香港における人工知能(AI)の規制は、断片的で分野ごとに特化した枠組みの中で進化しています。異なる規制機関が各業界を監督しており、統一した規制構造ではなく、ガイドラインの寄せ集めとなっています。例えば、香港金融管理局(HKMA)は銀行業界におけるAIの活用を規制し、証券先物委員会(SFC)は金融サービスにおけるAIを監督し、個人情報私隠専員公署(PCPD)はあらゆる分野におけるAI利用に関するデータプライバシーの指針を提供しています。
パートナー
Stevenson Wong & Co
香港
Tel: +852 2533 2540
Email: heidichui.office@sw-hk.com
さらに、既存の規制で具体的にカバーされていないAI関連の損害については、コモンローの原則が対応し、AIの導入に起因する紛争において法的救済を可能にしています。この全体的なアプローチによって、状況に応じて監督することが可能になる一方で、複数の分野で事業を展開する企業にとっては、コンプライアンスの課題を生む可能性があります。
今回の特集の本章では、香港におけるAI利用において、特に注意を要する主要分野に焦点を当てています。まず、金融サービス、医療サービス、法律サービスなど、規制および倫理的懸念を増大させる高リスクのAI活用を検証します。その後、分野ごとの考慮事項を探り、AIの導入が特に影響を与える、または規制が急速に進展している業界をクローズアップします。
続いて、組織内でのAIガバナンスについて論じ、「3つの防御線」などの構造化された監督モデルを使用して、企業がどのように責任を持ってAIを統合できるかを解説します。最後に、AIツールが処理する大量の機密情報を考慮して、特に関連性の高いデータプライバシーの懸念点について検討します。
本章はこれらの重要な分野を分析することで、コンプライアンスや効果的なリスク管理を確保しつつ、香港のAI規制状況を切り抜けるために企業に実践的な枠組みを提供します。
高リスクのAI活用
香港における高リスクのAI活用は、特に投資アドバイス、不正検出、法律アドバイス、採用などの分野で、国際的なトレンドが反映されています。これらの活用例やその他の活用例では、個人情報などの機密データに関わったり、消費者の権利に影響を与えたり、または重大な財政上・法律上の影響を伴ったりするため、高リスクと見なされています。
例えば、AI駆動型の投資アドバイスは、不適切な商品の推奨につながり、消費者や企業に財政上のリスクをもたらす可能性があります。同様に、AIを活用した不正検出は、誤検知(偽陽性)や見逃し(偽陰性)を防ぐために非常に高い精度が求められます。
AIによる不正検出は、金融サービス、eコマース、サイバーセキュリティなどの分野で一般的に使用されており、機械学習モデルが取引パターン、ユーザー行動、デバイスのデータを評価して、潜在的な詐欺行為をリアルタイムで特定します。
このようなシステムは、バイアスを防ぎ、香港のデータ保護および詐欺防止規制を遵守するために、慎重に監視を受ける必要があります。判例分析や契約書作成を扱う法律AIツールは正確性や公平性を確保する必要があり、また、AIベースの採用ツールにはバイアスや差別を防ぐための安全策が必要です。
SFCやHKMAなどの規制機関は、金融サービス分野におけるこれらのリスクに対処するための指針を発行しています。SFCの生成AIに関する通達では、ライセンス取得企業に対してAI言語モデルの使用に関するリスク評価を実施し、そのリスク評価のための指針となる原則の設定を求めています。ライセンス取得企業はまた、AI駆動の金融サービスに対するリスク軽減措置と監視の仕組みを導入する必要があります。一方で、HKMAのAIに関するハイレベル原則は、AIガバナンスのために推奨されるプラクティスを提供しています。HKMA Gen AI Sandboxなどのような規制サンドボックスは、企業が制御された環境で高リスクのAIの活用をテストする機会を提供しています。
高リスク分野でAIを導入する企業は、適用される規制枠組みを評価し、人間参加型の監視の仕組みを組み込み、リスクを軽減するために、監視の継続を確保することを検討すべきでしょう。
分野別でのAI
コンサルタント
Stevenson Wong & Co
香港
Tel: +852 2533 2650
Email: ElizabethChan.Office@sw-hk.com
一部の分野におけるAIの使用は、規制の焦点、技術の急速な進歩、またはAI活用の重要性などの理由から特に注意が必要です。このセクションでは、さまざまな分野の例を紹介します。
銀行・金融サービス分野では、AIはロボアドバイザー、不正検出、顧客サービスに広く使用されています。例えば、2024年2月に香港のICBC Asiaが、潜在的な不正取引を特定して疑わしい詐欺を調査するために、AI技術に投資することが報告されました。
HKMAとSFCは、AIモデルの説明可能性、サイバーセキュリティ、リスクベースの監督を優先するガバナンスの枠組みを企業に実施するよう求めています。
医療分野では、診断、患者ケアツール、運用効率のためにAIが活用されています。しかし、責任リスクやデータプライバシーの懸念は依然として大きく残されています。例えば、PCPDは「医療提供者がAIを使用して医療記録を分析し、医師の診断を支援する」として、「AI支援の医療画像分析や治療」を高リスクのAI使用例として挙げています。PCPDは、「展開中に個人に重大な悪影響が生じるリスクを軽減するために」人間の監視が必要であることを強調しています。
