Wiz
すべての記事

The EU AI Act

Wiz エキスパートチーム
12 分で読めます
AI Security サンプル評価Wiz AI-SPM を試す

EU人工知能(AI)法は、責任ある人間中心のAIを促進するために、欧州連合内でのAIシステムの開発、マーケティング、および使用に関する規則を定めています。 これは、この種の規制としては世界初のものであり、AIガバナンスのグローバルスタンダードを作成する上でEUの先駆的な役割を果たすことを保証します。 AIが社会や個人の権利に与える広範な影響に焦点を当てています。

この投稿では、EUがこの法律を施行した理由、その内容、AI開発者またはベンダーとして知っておくべきこと(コンプライアンスを簡素化するためのベストプラクティスなど)についてお伝えします。 また、AI規制の将来がどうなるかについても触れますが、ネタバレになりますが、近いうちに同様の法律が多数登場する可能性があります。 

なぜEUはAI法を導入したのですか?

制御不能なテクノロジーを題材にしたSF映画を見たことがあるのではないでしょうか。 テクノロジーが引き継いで暴走し、あらゆる種類の荒廃を引き起こします。

AIは、少なくとも今のところ、それはできません。 しかし、それ すでに多くの害を及ぼす可能性があります。 

AIが適切に機能するためには、次の2つの重要な要素が必要です。 モデル は、達成したい結果を提供するために開発者によって構築されています。 次に、開発者は データ これは、モデルが現実の世界で使用するデータにできるだけ近づけます。 

しかし、モデルやデータの信頼性が低い場合、または誰かがそれらを改ざんした場合、AIは適切に機能しません。 CIAの3つ組(機密性、可用性、完全性)を満たさないデータやモデルは、現実世界で壊滅的な結果を招く可能性があります。

  • 不十分なデータや偏ったデータでトレーニングされたAIモデルを搭載した自動運転車を想像してみてください。 車が交通状況を誤って解釈し、怪我や死亡者を出す重大な事故につながる可能性があります。

  • あるいは、AIシステムが医用画像に基づいて病気を診断するかもしれません。 このモデルが偏ったデータや不完全なデータでトレーニングされている場合、または誰かがモデルを改ざんすると、誤診、治療の遅延、さらには死亡につながる可能性があります。

もちろん、それほど壊滅的ではないシナリオの方が可能性が高いです。 もし、営業のチャットボットがサイト訪問者に嘘をつき始めたらと想像してみてください。 それは、販売、運営、さらにはあなたの評判にさえ害を及ぼす可能性があります。 (競合他社の製品を推奨し始めたかのように!

AIリスク また、AIのROIにも深刻な影響を与え、コストを押し上げ、収益を押し下げます。

AIには安全基準が必要であることは、以前から認識されてきました。 そして今、EUは行動を起こすことを決定しました。

GenAI Security Best Practices [Cheat Sheet]

Discover the 7 essential strategies for securing your generative AI applications with our comprehensive GenAI Security Best Practices Cheat Sheet.

Download Cheat Sheet

EU AI法の背後にある理由は何ですか?

EU AI法は、AIアプリケーションを作成する人々がテクノロジーを倫理的に使用できるようにすることを目的としています。 これにより、不正なデータ収集、監視、操作から人々や企業を安全に保ち、差別を防ぎ、AIが透過的に使用されるようにします。 また、AIモデルに問題が発生した場合に社会に広範かつ深刻な影響を与える可能性のある「システミックリスク」を最小限に抑えることも目的としています。 もっと穏やかに、 これらのステップは、AIへの信頼も高めますこれは、開発者やAIプロバイダーにとって非常に良いことかもしれません。

この法律は、ディープフェイクやその他のAIが生成した誤情報など、悪意のある目的でAIを使用することを防止します。 これは、AIソースの開示を義務化することで実現します。 ユーザーに通知しないと、罰金が科せられたり、その他の悪影響が生じたりする可能性があります。 また、各加盟国は、EU AI法の現地展開を監督する国家管轄当局を設立する必要があります。

最も重要なことは、EU AI法では、AIの使用を4つのリスクレベルに分類し(これについては後で説明します)、"許容できないリスク"のあるすべての使用を禁止していることです。 

EUのAI法はどのような背景にあったのですか?

次の図は、EU AI 法の採択までのタイムラインを示しています。 ご覧の通り、この法律はかなり短い時間で施行されました。 

Figure 1: Legislative timeline of the EU AI Act, from proposal to final law

実装タイムライン

EU AI法 すでに発効していますでは、2024 年 8 月から 3 年間の猶予期間があり、完全なコンプライアンスに向けて強化できます。

予想されるタイムラインは次のとおりです。

これがあなたにとって何を意味するかは、実際には非常に簡単です。EU AI法が適用されないと思われる場合でも、確認する必要があります… そして、時間がなくなっています。

Figure 2: Phased implementation stages of the EU AI Act

これがあなたにとって何を意味するかは、実際には非常に簡単です。 EU AI法が適用されないと思われる場合でも、確認する必要があります… そして、時間がなくなっています。

EU AI法には何が含まれていますか?

