア諸国・地域においても、シンガポール^[38]をはじめ、AIガバナンスに熱心な取組みがなされている。様々な国、レイヤーにおいてAIガバナンスが展開されており、今後の動向に注目したい。