プライバシー権が重要な規制の対象となり、今後AI分析の監視が強化されると見られています。専門家によると、AIと個人データを使用している企業は、GDPRとHIPAAを重視しなければなりませんが、多くの企業は、将来これらの規制の影響を受ける政府機関や人々が、AIによる意思決定の監査と説明を強く求めるようになると予測しています。

IDC社によると、ビジネスにおけるコグニティブと人工知能 (AI) の利用は、今後数年間で急増すると予想されており、そうしたテクノロジーに対する2018年の全世界の支出は、前年比54.2%増の191億ドルに達すると見られています。

しかし多くの企業は、あらゆる種類のタスクをサポートするためにAIを取り入れる中で、収集して使用できる個人データを制限する複雑な規制の問題に直面しています。言うまでもなく、多くのAIシステムでは個人データが収集されることはないため、自社工場の機械のメンテナンスが必要な時期を予測するためにAIを使用している企業は、規制に対する懸念をほとんど持っていません。

ただし、米国や欧州連合 (EU) では、少数の重要な規制によって、企業が顧客やその他の人々から収集できる個人データが規制されています (また、AIシステムで使用できる個人データが規制される可能性もあります)。

 

問題に対する認識を高めるGDPR

誰もが見て見ぬふりをしている重要な問題として、5月25日に発効するEUの一般データ保護規則 (GDPR) があります。GDPRは、個人情報を使用する企業に、名前、自宅住所、メールアドレス、銀行の詳細情報、ソーシャルネットワークの投稿、コンピューターのIPアドレスといった、個人情報を収集して使用する前に明示的な同意を得ることを求めるものです。

中国でも、5月1日に同じようなデータ保護とプライバシーに関する法律が施行されましたが、中国でビジネスを展開している米国やヨーロッパ諸国の企業は限られているため、それらの国からはそれほど注目されませんでした。

いくつかの業界やテクノロジーを対象とする法律を寄せ集めてきた米国には、EUほど包括的なプライバシー規制はありませんが、ほとんどのAIの専門家は、1996年に施行された医療データのプライバシーに関する法律である、Health Insurance Portability and Accountability Act (HIPAA) を企業が最も注意しなければならない米国の規制であると考えています。

ただし、HIPAAとGDPRだけがAIに影響する規制というわけではなく、最近FacebookでCambridge Analyticaが絡むデータ漏洩が起きたことを受け、AIを使用する企業に対する政府の監視が強化されると見られています。

一部のAIデータの使用を制限するもう1つのヨーロッパの規制として、古くからの忘れられる権利があります。

NARA LOGICS社CEO、JANA EGGERS氏

データ管理プラットフォームプロバイダーのDelphix社で最高技術責任者を務めるEric Schrock氏は、Cambridge Analytica社の漏洩などのデータ侵害を受けて、「今後米国などでほぼ確実に新たなデータプライバシー規制が施行される」としたうえで、「このような大規模なプラットフォームから膨大な個人情報にアクセスできるため、今後起こり得る不正使用から消費者を保護するには、現在のサービスの利用規約では不十分である、ということに多くの政府機関が気付きつつある」と述べています。

そうこうしているうちに、AIと個人データを使用する企業は、EUのGDPRに重点を置かなければならなくなります。この新しい規制は、EU諸国の居住者のデータを収集する大部分の企業に、データを処理するにあたってその所有者から同意を得ることを求めるものです。またこの規制により、対象となる企業は、プライバシーを保護するために収集したデータを匿名化し、データ侵害が起きた場合は、影響を受ける人物にその旨を通知しなければなりません。

リーガルテクノロジー企業のH5社でCEOを務めるNicolas Economou氏によると、GDPRはAI以外にも広範な影響を与えるものであり、同氏は「ビジネスモデルにかかわらず、すべての企業が個人情報を保護して適切に使用するための予防措置を明らかにし、そうした措置を講じられるようにしなければならなくなる」と述べています。

