Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

児童のプライバシー保護強化にかかるコロラド州「2021年コロラド州プライバシー法(CPA)」の改正法案SB 41とそのモデル法たるコネチカット州立法SB 3の概要

2024-05-19 14:40:30 | 個人情報保護法制

 筆者は個人情報保護法とりわけ児童の保護強化に関する米国州や英国の立法の実態をブログで紹介してきた。具体的には米国の州については、2024.4.2 ブログ「フロリダ州、オハイオ州およびウタ州等の未成年者のソーシャル・ メディア・ プラットフォーム利用にかかる厳格な規制州法立法とそれらを巡る憲法違反裁判等の最新動向」、英国については2024.4.6 ブログ「英国の個人情報保護機関である英国情報コミッショナーはSNS等オンライン利用にかかる子供のプライバシー保護強化のための具体的施策に関し2024 年から 2025 年の優先事項「児童規範戦略」 を発表」で取り上げた。 

 今回のブログは、コロラド州「2021年コロラド州プライバシー法(CPA)」の改正法案SB 41を可決した情報をローファーム(Husch Blackwell LLP)の解説記事および同州議会の法案上程者の解説を概観する。なお、Husch Blackwell LLP)解説が取り上げているとおり、法案 SB41”はコネチカット州の立法をモデルにしていることから、あえて今回のブログでは20236月に署名されたコネチカット州のSB 3についても併せ解説を試みる。

Ⅰ.コロラド州の児童データプライバシー法案(SB41)

1コロラド州議会が児童データプライバシー法案を可決仮訳

著者はHusch Blackwell LLPのassociate (注1)弁護士Shelby E.Dolen(シャビー・.E.ドーレン)氏である。

Shelby E.Dolen 氏

 5月8日の州議会閉会に先立って、コロラド州議会は児童のデータプライバシーの保護を追加する「2021年コロラド州包括プライバシー法(CPA)」の一部改正法案SB 41を可決した。 コロラド州知事ジャレッド・ポリスの署名が成立すれば、2025101日に発効することになる。この法案は、未成年者(18歳未満)にオンラインサービス、製品、機能を提供する事業体に新たな義務を課すことになる。 この法案は、2023年6月に署名されたコネチカット州のSB 3をモデルとしている。

 以下の記事では、SB 41 に基づく義務の概要と、SB 41 (注2)とコネチカット州の SB 3 の主な違いについて説明する。

(1) 広い法適用性

 この法案の要件は、CPA が現在カバーしているよりも多くの企業に適用される。これは、収益と処理基準額の要件が同じではないためである。 CPA に基づく子供のプライバシーに関する規定は、未成年者 (18 歳未満) であることを実際に知っているかについては意図的に無視しているオンライン サービス、製品、または機能を提供するあらゆる事業体に適用される。

(2) 管理者の義務

(A)注意義務

 管理者(controller)が未成年者であることを実際に知っている、または故意に無視している消費者にオンラインサービス、製品、または機能を提供する管理者は、オンラインサービス、製品または機能によって引き起こされる未成年者への危害のリスクの増大を回避するために合理的な注意を払う全体的な義務がある。法律に基づく「危害のリスクの高まり」とは、以下のような合理的に予見可能なリスクをもたらす方法で未成年者の個人データを処理することを意味する。

     ①未成年者に対する不当または欺瞞的な扱い、または不平等・差別的影響(disparate impact)

     ②未成年者に対する経済的、身体的、または風評被害

     ③セキュリティ侵害による未成年者の個人データの不正開示(unauthorized disclosure)

     ④未成年者の孤独や隔離、あるいは私的な事柄や関心事に対する身体的またはその他の侵害(その侵害が良識ある人にとって不快な場合)

(B) 禁止行為

 管理者(controller)は、以下の目的で未成年者の個人データを処理するには、未成年者の同意、または13 歳未満未成年者の場合は未成年者の親または法的保護者の同意を取得する必要がある。

  a.特定の処理: (i) ターゲットを絞った広告の目的。 (ii) 個人データの販売。 または (iii) 消費者に関して法的または同様に重大な影響をもたらす決定を促進するためのプロファイリング。

   b.処理の目的: 収集時に開示された処理目的以外の処理目的、または開示された処理目的に合理的に必要であり、開示された処理目的と互換性のある処理目的。

 c.合理的に必要な事項: オンライン サービス、製品、または機能を提供するために合理的に必要な時間を超えて処理するため。

 d.地理位置情報データ: 以下の場合を除き、正確な地理位置情報データを収集する。(i) 管理者がオンライン サービス、製品、または機能を提供するために正確な地理位置情報データが合理的に必要である。 (ii) 管理者は、オンライン サービス、製品、または機能を提供するために必要な期間のみ、正確な地理位置情報データを収集および保持する。 (iii) 管理者は、管理者が正確な地理位置情報データを収集していることを示す信号を未成年者に提供し、その信号は収集期間中常に未成年者に利用可能であること。

