規制・倫理・ガバナンス
AI倫理の基本原則、EU AI Act、米コロラド州AI法、日本のAI法、AI事業者ガイドライン、組織のガバナンス。すべて公式テキストの出典URL付きで整理する。
生成AIの影響力が増すにつれ、「どう正しく使い、どう統制するか」という問いが重要になっています。本章では、AI倫理の基本原則、世界の規制動向(公式テキストの出典URL付き)、組織のガバナンスを整理します。
AI倫理の基本原則
多くの団体・政府が掲げるAI倫理の原則は、おおむね次の柱に集約されます。これらは個別の法律以前の 「考え方の土台」 で、規制が追いつかない領域での自主的な判断基準として機能します。
6つの主要原則
| 原則 | 内容 | 実務での問い |
|---|---|---|
| 公平性(Fairness) | 特定の属性(性別・人種・年齢等)に不当な不利益を与えない | 自社の評価セットで属性別の出力差を測れているか? |
| 透明性(Transparency) | AI が使われていること、判断の根拠を可能な範囲で明らかにする | ユーザーは「これは AI の判断」と気づけるか? |
| 説明責任(Accountability) | 結果に対して責任の所在を明確にする | 誤判定が起きた時、誰が説明するのか決まっているか? |
| プライバシー(Privacy) | 個人データを適切に保護する | 学習データ・推論データの保存ルールはあるか? |
| 安全性・頑健性(Safety & Robustness) | 誤作動や悪用に備える | プロンプトインジェクション・データ汚染への対策は? |
| 人間中心(Human-Centered) | 最終的な判断と責任は人間が持つ | 「人間の最終承認」プロセスが業務に組み込まれているか? |
主要な国際的枠組み
これらの原則は、複数の国際機関・政府が独立に整理しましたが、内容は驚くほど 似通っています。代表的なものを挙げます。
- OECD AI 原則(2019年):包摂的成長、人間中心の価値、透明性・説明可能性、頑健性・セキュリティ・安全性、説明責任。日本を含む 40+ カ国が採択。OECD 公式
- UNESCO AI 倫理勧告(2021年):人権・尊厳の尊重、環境配慮、多様性・包摂、平和。193 加盟国が採択。UNESCO 公式
- G7 広島AIプロセス・行動規範(2023年):高度AIシステム開発者向けの自主的行動規範。外務省: 広島AIプロセス
- NIST AI Risk Management Framework(2023年、米国):リスクベースの実務指針。NIST AI RMF
- 日本:人間中心のAI社会原則(2019年内閣府):人間中心、教育・リテラシー、プライバシー、セキュリティ、公正競争、公平性・説明責任・透明性、イノベーション。内閣府公式PDF
EU — AI Act(Regulation (EU) 2024/1689)
世界初の包括的なAI規制法。AIシステムをリスクの大きさで分類し、リスクが高い用途ほど厳しい要件を課す リスクベース・アプローチ を採用しています。
リスク4階層と義務(要約)
| 階層 | 例 | 主な義務 |
|---|---|---|
| 禁止(Unacceptable) | 社会的スコアリング、サブリミナル操作、リアルタイム遠隔生体識別(原則) | 利用・提供禁止(Art.5) |
| 高リスク(High) | Annex III:採用、信用評価、教育評価、重要インフラ、移民・国境管理、司法 / Annex I:医療機器・玩具など製品安全関連 | 適合性評価、リスク管理、データガバナンス、技術文書、ログ保持、人間の監督、CEマーキング |
| 限定的リスク(Limited) | チャットボット、感情認識、ディープフェイク | 透明性義務(AI生成と分かるラベル、AI使用の通知) |
| 最小リスク(Minimal) | スパムフィルタ、ゲームAI | 義務なし(任意の行動規範) |
汎用AI(GPAI)モデル規制(2025年8月施行)
ChatGPT、Claude、Gemini、Llama 等を念頭に置いた規定。
全GPAIモデル提供者の義務:
