カジノサイト
EU AI 法の理解: セキュリティの観点
欧州連合 (EU) が世界基準を設定してから約 6 年後プライバシー規制、人工知能 (AI) システムとテクノロジーを規制するために同様の動きをする準備ができています。
当初は 2021 年 4 月に提案され、その後欧州議会で承認されました2024 年 3 月 13 日(賛成 523 票、反対 46 票、棄権 49 票)。
3 月下旬の時点で、この法律は成立する前の最終審査段階にあり、加盟国はその実施に関するガイダンスを発行しました。
「欧州議会の投票のかなりの多数を考慮すると、加盟国がこの法案の承認を留保することは予想されません」と、スウェーデンに本社を置くアクシス・コミュニケーションズの政府関係担当プログラム・マネージャーのデイブ・マッカーシー氏は述べています。 「今後数か月間、私たちは委任法や新しい基準の出現を含む EU AI 法の施行を注意深く監視していきます。」
自由委員会の共同報告者でルーマニア代表の欧州議会議員であるドラゴス・トゥドラチェ氏は声明で、EUは現在、AIの概念を加盟国の社会の基礎を形成する基本的価値観と結び付けていると述べた。
「しかし、AI 法自体を超えた多くの作業がこの先に待ち受けています」と Tudorache 氏は述べました。 「AI は、民主主義の中心にある社会契約、教育モデル、労働市場、戦争のやり方を再考するよう私たちに促します。AI 法は、テクノロジーを中心に構築された新しいガバナンス モデルの出発点です。私たちは今、この法律の実践に注力しなければなりません。」
EU の AI イノベーション パッケージおよび AI に関する調整計画と並んで、AI 法はテクノロジーに関する人々と企業の安全と基本的権利の保証に役立ちます。
「AI 法は、世界初の AI に関する包括的な法的枠組みである」と は述べています。。 「新しい規則の目的は、AI システムが基本的権利、安全性、倫理原則を尊重することを保証し、非常に強力で影響力のある AI モデルのリスクに対処することで、ヨーロッパおよびその他の国で信頼できる AI を育成することです。」
AI は、民主主義の中心にある社会契約、教育モデル、労働市場、戦争のやり方を再考するよう私たちに促すでしょう。
この法律は EU 内の事業体を対象としていますが、EU 内で収集および EU から転送されたデータの処理を委託されるブロック外の AI システムのプロバイダーおよび導入者にも適用されます。 AI法の本文には、議員らは「この規制の回避を防ぐ」ためにこの法律を制定したと説明されている。
この法律は、法執行機関や司法協力を支援する任務を遂行する第三国の公的機関との協定の免除を規定している。この法律はまた、軍事、防衛、国家安全保障の目的のみに使用される AI システムのプロバイダーまたは導入者を免除します。
この動きにより、EU は「AI の規制枠組み確立における先駆者」として位置づけられると、Crisis24 の戦略プロジェクト担当上級副社長であるチャド・レシュ氏は述べています。
「この法律はリスクベースの手法を採用しており、潜在的な危険性によって AI システムを分類し、よりリスクが高いとみなされるものに対してはより厳格な規制を施行しています。」と彼は付け加えました。 「このアプローチは、技術の進歩と個人の権利と安全の保護を調和させることを目指しており、潜在的に国際規範に影響を与え、EU 以外の AI 団体が同様の自主規制基準を採用することを奨励します。」
セキュリティ ベースライン
セキュリティ専門家にとって、EU AI 法が専門職の一部となる用語や慣行をどのように定義しているかを理解することが特に重要です。
- 生体認証分類システム:生体認証データに基づいて人々をカテゴリーに割り当てることを目的とした AI システム。
- 生体認証:個人の生体認証データとデータベースに保存されている個人の生体認証データを比較することにより、人間の身体的、生理学的、行動的、心理的特徴を自動認識して個人を識別する。
- 生体認証の検証:生体認証データと以前に提供された生体認証データを比較することによる、人物の身元の自動化された 1 対 1 の検証 (認証を含む)。
- 感情認識システム:生体認証データに基づいて人々の感情や意図を識別または推測するために使用される AI システム。