EU AI法について最初に知っておくべき最も重要なことは、それが域外適用範囲であるということです。 

つまり、EU内の消費者や企業に使用される、または影響を与えるAIシステムを提供する人は、おそらく準拠する必要があるでしょう。

EU AI法は、次のようなさまざまな種類のAIシステムを定義しています。

  • 汎用AIモデル(GPAI): 大規模な言語モデルと画像およびビデオのジェネレーター

  • 特定用途の AI モデル: 医療診断、自律走行車、財務リスク評価などの特定のタスク向けに設計されたAI

  • 組み込みAIシステム: スマート家電や産業用ロボットなどのAI搭載デバイス

EU AI法のAIに関する4つのリスクレベル

EU AI法は、AIの「許容できないリスク」のアプリケーションを規制していませんが、それは現在ヨーロッパで禁止されているためです。これには、公共の場でのリアルタイムの顔認識や、個人やグループを不平等な扱いで分類する「ソーシャルスコアリング」、法執行機関向けのリアルタイムの生体認証(予測ポリシングとも呼ばれる)が含まれます。

  • 許容できないリスク: 脅威が大きすぎて、全面的に禁止されている活動

  • 高リスク: 安全または基本的権利に悪影響を及ぼすおそれのある行為

  • リスクは限定的: 過度にリスクが高くないが、透明性の要件があるアクティビティ(つまり、AIと対話していることをユーザーに通知する必要がある)

  • 最小限のリスク: 一般的に、規制する必要のない無害な活動

EU AI法は、AIの「許容できないリスク」のアプリケーションを規制していませんが、それは現在ヨーロッパで禁止されているためです。 これには、公共の場でのリアルタイムの顔認識や、個人やグループを不平等な扱いで分類する「ソーシャルスコアリング」、法執行機関向けのリアルタイムの生体認証(予測ポリシングとも呼ばれる)が含まれます。 

また、スパムフィルターやAI対応のビデオゲームなどの「最小限のリスク」の活動も規制していません。 現在、これには、現在EU市場で入手可能なAIアプリケーションの大部分が含まれています。 

EU AI法のごく一部は、「限定的なリスク」システムを扱っています。 これらのタイプのシステムの開発者とデプロイ担当者は、透明性の義務を果たさなければなりません。 これは通常、エンドユーザーにAI(チャットボットやディープフェイクなど)とやり取りしていることを知らせることを意味します。

EU AI 法の圧倒的多数は、「高リスク」の AI システムと、それを提供する組織や個人を対象としています。 高リスクのアプリケーションには、次のようなものがあります…

  • クレジットの適格性の評価

  • 健康保険、生命保険、公的給付の申請審査

  • 求人応募(ATS)の分析または候補者の評価

ハイリスクAIシステムのもう一つの主要なカテゴリーは、「製品安全部品」です。 これは、製品に組み込まれたAIシステムを指し、その製品の安全性にとって非常に重要です。 たとえば、自律走行車や産業用または医療機器に組み込まれたAIシステムなどです。

State of AI in the Cloud 2024

Did you know that over 70% of organizations are using managed AI services in their cloud environments? See what else our research team uncovered about AI in their analysis of 150,000 cloud accounts.

Get PDF

EU AI法の8つの重要なルール

AI アプリケーションの開発者とベンダーは、EU AI 法の下では「プロバイダー」と呼ばれます。 AIを専門的に使用する法人または自然人は、「ユーザー」または「デプロイ者」と見なされます。

EU AI法の概要 高リスクシステムの8つのコア要件:

  • リスクマネジメント ハイリスクAIシステムのライフサイクル全体を通じて

  • データガバナンス すべてのトレーニング、検証、およびテストデータセットを検証するには

  • 技術資料 コンプライアンスを実証および評価するため

  • 記録管理 リスクを判断し、ライフサイクル全体でリスクレベルを更新する

  • 使用説明書 そのため、下流のデプロイ担当者は、サプライチェーン全体で完全なコンプライアンスを確保できます

  • AIシステムは、 人間による監視 ユーザー(デプロイヤ)別

  • AIシステムは、 精度、堅牢性、サイバーセキュリティ 

  • 品質管理 コンプライアンスを確保し、報告するため

これらの要件を満たさないと、ヨーロッパ市場から切り離され、高額の罰金が科せられる可能性があります。 罰金は、企業の規模によって、年間売上高の1.5%にあたる750万ユーロから、年間売上高の7%にあたる3,500万ユーロまで様々です。

EU AI法は余分な作業を生み出しますが、それには利点も伴います。 たとえば、 規制サンドボックスの作成を提供しますは、規制の枠組み外でのアプリケーションのテストを支援します。 

そして、最初の原則に戻ると、EU AI法は、AIの脆弱性を減らし、ビジネス、クライアント、および一般の人々を保護することを目的としています。 これは、セキュア AI開発の実践、定期的なセキュリティ評価、AIシステムの透明性と説明責任。 しかし、今日のマルチクラウド環境の複雑さを考えると、言うは易く行うは難しです。

EU AI法に準拠するためのベストプラクティスにはどのようなものがありますか?