- 技術文書の作成・保持(モデル能力、訓練プロセス、評価結果)
- 下流の提供者向け情報開示
- EU 著作権法の遵守(オプトアウト尊重)
- 訓練データの 十分に詳細な要約 を公開
システミックリスク GPAI(訓練計算量 ≥ 10²⁵ FLOP)の追加義務:
- モデル評価(敵対的テスト含む)
- システミックリスクの評価・軽減
- 重大インシデントの AI Office 報告
- サイバーセキュリティ保護
GPAI Code of Practice(行動規範)が EU AI Office 主導で策定されており、これを順守すれば適合推定が得られます。
制定経緯と公式テキスト
- 採択・署名:2024年6月13日(欧州議会および理事会)
- 官報(OJ)公表:2024年7月12日(OJ L, 2024/1689, 12.7.2024)
- 発効:2024年8月1日(公表20日後、Article 113)
公式テキスト:EUR-Lex Regulation (EU) 2024/1689
段階的施行スケジュール(Article 113)
| 日付 | 適用される条項 |
|---|---|
| 2025年2月2日 | Chapter I(総則)および Chapter II(Article 5:禁止されるAIプラクティス=「許容できないリスク」)。社会的スコアリング、サブリミナル操作、無差別な顔画像スクレイピング等が禁止 |
| 2025年8月2日 | 汎用AI(GPAI)モデル規制、ガバナンス規定、罰則規定(Article 99) |
| 2026年8月2日 | Annex III の高リスクシステムを含む大半の規定 |
| 2027年8月2日 | Annex I(製品安全関連)の高リスクシステム |
2026年5月時点で施行済:禁止AIプラクティス(2025年2月〜)、GPAI規制・罰則(2025年8月〜)。Annex III の高リスク本体は まだ施行されていません(2026年8月開始予定)。
制裁金(Article 99)
3段階の階層構造で、いずれも「金額または売上高比率の高い方」が適用されます(中小企業・スタートアップは低い方)。
- 禁止AIプラクティス(Article 5)違反:最大 3,500万ユーロ または 全世界年間売上高の7%
- その他の義務違反(高リスク規制等):最大 1,500万ユーロ または 売上高の3%
- 不正確・誤解を招く情報の提供:最大 750万ユーロ または 売上高の1%
米国 — 連邦の大統領令と州法のパッチワーク
米国は包括的AI規制法を持たず、大統領令(Executive Order)と分野別の既存法・州法の組み合わせ で対応しています。政権交代で方針が大きく変わる点が特徴です。
Biden 政権:EO 14110(2023年10月30日)
「Safe, Secure, and Trustworthy AI」大統領令。主要要素:
- 大規模基盤モデル(10²⁶ FLOP 以上または 10²³ FLOP の生物学関連)のレッドチーミング結果を商務省に報告(Defense Production Act 援用)
- NIST に AI Safety Institute 設立を指示
- 連邦各省庁に AI 調達・人事ルール整備を命令
Trump 政権:撤回と再構築(2025年1月以降)
- EO 14148(2025/1/20):Biden の EO 14110 を撤回
- EO 14179(2025/1/23):“Removing Barriers to American Leadership in AI”。OMB に180日以内の規制レビューを指示
- 2025年7月「America’s AI Action Plan」公表:輸出促進、規制緩和、対中技術競争を柱とする
実務上の含意:連邦の規制方向性が後退する一方、州レベル(コロラド、ユタ、カリフォルニア、テキサス、イリノイ)の規制は加速。州ごとのパッチワーク対応が当面の現実です。
出典:EO 14148(Federal Register) / NIST AISI
コロラド州 AI 法 — SB24-205 から SB 26-189 への廃止・置換(参照日 2026-06-11)
