お客様にとってもっとも関心のある知財や独禁法・金融・労使関係などの最新の話題をお届けします。
御社の法務・経営戦略にお役立てください。
-
人工知能の最新事情 (22/08/26)
NIST AIのための包括的なリスク管理フレームワークを提案
人工知能(以下、「AI」)の進歩により、AIベースのアプリケーションが広く採用されるようになるにつれ、AIシステムが望まない、潜在的に有害な結果を生み出す可能性が、政策立案者の監視の目を集めるようになった。中でも政策立案者は、AIシステムが有害な偏りを回避し、正確で説明可能であり、プライバシーを保護することを求めている。これまで米国では、これらの問題は、一般に特定のアプリケーションや問題を対象とした規制や州の立法措置のパッチワークによって対処されてきた。
2019年にトランプ政権は「AIにおけるアメリカのリーダーシップの維持に関する大統領令」を発表し、特に米国商務省の国立標準技術研究所(以下、「NIST」)に対して、「AI技術を利用するシステムに対して、その高い信頼性、堅牢性および信用性をサポートする技術標準とそれに関連するツールの開発における連邦政府の関与に関する計画 」を包括的に作成するように指示した。E.O. 13859 (Feb 11, 2019) 2020年に議会はNISTにAIリスク管理フレームワーク(「AI RMF」)を開発するよう指示した。参照:Commerce, Justice, Science, and Related Agencies Appropriations Bill, 2021, H. Rept. 116-455, 116th Cong. ( Jul. 16, 2020) 2022年3月17日、NISTは人工知能リスク管理フレームワーク(以下「AI RMF」)の第1草案を発表した。参照:https://www.nist.gov/system/files/documents/2022/03/17/AI-RMF-1stdraft.pdf.
A. AI RMFの草案
AI RMFの草案は、AIを信頼に足るものとリスクあるものとに評価するために、AIの特性を3つの分類(1)技術的特性、(2)社会技術的特性、(3)指導原則を用いて分類している。技術的特性とは、AIシステムの設計におけるリスクを指し、正確性、信頼性、堅牢性、回復力/安全性などが含まれる。社会技術的特性とは、AIシステムの利用方法や社会的認知に影響を与える人間的・システム的な制度や社会的偏向を指し、説明可能性、解釈可能性、プライバシー、安全性、偏向の管理などが含まれる。指導原則とは、公正さ、説明責任、透明性など、AIシステムが遵守すべき、より幅広い社会規範や価値観を指す。
このフレームワークを参照しながら、AI RMFの草案は、特定のAIシステムに関連するリスクを特定し、軽減するために組織が取るべき行動のリストを示している。AI RMFの草案は、これらのアクションを「マップ」「測定」「管理」「統治」の4つの機能に整理しており、これらは繰り返し実行される必要があるものだ。
これらの基礎となる文書の多くが一体となって国際人権規約を形成している。4 その 国際人権規約は、世界人権宣言、経済的、社会的及び文化的権利に関する国際規約、市民的及び政治的権利に関する国際規約、市民的及び政治的権利に関する国際規約の選択議定書、市民的及び政治的権利に関する国際規約の第2選択議定書(死刑廃止を目指す)から構成されている。これらの宣言や規約が対象とする人権義務は国家に適用される。
2022年3月のAI RMFの草案に関するパブリックワークショップに続き、NIST はパブリックコメントの第一弾を発表し、これにはGoogle、Kaiser Permanente、労働統計局、米国損害保険協会、米国レコード協会、米国商工会議所、U.C. Berkeleyなど、産業、政府、高等教育の幅広い関係者からの意見が盛り込まれている。参照:https://www.nist.gov/itl/ai-riskmanagement-framework. NISTは、2022年10月19日から21日にかけて再度ワークショップを実施し、2022年末から2023年初頭に最終版をリリースする予定である。
Id.; https://www.nist.gov/itl/ai-risk-management-framework/ai-risk-management-framework-workshops-events.
