Secure Privacy(セキュアプライバシー)は、EU AI法が2026年8月2日に本格的に施行されるに当たり、ソフトウェアチームが法令遵守違反のリスクにさらされていると警告し、同法は2024年8月1日に発効していることを改めて伝えた。同団体は、規制対象AIと非規制対象AIの区別は、内部ラベルではなく機能と展開に基づいていると指摘し、最近出荷された応募者スコアリング機能を、高リスクとみなされる可能性が高いシステムの例として挙げた。同分析では、同法に基づく罰則は段階的であり、最も厳しい罰金は、禁止行為に対して最大3,500万ユーロまたは全世界売上高の7%、高リスクの法令遵守違反に対して最大1,500万ユーロまたは3%、誤った情報の提供に対して最大750万ユーロまたは1%に達すると指摘し、EU市場にAIシステムを導入する全てのプロバイダーにとって、準備のための時間は事実上刻々と過ぎていると強調した。
ガイダンスでは、分類は、システムが単に固定されたルールベースのロジックを実行するのではなく、入力から推論し、さまざまなレベルの自律性で動作するという、法律で定義されているAIシステムであるかどうかを確認することから始まると説明されている。第5条では、ソーシャルスコアリング、公共空間での特定の形式のリアルタイム生体認証、心理的脆弱性を悪用するシステム、職場や教育現場での感情認識など、さまざまな用途が禁止されていることが指摘された。報告書は、付属書IIIには、生体認証、重要インフラ、教育および職業訓練、雇用および労働者管理、必須サービスへのアクセス、法執行、移民および国境管理、司法および民主的プロセスの運営という8つの適用領域が列挙されており、これらは個人のプロファイリングを伴う場合に高リスクであると推定されるため、特に注意を払う必要があると助言している。解説では、附属書IIIには、ベンダーが規制対象になるとは予想していなかった多くの商用利用事例が含まれていることを明確にし、システムが意思決定に重大な影響を与えないことが明白な場合に限り、プロバイダーがシステムが高リスクではないと主張できるという限定的な例外規定について概説した。ただし、そのような評価は文書化され、システムは登録されなければならないというただし書きが付いている。
実務上の影響については、一般的な製品シナリオとコンプライアンスの仕組みの観点から説明された。説明では、申請者ランキングツール、信用スコアリングAPI、必須サービスの適格性を判断するために使用されるAIはプロバイダーを高リスクカテゴリーに分類する一方、汎用チャットボットやLLMアシスタントは、医療トリアージや給付資格などのコンテキストで展開されない限り高リスクにはならないと示された。SaaSプラットフォームとAPIプロバイダーは、義務を回避するためにアーキテクチャーや契約条項だけに頼ることはできないと指摘された。これは、法律がプロバイダーと展開者のチェーン全体に責任を割り当てているためです。資料ではEU一般データ保護規則(GDPR)との相互作用が強調され、個人データを処理する高リスクAIシステムは、両方の制度の下で同時に義務を負う可能性があることが指摘された。運用準備に関しては、ガイダンスでは、第9条から第49条は、継続的なリスク管理とデータガバナンスから、詳細な技術文書、自動ログ記録、透明性と人的監視メカニズム、正確性とサイバーセキュリティー管理、適合性評価、EUデータベースへの登録に至るまでの要件を課していると概説した。同文書は、コンプライアンスは一度限りの書類作成ではなく、継続的な運用上の取り組みであると警告し、ガバナンスをスプレッドシートだけに頼ることに警鐘を鳴らし、製品ライフサイクルに管理策を組み込み、境界線上のケースについてはツールと手動による法的レビューを組み合わせることを推奨した。Secure Privacyはまた、チームがプライバシーに関する考慮事項を開発およびデータ管理プロセスに統合するのに役立つ無料の「プライバシー・バイ・デザイン・チェックリスト」も掲載している。
この製品の詳細については、Secure Privacy製品ページをご覧ください。