 e.大幅な延長使用: 未成年者によるオンライン サービス製品または機能の使用を大幅に増加、維持、または延長するためのシステム設計機能の使用する場合。

 さらに、未成年者にオンライン サービス、製品、または機能を提供する管理者は、未成年者が使用できるいかなる種類のダイレクト・ メッセージング装置も、未成年者に接続されていない、未成年者に一方的な通信を送信することで、未成年者である成人の能力を制限するアクセス可能で使いやすい保護手段を提供することなく利用提供してはならない。 この制限は、メッセージが送信者と受信者のみに表示され、公開されない電子メールまたはダイレクト・ メッセージングの主要な機能または排他的な機能を備えたオンライン サービス、製品、または機能には適用されない。

(3)データ保護の影響評価(Data Protection Assessments)

 他の州のプライバシー保護法で見てきたように、SB 41 に基づき管理者は、未成年者に危害を及ぼすリスクが高まるオンラインサービス、製品、または機能についてのデータ保護影響評価を準備する必要がある。 影響評価では以下に対処する必要がある。

   a.処理される個人データのカテゴリー

    b.処理目的

    c.合理的に予見可能な危害のリスクの増大

 管理者が別の適用法に準拠するためにデータ保護影響評価を実施する場合、評価の範囲が同様であれば、その評価は SB 41 に基づく要件を満たすことになる。州司法長官は、遵守状況を評価するために管理者のデータ保護影響評価を要求する権利を有する。 データ保護影響評価要件は、2025 年 10 月 1 日以降に作成または生成された処理アクティビティにのみ適用され、遡及的なものではない。

コロラド州法対コネチカット州法の比較

【地理位置情報データの取扱い上の違い】

 SB 41 には、正確な地理位置情報データ要件に基づく興味深い例外が含まれている。 この法案では、管理者が未成年者の正確な地理位置情報データを収集していることを示す信号を提供するという要件は、スキー場の運営者によって、またはその指示の下で使用されるサービスやアプリケーションには適用されないと規定されている。これはコロラド州特有の免除規定であり、明らかに大規模な州産業を考慮したものである。

【反駁可能な推定と強制力】

 全体として、司法長官または地方検事が提起するいかなる法執行措置においても、管理者が上記の義務を遵守した場合には、管理者が合理的な注意を払ったという反駁可能な推定が存在する。

 2026 年 12 月 31 日まで、企業は司法長官または地方検事からの通知後、違反を是正するために 60 日の猶予が与えられる。 2026 年 12 月 31 日以降は、管理者等は法違反を治癒する権利は失効する。

 2.コロラド州議会の未成年者のオンライン活動に対するデータ保護の追加改正法案(SB24-41)につき上程者の解説

 解説SB24-041仮訳する。なお、前述のShelby E.Dolen氏のblog内容と重複する部分が多いがあえて記載する。

【法案の概要】

(1)この法案は2021年「コロラド州プライバシー法」を改正し、未成年者のデータが処理され、未成年者に害を及ぼすリスクが高まった場合の保護を強化するものである。この法案は、その活動から得られる収益の量や額に関係なく、消費者の個人データを管理し(管理者)、コロラド州で事業を行うか、コロラド州住民を対象とした製品やサービスを提供するあらゆる事業体に適用される。

(2) 管理者が未成年者であることを知っている、または意図的に無視している消費者にオンライン サービス、製品、または機能を提供する管理者は、次のことを行う必要がある。

(3)サービス、製品、または機能によって未成年者に危害が及ぶリスクが高まることを避けるために、合理的な注意を払う。

 また未成年者に害を及ぼすリスクが高まる場合は、サービス、製品、または機能のデータ保護評価を実施および必要に応じて確認し、評価に関する文書を指定期間保管すべきである。

(4)未成年者、または 13 歳未満の未成年者の場合は未成年者の親または法的保護者の同意がない限り、管理者は未成年者の以下のとおり個人データを処理することを禁止される。

①ターゲットを絞った広告、未成年者の個人データの販売、または未成年者の個人データのプロファイリングのため。

②未成年者の個人データの収集時に開示された目的、または開示された処理目的に合理的に必要な目的以外の処理目的のため。 または

③サービス、製品、または機能を提供するために合理的に必要な期間を超えて行うこと。

(5)管理者は次のことも禁止される。

①システム設計機能を使用して、未成年によるサービス、製品、または機能の使用を大幅に増加、維持、または延長する。 または

②特定の状況を除き、未成年者の正確な地理位置情報を収集する。

(6)司法長官と地方検事は、管理者に違反を通知し、管理者に違反を是正する時間を与えるなど、「コロラド州プライバシー法」で認められているのと同じ方法で法案の要件を執行する権限を与えられる。

