2024年9月18日、テキサス州は、生成型人工知能(AI)ヘルスケア企業であるPieces Technologies(Pieces)に対し、同社製品の正確性と安全性に関して虚偽または誤解を招くような記述を行ったとして、州司法長官による初の和解を発表しました。2024年9月25日、米国連邦取引委員会(FTC)は、「Operation AI Comply」と呼ばれる一連の執行措置を発表し、特定の企業がFTC法の虚偽および不公正な慣行の禁止に違反してAI技術を使用したと主張しました。さらに最近では、2024年12月3日、FTCはAIを活用した顔認識技術プロバイダーであるIntelliVision Technologies Corp.に対して命令を発令しました。この命令は、委員会がAIの偏りや有効性に関する主張をどのように審査するかについて重要な洞察を提供します。これらの進展については、企業にとっての重要なポイントとともに、以下で詳しく説明します。
テキサス州司法長官とPieces社の和解
Pieces社との和解は、Pieces社が「患者のカルテや記録を合成・要約する自社の[生成AI]製品の正確性と安全性について、一連の虚偽かつ誤解を招くような陳述を行った後、テキサス州の病院に自社製品を導入した」とする執行措置の結果です。この訴訟は、テキサス州不正取引慣行消費者保護法(DTPA)に基づき提起され、Pieces社の陳述は虚偽、誤解を招く、または欺瞞的な性質を有するため、DTPAに違反する可能性があると主張しました。具体的には、テキサス州司法長官は、Pieces社が自社のヘルスケアAI製品が「非常に正確」であるという主張を裏付ける指標(製品の「重篤な」および「重度の幻覚発生率」が「0.001%未満」および「10万人あたり1人未満」であるという主張を含む)を開発したものの、これらの指標は不正確であり、Pieces社の製品の安全性と正確性について病院を欺いたと主張しました。
和解の一環として、Pieces社は金銭的な和解金は支払わなかったものの、以下の重要な保証に同意しました。
- 明確かつ目立つ開示 - マーケティングおよび広告。Pieces社は、自社のAI生成製品の出力を表すために使用される指標の定義、および当該指標の計算方法を明確かつ目立つように開示することに同意しました。
- 虚偽表示の禁止 Pieces社は、自社製品の機能、特性、機能、テスト、また�は適切な使用に関して、虚偽、誤解を招く、または根拠のない表示を行うことはできません。また、Pieces社は、自社製品の正確性、機能性、目的、またはその他の機能に関して、顧客またはユーザーを虚偽に表示または誤解させることはできません。
- 明確かつ目立つ開示 - 顧客。Pieces社は、自社製品またはサービスの既知または合理的に既知の有害または潜在的に有害な使用または誤用を、現在および将来のすべての顧客に対して明確かつ目立つように開示する文書を提供する必要があります。この和解案では、企業が既知または合理的に既知、あるいは潜在的に有害な使用や誤用をどのように特定またはテストするかについて、具体的には言及されていません。しかし、顧客向けの文書には、少なくとも以下の内容が含まれるべきであると示されています。
- AI技術のトレーニングに使用されるデータおよび/またはモデルの種類
- 技術の目的と用途に関する詳細な説明
- 製品およびサービスの適切な使用を確保するために必要なトレーニングまたは文書
- 「不正確な出力のリスクを高めたり、個人への危害のリスクを高めたりする可能性のある、既知または合理的に認識可能な製品またはサービスの誤用」
- AI技術のユーザーが、AI出力の性質と目的、不正確なパターンの監視方法、および製品およびサービスの誤用を「合理的に回避する」方法を理解するために合理的に必要な文書
この和解は、テキサス州司法長官によるプライバシーおよび消費者保護の積極的な執行に向けた最近の政策転換を反映しています。 2024年6月、司法長官事務所は、DTPA(デジタ��ル・データ・プライバシー法)および州のプライバシー、生体認証、個人情報窃盗、データブローカーに関する法律の執行を強化するためのイニシアチブの創設を発表しました。
FTCのAIコンプライアンス作戦
