Secure Privacy(セキュアプライバシー)の報告によると、米カリフォルニア州の新しい自動意思決定規制により、日常的な製品機能が規制対象領域に移行し、これまでアルゴリズムツールを特に問題視していなかった企業に実際的な影響が出ている。2025年9月に最終決定され、2026年1月1日に発効するこの規制は、個人情報を処理し、人間の意思決定を代替または実質的に代替する技術に適用される。応募者をランク付けする社内採用選考モデルは、人間の関与がほとんどなく、企業が既存のカリフォルニア州消費者プライバシー法(CCPA) の基準を満たしている場合、対象システムの典型的な例として挙げられている。CPPAのアプローチは、「AI」というフレーズを意図的に避け、代わりに、人間の判断に対する計算の機能的影響に義務を固定し、ADMTルールを、年間総収入が2,660万ドルを超える事業体、10万人以上のカリフォルニア州居住者または世帯の個人情報を処理する事業体、または個人情報の販売または共有から収益の50%以上を得ている事業体に既に適用されている、より広範なCCPA/CPRAの枠組みの中に位置付けている。
この規制は、多くの導入企業にとって目新しい3つの消費者権利と厳格な期限を定めている。ADMTが「重要な意思決定」(雇用、金融サービス、住宅、教育、医療など)に使用される前に、企業は、技術の仕組み、出力の根拠となるデータ、そして出力がどのように意思決定に反映されるかを説明する事前通知を提供するとともに、オプトアウトを希望する消費者のための代替プロセスを明確に説明しなければならない。消費者は、少なくとも2つのアクセス可能なオプトアウト方法を選択でき、自身に影響を与える意思決定に影響を与えたロジック、パラメーター、および具体的な出力へのアクセスを要求できる必要がある。規則が発効した時点で既に稼働していたシステムについては、2026年1月1日からリスク評価を開始する必要があり、消費者向けの通知とオプトアウトの仕組みを2027年1月1日までに実装する必要があり、評価が完了したことを確認する証明書を2028年4月1日までにCPPAに提出する必要がある。罰則は消費者ごとに設定され、意図的でない違反の場合は最大2,500ドル、意図的な違反の場合は最大7,500ドルの罰金が科せられる。一方、最先端AIの透明性に関する法律などの別の法律では、最先端モデルの開発者に対して違反1件につき最大100万ドルの罰金が科せられる。
リスク評価義務は、新規導入と既存処理を区別する明確な手順と期限とともにマッピングされている。2026年1月1日より前に開始された処理の評価は2027年12月31日までに完了する必要があるが、新規処理の評価は活動開始前に完了する必要がある。各評価では、目的、論理、予見可能な悪影響、保護措置、および緩和計画を評価する必要がある。上級幹部の認証が必要であり、記録は5年間保持する必要があり、レビューは少なくとも3年ごと、または重大な変更から45暦日以内に行う必要がある。実際のコンプライアンス作業は、個人情報を処理する全てのシステムのインベントリーから始まり、各ツールをADMT定義と重要な決定の分類体系にマッピングする。その後、組織は、リスク要因(特に機密性の高い個人情報の使用または推測)によってシステムをトリアージし、オプトアウトを強制しアクセス可能な通知を提供する消費者向けインフラストラクチャーを実装し、ベンダーとの連携と継続的なガバナンスを示す監査対応ドキュメントを維持することが推奨される。
カリフォルニア州の、導入者中心で消費者の権利を重視する規制モデルは、EU AI法のプロバイダー中心で製品中心の規制とは対照的だが、どちらも同様の高リスク領域を対象としている。EUの枠組みは適合性評価、技術文書、プロバイダーの義務を重視しているが、カリフォルニア州のアプローチは消費者への通知、オプトアウト権、使用中のシステムに対する導入者の責任に重点を置いている。両方の規制の対象となる組織は、重複を避けるために評価を統合することが推奨されている。カリフォルニア州の追加法は、最先端モデルの安全性文書、生成トレーニングデータの公開開示、プラットフォームレベルのAI検出ツールを段階的に施行するものだ。よく見られるコンプライアンス違反としては、ベンダーの使用が法的責任を移転すると考えること、規制機能ではなく内部製品ラベルに基づいてシステムを分類すること、ADMT以外の代替手段を用意せずにADMT経路を開始することなどが挙げられる。CPPAによる積極的な調査と重複する法定要件の組み合わせは、カリフォルニア州の消費者に影響を与える自動意思決定を導入するあらゆる組織にとって、積極的な是正とガバナンスが依然として時間的制約のある優先事項であることを示唆している。
この製品の詳細については、Secure Privacy製品ページをご覧ください。