専門家によると、消費者を相手にする企業が、GDPRの影響を最も受けるAIユーザーになると見られています。

GDPRに違反した場合に科せられる可能性がある罰則は非常に重く、最大で全世界の年間収益の4%、または2,000万ユーロのどちらか多い方が罰金として科せられます。

また、一部の技術政策の専門家は、どのように適用されるのか、あるいは実際に適用されるのかどうかはわからないものの、EU諸国の居住者がAIによる決定を気に入らなかった場合に、それについての説明を求めることができる黙示的な権利がGDPRに含まれると考えています。

 

ブラックボックス化された意思決定プロセスの排除

Schrock氏は、政府機関や影響を受ける人々がAIによる意思決定の監査と説明を強く求めるようになると予測しています。

これについて同氏は、次のように述べています。「AIの世界における法的責任の通知は複雑で、そのアルゴリズムが高度化しているうえに利用される場所も増えつつあるため、状況は悪化の一途をたどっています。今後、法的手続きの一部は間違いなく訴訟に発展し、企業はAIのアルゴリズムがそうした結果に至った過程とアルゴリズムに不備がないかどうか、またはそのアルゴリズムに渡されたデータから考えて、結果が妥当なのかどうかを説明せざるを得なくなるでしょう」。

プライバシー保護を唱える人々の多くは、GCPRを称賛してきましたが、テクノロジー業界にはGDPRにあまり賛成していない人もおり、予測分析ベンダーのXineoh社でCEOを務めるVian Chinner氏は、この規制によって「10年間のAIの進化が帳消しになる」可能性があると述べています。

同氏によると、AI企業に結果の説明を求めるのは特に難しく、最新のAIの手法と比較して、「決定木などの旧世代のアルゴリズムの結果は簡単に説明できるものの、その精度ははるかに低くなります」。

一方、IEEE Global Initiative on Ethics of Autonomous and Intelligent Systemsの法務委員会の共同議長を務めるEconomou氏は、GDPRについてかなり違った見方をしています。

これついて同氏は、次のように述べています。「GDPRは、一般市民が再び自分自身のデータを管理できるようにするうえでの大きな一歩であり、国や社会の機関が不透明なAIに頼って、市民の権利や機会に影響を及ぼす不服を申し立てることができない決定を下す、不条理な世界に対する重要な防衛手段が得られるという希望を与えてくれます」。

 

忘れ去ることを忘れてはならない

AI搭載リコメンデーションエンジンベンダーのNara Logics社のCEOであるJana Eggers氏によると、一部のAIデータの使用を制限するもう1つのヨーロッパの規制として、古くからの忘れられる権利があります。

これについて同氏は、個人データを使用するAI企業は今後、「忘れる必要があるデータを抽出するのに必要な頻繁な再構築」が行えるシステムを導入しなければならなくなると述べています。

米国ではすでに、AIと個人データを使用する企業がHIPAAへの準拠に大きな力を注いでいます。HIPAAには、医療関連組織向けのプライバシー、セキュリティ、および侵害の通知に関する規則が含まれています。

これについて、HIPAAに準拠しているベンダーであるComplyAssistant社で社長とCEOを務めるGerry Blass氏は、次のように述べています。「機密性の高い、使用、保存、移動中の個人情報を保護する、というのがHIPAAの重要な概念です。標的になりやすい情報を保護するという点に関しては、情報のプライバシーとセキュリティに重点を置くすべての規制がAIに影響を与えます」。

GDPRに関しては、Xineoh社のChinner氏が、この規制によって医療におけるAIの進歩が妨げられたと主張するなど、さまざまな意見があります。

これについて同氏は、「すべての医療データを共有して一元管理できれば、病気の予測と治療のためのアルゴリズムの能力が飛躍的に向上するだろう」と述べています。

 

影響を受ける業界は多岐にわたる

専門家によると、金融および通信企業もAIの使用に影響を与える可能性があるプライバシー規制に準拠しなければなりません。さらに、米国連邦取引委員会 (FTC) は、企業の不正または詐欺的な商慣行に対して法的措置を講じることができる幅広い権限を有しており、主に、プライバシーや消費者に対する約束を破った企業がこうした措置の対象となっています。