Ⅱ.コネチカット州はデータプライバシー法(CTDPA)を改正

Wilmer Cutler Pickering Hale and Dorr LLPの解説「Connecticut Legislature Passes Privacy Bill Addressing Health Data and Child Online Safety」仮訳する。

 なお、コネチカット州司法長官のデータ保護法(Connecticut Data Privacy Act (CTDPA)(2022年5月10日成立)の解説およびFuture of Privacy Forumの解説も併読されたい。

Kirk J. Nahra (PARTNER)

Ali A. Jessani (SENIOR ASSOCIATE)

Samuel Kane (ASSOCIATE)

 2023年6 月 2 日、コネチカット州議会は「上院法案 3  (以下、「SB 3」という)」を可決した。この法案には、消費者の健康データと子供のオンライン保護に関連する新たな要件を課す条項が含まれた。 この法案は署名のためにネッド・ラモント州知事の机上に移される。 法律に署名されれば、SB 3 の消費者健康データ条項は、コネチカット州データプライバシー法 (CTDPA) の関連部分を修正することになる。

 これらの新しい規定は CTDPA の修正として含まれているため、影響を受ける企業にとって、消費者の健康データに関連する新しい規定は CTDPA の残りの部分と同じ 2023 7 1 日に施行する。

 SB 3 の最も注目すべき条項は、消費者の健康データと子供のオンライン安全に関するものである。 消費者健康データ条項は、とりわけ、企業が消費者の同意を得ることなく消費者健康データを販売または処理することを禁止する。 SB 3 の消費者健康データ規定は、最近制定されたワシントン州 「マイヘルス マイデータ法(My Health My Data Act)」(注3)よりも範囲が狭いものの、健康データの保護強化に対する連邦レベルおよび州レベルの議会および規制当局の間での関心の高まりを反映している。 一方、SB 3の児童オンライン安全規定は、同様に現在進行中の連邦および州の立法努力を反映しており、企業による児童の正確な位置情報データの処理や児童の個人データの使用能力を制限する、ターゲットを絞った広告の目的制約など、オンラインプラットフォームでの児童データの処理に制限を設けることになる。

 SB 3 はコネチカット州プライバシー法において重要な岐路に達している。 上で述べたように、2022 年 5 月に制定された包括的なプライバシー法である “CTDPA” は2023年 7 月 1 日に施行され、SB 3 によって追加された消費者の健康データに関する規定が含まれることになる。したがって、SB 3 は、すでに消費者健康データの遵守に向けて取り組んでいる企業にさらなるコンプライアンス義務を課すCTDPA の要件を遵守させる。実際、コネチカット州司法長官は2024年1月、CTDPAがコネチカット州の消費者向けに創設する新たなプライバシー権に関するFAQガイダンスを発表5/16⑲しており、同庁がコンプライアンスの取り組みに細心の注意を払っていることを示唆している可能性がある。

 この投稿では、SB 3 からの重要なポイントを強調し、その主要な規定を要約する。

SB3の重要なポイント】

 CTDPA の対象となる企業は、SB 3 の可決によって生じる主要な問題として以下の点に注意する必要がある。

(1)消費者健康データの販売および処理の制限: SB 3 は CTDPA を修正し、消費者健康データに特有の新しい規定を追加し、消費者健康データを含むように CTDPA の「機密データ」の定義を修正する。 これらの改正の結果、企業は消費者の健康データを販売または処理する前に消費者の同意を得るという新たな義務を負うことになる。

(2)児童のオンラインデータの処理に関する制限: SB 3 は、未成年であることがわかっている消費者にオンライン サービス、製品、または機能を提供する管理者に一連の要件を課す。これらの要件には、1)ターゲットを絞った広告、個人データの販売、および特定の種類のプロファイリングを目的とした未成年者の正確な位置情報データの処理の禁止が含まれる。2) システム設計機能を使用して、未成年者によるオンライン サービスの利用を「大幅に増やす」こと。 3)これらの規定の対象となる管理者は、さらに、未成年者の個人データの処理に関するデータ保護評価を実施することが求められる。

(3)発効日: 企業は、特に消費者健康データ規定の発効日に注意する必要がある。 これらの条項は、CTDPA の残りの条項とともに 2023 年 7 月 1 日に発効する。

