企業はAIインシデントにどう備えればよいのか
Jorg Greuel/Getty Images
サマリー:テクノロジーの普及とともに不具合の発生は増えるものだが、これはAIの導入とそれに伴うインシデントに関しても同様である。そこで本稿では、筆者が所属する法律事務所が実施した調査や、AIの法的責任管理に関する経... もっと見る験に基づき、AI関連のインシデントへの対応策を紹介する。 閉じる

AIインシデントのために企業が備えるべき戦略と手順

 テクノロジーの世界で一つ不変のものがあるとすれば、いかなる技術であれ導入が広がれば広がるほど、不具合の発生も増えるという事実である。本稿では、AI関連のインシデントに対してどう取り組むべきか、そして発生時にどう対応すべきかについて述べる。

 本稿の大部分は、筆者が所属する法律事務所ルミノス・ローが米国立標準技術研究所(NIST)のために実施した調査と、AIの法的責任の管理を専門とする我々の企業における取り組みから得た知見に根差している。記事内ではいくつかの具体的なインシデントに言及するが、顧客との守秘義務を守るためにいずれも匿名としている。

従来型のソフトウェアシステム向けのインシデント対応

 従来型のソフトウェアシステム──数千行から数百万行のコードでプログラムされたもの──に向けたインシデント対応は、過去20年の間に成熟分野となり、広く受け入れられている一連の指針がある。しかし、AIインシデントにはそのようなものがない。

 たとえば、グーグルは10年ほど前、写真内の被写体を自動的にラベルづけするツールを開発したが、ツールは一貫して黒人をゴリラとラベルづけしていたことが判明した。従来型ソフトウェアシステム向けのインシデント対応の枠組みは、この種のAIインシデントに対応する人にとっては大して役立たなかっただろう。

 実際、ソフトウェアシステムの「インシデント」とは何かに関する従来の定義でさえ、AIに直接当てはまるものではない。たとえば、NISTは従来のサイバーセキュリティの文脈でインシデントを次のように定義している。

(1)法的権限なしに、情報または情報システムの完全性、機密性、可用性を実際の危機または差し迫った危機にさらす事象。(2)法律、セキュリティポリシー、セキュリティ手順や利用規定に対する違反または差し迫った違反の脅威となる事象。

 この定義は主に、インシデントは悪事を働く悪人によって引き起こされるという概念に基づいている。悪人はたしかに、AIを使って害を生み出したり、AIシステム自体を攻撃したりできる。だがAIシステムは、悪意を必要としない新たな形の害を生じさせるのだ。

 したがって、従来のインシデント対応の指針はAIシステム向けにアップデートされる必要がある。組織はAIインシデントに備えるに当たり、どこから始めるべきなのか。答えはインシデント対応方針にある。

AIインシデントへの対応の準備

 AIインシデントへの対応は、従来のインシデント対応とはさまざまな点で異なるため、企業とインシデント対応要員にとって指針となる独自の方針と手順が求められる。AIインシデント対応方針では以下の事項に取り組む必要がある。