企業を調査しようとするFTCの意志は、同委員会の候補者を統制する大統領を含む、ホワイトハウスの政党に左右されることもありますが、H5社のEconomou氏によると、FTCと国の消費者保護団体は、AIの使用方法や効果が「影響を受ける顧客にわかりやすく説明されていないか、説明のなかった予期せぬ結果をもたらした」場合、AI企業を調査できます。

ただし、GDPRは、AIを使用する多くの企業にとって最大の懸念事項となっています。HIPAAは確立された法律であり、FTCにも長い実績がありますが、EUがこの新しいプライバシー規制をどれだけ積極的に実施するのか、あるいはヨーロッパの消費者が訴訟を通じてその実施を強く求めるのかどうかは、まだ不明です。

Eggers氏は、「多くの規制の検証が行われておらず」、境界が明確になっていないため、確実に規制に準拠するのは難しいとしたうえで、潜在的な違反を評価するための明確なプロセスを確立するとともに、従業員に対する総合的なトレーニングを実施し、申し立てを行うための明確なプロセスを設けることを企業に推奨しています。

2000年代の初頭にドイツでクラウドソーシング企業を経営する中で、EUの規制当局が企業と連携して規制の実施に関する問題に積極的に取り組もうとしていることを知った同氏は、自身の経験から、「こうした規制をかなり楽観的に考えられるようになり、それが実際にAIへの対応に苦労している企業の役に立っている」と語っています。

 

AIで成功を収めるには人間の関与が必要

AIとビジネスインテリジェンスの新興企業である、Element Data社のCTO兼共同創設者のChuck Davis氏は、AIシステムを導入する企業は人間による厳格な監視を維持したうえで、AIですべてを決定する状況を避けることも忘れてはならない、と付け加えています。

これについて同氏は、次のように述べています。「AIを使用する企業は、AIの基準に人間を関与させ続けることで自主規制でき、それによって業界全体がプラスの方向へと向かいます。企業が方向転換を図らなければならない場合、初めにいくつかの課題が生じますが、最初から責任を持って倫理的にデータを取り扱えば、そうした課題を乗り越えて顧客の信頼を得られると思います」。

これに加え、Economou氏は、AIユーザーは、個人情報を特定するプロセスを確立し、AIシステムの効果と公平性を検証するための信頼性の高い測定尺度を設けるべきであると提言しています。

企業は、「AIが本来の目的を果たすよう」、特に金融サービス、医療、および法律の問題に対処するシステムのAIの開発者とオペレーターの両方に適切なトレーニングを行い、資格認定を取得させる必要もある、と同氏は述べています。

また同氏は、現在、「多くのオペレーターが自らの能力を自分1人で評価している」と付け加えたうえで、「これからもこのような状況が続くとは思われず、どれだけ優秀な医師であっても、AIがどのように診断に至るのかを理解することはできないだろう」と語っています。

さらに同氏は、この種の自主規制が重要であると付け加え、「簡単な答えはないものの、業界が規制当局と市民社会両方の信頼を得ようとするなら、このような各自のAIシステムのチェック体制を整備する必要がある」と述べています。自主規制ができなければ、政府機関が (多くの場合に政治的動機に基づいた) 独自の規則の制定に乗り出してくることになるでしょう。

 

プライバシー権がAIに与える影響: リーダーのためのアドバイス

• AIを使用する企業は、米国のHIPAAやEUのGDPRをはじめとする、さまざまな規制に準拠する必要があります。
• GDPRは、個人情報を使用する企業に、名前、自宅住所、メールアドレス、コンピューターのIPアドレスといった、個人情報を収集して使用する前に明示的な同意を得ることを求めるものです。
• 米国には、AIに影響する可能性がある寄せ集めのようなプライバシー法があるものの、多くの企業はHIPAAに重点を置いています。

境界が完全に定義されるまでに、何年にも及ぶ訴訟が起きる可能性があります。

_{この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもHewlett Packard Enterpriseの見解を反映しているとは限りません。}