 児童のオンライン安全規定のほとんどは、2024 10 1 日まで発効しない (ソーシャル メディア プラットフォームに特に適用される第 7 条を除く)。 しかし、これらの規定によって課せられる実質的な要件を考慮すると、企業はこれらの規定に基づく対応するコンプライアンス義務を、遅かれ早かれ早く評価し始める必要がある。

(4)法施行権限: SB 3 は、消費者の健康データまたは子供のオンライン安全規定のいずれについても、私的訴訟の権利を創設しない。 代わりに、コネチカット州司法長官や検事は、これらの条項に対して(CTDPA と同様に)独占的な執行権限を持つ。

【注目すべき条項の概要】

 コネチカット州データプライバシー法の医療データ改正 (第 1 条から第 6 条)

 SB 3 の第1条から第6 条は、コネチカット州データプライバシー法 (CTDPA) を改正する。 これらの修正は、CTDPA とともに 2023 7 1 日に施行し、主な修正内容は次のとおり。

(1)消費者健康データの定義: 「消費者健康データ」を「管理者が消費者の身体的または精神的健康状態または診断を特定するために使用する個人データ」と定義する。これには、性別を肯定する健康データや生殖または性的健康データに関するデータが含まれるが、これらに限定されない。

(2)消費者健康データ管理者の定義: 「消費者健康データ管理者」を「単独で、または他の管理者と共同して、消費者の健康データを処理する目的と手段を決定する管理者」と定義する。

(3)機密データとしての消費者の健康データ: CTDPA の「機密データ」の定義を修正し、消費者の健康データを含める。 その結果、消費者の健康データは、管理者が機密データを処理する前に消費者の同意を得るという CTDPA の要件の対象となる。

(4)消費者健康データの処理に関する要件: 以下を含む、消費者健康データに特有の要件を概説する新しい条項 (第 2条) を追加する。 (ⅰ) 契約上または法定の機密保持義務に従う場合を除き、従業員または請負業者への消費者健康データの提供を禁止する。 (ⅱ) 「消費者の消費者の健康データに関する特定、追跡、消費者からのデータの収集、または消費者への通知の送信を目的とした精神(mental)、生殖(reproductive)、性の健康施設の近くでのジオフェンス(注4)の使用を禁止する。 (ⅲ) 消費者の同意なしに消費者の健康データを販売することを禁止する。

(5)適用免除: 第 2 条には独自の免除条項が含まれており、特に1)州および州の政治・行政機関、2) 高等教育機関、3) 特定の全米証券業協会、4) 金融機関の情報保護法Gramm-Leach-Bliley Act (GLBA) の対象となる金融機関及びデータ主体、5) 1996年HIPAA(Health Insurance Portability and Accountability Act of 1996;医療保険の携行性と責任に関する法律)でカバーされる医療事業者や外部委託先の事業提携者。

(6)ソーシャルメディアアカウントの削除と非公開 (第7条)

 ソーシャル メディア アカウントの非公開または削除に対する未成年者のリクエスト: ソーシャル メディア プラットフォームに対して、ソーシャル メディア アカウントの非公開 (つまり、一般公開から削除) または削除を求める未成年者のリクエストに従うことを義務付ける。 これらの規定は、2024 7 1 日に発効する

(7)子供のオンライン上の安全性 (第 8 条から第13条)

 第 8 条から第 13 条は、以下に概説するように、「管理者が未成年者であることを実際に知っているか、意図的に無視している消費者」にオンライン サービス、製品、または機能を提供する管理者に要件を課す。 これらの規定は、2024 10 1 日に発効する

①相当な注意(思慮分別のある一般人が払うレベルの注意(Reasonable Care):

 オンライン サービス、製品、または機能によって未成年者に危害が及ぶリスクが高まるのを避けるために、相当な注意を払う必要がある。

②広告、販売、またはプロファイリングのための児童データの使用:

 ターゲットを絞った広告、個人データの販売、または法的または重要な影響をもつ類似の行為を生み出す「完全に自動化された意思決定を促進するためのプロファイリング」を目的として、未成年者の個人データを (同意なしに) 処理することは禁止される。

③必然性の制限(Necessity Limitation):

 関連するオンライン サービス、製品、または機能を提供するためにそのような処理が必要な場合を除き、同意の例外を条件として、未成年者の個人データを処理することは禁止される。

④期間の制限(Duration Limitation:):

  同意の例外を除き、関連するオンライン サービス、製品、または機能を提供するために必要な期間を超えて未成年者の個人データを処理することは禁止される。

⑤使用を延長するためのシステム設計の使用:

 「未成年者によるオンライン サービス、製品、または機能の使用を大幅に増加、維持、または延長するためのシステム設計機能」の使用を禁止する。

➅正確な位置情報データ:

