Secure Privacy(セキュアプライバシー)が、90日以内にAIコンプライアンスを運用化する方法を示すEU AI法プレーブックを公開した。
2025年2月に施行されたEU AI法は、附属書IIIに基づく高リスクAIシステム要件を2026年8月までに完全施行する予定だ。この規則はGDPR(EU一般データ保護規則)をも上回る罰則体系を規定しており、最も重大な違反に対しては最大3,500万ユーロまたは世界年間売上高の7%に相当する罰金が科せられる。しかし、多くの企業は依然として、この規則の理解を実際のコンプライアンスプログラムに反映させることに苦労している。
Secure Privacyによると、組織の半数以上が、運用中のAIシステムの基本的なインベントリーをいまだに把握していないという。現状と8月までに達成すべき目標との間のこのギャップは、単なる文書化の問題ではなく、運用上の問題だ。
これに対処するため、Secure Privacyは90日間の構造化されたスプリントを提案している。このスプリントでは、AIシステムのインベントリー、EU AI法のリスク分類、影響評価、技術的管理、ガバナンスポリシー、そしてAI導入が規制要件を満たしていることを監査可能な形で証明するために必要なコンプライアンス基盤について検討する。ユーザープライバシーを最優先することは極めて重要であり、Secure Privacyが提供する無料の「Privacy by Design Checklist」は、開発プロセスとデータ管理プロセスにプライバシーに関する考慮事項を組み込むのに役立つ。
AI法の段階的なタイムラインは、組織に準備期間を与えることを目的としていた。しかし、最も重要な条項については、移行期間は実質的に終了している。2026年8月以降、附属書IIIカテゴリーの高リスクAIシステムを導入する組織は、第9条から第49条への完全な遵守を実証する必要がある。これには、文書化された継続的なリスク管理システム、トレーニングデータのガバナンス、完全な技術文書、システムイベントの自動ログ記録、導入者と影響を受ける人々への透明性義務、人的監視メカニズム、正確性、堅牢性、サイバーセキュリティー管理、品質管理システム、市場参入前の適合性評価、およびEUデータベース登録が含まれる。この規制は域外適用され、GDPRの適用範囲を反映している。EU居住者に影響を与える出力を生成するAIシステムを提供または導入する全ての組織は、本社所在地に関わらず、遵守する必要がある。
この製品の詳細については、Secure Privacy製品ページをご覧ください。
