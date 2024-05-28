2023年11月、カリフォルニア州プライバシー保護局（CPPA）は、人工知能（AI）と自動意思決定テクノロジー（ADMT）の利用に関する規制案を発表しました。
提案された規制はまだ開発中ですが、組織はその動向に注意を払いたいと思うかもしれません。同州には世界最大級のテクノロジー企業が数多く拠点を構えているため、同州が採用するAI規制は州境をはるかに超えて影響を与える可能性があります。
さらに、カリフォルニア州控訴裁判所は、CPPAは規則が確定次第、直ちに施行することができるという判決を先頃下しました。ADMT規則の進捗状況を把握することで、組織は規制が施行され次第すぐに遵守できる態勢を整えることができます。
CPPAは現在もパブリック・コメントを受け付けており、規則のレビューを行っているため、正式に採択される前に変更される可能性があります。この記事は、2024年4月9日時点の最新のドラフトに基づいています。
カリフォルニア州の画期的なデータプライバシー法であるCalifornia Consumer Privacy Act（CCPA）は、もともとADMTの使用を直接扱っていませんでした。この状況は、CCPAをいくつかの重要な点で修正したカリフォルニア州プライバシー権法（CPRA）が2020年に可決されたことで変化しました。
CPRAは、CCPAルールを実装および施行する規制機関であるCPPAを設立しました。また、CPRAは、カリフォルニア州の消費者が自動化された意思決定に関する情報にアクセスし、オプトアウトする権利に関する規制を発行する権限をCPPAに与えました。CPPAは、この権限の下でADMTルールに取り組んでいます。
CCPAの他の部分と同様に、草案の規則は、カリフォルニア州で事業を行い、次の基準のうち少なくとも1つを満たす営利組織に適用されます。
さらに、提案された規制は、重要な意思決定、消費者の広範なプロファイリング、ADMTツールのトレーニングなど、AIとADMTの特定の用途にのみ適用されます。
現在の草案は、自動意思決定技術を、個人データを処理し、計算を使用して意思決定を実行する、人間の意思決定に取って代わる、または人間の意思決定を実質的に促進するソフトウェアまたはプログラムと定義しています。ドラフトでは、この定義には「機械学習、統計、その他のデータ処理技術、または人工知能から得られた」ソフトウェアとプログラムが含まれると特に言及しています。
ドラフト規則では、スパム・フィルター、スプレッドシート、ファイアウォールなど、ADMTとして見なされない一部のツールに明示的に言及しています。ただし、組織がこれらの除外ツールを使用して規制を回避する方法で自動化された意思決定を行おうとする場合、その使用に規則が適用されます。
規則草案は、消費者に重大な影響を与える意思決定を行うためにADMTを使用するあらゆる場合に適用されます。一般的に、重要な決定とは、個人の権利や重要な商品、サービス、機会へのアクセスに影響を与えるものです。
たとえば、規則案では、仕事を得る、学校に通う、医療を受ける、ローンを組むといった個人の能力に影響を与える自動化された決定を対象としています。
プロファイリングとは、仕事のパフォーマンス、製品への興味、行動など、その人の特性や特徴を評価、分析、または予測するために、その人の個人情報を自動的に処理する行為のことです。
「広範なプロファイリング」とは、次のような特定の種類のプロファイリングを指します。
このドラフト・ルールは、企業が特定の ADMT ツールをトレーニングするために消費者の個人データを使用する場合に適用されます。具体的には、重要な意思決定、人物の識別、ディープフェイクの生成、物理的または生物学的な識別とプロファイリングの実行に使用できるADMTのトレーニングがこのルールの対象となります。
カリフォルニア州の法律として、CCPAの消費者保護はカリフォルニア州に居住する消費者にのみ適用されます。ADMT規則のドラフトが付与する保護についても同じことが当てはまります。
とはいえ、これらの規則は、他の多くのデータ・プライバシー規制よりも「消費者」をより広く定義しています。この規則は、企業とやり取りする人々に加えて、従業員、学生、独立請負業者、学校および求職者も対象となります。
CCPA AI規制案には、3つの重要な要件があります。対象ADMTを使用する組織は、消費者に使用前通知を発行し、ADMTをオプトアウトする方法を提供し、企業によるADMTの使用が消費者にどのような影響を与えるかを説明する必要があります。