B. 現在のAIに関する法律と規制
これまでのところ、AI規制はAI RMFの草案で特定されたリスクの一部にしか向けられていない。現在、米国ではAIシステムを規制する連邦法はないが、連邦取引委員会、住宅都市開発省、男女雇用機会均等委員会を含む規制当局による監視が行われている。その規制範囲は必然的に限定されており、 例えば、FTCの規則制定は差別的で詐欺的な商習慣への対処に限定され、EEOCは雇用や職場のアプリケーションにおけるAIの使用に焦点を当てている。
少なくとも5つの州(アラバマ、コロラド、イリノイ、ミシシッピ、ユタ)がAIに関連する法案を可決しており、さらに10以上の州で法案が審議中である。
参照: https://www.ncsl.org/research/telecommunicationsand-information-technology/2020-legislation-relatedto-artificial-intelligence.aspx. しかし、これまでのところ、州法の範囲も限定的である。例えば、イリノイ州は雇用判断に使われるAIシステムの偏りを規制することに重点を置いており、アラバマ州の法案はAIに関する諮問委員会を設置しただけである。
これまでに提案された最も包括的なAI法である欧州連合AI法でさえ、正確性、説明可能性、解釈可能性といった特定の技術的・社会技術的リスクに対し明示的に対処しておらず、将来の発展に基づいてAIシステムを再分類するプロセスを欠いていると批判されている。
参照例: EDRi et al., An EU Artificial Intelligence Act for Fundamental Rights: A Civil Society Statement, https://edri.org/wp-content/uploads/2021/12/Political-statement-on-AI-Act.pdf. AI リスクの全領域に対処する AI RMF の取り組みにより、より包括的な法律や規制が将来可能になるのかもしれない。
C. AI RMF の潜在的影響力
AI RMFは、その自発的な性質にもかかわらず、コモンローの注意基準を知らせることによって、AIシステムの開発者や利用者に対し効果的に法的義務を課すことができるかもしれない。AIシステムによる被害に関して紛争が生じた場合、裁判所はAI RMFを参照し、そのような被害を防止するために取られるべき追加の行動があったかどうかを判断する可能性がある。NISTの自主的なフレームワークを注意基準として利用することには、いくつかの先例がある。2014年、NISTは自主的なサイバーセキュリティフレームワークを発表した。コメンテーターらは、それが注意基準として採用される可能性があることを認識している。参照例: Scott J. Shackelford et al., Toward a Global Cybersecurity Standard of Care? Exploring the Implications of the 2014 NIST Cybersecurity Framework on Shaping Reasonable National and International Cybersecurity Practices, 50 Tex. Int’l L.J. 305 (2015). そして、裁判所は、注意基準を提供するという点でこのフレームワークの価値を認めている。 例えば、投票権訴訟における専門家の証言において、適切な注意基準について意見を述べる際に、NISTサイバーセキュリティフレームワークが引用された。参照: Curling v. Raffensperger, 397 F. Supp. 3d 1334, 1376 n.59 (N.D. Ga. 2019). また、サイバーセキュリティの枠組みへの準拠は、2020年のYahooのデータセキュリティ侵害をめぐる集団訴訟の和解の条件となった。In re Yahoo! Inc. Customer Data Sec. Breach Litig., No. 16-MD-02752-LHK, 2020 WL 4212811, at *33 (N.D. Cal. July 22, 2020). AI RMFは、AIシステムをめぐる将来の訴訟において、注意基準を確立するために同様に使用されると思われる。
現時点では、AI RMFは組織がAIシステムに適用される法的要件の新たなパッチワークに対処し、将来の包括的な規制に備えるのに役立つであろう。2020年に発表されたNISTのプライバシーフレームワークも同様の役割を担っている。プライバシーフレームワークが発表された当時は、EU一般データ保護規則(以下「GDPR」)とカリフォルニア州消費者プライバシー法(以下「CCPA」)が唯一の重要なデータプライバシー法として施行されていた。それ以来、60%以上の州で新たなプライバシー規制が検討または可決された。 プライバシーフレームワークは、組織がプライバシー規制の波を予測し、それに対応するのに役立ってきた。AI規制が同様の軌道で進む中、AI RMFは、それが急速に進化する法的状況に組織が対応するために有用なツールであることを証明する可能性が高い。
ディープフェイクの規制:プラットフォームと制作者への新たな結末
2022年3月、ウクライナのVolodymyr Zelenskyy大統領が、ウクライナ人に武器を置いてロシアに降伏するよう呼びかけるように見える動画が広く流布された。このビデオは偽物で、Zelenskyy大統領自身によって否定されたが、その人気は、ディープフェイクが大衆に影響を与え、政治情勢に影響を与える可能性があることを物語っている。