 指定された要件 (関連する機能を提供する必要性、時間制限、未成年者への通知を含む) が満たされない限り、未成年者の正確な位置情報データを (同意なしに) 収集することは禁止される。

⑦ダイレクト・メッセージング:

  未成年者が使用するダイレクト メッセージング装置に制限を設ける。これには、未成年者に迷惑な通信を送信する成人の能力に対する制限も含まれる。

⑧データ保護影響評価: 未成年者の個人データの処理に関するデータ保護影響評価を実施する必要がある。

⑨適用免除: さまざまな事業体および情報タイプが免除される。これには、次のものが含まれる。

1)州および州の政治機関の下部機関、2) NPO団体、3) 高等教育機関、4)特定の全米証券業協会、5) 金融機関の情報保護法Gramm-Leach-Bliley Act (GLBA) の対象となる金融機関及びデータ主体、5) 1996年HIPAA(Health Insurance Portability and Accountability Act of 1996;医療保険の携行性と責任に関する法律)でカバーされる医療事業者、公正取引報告法(Fair Credit Reporting Act (FCRA)の対象機関、家族の教育の権利とプライバシーに関する法律( Family Educational Rights and Privacy Act(FERPA)に準拠する個人データ、および特定の雇用関連データ。

⑩法執行権: 私的訴訟の権利は履行できない。 むしろ、排他的な執行権限は州司法長官のみにある。

⑪対象企業等への違反是正救済期間: 2024 年 10 月 1 日から 2025 年 12 月 31 日まで、州司法長官は、企業が「そのような違反容疑を是正する可能性がある」と判断した場合、これらの規定に違反したとされる企業に対して 30 日間の救済期間を付与しなければならない。 2026 年 1 月 1 日以降、州司法長官 は多要素枠組みに基づいて治癒期間を付与するかどうかを決定する裁量権を有する。

**********************************************

(注1) アソシエイト弁護士とは、パートナー弁護士の業務を補助する勤務弁護士のことである。アソシエイトとはもともと仲間や一緒に働く人という意味の単語であり、その意味の通り、パートナーとして法律事務所の経営には関与していないものの、その法律事務所の看板を背負って、パートナー弁護士と一緒に働いている弁護士をいう。

(注2)コロラド州改正法案原文

(注3) ワシントン州の新たな健康データ保護法制定の背景

岩崎元太「ワシントン州新法、My Health My Data Act制定〜シアトルの知恵ノート」から一部抜粋。

 米国では従来、1996年に制定された連邦「医療保険の携行性と責任に関する法律(HIPAA)」が国民の健康データ保護を主に担ってきた。HIPAAは医療従事者や保険会社による健康データの取り扱いを想定しており、実際に医療機関や保険会社のみが保護義務を負っていた。しかし昨今では、アップル社のアップルウォッチが測定する心拍数、スマートフォン向けの万歩計や月経管理のアプリが収集するデータも立派な健康データと言え、非医療機関の関与が高まる傾向が見られる。新法では、当時に想定していなかったアプリ、ウェブサイト、ゲーム、装着式のスマートデバイス等を中心に健康データ保護義務を課している。

【新法の概要】

 本法は、個人の健康データ保護を目的とし、規制対象事業主(regulated entity)に対して適用されます。規制対象事業主とは一般的に、(1)ワシントン州で事業を行っている/ワシントン州の消費者に対して製品やサービスを生産または提供している、かつ(2)単独または共同で個人の健康データの収集、処理、共有をしている/販売の目的と手段を決めている事業主を指す。

 一方で、健康データの定義については、消費者に紐付けられている、もしくは消費者と紐付けることが合理的に可能な、過去、現在、未来の身体的または精神的健康状態を特定できる個人情報とされている。これには手術歴や服用中の医薬品情報が挙げられるであろう。そのほか、フィットネス系ゲームでプレー前に自身の体重や身長を入力することも含まれ、健康データの提供先となるそのゲーム会社は、本法における規制対象事業主となる。(以下、略す)

(注4)「 ジオフェンス」とは、仮想的な境界線で囲まれたエリアのことを指す。

仮想的な境界線で囲んだエリアにWi-FiやGPSなどの位置情報データを使用した移動体(スマートフォンを持っているユーザーやドライブレコーダーを車載した車など)が出入りすることをトリガーとして、何らかのイベントを発生させることができる仕組みをいう。

取得したいイベントに応じて、機器や機能を連携する開発が必要となるが、この技術を用いることで、顧客の行動を調査したり、最適なタイミングで情報を提供することが可能になる。