2024年9月25日、FTCは、連邦消費者保護法に違反してAIを不当または欺瞞的な方法で使用したとされる5社に対する訴訟を発表しました。 Operation AI Complyに関する5件の訴訟は、欺瞞的または不公正な事業活動を増幅させるとされるAI搭載ツールの使用と、消費者を惹きつけるための誇大広告やAIの「誇大宣伝」の両方を対象としています。
- DoNotPay. FTCは行政上の苦情申し立てにおいて、DoNotPayが自社の「AI弁護士」サブスクリプションサービスの機能について誤解を招くような発言をしたと主張しています。和解案では、DoNotPayに対し19万3000ドルの支払い、特定の加入者へのFTCの訴訟内容の通知、そして誤解を招くとされる行為の停止が求められています。
- Ascend Ecom. FTCはカリフォルニア州連邦裁判所に提出した訴状において、Ascend Ecomとその関連会社が、顧客を「リスクフリー」のAIビジネス機会に投資させるため、収益に関する虚偽の主張を行ったと主張しています。さらにFTCは、Ascendが投資が利益を生まなかった際に顧客への返金を拒否し、このスキームに関するレビューを掲載しようとした顧客を脅迫したと主張しています。
- Ecommerce Empire Builders FTCは、ペンシルベニア州連邦裁判所に訴状を提出しました。Ecommerce Empire Buildersは、AIを活用�した投資ツールについて虚偽の主張を行い、毎月数千ドルの収益を不当に約束していました。同社はまた、投資ツールに関する特定の開示を怠り、顧客にサービスに関する否定的なレビューを投稿しないことに同意を求めていたとされています。
- FBA Machine FTCは、ニュージャージー州連邦裁判所に提出した訴状の中で、FBA MachineがAIソフトウェアを搭載したオンラインストアからの収益の可能性について虚偽かつ誤解を招くような発言を行い、約1,600万ドルの消費者損失をもたらしたと主張しています。FTCは、FBA Machineの事業活動を一時停止する命令を取得しました。
- Rytr, LLC FTCの行政訴状によると、Rytr, LLCの顧客は、同社のサブスクリプションベースのAIライティングアシスタントを使用して、自社の製品またはサービスに関する虚偽のレビューを作成し、それをRytrの顧客が自社の顧客を欺くために使用する可能性がありました。 RytrとFTCは、Rytrがユーザーレビューを生成するサービスの提供を継続することを禁止する和解案に合意しました。
IntelliVision Technologies FTCは、IntelliVision Technologiesが自社のAI顔認識ソフトウェアについて「人種的偏見がない」または「性別や人種による偏見が全くない」と主張したことに関するFTCの調査において、AIに関する主張を企業がどのように立証すべきかについて、さらに踏み込んだ調査を行いました。FTCは、IntelliVisionが自社の顔認識ソフトウェアに「性別や人種による偏見が全くない」と主張したことは顧客を欺いたと判断しました。また、IntelliVisionのソフトウェアは、「画像の対象者の人種や性別を含む人口統計によっ�て精度が変化する」という点で、他の顔認識ソフトウェアと同様であるとも判断しました。特に、こうしたソフトウェアは、「西アフリカ、東アフリカ、東アジア、アメリカ先住民など、特定の人口統計において、東ヨーロッパの顔画像よりも多くの誤認識『一致』」を生じさせることが多く、また、男性よりも女性において誤認識が多く生じさせる。FTCは、IntelliVisionも例外ではないと主張し、「IntelliVisionのアルゴリズムのエラー率は、出生地や性別など、人口統計によって異なっていた」と述べた。したがって、FTCは、IntelliVisionが自社製品を「性別や人種による偏見が全くない」と宣伝することはできないとの立場をとった。
