AI事業者ガイドライン－総務省・経済産業省のガイドライン

保険研究部取締役研究理事兼ヘルスケアリサーチセンター長松澤登

4――共通の指針（各論）¹⁰

1｜共通の指針
各主体は以下の「共通の指針」に照らして各業務に取り組むことが必要とされる（図表5）。

¹⁰ 前掲注1　p12～ｐ20参照

(1) 人間中心：ガイドラインは、AIが人権を侵すことがないようにすべきであるとする。またAIが人々の能力を拡張し、多様な人々の多様な幸せ（well-being）の追求が可能になるように行動することが重要であるとする。具体的には、以下の項目が挙げられている（図表6）。

本項目はいずれも重要な点に触れているが、そのうちア)～ウ)をピックアップする。

ア)では、ガイドラインは、たとえば個人のプロファイリングについて言及している。具体的に、プロファイリングを行うにあたっては、AIの限界を認識し、生じうる不利益を慎重に検討したうえで、不適切な目的に利用しないとしている。この点、たとえば英国ではChildren’s codeでは過去に不幸な事故が起こったことを教訓として、こどものプロファイリングを原則として禁止している¹¹。またEU規則ではプロファイリングを行うAIシステムは必ず高リスクAIシステムに分類され、特別な規定（リスク管理システムの導入など）が適用されるようになっている(6条3項)。

つぎに、イ)においては人の意思決定を不当に操作することを目的としたAIシステム・サービスの開発・提供・利用は行わないとする。著名な事件としてはケンブリッジ・アナリティカ事件がある。この事件ではFacebookの個人情報を利用して、米国の大統領選に介入したもので、有権者の政治的な思考を不当に操作したとの疑惑がもたれている。またEU規則では「その目的または効果が、十分な情報に基づいた意思決定を行う能力を著しく損なわせることにより、人または人の集団の行動を実質的に歪め、その人、他の人または人の集団に重大な損害を与えるか、または与える可能性が合理的に高い意思決定を行わせること」(5条1項（a）。条文は一部省略)は禁止されている。

さらにウ)の偽情報への対策として、ガイドラインではリスクの高まりを受けて必要な対策を講じるべきものとされている。このリスクは生成AIの登場とともに深刻化しており、本物と区別のつかない偽動画等により、本人を架空のスキャンダルに陥れる事例がいくつも発生している。EU規則では「音声または映像コンテンツを生成または操作するAIシステムの配備者は、当該コンテンツが人為的に生成または操作されたものであることを開示しなければならない」(50条4項)としており、AIシステムが作成した映像等を作りものであることと表示しないで利用することは禁止されている。

¹¹ https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/childrens-code-guidance-and-resources/age-appropriate-design-a-code-of-practice-for-online-services/12-profiling/

(2) 安全性：ガイドラインでは、各主体が、AIシステム・サービスの開発・提供・利用を通じ、ステークホルダー（＝AI利用者や、出力結果が適用される個人など）の生命・身体・財産に危害を及ぼすことがないようにすべきであるとする。加えて、精神及び環境に危害を及ぼすことがないようにすることが重要であるとする。具体的には、ア)人間の生命・身体・財産、精神及び環境への配慮、イ)適正利用、ウ)適正学習といった項目が挙げられている。このうち、ア)に関しては以下の項目が挙げられている（図表7）。

ここで、EU規則で高リスクAIシステムが満たすべき要件の一覧を挙げてみる（図表8）。

本項目では、

・（図表7）の、ｉ)信頼性、ii）堅牢性は、(図表8)のf)正確性および堅牢性などに、また、

・同じくiii)モニタリング・コントロールは、e)人的監視措置に、

・同じくiv）リスク分析等およびⅥ）事態発生時の対処方針は、a)リスク管理システム及びリスク管理措置に、

・同じくｖ)ステークホルダーへの情報提供は、d)使用説明書にそれぞれ該当する。

また、イ）の適正利用については、EU規則ではc)技術文書およびd)使用説明書に従って利用されることで確保される。

さらに、ウ）に関して、データの正確性、最新性は、EU規則ではb)のデータガバナンスでカバーされる。

そうすると細部はともかく、概ねガイドラインとEU規則の高リスクAIシステムに対する実体的な規定は一致しているように思われる（なお、記録(ログ)保管については下記(6)も参照）。

(3) 公平性：ガイドラインでは、各主体が、AIシステム・サービスの開発・提供・利用において、特定の個人ないし集団への人種、性別、国籍、年齢、政治的信念、宗教等の多様な背景を理由とした不当で有害な偏見及び差別をなくすよう努めること（具体的には図表9）が重要であるとする。

本項目では出力結果におけるバイアス、特に差別につながるようなバイアスに対する対処を規定している。ガイドラインは、バイアスは学習データ、AIモデルの学習過程、AI利用者の入力するプロンプト（入力）、AIモデルの推論時に参照する情報等から発生することがあり、バイアスの要因を特定することを求められるとする。そして、結果の公平性確保のため、AIによる単独判断ではなく、適切なタイミングで人間の判断を介在させることを求めている。

