責任あるAIをサポートする OneTrust AI Governance

はじめに
先日(2023年5月)OneTrustの「AI Governance」モジュールが「Early Access Program (EAP)」で先行公開されました。今回のブログでは、新しくリリースされたこのモジュールについて、責任あるAIという概念とともに紹介したいと思います。
責任あるAI(Responsible AI)とは?
OneTrustの「AI Governance」を紹介する前に、まずは「責任あるAI(Responsible AI)」という概念について理解しておく必要があります。「責任あるAI(Responsible AI)」はマイクロソフト社をはじめ様々なサイトで紹介されています。
OneTrustのサイトによると「責任ある AI」 とは、従業員、顧客、世界全体にとって利益になるという積極的な意図を持って AI を作成および導入する慣習(プラクティス)です。AI の使用は合法的、倫理的、そして安全であることが求められます。こうした慣習は、新しい生成 AI テクノロジーとアルゴリズムが次々にリリースされ使用される中で、特に重要になっています。
これは企業や組織が製品やサービスを導入または提供を開始する前にその安全性を確認する基本的な責任を負っていることを示しています。言い換えると、企業や組織は、AIプロジェクトを進める上で、プライバシー、倫理、社会におけるリスクの管理についても対処していく必要があります。
責任あるAIを取り入れるには? 3つのステップ
「責任あるAI」を組織に取り入れるためには、どうすれば良いのでしょうか?
OneTrustのブログ「Embracing responsible AI: 3 steps to get your organization started」では、実現するための3つのステップについて紹介しています。
チームの立ち上げ
プライバシーの専門家は、AI の革新とユーザーのプライバシーのバランスをとりながら、組織全体で「責任ある AI」の推進を主導するポジションを担うことになると同時に、AI の開発と活用には、発生する可能性のあるさまざまなリスクを理解し、軽減し、管理するためにさまざまな役割や組織のメンバーと連携する必要があります。部門横断的なチームを構築することで、社内のさまざまな利害関係者との連携によって形成されるガバナンス構造により、AI に関する意思決定に対して体系的で一貫性のあるアプローチを取ることができるようになります。
AI インベントリを構築する
2番目のステップは、インベントリの作成です。社内か外部かを問わず、AI と 機械学習 に関連するすべての製品、機能、プロセス、プロジェクトのリストを作成します。プライバシーまたは ITリスクマネジメントプログラムの観点から、既存のデータマッピングまたはインベントリをベースに構築することができます。
既存のものがない場合は、AI や機械学習テクノロジーに加えて、個人情報を伴う処理活動の棚卸から始めます。(ちなみにOneTrustの「Data Discovery」モジュールを使用すれば、AI システムがさまざまなカテゴリのデータとどのように情報をやり取りしているかを自動で判定してくれるため、非常に有用ですが、2023年8月現在、残念ながら日本語データの判定、分類に対応しておりません。)
フレームワークと照らし合わせて、取り組みとマッピングする
NIST AI RMF (RMF : Risk Management Framework)のようなフレームワークに対して組織の取り組みをマッピングすることで、新しいガバナンス構造をどう構築していくか検討する上で役立ちます。たとえば、AI リスクの質問票は、プライバシー影響評価 (PIA) やベンダーアセスメント(評価)といった形で、組織がもつ既存のアセスメント(評価)やユーザーのワークフロープロセスに組み込むことが可能です。
AI ガバナンス
OneTrustは、ここまで紹介してきた「責任あるAI」の実現を支援するため、言い換えると、AIに関連するプライバシー、倫理、社会的リスクの管理を支援するため、既存のプライバシー影響評価自動化の機能を活かしつつ、新たなモジュールとして「AI Governance」の提供を開始しました。(2023年8月現在、Early Access Program (EAP) での提供となります。)
以下は、OneTrustのプレスリリース「OneTrust Introduces AI Governance Solution to Inventory, Assess, and Monitor AI Risk」の内容を和訳したものです。
AI Governance モジュールを使用することで、コンプライアンス チームとデータ サイエンティストは、データの使用と分類をより深く理解し、リスクを評価し、新たなグローバル要件に対する準拠を証明し、AI が倫理的かつ責任を持って活用されるのを担保することができます。
出典:OneTrust Introduces AI Governance Solution to Inventory, Assess, and Monitor AI Risk, May 15, 2023
- インベントリ: 組織は、社内で開発された AI プロジェクト、モデル、データセット、およびサードパーティから調達された AI プロジェクト、モデル、データセットを一元的に表示および管理できます。AI ガバナンスは、データセットと AI モデル間の関係を確立し、データの経路をソースからトラッキングします。
- リスクの評価: ユーザーは、NIST AI リスク管理フレームワーク (RMF)、OECD AI 原則といった世界的な法律やフレームワークに照らして AI プロジェクトを評価できます。AI Governance は、OneTrust Data Discovery & Governance モジュール と連携して、構造化および非構造化データ ソースに接続し、アルゴリズムのバイアスやプライバシー リスクを引き起こす可能性のある機密データや個人データを自動的に検出して分類します。Regulatory intelligence は、コンプライアンス ワークフローとリスク管理を自動化し、必要な制御緩和と適合性評価などのコンプライアンス文書を自動的に生成するのに役立ちます。
- 監視: AI Governance は、既存のモデル レジストリおよび MLOps ツールと統合して、AI モデルの使用と変更を検出し、一元管理されたインベントリに同期します。チームは、アプリ内アラートを使用して、モデルとトレーニングデータのドリフト、バイアス、公平性、精度、品質を継続的に評価することができます。
AI Governance を利用するには?