法律分野もまた、契約分析、法律調査、文書自動化などの業務にますますAIを採用するようになっています。香港律師会の2024年のポジションペーパーでは、法律知識を有するエンジニアなどの専門職が必要であると強調しています。彼らは「プロンプトエンジニア」とも呼ばれ、知識ベースの開発、法的な規則のエンコード、AI出力の最適化を行います。自然言語処理、論理プログラミング、ワークフロー自動化などの分野での専門知識を必要とする法律技術者や自動化のスペシャリストも、AIツールの実装と管理において重要な役割を果たす可能性があります。
司法の分野では、AIの使用が司法の独立性、公平性、説明責任の原則に沿うことを確保するために特定のガイドラインが導入されており、AIが司法の機能を奪ったり侵害したりするのではなく、司法業務を支援し促進することができると強く主張しています。
AIガバナンス
AIを使用する企業にとって、規制遵守とリスク管理は重要な考慮事項です。ガバナンスの枠組みは、組織のイノベーションと説明責任のバランスを取るのに役立ちます。私たちは、金融機関がAI利用に関するポリシーを見直すにあたって支援を行ってきました。
私たちが目にしたモデルの一つに、企業内のさまざまな機能にまたがってAIの監視を統合させるのに役立つ「3つの防衛線の枠組み」があります。この3つの防衛線の枠組みは、金融機関の企業コンプライアンスにおいて広く使用されており、日常業務に適用させることで効率を向上させます。
この枠組みは、複数のレベルで独立して確実に確認することで、コンプライアンス義務とAIイノベーションのバランスを取ることを目的としています。
-
- 第1の防衛線は、顧客対応、不正検出、プロセス自動化などの用途でAI駆動型ツールを開発・展開する業務部門に属しています。これらの部門は、AI駆動型の意思決定が規制上の期待やバイアスの軽減、意思決定の透明性といった倫理的考慮事項に合致していることを保証する必要があります。
- 第2の防衛線は、AIモデルの脆弱性、サイバーセキュリティの脅威、規制適合性を評価する、リスク管理およびコンプライアンスチームです。多くの組織は、HKMAやSFCのベストプラクティスを参考にしたAIリスク評価の枠組みを使用して、AIシステムのコンプライアンス遵守と堅牢性が維持されていること保証しています。
- 第3の防衛線では、AIガバナンスとリスク管理の有効性を検証する独立した監査を実施します。このように定期的に審査することで、企業は規制に潜むギャップを検出し、説明責任を強化し、AI駆動型プロセスへの信頼を高めることができます。
データプライバシーとAI
アソシエイト
Stevenson Wong & Co
香港
Tel: +852 2533 2648
Email: justinkim.office@sw-hk.com
AIシステムが、増大する機密データを処理する中で、データプライバシーは香港における主要な規制上の懸念事項となっています。2024年6月にPCPDが公表した「人工知能:個人情報保護モデルフレームワーク」は、個人データを含むAIシステムを調達、実装、使用する組織(金融機関を含む)による個人データの取り扱いに関して、詳細なガイドラインを提供しています。
リスクベースのアプローチを採用したPCPDの枠組みは、現地企業向けの推奨事項を提供しており、個人データ(プライバシー)条例(第486章)に基づくデータ保護の原則が引き続き適用されます。
懸念がより増しているのがデータスクレイピングで、これは、AIモデルが明確な同意なしにオンラインで公開されているデータを収集し、データの再販、サイバー攻撃の助長、身元詐称、または迷惑なダイレクトマーケティングやスパムメッセージの送信などの不正使用に利用する行為です。
PCPDは、データスクレイピングが重大なプライバシーリスクを引き起こす可能性があると警告しています。PCPDのデータスクレイピングに関する共同声明は、AIを使用する企業がデータ保護関連法を遵守するために、積極的な措置を講じる必要があることを強く訴えています。
結論
統一したAI規制の枠組みが存在しない中で、高リスクのAI活用に積極的に対処し、業界特有のコンプライアンス戦略を策定し、堅牢なAIガバナンスモデルを確立する企業やその他の利害関係者は、規制リスクを軽減する上で、より有利な立場に立つことができるでしょう。
企業は、適用される規制を徹底的に評価し、規制サンドボックスに参加し、「3つの防衛線モデル」のようなガバナンス構造を実装するよう、検討するとよいでしょう。データプライバシーは引き続き中心的な問題であり、匿名性や透明性のあるAI意思決定をなど、データ保護のベストプラクティスを検討することが求められるでしょう。
ガバナンス、リスク管理、規制対応への積極的なアプローチは、AIを統合しつつコンプライアンスを維持しようとする企業にとって不可欠なものです。専門家による法的助言によって、進化するAI環境を乗り越え、ビジネス目標に沿った責任あるコンプライアンスを遵守するAI展開の保証に大いに役立つことでしょう。
STEVENSON, WONG & CO.39/F, Gloucester Tower,
The Landmark, 15 Queen’s
Road Central, Hong Kong
Tel: +852 2526 6311
Email: info@sw-hk.com
www.sw-hk.com