その2週間後、アメリカ映画協会の授賞式でアメリカ人俳優のTom Cruiseがプレゼンターの頭を飛び越える様子を撮影したかのようなディープフェイク動画が拡散され、1000万回以上の再生数を記録、作り出された偽りの現実についての議論が再び公の場に戻ってきた。
ディープフェイクとは、機械学習や人工知能のソフトウェアを用いて作られた、現実的ではあるがフェイクな動画のことである。ディープフェイク動画の品質は一貫して向上しており、偽物と見抜くことが難しくなってきている。2019年以降、世界中一握りほどの法域がディープフェイクに対処するための法律を導入しており、ディープフェイクの制作者またはそれをホストする配信者をターゲットとして、社会的または個人レベルで発生する害のいずれかに対処する多様なアプローチを取っている。社会的な被害については、ディープフェイクの流通を犯罪としたり禁止したりする規制や法律は、ディープフェイクの配信者や制作者をターゲットにしようとしている。個人レベルでは、肖像が使用された者は、ディープフェイクの作成に責任を負う制作者、またはそれをホストもしくは普及させるプラットフォームに対して訴因を有することができる。
社会的損害への対応
ディープフェイクは、EUの「偽情報に関する慣行規範」(以下「Code」)の禁止行為に該当する。偽情報の社会的被害に対処するため、欧州委員会は2022年6月16日、「オンラインでの偽情報の影響を減らすための非常に重要な公約と、それらがEU全域ですべての国、すべての言語でどのように実施されているかを測定するはるかに強力なツール」を開発することを目的としたCodeの強化を発表した。European Commission Press Release ( Jun. 16, 2022). 欧州委員会のVěra Jourová副委員長(価値・透明性担当)は、今回のCode強化の背景として、ロシアによる情報の武器化とより広範な民主主義への攻撃を挙げ、それが偽情報に対処し、プラットフォームに対して結束した一連の公約と理解を得るための有意義な手段を提供するものである、と述べている。新しいCodeの導入により、Google、Meta(Facebook、Instagram、WhatsAppの親会社)、Twitter、TikTokなどの大手テクノロジー企業は、自社のプラットフォームにおけるディープフェイクや偽アカウントへの対策を講じなければならず、さもなければ、最大で世界売上高6%という多額の罰金に直面することになる。
このCodeは当初、業界関係者による自主的な自主規制手段として2018年に導入されたが、今後は、オンライン上の消費者を保護し、オンラインプラットフォームの透明性と説明責任の枠組みを確立し、競争力を育成するために、欧州委員会が2018年以降最終化に向けて取り組んできた包括的なルールであるデジタルサービス法(以下、「DSA」)の後押しを受けることになる。DSAは、プラットフォームがコンテンツを制御し、広告を出し、アルゴリズムを使用する方法についてルールを課そうとしている。Codeの署名者は、DSAの監査要件と、義務を遵守しない場合の制止的な制裁を受けることになるのである。
EU人口の10%以上にリーチするプラットフォーム、つまりEU内に少なくとも4500万人のユーザーを抱えるプラットフォームは、DSAの下で「超大規模オンラインプラットフォーム」に指定され、「プラットフォームがもたらす(EU内で不相応に悪影響を及ぼす)システム的なリスク 」のために一連の義務を負うことになる。Codeに署名した超大規模オンラインプラットフォームは、「自社のサービス全体で誤報と偽情報両方に取り組むポリシーを導入またはさらに強化し、自社のサービスでは認められない操作的行動、行為者および慣行についてサービス横断的に理解することに合意する」ことを約束しており、これらには悪意のあるディープフェイク、偽アカウントの作成と使用、アカウントの乗っ取りとボットによる増幅、不透明な有料メッセージやインフルエンサーによる宣伝、ハッキングとリーク作戦、偽情報のリーチやその公によると認識された支援を人工的に増幅する目的の行為などの内容が含まれる。Code, Commitment 14. Google、Meta、Microsoft、TikTok、Twitter、Vimeo、世界広告主連盟(WFA)、インタラクティブ広告局(IAB Europe)、欧州通信事業者協会(EACA)を含むCodeの署名企業34社は、合意した公約と対策を6カ月以内に実施し、2023年初めまでにその実施状況を欧州委員会に報告しなければならない。
ディープフェイクの配信やホスティングを担当するプラットフォームをターゲットにして対処するというアプローチは、以前中国で実施され、その後2019年には人工知能やバーチャルリアリティで作成したディープフェイク動画の公開を2020年1月1日から犯罪行為とすることとした。中国サイバー空間管理局は、すべてのディープフェイクに目立つような表示を義務付け、フェイクニュースとして利用されるディープフェイクを禁止する規制を実施するにあたり、ディープフェイクはが「国家の安全を危険にさらし、社会の安定を損ない、社会秩序を乱し、そして他人の合法的な権利と利益を侵害することで、政治安全リスク、国家安全や公安リスクを引き起こし、社会の安定に悪影響を及ぼす」というリスクを発生させるものであるとその規制の根拠を説明した。
Cyberspace Administration of China, Briefing (Nov. 29, 2019).