コロラド州は EU 型のリスクベース AI 規制を試みた最初の米州法 SB24-205 を、施行直前に廃止し、より狭い ADMT 透明性法 SB 26-189 へ置換 しました。この経緯自体が「米国は連邦・州いずれも EU 型包括規制から後退している」現象の象徴的事例です。
旧法 SB24-205(廃止済み)
- 2024年5月17日 Polis 知事署名(成立)
- 当初施行予定 2026年2月1日 → SB25B-004(2025年8月28日署名)で 2026年6月30日 へ延期
- 内容:雇用・教育・金融・医療・住宅・刑事司法など消費者生活に重大影響を及ぼす 高リスクAI に対し、アルゴリズム差別から消費者を保護する「合理的注意(reasonable care)義務」 を開発者・配備者双方に課す EU 型枠組み
施行直前の経緯と廃止(2026年4〜5月)
- 2026年4月初旬:xAI が SB24-205 の執行差止を求めて提訴
- 2026年4月24日:米司法省(DOJ)が訴訟に介入(州 AI 法への連邦介入は初の事例)
- 2026年4月27日:コロラド連邦地裁の Magistrate Judge Cyrus Y. Chung が両当事者合意の joint motion を認め、執行を停止
- 並行してコロラド州議会が置換法 SB 26-189 を可決、2026年5月14日に Polis 知事が署名。SB24-205 は廃止・置換
新法 SB 26-189(“Automated Decision-Making Technology”)
- 規制対象を ADMT(automated decision-making technology)に縮小:EU AI Act 型の「高リスク AI システム」枠組みから、通知・透明性中心の大幅に狭い枠組み へ
- 対象判断:雇用・住宅・金融・保険・医療・教育・必須公共サービスへのアクセス/適格性に影響する “consequential decisions”
- 主な義務:開発者には技術文書と配備者への更新通知、配備者には消費者への通知と「意味のある人間による不利益決定の事後レビュー権」付与
- 発効:2026年8月12日(safety clause なし)。実質的な遵守要件は 2027年1月1日から開始
出典:Colorado General Assembly 公式 SB 26-189 / SB24-205(旧法) / SB25B-004(延期法) — 参照日 2026-06-11
日本 — AI法と事業者ガイドライン
AI法(人工知能関連技術の研究開発及び活用の推進に関する法律)
日本では2025年に 「人工知能関連技術の研究開発及び活用の推進に関する法律」(令和7年法律第53号) が成立しました。EUのような包括的なリスク規制ではなく、研究開発・活用の推進と適正な利用のための基本理念・国の責務・AI戦略本部の設置などを定める基本法的な性格を持ちます。
AI 法の主な内容
基本法的な性格ながら、実務に効く要素:
- 基本理念:研究開発・活用の推進、人権擁護、国際協調
- 国の責務:基本計画策定、関連施策の総合調整
- AI戦略本部:内閣総理大臣を本部長、全閣僚で構成(2025年9月設置)
- 事業者の責務(努力義務):適正な研究開発・活用、政府への協力
- 国の調査・指導:適正でない利用に対し、国は事案を調査し、事業者の協力を求め、結果を公表できる(罰則なし、レピュテーション制裁型)
罰則がないため EU AI Act 型の 直接強制力はない ものの、「公表」が事実上の制裁となる構造です。
- 成立:2025年5月28日
- 公布・一部施行:2025年6月4日
- 全面施行:2025年9月1日(AI戦略本部設置含む)
出典:e-Gov法令検索(令和7年法律第53号) / 内閣府 AI法ページ
人工知能基本計画
AI法に基づく国の基本計画として、2025年12月23日に 「人工知能基本計画」(副題「『信頼できるAI』による『日本再起』」)が閣議決定されました。
出典:人工知能基本計画 全文PDF(2025/12/23閣議決定)