アンドリュー・ファーガソン委員は、賛成意見の中で「偏見」の定義について詳しく説明している。ファーガソン委員は、バイアスの定義として「人種や性別を問わず、偽陰性率と偽陽性率が均等であること」を要件とする考え方を否定しつつも、「インテリビジョン社が『バイアス』の具体的な定義を引用する意図があったのであれば、そう明言する必要があった。しかし、そうしなかった。むしろ、この曖昧さの解決を消費者に委ねている。したがって、インテリビジョン社は、自社のソフトウェアに『性別や人種によるバイアスが全くない』という主張について、消費者が抱くであろうあらゆる合理的な解釈を立証する責任を負うべきである」と警告した。
重要なのは、和解案において、インテリビジョン社に対し、そのAIの有効性やバイアス(あるいはスプーフィング耐性)について、その主張が「適切かつ信頼できるテスト」に基づいており、かつそのテストが詳細��に文書化されている場合を除き、今後一切の主張を行わないことを命じている点である。重要なのは、FTCが主張を裏付けるために、命令に基づく適切かつ信頼できる検査とは、「関連分野の専門家の専門知識に基づき、(1) 資格を有する者によって客観的な方法で実施・評価され、(2) 当該分野の専門家によって正確かつ信頼できる結果が得られると一般的に認められている検査」とみなしていることです。
執行状況 重要なのは、規制当局がFTC法に基づく既存の権限を活用し、AI技術の様々な用途、そして潜在的な誤用に対処することです。テキサス州司法長官とFTCの活動の根底にある不正行為および欺瞞行為に関する責任理論に加えて、AIを開発または使用する企業には、他にも法的リスクの源泉があります。テキサス州を含むいくつかの州のプライバシー法では、金融サービス、住宅、医療、または雇用機会の提供または拒否に関する決定を促進するために、消費者のプロファイリングにAI技術を使用する前に、企業がリスク評価を実施することを義務付けています。これらの法律では、消費者が特定の種類のプロファイリング決定のために個人データが使用されることを拒否することも認められています。他の連邦機関も、AI関連の規制と執行に既存の規制権限を活用することを検討しています。実際、今年初め、司法省(DOJ)は、AI技術がもたらす新たな課題に対処するために既存の執行権限を活用するだけでなく、AIを用いて不正行為を行った行為者に対しては、より厳格な罰則を求める意向を示しました。また、司法省は最近、検察官がAIリスク管理のための企業コンプライアンスプログラム��の有効性を評価するためのガイドラインも更新しました。このガイドラインは、企業がAIを監視・テストし、AIが意図したとおりに機能し、企業のポリシーに準拠しているかどうかを評価するための範囲や、AIがポリシーや企業価値に反する判断を企業がどれだけ迅速に特定し、是正できるかなど、新たなリスクを特定・管理するためのプロセスに重点を置いています。
こうした執行活動から、米国にはまだ包括的な連邦AI規制がないものの(米国初の包括的なAI法であるコロラド州のAI法は2026年まで施行されない)、規制当局は既に既存の法的ツールを用いて、AIの認識されている危害やリスクに対処していることが明らかです。
AI製品・サービスを開発・利用する企業にとっての重要なポイント
- 規制当局は、連邦AI規制やAIに特化した州法の施行を待つのではなく、消費者保護法やプライバシー法など、既存の幅広い法律に基づいてAI関連の規制を施行しています。
- 製品に搭載されているAI技術に関するマーケティング上の主張は、不正確さ、誇張、その他の欺瞞的な要素がないか精査されます。マーケティング上の主張の根拠、AI技術のリスク、そしてリスクを合理的に軽減する方法でAI技術を本来の用途に適切に使用する方法について、情報開示と透明性を高めることが、商業化にとって重要です。これは、医療、金融サービス、教育など、個々の消費者に影響を与える可能性のある高リスクの用途向けにAI製品・サービスを提供する企業にとって特に重要です。
- B2B企業も、この分野における執行措置から逃れることはできません。規制当局は、消費者向け企業であるか、高度な知識を持つ相手と取引するB2B企業であるかを問わず、すべての企業を対象としています。
AIの法的リスクを評価する際に企業が留意すべき点の詳細については、こちらの追加リソースをご検討いただくか、Sidley AI Monitorをご覧いただくか、下記のSidleyの弁護士までお問い合わせください。