ISO 31000を用いて解説、AIシステムのリスクマネジメントのためのガイダンスを公表 欧州データ保護監督機関
欧州データ保護監督機関(EDPS)は11月11日、欧州連合(EU)の公的機関がAIシステムを開発・調達・展開する際にデータ管理者としてEUDPRに基づく義務を遂行できるよう、ガイダンスを公表しました。このガイダンスは公的機関向けですが、EUDPRとGDPR(一般データ保護規則)は公平性、正確性、データ最小化、セキュリティおよびデータ主体の権利といったデータ保護の基本原則が共通しているため、AIシステムを開発・調達・展開する民間企業にとっても参考になります。
公表されたガイダンスは「Guidance for Risk Management of Artificial Intelligence systems」(PDF文書、全55ページ)です。EUの公的機関が、個人データの処理を伴うAIシステムを開発・調達・展開する際にどのようなリスクがあり、どのようにリスクを軽減できるかをISO 31000のフレームワークを説明した上で解説しています。
個人データの処理を伴うAIシステムを活用する場合、データ主体の基本的権利を侵害する恐れ(リスク)があります。AIにはバイアスがあったり、ハルシネーションや不正確な予測を行ったりする可能性があるためです。
EUの行政機関はデータ管理者としてEUDPRの適用を受けます。EUDPRとは「Regulation(EU)2018/1725」のことであり、EUの公的機関を対象としたデータ保護規則です。EUDPRには、説明責任(アカウンタビリティ)の原則があります。ガイダンスはこのアカウンタビリティの履行を支援する目的で作成されました。
具体的には、EUの公的機関はリスク特定とリスク軽減措置、そしてこれらリスクをどのように特定してコントロール(軽減)したのか(措置の有効性)を証明する責任を負っています。
ガイダンスでは、ISO 31000に準拠したリスク管理プロセスの「リスク特定」と「リスク対応」のフェーズに焦点を当て、データ保護原則の不遵守という具体的なリスクと、その軽減に向けた技術的コントロール(対策)を示しています。
ガイダンスは本編(セクション1~6)と付録(Annex)で構成されています。付録(Annex 1)では、AIシステム(AIモデル)の性能と有効性を評価するためのメトリクス(評価基準)とベンチマークを説明しています。メトリクスとベンチマークは自然言語処理や画像認識といったAIのタイプ別に整理されています。
付録(Annex 2)では、懸念事項(Concerns)という大分類の下に、どのようなリスクが存在するのかを簡潔にリストアップした概要一覧が掲載されています。EUDPRが求める原則の違反につながってしまう、具体的な事象(リスク)との対応関係がわかります。
付録(Annex 3)では、AIシステムのライフサイクルにおいて、開発段階と調達段階で発生する可能性があるリスクに関するチェックリストが提供されています。