- 機密の運用データ:刑事犯罪の防止、発見、捜査、または訴追の活動に関連するデータ。その開示により刑事訴訟の完全性が危険にさらされる可能性があります。
- 公共のアクセス可能なスペース:不特定多数の人がアクセスできる公的または私有の物理的な場所。
- 遠隔生体認証システム:生体認証データを参照データベース内の生体認証データと比較することにより、通常は離れた場所で、積極的に関与することなく人々を識別するために使用される AI システム。
- リアルタイムの遠隔生体認証システム:生体認証データの取得、比較、識別が大幅な遅延なし、または短時間の遅延で即座に識別できるリモート システム。
セキュリティ担当者がすでに知っておくべきもう 1 つの概念は、リスクベースのアプローチを取ることです。これは、AI の規制に関して EU AI 法がまさに行っていることです。人間に対する潜在的なリスクに基づいてテクノロジーに対する義務を課そうとしている。
- 最小限のリスク:リスクが低い AI システムに対する義務はありません。
- 限定的なリスク:人間と対話してコンテンツを生成する AI システムの透明性要件。
- 高リスク:人々の安全や基本的権利に悪影響を及ぼす可能性のあるシステムの規制。
- 許容できないリスク:人々の安全、生活、権利に対する明らかな脅威とみなされる、有害な AI 行為を禁止します。
EU で現在使用されているほとんどの AI システムは、最小限のリスクのカテゴリに分類され、EU AI 法に基づく追加の義務はありません。チャットボットなどのリスクが限定された AI アプリケーションについては、AI 法により、人間がチャットボットと対話していることを認識できるようにするための透明性要件が導入されています。プロバイダーは、AI を使用して生成されたテキスト、オーディオ、ビデオ コンテンツにもラベルを付ける必要があります。
アライド ユニバーサルの最高技術責任者であるマーク マリソン氏は、EU が採用しているリスクベースのアプローチは非常に興味深いと感じていると述べています。
「これは物事を捉えるのに有用な方法だと思います。AI やさまざまな AI モデルやシステムがその階層構造のどこに位置するかに基づいて、徐々に監視と規制が強化され、最上位の例では使用が禁止されることもあります」とマリソン氏は言います。 「これは非常に興味深いアプローチです。非常によく考えられており、徹底的に行われているので、どのように展開するか見ていきます。」
このアプローチの鍵は、特定の AI システムがどのように使用されているか、そしてそれがもたらす潜在的なリスクに焦点を当てることです。たとえば、セキュリティ担当者がリソースの割り当てや人員配置の決定に関して活用した予測を考えてみましょう。
「顧客が請求書に異議を申し立てるかどうかを予測変数が教えてくれるなら、それはリスクが非常に低く、あまり見落とされる必要はありません」とマリソン氏は説明する。 「同じテクニックを、請求書の支払い遅延を予測するのではなく、その人がその仕事に適しているかどうかを予測するために使用すると、リスク階層の分類が引き上げられ、より多くの注目が集まることになります。それは実際にはアプリケーション次第です。」
容認できないリスク
EU委員会によると、「政府による社会的スコアリングから、危険な行動を促す音声支援を使用する玩具に至るまで、人々の安全、生活、権利に対する明らかな脅威」であるAIシステムは禁止される。
EU AI 法の条文をセキュリティの観点から見ると、この法律は、人々を分類するために使用される可能性のある特定の AI アプリケーションを EU 市場から禁止しています。
ソーシャル スコアリング システムなど、一部の容認できない AI アプリケーションは、本来の収集目的とは異なるデータを使用しており、人々に不利益または不利益な扱いをもたらす可能性があります。リスク評価に使用される AI システムも、個人が犯罪を犯す可能性を評価するために使用される場合には、許容できないリスクのカテゴリに分類される可能性があります。ただし、この法律は、犯罪行為に関与した人物の人による評価を支援するためにこの種のシステムを使用する場合に例外を設けています。
