EDPB、GDPR・EU AI規則対応のための、
AI Audit(監査)のチェックリスト等を公表
アンダーソン・毛利・友常法律事務所*
弁護士 中 崎 尚
1 はじめに
2024年6月、European Data Protection Board(欧州データ保護会議(EDPB))は、AIシステムの監査(以下「AI監査」という。)に関するガイダンスとして、監査のためのチェックリスト(Checklist for AI Auditing。以下「AI監査チェックリスト」という。)とプログラム2点(Proposal for Algo-score)の合計3点を公表した[1]。
出典:AI Auditing(EDPB、2024年6月27日)
これらは、データ保護当局とAIシステムを事業に用いる事業者双方が、AIシステムのインパクトおよびEU GDPR・EU AI規則をはじめとする法律に準拠できているか評価するために使用できるものとして作成された。本記事では、AI監査とは何か、AI監査チェックリストを中心に主なポイントを概説する。
2 AI監査とは何か
EDPBはAI監査チェックリストの中で、「……AIシステムを取得し、業務に組み込む場合、監査はデューデリジェンス、異なるシステムやベンダー間の特性の適切な評価と比較を可能にする重要な証拠を提供する」と記述している。言い換えれば、AI監査は、AIシステムを日々の業務に組み込もうとしている企業が、当該AIシステムが自社の業務に組み込むのに適しているか、EU GDPRとEU AI規則に準拠しているかを判断するのに役立つ情報を収集し、評価することを可能にするものである。
3 AI監査のポイント
AI監査の焦点は、AIの開発事業者(デベロッパー)と実装者(デプロイヤー)が、そのシステムの影響が既存の法律、信頼性・安全性のベストプラクティス、社会の期待に沿ったものであることを確認するために、あらゆる異なる段階で必要な措置を講じていることを検証することにある。
注意すべきは、事業者による説明責任原則の実施の枠組みにおける監査プロセスと、データ保護当局が実施する検査・調査は異なる可能性があるという点である。この差違が生じるのは、後者の最終的な目的は、違反の証拠を得るためであること、その範囲がGDPRに限定されており、GDPRは個人データのプロセス(処理)に適用されるものの、技術には適用されないこと、国内法の規制に基づくことが主な原因である。
この記事はプレミアム向け有料記事です
続きはログインしてご覧ください
(なかざき・たかし)
アンダーソン・毛利・友常法律事務所スペシャルカウンセル。東京大学法学部卒、2001年弁護士登録(54期)、2008年米国Columbia University School of Law (LL.M.)修了、2009年夏まで米国ワシントンD.C.のArnold & Porter法律事務所に勤務。復帰後は、インターネット・IT・システム関連を中心に、知的財産権法、クロスボーダー取引を幅広く取扱う。日本国際知的財産保護協会編集委員、経産省おもてなしプラットフォーム研究会委員、経産省AI社会実装アーキテクチャー検討会作業部会構成員、経産省IoTデータ流通促進研究会委員、経産省AI・データの利用に関する契約ガイドライン検討会委員、International Association of Privacy Professionals (IAPP) Co-Chairを歴任。2022年より内閣府メタバース官民連携会議委員。
アンダーソン・毛利・友常法律事務所外国法共同事業 https://www.amt-law.com/
<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。
<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング
* 「アンダーソン・毛利・友常法律事務所」は、アンダーソン・毛利・友常法律事務所外国法共同事業および弁護士法人アンダーソン・毛利・友常法律事務所を含むグループの総称として使用