EU AI 法の要件に従っていることを確認するために必要なことは次のとおりです。

  • 環境全体をシャドウデータにマッピングするなど、徹底的なリスク評価を実施します。 特にシャドーAI.

  • しっかりとしたデータ保護対策を講じる データセキュリティポスチャ管理(DSPM)ソリューションなど AIが使用するデータを保護します。

  • 透明性と説明可能性を検証することで、AIシステムの結果を解釈し、理解することが可能になるはずです。

  • 透明性への取り組みの一環として、技術文書を更新および維持します。

  • 潜在的な問題を迅速にフラグを立てる自動コンプライアンスチェッカーなど、効果的なガバナンスと監視を確立します。

KPMGのレポートによるとでは、テストや文書化の作業を大幅に削減する最善の方法の1つは、「自動化された脅威の検出、分析、インテリジェンスソリューションを活用する」ことです。 彼らは、「コンプライアンスマッピング、義務追跡、ワークフロー管理」を処理するための自動化ソリューションを推奨しています。

これらの種類のツールなどは、の一部として見つけることができます クラウドネイティブアプリケーション保護プラットフォーム、またはCNAPP。 そのため、組織に適したCNAPPを見つけることは、EU AIコンプライアンスを簡素化する際に行うことができる最善の意思決定の1つになります。

AI規制の未来

EU以外の他の管轄区域でも、同様の法律が導入される可能性があります。 例えば、米国では、州や連邦政府機関が、特に自動運転車や医療に関するAI規制を検討しています。 中国、カナダ、日本、英国なども規制措置を検討しています。 しかし、良いニュースは、EU AI法に準拠すると、おそらく他の基準を満たすのが簡単になるということです。

すでにAIソリューションを使用している場合、またはその方向に進んでいる場合、倫理的で責任あるAI使用の責任はあなたの肩にあります。 エンドユーザー、自分の組織、および第三者に対する潜在的な損害を軽減する必要があります。 

ほとんどのツールがAIの最先端に追いつこうと躍起になっている今、すでにあなたを支えてくれるプラットフォームがあります。 Wizプラットフォームは、 AI-SPMソリューション これにより、AIのセキュリティリスクとコンプライアンスに対する統一されたアプローチが、管理しやすい単一の傘下で提供されます。 

Wiz は、Amazon SageMaker、OpenAI、TensorFlow Hub など、すべての AI サービスとテクノロジーのセキュリティとコンプライアンスをすばやく見つけて監視します。

  • AIパイプラインのフルスタックの可視性

  • AIの設定ミスの迅速な検出

  • 機密性の高いAIトレーニングデータの保護

EU AI法は、SF映画のようにテクノロジーが暴走する悪夢のようなシナリオが決して実現しないようにすることを目的としています。また、Wizは、包括的な可視性、リスク評価、セキュリティ対策のすべてを1つの画面で管理することで、今日の最大のリスクからビジネスを保護します。

Figure 3: The Wiz AI Security Dashboard prioritizes risks so you can focus on the most critical ones

Wizはコンプライアンスにとどまりません。 さまざまなセキュリティツールから得られる詳細なコンテキストにより、脆弱性、ID、ネットワークへの露出、マルウェア、データ、公開されたシークレットに関する完全な洞察を得ることができ、セキュリティインシデントが問題になる前に軽減を開始するための自動化が可能になります。

Figure 4: Wiz helps you proactively remove AI attack paths before they become threats

EU AI法は、SF映画のようにテクノロジーが暴走する悪夢のようなシナリオが決して実現しないようにすることを目的としています。 また、Wizは、包括的な可視性、リスク評価、セキュリティ対策のすべてを1つの画面で管理することで、今日の最大のリスクからビジネスを保護します。

リスクや規制によって、AIがビジネスにもたらすすべてのメリットを享受することを止めないでください。 Wizのデモを見る SDLC全体でAIを保護するのがいかに簡単かをご覧ください。

Accelerate AI Innovation, Securely

Learn why CISOs at the fastest growing companies choose Wiz to secure their organization's AI infrastructure.

デモを見る