位置情報とは、スマートフォンのGPSやWi-Fi、Bluetooth、通信基地局などで特定した位置の情報のことを指すが、位置情報からユーザーの行動履歴をたどることで、どの範囲が生活圏か、働いているのかなど、個人を特定しない範囲でのユーザーの特性を推測できる。

(「ジオフェンスとは?」ZENRIN DataCom解説から抜粋)

************************************************************:

Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution. 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米コロラド州は米国内で最初の州として人工知能 (AI) の使用を規制する法案 (SB24-205) を可決、その内容を概観する

2024-05-17 07:05:31 | 米国のAI規制立法

 コロラド州は、米国内で人工知能 (AI) の使用を規制する法案 (SB24-205) を可決した最初の州となった。 この法律は、さまざまな分野にわたる AI テクノロジーの倫理的法的社会的な影響と予測される事態に対処することを立法目的としている。

  筆者は、かつて23日付けブログ AI立法 のトレンド: 米国の州法案の発展を概観」36日付けブログ「わが国のAI立法の在り方を見据える観点からEUAI規則案(AI法案:Artificial Intelligence Act)の最終段階を改めて探る(その1)「同(その2完)」を投稿した。

  今回のブログは、これらを受け(1)ローファームの解説を仮訳するとともに、(2)コロラド州議会の法案上程者の解説の仮訳を試みるものである。特に生成AIについては倫理的な問題だけでなく法的にも大きな課題をかかえていることから、筆者なりに注記を加えながら補筆した。

1.LexblogColorado Passes AI Regulation仮訳

 法案全条の原文参照。

 同法は消費者と対話することを目的とした高リスク AI システムの開発者または導入者を含む、コロラド州でビジネスを行うすべての人物が対象となる。 この法案では、「高リスク AI システム」を、結果的な意思決定を行う上で重要な要素となる AI システムと定義している。 特に、重要な決定を下さない限り、顔認識(facial recognition,(注1)、マルウェア対策、データストレージ、データベース、ビデオゲーム、チャット機能を使用しない不正行為対策技術は(とりわけ)含まれていない。

 この法案には、AIの開発と導入における倫理基準透明性説明責任の促進に重点を置き、政府、教育、企業内でのAIの使用を管理する包括的な枠組みが含まれている。 この法案は、意思決定プロセスにおける AI の使用に関する開示を義務付け、AI 開発を導くための倫理基準を定め、AI 関連のバイアスやエラーが発生した場合の救済と監視のメカニズムを提供します。 これらの救済メカニズムには、消費者が高リスク AI システムによって処理された誤った個人データを修正する機会や、(可能であれば)人間によるレビューを伴うシステムによって下された不利な決定に対して異議を申し立てる機会が含まれる。 開示要件は開発者に適用され、アルゴリズムによる差別のリスクを管理するために使用される方法を説明する公開された声明が必要となる。

 この法案では、企業が高リスクの AI システムを使用する場合、いくつかのコンプライアンス・メカニズムの開発が義務付けられており、これらには、(1)影響評価、(2)リスク管理ポリシー策定とプログラム、(3)高リスクシステムに関する年次レビューが含まれる。 これらのメカニズムは、これらのAIシステムの開発と使用における透明性を促進するように設計されている。

 この法案の可決により、コロラド州は米国における AI 規制の最前線に位置し、同様の課題に取り組んでいる他の州や管轄区域にとって先例となることになる。

2.法案の概要(州議会サイトで法案上程者の解説仮訳

Robert Rodriguez上院議員(民主党)

Brianna Titone議員(民主党)

Manny Rutinel 議員(民主党)

 

【法案要旨】

 この法案は、高リスク人工知能(AI)システム(以下、「高リスクシステム」という)の開発者に対し、高リスクシステムにおけるアルゴリズムによる差別(algorithmic discrimination)(注2)を回避するために合理的な注意を払うことを義務付けている。 開発者が法案の次のような特定の条項を遵守していれば、開発者および実働展開責任者(以下、「導入者(deployer)という)(注3)は合理的な注意を払っていたという反駁可能な推定が存在する。

(1)高リスクシステムに関する特定の情報を開示する声明を高リスクシステムを導入者に提供する。

(2)高リスクシステムの影響評価を完了するために必要な高リスクシステム情報と文書を導入者が利用できるようにする。

(3)AI開発者が開発または意図的かつ大幅に変更し、現在導入者が利用できるようにしている高リスクシステムの種類、または、これらの高リスクシステムのそれぞれを意図的かつ大幅に変更する開発から生じる可能性のあるアルゴリズム差別(algorithmic discrimination)の既知または合理的に予見可能なリスクを開発者がどのように管理するかを要約した公開可能な声明を作成する、