その他の禁止事項には、顔認識データベースを作成または拡張する AI システムの禁止が含まれます。顔画像の対象外のスクレイピング「インターネットまたはCCTV」の映像より、この行為は「大規模な監視の感覚を増大させ、プライバシーの権利を含む基本的権利の重大な侵害につながる可能性がある」とこの法律は説明している。
テクノロジー規制には、イノベーションの促進と国民の保護との間のバランスが必要である、とアクシス コミュニケーションズの南北アメリカ担当副社長フレドリック ニルソン氏は述べています。
「ビデオ監視に関して言えば、米国の一部の州や都市で見られたのと同様に、EU AI 法は公共の場所での顔認識の使用にいくつかの制限を設けています」とニルソン氏は付け加えました。 「テクノロジーではなくアプリケーションに基づいていくつかの区別が行われていることを確認するのは良いことです。顔認識は、Face ID などのアプリケーションや、空港のセキュリティや国境管理などの業務運営で、私たちのほとんどによって毎日使用されていることを覚えておくことが重要です。」
医療または安全上の理由で使用される場合を除き、職場や教育機関で人々の感情を推測するために使用される AI システムも、容認できないリスク リストに含まれています。
セキュリティ担当者が検討すべき主な領域は、生体認証分類システムの使用です。これらは現在、人々の生体認証データを使用して人種、政治的意見、労働組合への加入、宗教的または哲学的信念、性生活、または性的指向を推測する場合、容認できないリスクのカテゴリーに分類されます。法執行機関が合法的に取得した画像を含む生体認証データセットには例外があります。
アクシス コミュニケーションズのプラットフォーム テクノロジ担当ビジネス開発マネージャー、クアン トリン氏は、EU AI 法が AI ベースの生体認証識別システムの導入と使用にどのような影響を与えるかを判断するのは難しいと述べています。
「とはいえ、生体認証データは多くの消費者向けおよび商用システムで使用されているため、法律の施行中に民間団体からのフィードバックが増えると予想しています」と、共同議長でもあるトリン氏は付け加えます。運営委員会。 「この議論は、安全性とセキュリティ システムのコンポーネントとして生体認証データの安全かつ合法的な使用を確保するために、リスク評価を促進し、プライバシー上の懸念に対処することになるでしょう。」
この法律では、法執行目的で公共のアクセス可能な空間で人の「リアルタイム」遠隔生体認証に AI システムを使用することは一般的に禁止されています。ただし、この規則には例外もあります。法執行機関は、報告された行方不明者や人身売買の被害者などの犯罪被害者の捜索など、定められた状況でリアルタイムの身元確認を使用できます。テロ攻撃を含む、人々の生命または身体の安全に対する脅威。司法当局または独立した行政当局の許可を得て、指定された刑事犯罪の加害者を特定する。
法執行機関も、ターゲットの身元を確認するためにこれらのシステムを導入することに限定されており、システムの使用時間、地理、個人の範囲にも追加の制限が設けられています。
「公共のアクセス可能な空間でのリアルタイム生体認証システムの使用は、関連する法執行機関が基本的権利影響評価を完了し、…この規制に規定されているようにシステムをデータベースに登録した場合にのみ許可されるべきである。」
その後、国家市場監視当局と国家データ保護当局は、法執行機関がリアルタイム生体認証システムをどのように使用しているかに関する年次報告書を欧州委員会に提出する必要があります。
これらの規定が今日の民間の警備活動にどのような影響を与えるかは不明ですが、マリソン氏は、人々がより高度なセキュリティ方法を使用して探索する方法に影響を与える可能性があると述べています。
「たとえば、最先端のセキュリティ プログラムの中には、個人と行動を理解しようとするものもあります」と彼は説明します。 「ビデオ分析を通じて、興奮している人を探したり、特定の特徴に当てはまる人を探し始めた場合、アプリケーションは高リスクのカテゴリーに分類される可能性が高く、何が起こっているかの詳細に応じて、それが禁止されるか、多大なオーバーヘッドと監視が発生することになります。」
高リスク