AI事業者ガイドライン
法令とは別に、開発者・提供者・利用者向けのソフトロー(非拘束的指針)として、総務省・経済産業省が 「AI事業者ガイドライン」 を整備しています。
- 第1.0版:2024年4月
- 第1.1版:2025年3月28日
- 第1.2版:2026年3月31日(2026年5月時点の最新)
出典:AI事業者ガイドライン 第1.2版(2026/3/31)
AI 事業者ガイドラインの構造
- 第Ⅰ部:AIとは/背景
- 第Ⅱ部:AIにより目指す社会と各主体が取り組む共通指針
- 第Ⅲ部:AI 開発者 に関する事項
- 第Ⅳ部:AI 提供者 に関する事項
- 第Ⅴ部:AI 利用者 に関する事項
共通の指針10項目:人間中心、安全性、公平性、プライバシー保護、セキュリティ確保、透明性、アカウンタビリティ、教育・リテラシー、公正競争確保、イノベーション。
主体別の例:
- 開発者:データ品質確保、評価、文書化、説明性確保
- 提供者:利用規約、ユーザーへの情報提供、フィードバック収集
- 利用者:適切な利用、入力データ管理、出力結果の検証
別添(ハンドブック)で具体的なリスク事例とチェック項目が示されており、実務はこちらを参照するのが定石です。
英国 — Pro-innovation アプローチ
英国は EU や米国とは対照的に、単一の包括的 AI 規制法を作らない という方針を取っています。
政府方針(2023年3月白書 “A pro-innovation approach to AI regulation”)
「5つの横断的原則」を既存の規制当局(金融、医療、データ保護等)が 業界別に解釈・適用 する分散モデル:
- Safety, security & robustness(安全性・セキュリティ・頑健性)
- Appropriate transparency and explainability(適切な透明性と説明可能性)
- Fairness(公平性)
- Accountability and governance(説明責任とガバナンス)
- Contestability and redress(異議申し立てと救済)
AI Security Institute(AISI、旧 AI Safety Institute)
2023年11月の Bletchley Park AI Safety Summit で設立。フロンティアモデルの 事前評価 を行う世界初の政府機関。OpenAI、Anthropic、DeepMind 等から モデル発表前の評価アクセス を得る合意を締結。
2024年5月の Seoul AI Summit で米国 AISI と協力協定、その他多国と AISI ネットワークを形成。2025年2月14日に「AI Safety Institute」から「AI Security Institute」へ改名(略称 AISI は維持。国家安全保障の観点を強める方針転換)。
出典:UK Government: Pro-innovation AI approach / AI Security Institute 公式
中国 — 急速な規制整備
中国は 2023年以降、世界で最も早く包括的な生成AI規制を整備 した地域です。
「生成式人工智能服務管理暫行辦法」(生成AIサービス管理暫行弁法、2023年8月施行)
世界初の国家レベル生成AI規制。主な要件:
- 生成AIサービス提供者は アルゴリズム登録(既存の「アルゴリズム推薦管理規定」を準用)
- 学習データは 合法に取得 された必要あり
- 出力は 社会主義的価値観に合致 すべき(中国特有の規定)
- 公開前の セキュリティ評価 実施が必須
主要規制の連動
| 規制 | 施行 | 内容 |
|---|---|---|
| 個人情報保護法(PIPL) | 2021年11月 | GDPR に似た包括的個人情報法 |
| データセキュリティ法 | 2021年9月 | データ分類・国境越え移転規制 |
| アルゴリズム推薦管理規定 | 2022年3月 | 推薦アルゴリズムの登録・透明性 |
| ディープシンセシス規定 | 2023年1月 | ディープフェイクのラベル付け義務 |