(4)高リスクシステムが原因であるか、またはそうであるという信頼できる報告をAIシステムの導入者から発見または受領してから 90 日以内に、州司法長官および高リスクシステムの既知の導入者に、アルゴリズム差別の既知のまたは合理的に予見可能を引き起こした可能性がかなり高いリスクを開示する。

 また、この法案は、高リスクシステムの導入者に対し、高リスクシステムにおけるアルゴリズムによる差別を回避するために合理的な注意を払うことを義務付ける。導入者が法案の次のような特定の条項を遵守していれば、導入者は合理的な注意を払っていたという反駁可能な推定が存在する。

(1)高リスクシステムの「リスク管理ポリシー」策定と「プログラム」を実施する。

(2)高リスクシステムの「影響評価(impact assessment )」を完了する。

(3)導入者が導入した各高リスクシステムの導入を毎年レビューし、高リスクシステムがアルゴリズムによる差別を引き起こしていないことを確認する。

(4)高リスクシステムが消費者に関して重大な決定を下した場合に、指定された品目を消費者に通知する。

(5)高リスクの人工知能システムが結果的な決定を下す際に処理した誤った個人データを修正する機会を消費者に提供する。

(6)高リスクの人工知能システムの導入から生じる消費者に関する不利な結果的決定に対して、技術的に可能であれば人間(human)による審査を通じて消費者に異議を申し立てる機会を提供する。

(7)導入者が現在導入している高リスクシステムの種類と、これらの高リスクシステムのそれぞれの導入から生じる可能性のあるアルゴリズムによる差別の既知または合理的に予測可能なリスクとその性質を導入者がどのように管理するか、導入者によって収集および使用される情報のソースおよび範囲を要約した公開可能な声明(satement)を作成する。

(8)アルゴリズムによる差別(algorithmic discrimination)の発見を発見後 90 日以内に、高リスクのシステムが引き起こした、または合理的に引き起こした可能性があることを州司法長官に開示する。

 消費者と対話することを目的とした人工知能システムを展開または利用可能にする、導入者または他の開発者を含め、この状態でビジネスを行う者は、人工知能(AI)システムが、人工知能システムと対話する各消費者に、次のことを確実に開示する必要があり、消費者は人工知能システムと対話している。

 この法案は、開発者または導入者が次のような特定の活動に従事する能力を制限するものではない。

(1)連邦、州、地方自治体の法律、条例、規則を遵守する。

(2)特定の調査への協力および実施

(3)消費者の生命または身体の安全にとって不可欠な利益を保護するために緊急措置を講じること。

(4)特定の研究活動を実施し、取り組むこと。

 この法案は、次の場合に開発者または導入者に積極的抗弁(affirmative defense)(注4)を提供する。

 潜在的な違反に関与する高リスクシステムの開発者または導入者は、法案または司法長官が指定する国内または国際的に認められた人工知能システムのリスク管理フレームワークに準拠していることを遵守し、また、開発者または導入者は、法案の違反を発見するために指定された措置を講じる。

 最後にこの法案は、州司法長官に法案の要件を実施し執行する規則制定権限を与えている。

***********************************************

(注1)解説から抜粋

 「顔認識」は顔の特徴や表情を読み取る技術で、「顔認証」は前もって取得した画像のデータと照合して本人かどうかを見分ける技術である。

 顔認識とは:顔認識技術は、人工知能やコンピュータビジョン技術を使用して、画像またはビデオの中で人の顔を自動的に検出し、識別する技術です。この技術は、セキュリティシステム、監視システム、マーケティング、医療、ゲーム、ロボット工学など、さまざまな分野で使用されている。

 顔認識システムの主な機能は、以下のとおり。

①顔検出

②特徴抽出

③顔比較

(注2)アルゴニズムによる差別からの保護(Algorithmic Discrimination Protections):

アルゴリズムによる差別に直面すべきではなく、システムは公平な方法で使用、設計される必要がある。アルゴリズム差別は、自動化システムが人々を人種、肌の色、民族、性別、宗教、年齢等に基づいて不当に異なる扱いを行ったり、不利益となる影響を与える場合に生じる。システムの設計者、開発者、導入者はこうした差別から個人とコミュニティを保護し、公平な方法でシステムを使用および設計するために、積極的かつ継続的な対策を講じなければならない。

(注3) デプロイ(deploy)は、「展開する、配置する」などの意味を持つ。IT分野では、Webアプリケーションなどのシステム開発工程で、アプリケーションの機能やサービスをサーバー上に配置・展開し、利用可能な状態にする一連の作業を指す。