EU AI 法は、使用されるセクターに部分的に起因して、高リスク AI システムを分類しています。重要なインフラストラクチャ、教育または職業訓練、製品の安全コンポーネント、雇用、必須の民間および公共サービス、法執行機関、国境警備管理、司法および民主的プロセスの管理で使用される AI テクノロジーは、高リスクとみなされる可能性があります。
これらの種類の AI システムは、リスク管理システム、データ ガバナンス要件、技術文書の義務、生涯にわたる記録保持、導入者の要件に対する透明性、人間による監視措置、正確性、堅牢性、サイバーセキュリティ要件などの必須要件を満たしている場合にのみ EU 市場に投入され、使用できます。
これらの要件は、AI を使用してタスクを移動または完了するロボットにも影響を与えますが、今後は特定の高リスク要件が適用されることになります。
「例えば、自律性が高まるロボットは、製造や個人支援やケアの文脈であっても、複雑な環境でも安全に動作し、その機能を実行できる必要がある」とこの法律は説明している。
依存するシステム生体認証データは機密の個人データが含まれているため、高リスクとして分類されています。たとえば、システムが不正確な結果を生成すると、偏った結果や、差別的影響個人の場合。しかし、この分類は普遍的なものではありません。
「サイバーセキュリティおよび個人データ保護対策を可能にする目的のみで使用されることを意図した生体認証システムは、高リスクのシステムとみなされるべきではない」とこの法律は明確にしています。
生体認証システムを高リスクとして分類すると、ヨーロッパでの使用に大きな影響を与えるとレシュ氏は言います。
「企業はコンプライアンスの厳格化に直面し、コストの増加とより強力な監視の必要性につながるでしょう」と彼は説明します。 「この法律は公共の場での生体認証の使用を制限しており、企業は代替のセキュリティ方法を模索するか、コンプライアンスの範囲内で革新することを余儀なくされています。」
これは、より高いコンプライアンスコストを吸収できる大企業にとっては役立つかもしれないが、市場の小規模なプレーヤーを脇に追いやることになる可能性があるとレシュは付け加えた。
この法律は公共の場での生体認証の使用を制限しており、企業は代替のセキュリティ方法を模索するか、コンプライアンスの範囲内で革新するよう求められています。
「しかし、これらの規制は、プライバシーと倫理基準に沿って生体認証技術が透過的かつ安全に使用されることを保証することで、消費者の信頼を高める可能性もあります。」とレシュ氏は言います。
重要なインフラを管理または運用する AI システムも、潜在的に障害が発生すると人々の生命と健康を大規模に危険にさらす可能性があるため、高リスクのシステムとみなされます。しかし、この法律は、「サイバーセキュリティ目的のみに」使用されるコンポーネントは安全コンポーネントとして認定されず、したがって高リスクのシステムとはみなされないという例外を設けています。
「そのような重要なインフラストラクチャの安全コンポーネントの例には、水圧を監視するシステムや、クラウド コンピューティング センターの火災警報器制御システムが含まれる可能性があります。」
雇用関連の AI システム、特に採用、昇進、解雇のプロセスに使用されるシステムは、個人の将来のキャリアの見通し、生計、または労働者の権利に影響を与える可能性があるため、高リスクのマークを満たしています。
さらに、緊急通報の分類と評価(緊急対応サービスの派遣の優先順位の確立など)に使用される AI システムは、人々の生命と健康、そしてその財産にとって重要な状況で使用されるため、高リスクのしきい値を満たしています。
この投稿を Instagram で表示
法律の遵守
カナダに本拠を置く GardaWorld が所有する Crisis24 で、Lesch 氏は、同社が EU AI 法発効時にどのように準拠を維持するかを合理的に説明しています。これには、自社の AI システムが高リスクのカテゴリーに該当するかどうかを判断するためのリスク評価の実施と、すべての AI 関連の運用を法の要件に合わせるための包括的な戦略の開発が含まれます。
「これには、AI 導入戦略の見直し、プラチナ レベルのデータ保護の維持、透明性のある AI 意思決定プロセスの実装が含まれる可能性があります。」