| 生成AIサービス管理暫行弁法 | 2023年8月 | 生成AIの包括規制 |
影響
中国国内モデル提供事業者(百度、アリババ、テンセント、字節跳動、DeepSeek、月之暗面等)は厳格な事前評価をクリアした上で提供。海外モデル(GPT、Claude、Gemini)は通常、中国本土から直接利用できません。
セクター別規制
汎用的な AI 規制に加え、特定産業の既存規制が AI 利用にも適用 されることが多くあります。
医療
- 米国 FDA:医療機器に AI を組み込む場合の認可プロセス。2024年末時点で 約 1,016 件のAI/MLベース医療機器 が承認済み(2024年単年で168件追加)(出典:FDA: AI/ML-Enabled Medical Devices)
- HIPAA:患者データを生成AIに投入する際の個人情報保護義務
- 日本:医薬品医療機器等法(薬機法):プログラム医療機器(SaMD)として認可
金融
- 米国 SEC / FINRA:投資助言の AI 利用に既存の Fiduciary Duty が適用
- 欧州 MiFID II:アルゴリズム取引の規制が AI 取引にも適用
- 日本:金融商品取引法・銀行法:AI を使った業務にも従来の規制が適用
法務・採用
- 米国 EEOC:AI 採用ツールが差別禁止法に違反していないかの監督
- NYC Local Law 144(2023年):採用AIを使う場合、事前のバイアス監査義務
データ保護
- EU GDPR:個人データの自動化された意思決定への明示同意と説明権(Article 22)
- 日本:個人情報保護法:個人情報を AI 訓練に使う際の利用目的明示
- 米国:CCPA / CPRA(カリフォルニア州):自動化意思決定への opt-out 権
G7 広島AIプロセス — 国際協調の取り組み
2023年、日本が議長国を務めた G7 で 「広島AIプロセス」 が立ち上がり、高度AIシステムの開発者向け 国際行動規範 と 国際指針 が策定されました。
主な内容(2023年10月合意)
11項目の行動規範で、主要な要素:
- リリース前のリスク特定・評価・緩和
- 脆弱性・悪用パターンの監視と対処
- 透明性の確保、能力・限界の公開
- 責任ある情報共有とインシデント報告
- セキュリティ管理体制
- AI 生成コンテンツの 識別技術(電子透かし等)
- 社会的リスクの優先研究投資
- 国際的標準形成への貢献
法的拘束力はないものの、OpenAI、Anthropic、Google、Microsoft 等の主要企業が支持を表明。EU AI Act の汎用AIモデル規定と連動する形で展開されています。
実際の制裁・執行事例(2024〜2026)
規制は 実際に執行されて初めて意味がある のが現実です。生成AI領域で報じられた主要な事案:
イタリア DPA — ChatGPT 一時停止(2023年3月)
イタリアの個人情報保護当局(Garante)が、ChatGPT について GDPR 違反の疑い で一時的にイタリア国内からのアクセスを禁止。OpenAI が利用規約の明示や年齢確認等を改善し、約1ヶ月後に再開。世界初の主要国レベルでの ChatGPT 規制発動 として注目されました。
その後 2024年12月、Garante は OpenAI に対し 1,500万ユーロの制裁金 を課しました(個人情報の不正処理、未成年保護不備)。OpenAI は不服申立て、ローマ裁判所での司法判断は要追跡。
出典:Garante per la Protezione dei Dati Personali
フランス CNIL — 生成AI開発者向けガイダンス(2025年6月最終版)
フランスの個人情報保護当局 CNIL が、生成AI開発者向けの GDPR 準拠ガイダンスを発表。「学習データに含まれる個人情報の正当な利益(legitimate interest)に基づく利用」について見解を示し、業界に大きな影響を与えました。
出典:CNIL 公式
EU AI Act の初期執行(2025〜)
2025年8月から GPAI(汎用AI)規制と罰則が施行されています。最初の本格的執行事例の発生が業界の注視するところです。