CPPAは一度規制を改訂しており、正式に採択される前に再度修正される可能性がありますが、これらの中核となる要件は、これまでの各ドラフトに記載されています。これらの要件が根強いものであるという事実は、実装の詳細が変更されたとしても、最終的なルールに残り続けることを示唆しています。
対象となる目的の1つでADMTを使用する前に、組織は消費者に使用前の通知を明確かつ意図的に通知する必要があります。通知には、企業がADMTをどのように使用しているかを平易な言葉で詳述し、消費者がADMTに関する詳細情報にアクセスしてプロセスをオプトアウトする権利について説明する必要があります。
会社は、「サービス向上のために自動化ツールを使用しています」などの一般的な言葉を使って、ADMTをどのように使用しているかを説明することはできません。代わりに、組織は特定の用途を説明する必要があります。
この通知は、ツールのロジックや企業によるアウトプットの使用方法など、ADMTの仕組みに関する追加情報に消費者を誘導する必要があります。この情報は通知の本文に記載する必要はありません。組織は、ハイパーリンクやその他のアクセス方法を消費者に提供できます。
消費者が自動化された決定に異議を唱えられるようにする場合、使用前通知で異議申し立てプロセスについて説明する必要があります。
消費者は、ADMTの対象となる使用のほとんどをオプトアウトする権利を持っています。企業は、消費者に少なくとも2つのオプトアウト要求を送信する方法を提供することにより、この権利を促進する必要があります。
オプトアウト方法の少なくとも1つは、企業が主に消費者とやり取りするのと同じチャネルを使用する必要があります。たとえば、デジタル小売業者は、ユーザーが記入するためのWebフォームを用意することができます。
オプトアウトの方法は単純である必要があり、ユーザーにアカウントの作成を求めるなど、余分な手順を含めることはできません。
オプトアウト要求を受け取った企業は、15日以内に自動意思決定技術を使用した消費者の個人情報の処理を停止する必要があります。企業は、以前に処理した消費者のデータを使用できなくなります。企業は、ユーザーのデータを共有するサービス・プロバイダーまたは第三者にもそのことを通知する必要があります。
組織は、安全性、セキュリティー、および不正防止のために使用される ADMT を消費者にオプトアウトさせる必要はありません。規則案では、データ・セキュリティー・インシデントの検知と対応、不正行為や違法行為の防止と起訴、自然人の物理的な安全の確保にADMTを使用することに具体的に言及しています。
人間による異議申し立ての例外では、ユーザーが自動化された決定を覆す権限を持つ適格な人間のレビュー担当者に異議申し立てできる場合、組織はオプトアウトを有効にする必要はありません。
組織は、職場や学校におけるADMTの特定の限定的な使用に対しては、オプトアウトをやめることもできます。これらの用途には以下が含まれます：
ただし、これらの仕事や学校での使用は、次の基準を満たす場合にのみオプトアウトから免除されます。
これらの除外事項はいずれも、追跡型広告またはトレーニングのADMTには適用されません。消費者はこれらの使用をいつでもオプトアウトできます。
消費者は、企業がADMTをどのように使用しているかについての情報にアクセスする権利を持っています。組織は、この情報を要求する簡単な方法を消費者に提供する必要があります。
アクセス要求に応じる際、組織は、ADMTを使用する理由、消費者に関するADMTのアウトプット、および事業者が意思決定を行うためにアウトプットをどのように使用したかの説明などの詳細を提供しなければなりません。
アクセス要求の応答には、苦情の提出やデータの削除の要求など、消費者がCCPAの権利を行使する方法についての情報も含める必要があります。
企業がADMTを使用して、消費者に悪影響を与える重要な決定を行った場合（たとえば、失業につながるなど）、企業はこの決定に関するアクセス権について消費者に特別通知を送らなければなりません。
通知には以下を含める必要があります:
CPPAは、AIとADMTに関して提示されるルールと並行して、リスク・アセスメントに関する規則案を策定しています。これらは技術的には2つの別々のルールですが、リスク・アセスメント規制は組織がAIとADMTを使用する方法に影響を与えます。
リスク・アセスメント・ルールでは、組織がADMTを使用して重要な意思決定を行ったり、広範なプロファイリングを実行したりする前にアセスメントを実施する必要があります。また、組織は、特定のADMTまたはAIモデルのトレーニングに個人情報を使用する前に、リスク・アセスメントを実施する必要があります。