AI Governance は、AI Governance Early Access Program (EAP) を通じて対象となる顧客として認定されてはじめて利用できるようになります。このプログラムは、一般公開前のソリューションを一部の顧客に公開することで、顧客からの意見や改善案をソリューションに反映するための仕組みです。(EAPへの申し込みはOneTrustのサイトから申請することが可能です。)
AI Governanceの3つのオブジェクト
AI Governanceでは、AIインベントリを一元管理するために用意された3つのオブジェクトを使用し、AI プロジェクトを管理することができます。
AIインベントリでは、データセット、モデル、プロジェクトの3つのレコードタイプがあり、それぞれがAIガバナンスのためのオブジェクトとして利用可能です。(プロジェクトは既に存在していましたが、ここで紹介するプロジェクトはAI Governanceモジュール用のプロジェクトを指します。)
1. データセット
データセットは、 モデルをトレーニングするのに使用されます。OneTrustのデータセットオブジェクトでは、AI で使用されるデータがどのようにトラッキングされ、バージョン管理され、データ ソースの意味づけされているかを管理することができます。
2. モデル
モデルには、AI/ML アプリケーションを構築し、情報を付与するのに使用される学習フレームワークが含まれています。OneTrustのモデルオブジェクトは、モデルが社内またはサードパーティ由来か、システムを使用することで発生しうるリスクのレベル、モデルがどのようなタスクを対象としているかを管理します。
3. プロジェクト
プロジェクトは、AI を使用して 1 つ以上のユニークで具体的なビジネスの成果を達成するために用いるオブジェクトです。OneTrustのプロジェクトオブジェクトを使用することで、組織はシステムの主な最適化目標、目的、または AI システムの予測しうる用途を詳細に記録し、プロジェクトのトラッキングと進捗状況のモニタリングを改善することが可能です。
属性の追加・カスタマイズ
ここまで紹介した3つのオブジェクトには、デフォルトの属性が用意されていますが、もし、カスタム属性を追加したい場合、プロジェクト、モデル、データセットに対して追加することが可能です。
OneTrustが提供するアセスメント(リスク評価)テンプレート
2023年8月21日時点、OneTrustのウェブサイトでは、AIリスク評価のための質問票テンプレートとして以下の4種類のテンプレートが紹介されています。
①Assessment List for Trustworthy Artificial Intelligence (ALTAI) Framework Checklist – 1.0
この質問票は、欧州委員会の ALTAI フレームワーク (ASSESSMENT LIST FOR TRUSTWORTHY ARTIFICIAL INTELLIGENCE の略)に基づいており、組織が開発中の AI システムの信頼性を評価するのを支援することで、個人の基本的権利の保護を支援します。この責任ある AI 評価は、多くの専門分野にまたがるチームが参加して完了するのが最も効果的です。これらは、各要件および関連する質問に関して特定の能力または専門知識を持つ、組織内および/または組織外からの人材である可能性があります。
利害関係者の中には、たとえば、AI システムの AI デザイナーおよび AI 開発者、データ サイエンティスト、調達担当者または専門家、AI システムを使用または協力するフロントエンド スタッフ、法務/コンプライアンス担当者、そして経営陣が含まれます。この評価リストを使用して AI システムを自己評価する前に、基本的権利影響評価 (FRIA) を実施することをお勧めします。
②UK ICO AI & Data Protection Toolkit Checklist – 1.0
この質問票は英国 ICO の AI and data protection risk toolkit に基づいており、コンプライアンスに重点を置く以下の対象者を主にガイドすることを目的としています:
- データ保護責任者 (DPO)
- 法務顧問
- リスク マネージャー
- 経営陣
この質問票は、高レベルのライフサイクル段階ごとにリスクとコントロールが分割されており、各段階でどのようなリスクとコントロールを考慮する必要があるかを例示してくえるガイドとして使うことができます。
このツールは、個人の基本的な権利と自由に対するリスクを評価する方法として使用し、実践的な措置を講じることにより、基本的な権利と自由に対するリスクが軽減され、データ保護法の順守がより可能になります。
また、リスクの評価とリスクを軽減するために講じた手順を文書化することは、コンプライアンスを証明するのに役立ちます。
③NIST AI Risk Management Framework (RMF) Playbook Assessment – 1.2
このテンプレートの質問項目は、「NIST AI Risk Management Framework(RMF)のPlaybook 」(NIST AI RMFの付属リソース)に基づいたアセスメント内容となっています。
Playbook は、AIリスクマネジメントフレームワーク(AI RMF)のコア(AI RMF 1.0の表1~4)に示された成果を達成するための推奨アクションを提供しています。これらの推奨事項は、AI RMFの4つの機能(ガバナンス、マップ、測定、管理)の各サブカテゴリーに沿った内容になっています。
Playbookで提案されている推奨事項はあくまで任意であり、Playbookの中から業界のユースケースや自社・組織の関心に沿うものをピックアップし、使用します。(Playbookは、チェックリストや何かを遂行するためのステップガイドのように網羅的に実施すべきものではないため)
このアセスメントの各設問は、NIST AI RMFのサブカテゴリーに対応しており、NIST AI RMF Playbookの「推奨アクション」に基づく回答選択肢があらかじめセットされています。これらの回答選択肢は、各質問に可能な限り完全かつ包括的に回答するのをサポートするためのものです。
④OECD Framework for the Classification of AI Systems Checklist
この質問票は、政策的観点からAIシステムを評価するための「OECD Framework for the Classification of AI systems」に基づいています。
この「OECD FRAMEWORK FOR THE CLASSIFICATION OF AI SYSTEMS」の「Ways to use the framework」(フレームワークの使用法)の項では、5つの項目のうちの1つに「リスク評価のサポート」を挙げており、「リスクの除去や軽減に役立つリスク評価フレームワークの開発やインシデント報告におけるグローバルな一貫性と相互運用性を促進するAIインシデントに関する報告のための共通フレームワークの開発に関する関連タスクの基礎を提供する」とあります。
また、「Classification Framework」(分類)については、5つの評価項目があげられていますが、それぞれに質問が含まれる形となっています。OneTrustにおいても同様に5つのセグメントに分かれています。
以下は分類とそれに含まれる質問の一部です。
- People & Planet (システムのライフサイクルを通じて、「人」が全体としてAIシステムとどのように関わり、影響を受けるかを考える上で、人権と幸福に焦点を当てている。)
- AIシステムの利用者のコンピテンシー(スキルレベル)を表すものは次のどれですか?(選択式)
- AIシステムの影響を受けるのは誰ですか?
- Economic Context(AIシステムが展開される分野、そのビジネス部門、AIシステムの重要性(または非重要性)、およびAIシステムの導入に伴う影響と規模)
- そのシステムはどのような業種(金融、農業など)に導入されていますか?
- そのシステムは営利目的、非営利目的、公共サービスのどれにあたりますか?
- システムの機能/活動の中断は、必要不可欠なサービスに影響しますか?
- Data & Input(AIモデルが使用するデータおよび専門家によるインプット。データの収集とクリーニング、ラベリング、完全性と品質のチェック、データセットの特徴)
- データと入力は、人間もしくは、自動化されたセンサーによって収集されますか?あるいはその両方ですか?
- データセットは処理の目的に沿ったものですか?サンプルサイズは適切ですか?
- AI Model(AIシステムの外部環境のすべてまたは一部のコンピュータ処理に関する部分。技術の種類、モデルの構築方法(専門家の知識、機械学習、またはその両方を使用)、モデルの使用方法(どのような目的のために、どのようなパフォーマンス指標を使用するか)が含まれる)
- システムのモデルに関する情報はありますか?
- モデルの出力(モデルが導き出した結果)を理解するのに必要な情報が利用可能か?
- Task & Output(システムが実行するタスク(パーソナライゼーション、認識、予測、目標駆動型最適化など)、そのアウトプット、および全体的な文脈に影響を与える結果として取られたアクション)
- システムはどのようなタスク(認識、イベント検出、予測など)を実行しますか?
- システムがとるアクションはどの程度自律的で、人間はどのような役割を果たしますか?
さいごに
今回のブログでは、「責任あるAI」とOneTrustの「AI Governance 」モジュールの概要について紹介しました。AI Governance は現時点では、Early Access Program (EAP) に申し込み、認定されることで利用できるものの、一般公開はもうしばらく時間がかかりそうです。
今後こちらの機能についてアップデートがあれば、本ブログでも紹介したいと思います。

OneTrust は、プライバシー分野でNo.1のソリューションです。
プライバシー法規制の要求事項について包括的に対応している点が人気の理由です。
OneTrustのソリューションに興味がありましたら、
お気軽にお問い合わせください