Crisis24 は、AI システムが合法的、透明性のある安全な方法で使用されることを保証するために、データの品質、保管、処理に関する同法の規定を遵守するためにデータ ガバナンス プロトコルを強化します。 Lesch 氏は、同社は倫理的な AI フレームワークを維持し、従業員がこの法の要件とコンプライアンス手順を確実に認識できるようにトレーニング プログラムを継続すると述べています。
追加の取り組みには、サードパーティ ベンダーが同法に準拠していることを確認すること、会社の AI システムの準拠性を継続的に監視するためのメカニズムを設定すること、AI 法の施行に合わせて進化するように Crisis24 のコンプライアンス対策を更新するために法律の専門家と継続的に協力することが含まれます。
アライド ユニバーサルは米国の会社ですが、EU 加盟国を含む世界 90 か国で事業を展開しており、80 万人以上の従業員を抱えています。 AI テクノロジーを取得するか、独自の AI テクノロジーを構築して適用する場合、EU AI 法の遵守を考慮する必要があるとマリソン氏は言います。
「私たちはそのことについてはそれほど心配していません。なぜなら、私たちは当初から透明性と倫理性を保ち、正しいことを行っていることを社内で確認するガバナンスプロセスを確立することに努めてきたからです。」と彼は付け加えた。
アライドには、法務、人事、コンプライアンス、オペレーション、テクノロジーの各チームの関係者が集まって AI への取り組みを議論、評価する社内ガバナンス プロセスがあり、要件を満たし、AI に対する倫理的アプローチが一致していることを確認します。
たとえば、アライドは、新型コロナウイルス感染症のパンデミックが始まったばかりの 2020 年に、求職者の選別を支援する AI モデルである AU Hire Smart の使用を開始しました。求人に応募する際、応募者は従来の対面面接、他の人とのビデオ面接、または AI システムによって最も適した職種であるかどうかを評価されるビデオ面接をスケジュールできます。応募者の約 3 分の 1 が、採用プロセスの迅速化を目的とした AI 評価の面接オプションを選択しています。
「それが行うことは、審査プロセスを通過し、誰かを列の先頭に連れて行くことです」とマリソン氏は言います。 「当社の既存の優秀なセキュリティ専門家数千人に尋ねた、慎重に作成された一連の質問に基づいてモデルをトレーニングしました。」
これらの回答に基づいて、AU Hire Smart は人々が非常に適しているかどうかを分類します。 AI によるスクリーニングの後、人間が次のステップを実行して、応募者を採用プロセスに進めます。
会社のプロセスの一環として、システムを定期的に見直して、候補者に悪影響を与えていないことを確認すると同時に、候補者を潜在的な適合性に合わせて分類する方法について適切かつ公正な決定を下し続けます。
「AI の影響を評価するには、実際には 2 つの側面があります」と Mullison 氏は言います。 「避けるべき構造を確実に構築しなければならないという潜在的なマイナス面もありますが、そうすることで、意思決定が自分の望む方法で行われていることを一貫して理解できるなど、多くのプラス面が得られます。」
一方、アクシスでは EU AI 法の発展を注意深く監視し、当局や議員にフィードバックを提供しているとニルソン氏は言います。
「グローバル企業として、アクシスはもちろん、地域および世界のすべての規制を遵守することに努めており、EU AI 法も例外ではありません。」とニルソン氏は付け加えました。 「私たちは、EU の規制を世界レベルで慎重に導入することで、GDPR に対しても同様のアプローチを採用しました。」
将来の影響
EU AI 法は、EU の官報に掲載されてから 20 日後に発効します。発効から 6 か月後、許容できないリスク AI に対する同法の禁止事項が発効し、追加の施行日は 2030 年まで延長されます。EU AI 法の範囲の広さと施行までの長いスケジュールを考慮すると、この法律がヨーロッパおよびその他の地域の安全保障環境にどのような影響を与えるかを理解するには時間がかかるでしょう。