リスク・アセスメントでは、ADMTが消費者にもたらすリスク、組織またはその他の利害関係者への潜在的なメリット、およびリスクを軽減または排除するための保護手段を特定する必要があります。リスクがメリットを上回る場合、組織はAIやADMTの使用を避けなければなりません。
ADMTに関するカリフォルニア州の草案は、AIの使用と自動化された意思決定の使用を規制する最初の試みからはかけ離れています。
欧州連合のAI法は、ヨーロッパにおけるAIの開発と利用に厳しい要件を課しています。
米国では、コロラド州プライバシー法とバージニア州消費者データ保護法が、いずれも消費者に、重要な意思決定のために個人情報が処理されることをオプトアウトする権利を与えています。
国家レベルでは、バイデン大統領が2023年10月に、連邦政府機関や部門に対し、それぞれの管轄区域におけるAIの開発、使用、監督に関する基準を策定するよう指示する大統領令に署名しました。
しかし、カリフォルニア州が提案しているADMT規制は、州境を越えて企業がどのように行動するかに影響を与える可能性があるため、他の州法よりも注目を集めています。
世界的なテクノロジー業界の多くはカリフォルニアに本社を置いているため、最先端の自動意思決定ツールを生み出す組織の多くが、これらの規則に準拠する必要があります。消費者保護はカリフォルニア州居住者にのみ適用されますが、組織はシンプルさのためにカリフォルニア州外の消費者に同じオプションを提供する可能性があります。
元のCCPAは、全土でデータ・プライバシーの実践の基準を引き上げたため、一般データ保護規則（GDPR）の米国版とみなされることがよくあります。これらの新しいAIおよびADMTルールは、同様の成果をもたらす可能性があります。
ルールはまだ最終決定されていないので、確信を持って言うことができません。とはいえ、多くの専門家は、この規則は早ければ2025年半ばまでは施行されないと予測しています。
CPPAは、この規則についてさらに議論するために、2024年7月にもう一度取締役会を開催する予定です。多くの人が、CPPA理事会がこの会議で正式なルール作成プロセスを開始する可能性が高いと考えています。そうなった場合、同機関は規則を最終決定するまでの期間は1年以内であるため、発効日は2025年半ばだと推定されます。
CCPAの他の部分と同様に、CPPAも違反を調査し、組織に罰金を課す権限を与えられます。カリフォルニア州弁護士は、コンプライアンス違反に対して民事罰を科すこともできます。
意図しない違反の場合は2,500米ドル、意図的な違反の場合は7,500米ドルの罰金が組織に科せられます。これらの金額は違反1件あたりの金額であり、影響を受ける消費者は1人あたり1つの違反としてカウントされます。違反行為が複数の消費者を巻き込むのはよくあることですが、その場合、罰金はすぐに増加します。
ドラフト・ルールは依然として流動的です。CPPAは引き続き一般の意見を求め、取締役会での議論を行っており、採択される前に規則がさらに変更される可能性があります。
CPPAは、過去のフィードバックに基づいてルールに大幅な改訂を加えています。たとえば、2023年12月の取締役会議の後、同機関はオプトアウトの権利に新たな除外項目を追加し、物理的および生物学的プロファイリングに制限を設けました。
同機関はまた、ADMTの定義を調整して、規則が適用されるツールの数を制限しました。当初のドラフトには人間の意思決定を容易にするテクノロジーが含まれていましたが、最新のドラフトは人間の意思決定を大幅に促進するADMTにのみ適用されます。
多くの業種・業務グループは、更新された定義がADMT使用の実際の現実をよりよく反映していると感じている一方で、プライバシー支持者はそれが悪用可能な抜け穴を生み出すことを懸念しています。
CPPA委員会自体でも、最終的なルールをどのようにすべきかについて意見が分かれています。2024年3月の会合では、2人の理事が、現在の草案は理事会の権限を超えているとの懸念を表明しました。
これまでのルールの進化を考慮すると、使用前通知、オプトアウト権、アクセス権の中核となる要件は、そのままの状態を維持する可能性が強いです。ただし、組織には次のような質問が残るかもしれません。
どのような結果になるにせよ、これらのルールは、AIとオートメーションが全国的にどのように規制されているか、そしてこの急成長テクノロジーの影響を受けて消費者がどのように保護されているかに重要な影響を与えるでしょう。
免責事項：お客様は適用法・規則の遵守を徹底する責任を負います。IBMは法律上の助言を提供せず、IBMのサービスまたは製品を使用することでお客様による法律または規則の遵守が確約されると表明することも保証することもありません。