米国の特定の法域では、特定の状況下におけるディープフェイクの制作者をターゲットにしている。例えば、米国テキサス州では、政治家候補を傷つける、または選挙結果に影響を与える目的でディープフェイク動画を作成し、公開または配布することは犯罪とされている。このような法律は、ディープフェイク動画の制作者を見つけることが困難であることから、結局は執行が困難であり、最終的には執行しても、配信プラットフォームからの削除を求める追加措置がなければ動画がオンライン上に残ってしまう可能性がある。違反が確定すれば、プラットフォームに通知して、自主的に、あるいは業界の自主規制の約束に従ってコンテンツを削除させることができる。
個人被害への対応
ディープフェイクによる個人への被害については、テクノロジーよりも法律の方がゆっくりと動いている。一部の法域を除き、ディープフェイクに特化した法律は導入されておらず、ディープフェイクに画像や肖像が使用された個人に対して訴因を提供することもない。
例えば、米国では、ディープフェイクがどのように利用されるかについて、(i) 選挙を妨害するためと(ii) 性的に露骨なコンテンツを開発するための2つの主要な懸念に対処するために、狭い範囲での法律が導入されている。ディープフェイク技術によって被害を受けた個人は、その成功には程度の差こそあるものの、ディープフェイクのために特別に開発されたわけではない既存の訴因を用いて、制作者や配信者に対して法廷で救済を求めてきた。例えば、ディープフェイクの対象者は、自分の画像、表現、音声が著作物であり、その利用は著作権法に違反するという主張をすることがある。このような主張は、例えば、米国の「フェアユース」という、著作権法では禁止されているコンテンツでも、借用したコンテンツが十分に変形されていれば、無許諾で利用ができるといった原則などのために、著作権侵害の広範な例外を克服することが困難である。実際には、著作権者は、削除通知を投稿したり、プラットフォームが自発的にディープフェイクを削除したり、フラグを立てるように要求するなど、制作者ではなく、プラットフォームに対して尽力することに焦点を当てる方が成功の可能性が高い。同様に、ディープフェイクが商業広告に使用されている場合、ランハム法に基づく訴訟提起の可能性がある。
また、ディープフェイクのターゲットは、名誉毀損、例えばディープフェイクによって名誉が傷つけられたことや、False light(公衆における誤認)の不法行為、プライバシー侵害、肖像権など、法域によって様々な不法行為に基づく請求を行うことができる。
ディープフェイクが進化するにつれ、法律、規制、この問題に取り組む政治的意思も進化しており、この分野がどのように発展していくかは未知数である。ひとつだけ確かなことは、プラットフォーム・コンテンツが規制されない時代は終わったことである。Q
クイン・エマニュエル・アークハート・サリバン
外国法事務弁護士事務所
東京オフィス代表 ライアン・ゴールドスティン
この件につきましてのお問い合わせ先
マーケティング・ディレクター 外川智恵(とがわちえ)
chietogawa@quinnemanuel.com