EU規則では、バイアスのかかった出力をリスクとして、様々な対応手段が設けられているが、特に、データガバナンス（上記図表8のb）)で学習用、検証用、試験用のデータセットに偏りがないことを求めている(10条1項)こと、また学習し続ける高リスクAIシステムが偏った出力を出すリスクについて適切なリスク軽減措置を取るよう求めている(上記図表8のf)、15条4項)。

(4) プライバシー保護：ガイドラインでは、各主体が、AIシステム・サービスの開発・提供・利用において、その重要性に応じ、プライバシーを尊重し、保護することが重要であるとする。その際、関係法令を遵守すべきであるとする。

本項目は、個人情報保護法遵守およびプライバシー保護の重要性を指摘している。EU規則では、個人情報保護について直接触れた条文はないが、プライバシーの流出等も考慮すべきリスクの一つと考えられている。また、プライバシーに関してEUでは個人情報保護規則であるGeneral Data Protection RegulationがAIシステムに直接適用されるとともに、EU規則の前文で「プライバシーおよび個人情報保護の権利は、AIシステムのライフサイクル全体を通じて保証されなければならない」（前文69）と宣言されている。

(5) セキュリティ確保：ガイドラインでは、各主体は、AIシステム・サービスの開発・提供・利用において、不正操作によってAIの振る舞いに意図せぬ変更又は停止が生じることのないように、セキュリティを確保することが重要であるとする（図表10）。

本項目で触れられているのは、AIシステム・サービスの機密性・完全性・可用性・安全性を維持するために、その時点での技術水準に照らして合理的な対策を講ずることを求めている。それと同時に、AIシステム・サービスの脆弱性を完全に排除できないことを認識すべきものとしている。

本項目に関連して真っ先に想起されるのは、AIシステムに対するサイバー攻撃である。この場合に、AIシステムの停止だけでなく、プライバシー情報を含む情報漏洩や、偽情報の出力（ハルシネーション）などのリスクが発生するおそれがある。この点に関係し、EU規則では「高リスクのAIシステムは、適切なレベルの精度、堅牢性、サイバーセキュリティを達成し、ライフサイクルを通じて一貫した性能を発揮するように設計・開発されなければならない」(15条1項)としている。

(6) 透明性：ガイドラインでは、各主体は、AIシステム・サービスの開発・提供・利用において、AIシステム・サービスを活用する際の社会的文脈を踏まえ、AIシステム・サービスの検証可能性を確保しながら、必要かつ技術的に可能な範囲で、ステークホルダーに対し合理的な範囲で情報を提供することが重要であるとする。具体的には、以下が挙げられる（図表11）。

本項目では、透明性、言い換えるとステークホルダーへの説明責任について述べている。まず、AIの判断にかかわる検証可能性を確保するためログを保管することを求める（上記②参照）。そのうえで、AIの性質、目的等に照らしてAIのデータ収集や学習・評価の手法などの情報をステークホルダーに提供する。さらにはステークホルダーの積極的な関与を促し、その意見を収集することを求めている。

事例として挙げられているのは、クレジットカードの審査において、利用限度額が同年収で男性より女性の方が低い査定がなされていたケースである。金融当局が調査に乗り出したが、クレジットカード企業はアルゴリズムの正当性について説明ができなかったというものである¹²。

EU規則では、まず「高リスクAIシステムは、配備者がシステムの出力を解釈し、適切に利用できるよう、その運用が十分に透明であることを保証するような方法で設計・開発されなければならない」(13条1項)とされている。そして、透明性の観点から作成されるのが「使用説明書」の作成であり、「高リスクAIシステムには、適切なデジタル形式またはその他の方法で、配備者に関連し、アクセス可能で理解可能な、簡潔、完全、正確かつ明確な情報を含む使用説明書を添付しなければならない」(13条2項)とされている。さらに、ステークホルダーへの開示として、欧州委員会と加盟国でEUデータベースを構築することとされている(71条1項)。利用者等はEUデータベースを参照することで、AIシステムの使用説明書や、その他の参考情報を参照することが可能である（同条4項）。なお、開示項目については図表13を参照。

¹² 同上　p15参照。

日付	タイトル	執筆者	媒体
2025/05/02	ネットでの誹謗中傷－ネット上における許されない発言とは？	松澤登	基礎研レポート
2025/04/28	欧州委、AppleとMetaに制裁金－Digital Market Act違反で	松澤登	研究員の眼
2025/04/18	資金決済法の改正案－デジタルマネーの流通促進と規制強化	松澤登	基礎研レポート
2025/04/16	公取委、Googleに排除命令－その努力と限界	松澤登	研究員の眼

日付

タイトル

執筆者

媒体

2025/05/02

ネットでの誹謗中傷－ネット上における許されない発言とは？

松澤登

基礎研レポート

2025/04/28

欧州委、AppleとMetaに制裁金－Digital Market Act違反で

松澤登

研究員の眼