「それは非常に広範囲で、非常に徹底的であり、一方ではそれが良いことです」とマリソン氏は言います。 「しかし、これほど大きな変更を加えるたびに、それがさまざまなユースケースの詳細を満たす場合、その影響はまだわかりません。」
国際プライバシー専門家協会 (IAPP) AI ガバナンス センターのマネジング ディレクターであるアシュリー カソバン氏は、AI 法は特定の分野 (法執行機関が警察が生体認証システムを警察活動に使用できる方法など) では非常に具体的だが、その他の分野ではあまり詳しくない、と述べています。彼女は、基準の開発を含む法律の施行において、より多くの情報と詳細が明らかになるだろうと予想しています。
「EU AI 法では、さまざまなタイプの AI システムとそれらが使用されている状況が存在することが特定されているため、画一的なリスク評価を行うことは、標準を作成するのが難しいでしょう。」と彼女は説明します。
EU 委員会は、AI システムの定義方法、高リスク AI の基準とユースケース、システミック リスクを伴う汎用 AI モデルのしきい値に関する委任法を発行する権限を持っています。委員会は、高リスク AI、透明性義務、禁止されている AI 慣行などの要件の実装に関するガイダンスも提供できます。
レシュ氏が変化を予想している分野の1つは、企業が生体認証システムをどのように使用するかである。同氏は、欧州の組織が、より煩わしくない代替の認証テクノロジーを採用する可能性が高いと予想している。これらには、モバイルベースの認証、物理セキュリティ トークン、暗号ベースの方法、ワンタイム パスワードが含まれる可能性があります。
欧州外では、多国籍企業は、自社が適用される最も厳しい規制(多くの場合は EU の規制)に準拠する統一的な AI ポリシーを採用する方が現実的であると考えるかもしれない、とレシュ氏は述べています。同氏はまた、AIコンポーネントやソフトウェアを製造する企業は自社の製品がEUの規制に準拠していることを確認する必要があるため、この法律が世界のサプライチェーンに影響を与える可能性があると予想している。
「これには多大なコストがかかる可能性があります。あるいは、より厳しい規制が適用される地域と取引するのはコスト的に無理だと企業が判断するかもしれません」とレシュ氏は付け加えた。
EU AI 法は、AI 研究開発が焦点を当てている地域の将来にも影響を与える可能性があります。
「これにより、世界の研究開発の進展が規制の緩い国に移り、軍事、経済、地政学分野にわたる地政学的な力のバランスに重大な混乱を引き起こす危険性がある」とレシュ氏は言う。 「EU AI 法の直接的な法的管轄権は EU に限定されていますが、これらの間接的な影響は、世界中で AI、特にセキュリティと生体認証の開発と使用の方法に広範な変化をもたらす可能性があります。」
Trinh 氏は、EU AI 法は世界的な理解を生み出し、データ品質、プライバシー、透明性、相互運用性に関する国際標準の確立に役立つ可能性があると付け加えました。
「確かなことは、EU AI 法が AI に焦点を当てており、EU を超えたガイドラインや規制を奨励することになるということです。」とトリン氏は言います。
これにより、世界の研究開発の進展が規制の緩い国に移り、軍事、経済、地政学分野にわたる地政学的勢力バランスに重大な混乱が生じるリスクが生じる可能性があります。
さらに、Trinh 氏は、GDPR が欧州外のデータ プライバシー規制に与えたのと同様の影響を EU AI 法が AI 政策に与えると予想していると述べています。
「世界はますます相互接続されており、テクノロジー ソリューションは世界中の視聴者にサービスを提供しています。そのため、同じ高い倫理基準がどこにでも存在する必要があります。」とトリン氏は付け加えます。 「さらに、国立標準技術研究所 (NIST) などの機関は、AI コミュニティと協力して、AI システムの正確さ、信頼性、安全性を確保するための技術要件を構築しています。新しい標準の出現に伴い、規範的な効果が生じる可能性が高く、今後もそうなるだろうと言うだけで十分でしょう。」
ミーガン・ゲイツはセキュリティ・テクノロジーの編集長であり、の上級編集者です。セキュリティ管理。彼女と連絡するには[email protected]または上スレッドまたは X: @mgngates で彼女をフォローしてください。