通常のシステム開発では、「開発環境」「テスト環境」「本番環境」など、環境ごとにファイルが設置されて、開発作業が行われる。デプロイはテスト環境と本番環境を利用して、サーバー上に実行ファイルを反映し、実際に稼働できる状態にする。(本稿では“deployer”は「導入者」と訳す)。

(注4) 積極的抗弁(affirmative defense)(conell 大学ロースクールの解説仮訳)

 積極的抗弁とは、たとえ被告が申し立てられた行為を行ったことが証明されたとしても、その証拠が信頼できると判断された場合には、刑事責任または民事責任を無効にするであろう証拠を被告が提出する抗弁をいう。 積極的抗弁を提起する当事者は、それが適用されることを立証する立証責任を負う。 積極的抗弁を提起しても、当事者が他の抗弁を提起することを妨げるものではない。

 正当防衛(Self-defense)、罠(entrapment)(注5)、心神喪失(insanity)(注6)、必要な防御(注8)、および優れた対応は、積極的防衛の例である。

 連邦民事訴訟規則第 56 条に基づき、いずれの当事者も積極的抗弁について略式判決を求める申し立てを行うことができる。

(注5)罠(entrapment): 被告がそうでなければ犯しなかった犯罪行為に従事するよう被告を誘導することによって、被告の訴追を開始するために必要な証拠を入手したと被告が主張する肯定的抗弁。 たとえば、ジェイコブソン対米国、503 US 540 (1992)を参照。 各州には、罠に対する抗弁がいつどのように適用されるかを概説する独自の判例法および法令があり、罠の主張に対して主観的なテストが適用される場合がある。これには次の 2 つの要素が含まれる。

    ① 被告には犯罪行為の性向がないこと。

 ② 政府による犯罪誘発

(cornell 大学ロースクール解説仮訳)

(注6)心身喪失(insanity)とは、人が自分の行動を完全に理解することができない精神疾患または疾患である。 心神喪失は主に刑法の概念ですが、契約法や遺言書にも見られることがあります。 心身喪失は部分的な場合もあれば完全な場合もあり、一時的な場合もあれば永続的な場合もある。 心神喪失の定義は、法律、特に州の刑法に多く見られるが、司法判決に由来する場合もある。

 事的心神喪失とは、被告が自分の行動の性質を知ることや理解すること、あるいは善悪を区別することを妨げる心神喪失のことである。 心神喪失の定義は州によって異なり、ほとんどの州ではマックノートン・ルール(M’Naghten rule)(注7)またはモデル刑法(Model Penal Code (MPC))の心神喪失に対する弁護(insanity defense)のいずれかに従う。 犯罪的心神喪失の他の検査には、抵抗不能衝動検査(irresistible impulse test)やダーラム検査(Durham test)などがある。(cornell 大学ロースクールの解説仮訳)

(注7) マックノートン・ルール(M'Naghten Rule ) (McNaghten と綴られることもある) は、犯罪的心神喪失に対する最初の法的検査である。 この検査は 1843 年に英国でダニエル・マックノートンに対する訴訟中に始まった。 マックノートンは首相秘書官エドワード・ドラモンドを首相だと信じて射殺した。 マックノートンは逮捕中、「保守党」が自分に対して共謀し、首相を殺害したいと考えていたため、首相を殺害する必要があったと主張した。 公判でマックノートンの弁護士は心神喪失の弁護を行い、これを裏付ける専門家の証言やその他の証拠を提出した。 裁判官の指示に従い、陪審の評決は「心神喪失のため」無罪となり、マックノートンは残りの生涯を精神病院で過ごすことになった。(cornell 大学ロースクールの解説を仮訳)

Daniel M'Naghten(Wikipedia から抜粋 )

(注8) 必要な防御(necessity defense):必要性の抗弁は、不法行為が避けられず、より深刻な危害の発生を防ぐため特定の行為が正当化される場合の、不法行為に対する責任に対する抗弁である。

刑法では、必要性の弁護は、俳優または他人に特定の危害を及ぼす恐れのある状況において、行為者の違法行為は 2 つの悪のうち必然的に小さい方であると主張する。 カリフォルニア州の陪審説示(California Jury Instructions)によれば、必要性の弁護を成功させるには、次のことを証明する必要がある。(筆者注記:わが国でいう「緊急避難」)

①行為者は、行為者または他の誰かへの怪我を防ぐために行動しました。

②行為者には合理的な代替手段がなかった。

③行為者は回避した危険よりも大きな危険を引き起こしたわけではない。

④行為者は実際、脅迫された危害や悪を防ぐために違法行為が必要だと信じていた。

⑤まともな人であれば、その状況では違法行為が必要だったとも信じただろうし、

その行為者は緊急事態に実質的に貢献しなかった。

*******************************************************

Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution. 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする