日本やアメリカなど18カ国がAIの安全開発ガイドラインを共同発表

現地時間2023年11月27日に、アメリカや日本を含む18カ国がAI開発に関するガイドライン「セキュアなAIシステム開発のためのガイドライン(Guidelines for secure AI system development)」を共同発表しました。ガイドラインでは、AIの開発や運用保守においてユーザーのプライバシーを保護することやドキュメントを適切に管理することなどが求められています。

Guidelines for secure AI system development - NCSC.GOV.UK
https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development

Guidelines for secure AI system development - Guidelines-for-secure-AI-system-development.pdf
(PDFファイル)https://www.ncsc.gov.uk/files/Guidelines-for-secure-AI-system-development.pdf

セキュアAIシステム開発ガイドラインについて
(PDFファイル)https://www.nisc.go.jp/pdf/press/press_Guidelines_for_Secure_AI_System_Development.pdf

今回作成されたガイドラインを支持する国家および機関は以下の通り。

ガイドラインは「セキュア設計」「安全な開発」「安全な展開」「安全な運用と保守」という4項目に分かれており、それぞれの項目にはAI開発サイクルを改善するための提案や一般市民を保護するための提案が含まれています。各項目の主な内容は以下の通り。

・セキュア設計
開発を始める前から、AIが持つセキュリティリスクやその軽減策について開発スタッフの意識を高める必要があります。また、開発を行うAIの機能の決定と同時に、セキュリティに関する決定も行う必要が求められます。

・安全な開発
開発段階においては、サプライチェーンのセキュリティやドキュメントの管理、資産の保護、技術的負債の適切な管理が求められます。

・安全な展開
APIやモデル、データのアクセス制御権など、AIシステムをサポートするために使用されるインフラストラクチャの適切な保護を行う必要があります。また、セキュリティインシデントが発生し、問題が表面化した場合に備えて、開発者はその対応計画と修復計画を事前に準備することが重要です。さらに、AIモデルの機能とトレーニングされたデータは攻撃者から継続的に保護する必要があり、徹底的なセキュリティのアセスメントに合格した場合にのみ、リリースされるべきです。

・安全な運用と保守
AIの動作を監視する際には、プライバシーとデータ保護の要件を満たすために、誤用の兆候がないかを適切に監視し記録する必要があります。また、定期的に更新プログラムを自動アップデートして、古いバージョンや脆弱(ぜいじゃく)なバージョンが使用されないようにする必要があります。

イギリスの国家サイバーセキュリティ庁のリンディ・キャメロンCEOは「これらのガイドラインは「これらのガイドラインは、AIを取り巻くサイバーリスクに関する真にグローバルな共通理解を形成するための重要な要素であり、セキュリティが開発の一部ではなく、AI全体の中核的な部分であることを保証するものです」と述べています。

今回のガイドラインに法的拘束力はありませんが、CISAのジェン・イースタリー長官は「AIシステムのセキュリティ保護を第一に考えるという今回のガイドラインに、これほど多くの国が名を連ねたことは非常に重要なことです。今回のガイドラインは『AI開発や展開に重要なのは画期的な機能や、市場への投入速度、コスト削減だけではない』という各国の合意を得た初めてのガイドラインです」と語っています。

なお、「セキュアなAIシステム開発のためのガイドライン」の和訳版は以下のリンク先で確認できます。

セキュアなAIシステム開発のためのガイドライン
(PDFファイル)https://www.nisc.go.jp/pdf/policy/kokusai/Provisional_Translation_JP_Guidelines_for_Secure_AI_System_Development.pdf