組織のガバナンス
法規制への対応に加え、組織内部での統制も欠かせません。実務では次のような取り組みが基本となります。
- 社内ガイドラインの整備:利用してよいデータと禁止事項を明文化。
- 管理された利用環境の用意:個人アカウントの業務利用を禁止し、機密情報を外部に出さない仕組みを作る。
- 業務プロセスへの組み込み:出力の事実確認や人間による最終承認をフローに組み込む。
- 従業員教育:使い方・リスク・社内ルールの定期的な研修。
実務担当者の最低限チェックリスト
- AI Inventory(台帳):社内で使われている AI システムを棚卸し(提供形態、データ、用途、リスクレベル)
- 適用法令マッピング:各 AI システムに、どの法令・ガイドラインが適用されるか整理(EU AI Act 高リスク該当性、業界規制、GDPR Art.22 等)
- AI Impact Assessment(影響評価):高リスク用途について事前評価(公平性、プライバシー、安全性、説明可能性)
- 責任分界(RACI):開発者、提供者、利用部門、法務、セキュリティの役割明確化
- ベンダー契約のレビュー:データ取扱、IP、出力の権利、損害賠償、サブプロセッサ通知
- インシデント対応プロセス:誤判定・差別・情報漏洩発生時のフロー、当局報告(EU AI Act の重大インシデント報告は15日以内)
- 継続モニタリング:性能ドリフト、苦情、規制動向のレビューを定期化
- 教育:全社向けリテラシー研修+AI 担当者向け規制研修
技術の導入と同時に、これらの「使い方の枠組み」を整えることが、リスクを抑えつつ価値を得る鍵となります。
AI 調達・契約のチェックリスト
ベンダー選定と契約は、内部統制(上述の台帳・影響評価)と並ぶ第二の防御線です。実務で実際に交渉項目になる11条項を、優先度付きで整理します。
必須(外せない7条項)
- データ学習利用の明示禁止:「入力データ・出力データを提供元のモデル訓練に使用しない」を明文化。デフォルトで OFF か、要明示同意か、オプトアウト可か、を契約条項レベルで確認
- データ保管リージョン:日本国内/米国/EU の選択肢、フェイルオーバー時の越境有無。個人情報保護法・GDPR の越境移転規制と直接関わる
- 出力の権利帰属と利用範囲:生成物の著作権がユーザーに帰属するか、商用利用範囲(社内のみ/外部納品可)、二次利用・販売の可否
- 第三者著作権侵害の補償(indemnification):Microsoft 365 Copilot Copyright Commitment 型の補償の有無と適用条件(「ガードレールを有効にしていたか」「悪意の回避をしていないか」が条件に入ることが多い)
- サブプロセッサの通知・同意:提供元が下請けに渡す場合、事前通知(最低30日)と異議申し立て権を確保
- 監査権:年1回程度のセキュリティ監査・SOC 2 Type II / ISO 27001 報告書の取得権
- 退出条項(ベンダーロック対策):契約終了時のデータ削除義務(証明書発行)、エクスポート形式の指定、退出移行支援の期間と範囲
推奨(規模・業種で交渉)
- SLA(稼働率):99.5% 以上が目安。下回った場合の返金額・救済方法。応答遅延に関する SLA はサービスにより未定義のことが多いため要交渉
- インシデント通知:重大インシデント発生時の通知時限(24時間以内が業界標準)、通知範囲(自社のみ/規制当局含む)、原因究明レポートの提供
- モデル変更通知:基盤モデルのバージョンアップ・廃止・置換の事前通知(最低60日)。Sora 2 撤退のような事案 で運用が止まらないよう
- 価格改定条項:API 価格改定の事前通知期限と、改定後の解約権の有無
国内特有の検討事項
- 円建て請求書:日本法人の対応有無、リセラー経由の必要性
- 日本語サポート:第一線サポート言語、エスカレーション SLA
- 国内代理店:Microsoft はパートナー多数、OpenAI / Anthropic はソフトバンク等の限定パートナー
- 会計処理:海外サブスクの源泉徴収・消費税の扱い、リセラー経由での簡素化