Secure Privacy(セキュアプライバシー)の報告によると、EU AI法第27条は、高リスクAIシステムを使う組織の導入前義務を変革し、2026年8月2日が厳格な遵守期限となる。この規制では、プロバイダーとは区別される導入者が、対象となるシステムを運用開始する前に基本的人権影響評価(FRIA)を完了し、その結果を管轄の国内市場監視当局に通知することが義務付けられる。FRIA義務を履行しない、または当局に通知しない場合、導入者は最大1,500万ユーロまたは全世界年間売上高の3%の行政罰金を科される可能性があり、これは理論上のリスクではなく、差し迫った規制リスクとして位置付けられている。この義務は、高リスクと特定された附属書IIIのカテゴリー全体に適用され、特に、履歴書を取り込み、候補者を評価し、採用決定に役立つランキング付きの候補者リストを作成するAI搭載の応募者スクリーニングなどの雇用関連システムに重点が置かれる。
Secure Privacyは、FRIAはEU一般データ保護規則(GDPR)のデータ保護影響評価(DPIA)とは範囲と目的が大きく異なると説明している。FRIAは、個人データの処理のみに焦点を当てるのではなく、EU基本権憲章に明記されているあらゆる基本的人権(非差別、人間の尊厳、表現の自由、司法へのアクセス、労働者の権利)への影響に対処しなければなりない。この義務は、使用の具体的な状況と影響を受ける可能性のある人々を知っている展開者に課せられる。例として挙げられているのは、公的機関、公共サービスを提供する民間団体、サードパーティーの信用モデルをライセンス供与する銀行、ベンダー提供のトリアージツールを導入する病院などだ。AI法はまた、信用度評価、信用スコアリング、生命保険および健康保険のリスク評価と価格設定に使用されるAIシステムの展開者に対するFRIAの要件を規定する一方で、重要インフラ管理に使用されるAIの安全コンポーネントについては狭い範囲で免除している。
Secure Privacyは、規制の要件を運用化し、FRIAワークフローを既存のDPIAプロセスと統合することを目的とした5段階のFRIAプロセスを概説している。最初のステップでは、デプロイされたAIシステムの正確なマッピングが必要だ。入力、出力、意思決定の役割、規模、頻度、出力が決定的なものか助言的なものかを把握する。2番目のステップでは、間接的および下流の受益者または損害を受ける者を含む影響を受けるグループを特定し、各グループに関係する可能性のある憲章の権利を体系的にマッピングする必要がある。3番目のステップでは、リスク分析と軽減計画に焦点を当て、深刻度と可能性の評価、および保護対象特性全体にわたるバイアステスト、人間のレビューをトリガーする信頼度閾値、説明可能性メカニズム、真のオーバーライド権限を持つスタッフによる監視役割、アクセス可能な苦情と異議申し立て、ベンダー文書のレビューなどの技術的および組織的制御を推奨する。第4段階では、市場監視当局および内部統制に適した構造化されたFRIA報告書と、取締役会レベルのレビューのための要約が求められ、第5段階では、内部承認が得られた後、部門横断的なレビューと国家当局への正式な通知が求められる。
Secure Privacyは、一般的なコンプライアンス上の落とし穴について警告している。それは、デプロイ後にFRIAを完了すること、評価をデータ保護の考慮事項に限定すること、影響を受けるコミュニティーとの連携を怠ること、そして継続的な監視と再トレーニングによってモデルドリフトが発生する可能性があるにもかかわらず、FRIAを静的な1回限りの作業として扱うことだ。AI法の条文では、DPIAがFRIAの基礎として機能することを認めており、第27条(4)では、DPIAはより広範な権利に焦点を当てた評価に取って代わるのではなく、補完するものとするよう指示している。Secure Privacyは、適切に構築されたDPIAは通常、FRIA要件の約3分の1から5分の2をカバーし、統合されたワークフローによって効率が向上すると指摘している。組織は、AIシステムのインベントリーから始め、運用変更に関連付けられた最新のドキュメントを維持することが推奨されており、Secure Privacyは、デプロイ者がFRIAプロセスを実施および文書化し、EU AI法への準拠のための監査対応可能な証拠を維持するのに役立つ無料のプライバシー・バイ・デザイン・チェックリストとAIガバナンスプラットフォームを提供している。
この製品の詳細については、Secure Privacy製品ページをご覧ください。
