Lens Blog
2025/7/1
#調査内容

【保存版】生成AIのサードパーティリスクと世界各国の規制対応マップ2025

デジタルトランスフォーメーションが加速する現代において、多くの企業が業務効率化やサービス向上のために外部の専門サービス、すなわちサードパーティの活用を増やしています。特に、近年急速に発展・普及する生成AI技術は、ビジネスに大きな変革をもたらす一方で、これまでにない新たなリスクを生み出しています。

世界各国では、この新しいテクノロジーがもたらすリスクから消費者や社会を守るため、法規制の整備が急ピッチで進められています。これらの規制は、自社だけでなく、サードパーティ、つまり「委託先」のAI利用にも影響を及ぼします。委託先が海外のAIサービスを利用している場合、その国の規制に抵触すれば、委託元の企業も責任を問われかねません。

本記事では、消費者庁の調査報告書(令和6年度海外主要国における消費者保護に関する生成AI関連の規制等の調査業務報告書)を基に、世界の生成AIに関する規制動向を解説し、それが企業の委託先管理・サードパーティリスクマネジメント(TPRM)にどのような影響を与えるのか、そして企業が今すぐ取るべき具体的な対策を詳しく掘り下げていきます。

世界各国で進む生成AI規制の最新動向とポイント

世界各国の政府は、生成AIの潜在的なリスクに対し、消費者保護を主軸とした法規制の導入を急いでいます。その動向は、今後のグローバルなビジネス展開において無視できない要素となっています。

EUの先進的な動き:AI規制法(AI Act)によるリスクベースのアプローチ

EUは、世界に先駆けて包括的なAI規制法(AI Act)を採択しました。この法律の最大の特徴は、AIシステムがもたらすリスクを4段階(「許容できないリスク」「ハイリスク」「限定的なリスク」「最小限のリスク」)に分類し、リスクレベルに応じた義務を課す「リスクベースアプローチ」です。

  • ハイリスクAI :個人の信用評価、採用、教育、法執行などで利用されるAIが該当し、開発者や提供者には、データガバナンス、技術文書の作成、透明性の確保、人間による監視といった厳格な義務が課せられます。
  • 生成AIへの特別ルール :ChatGPTのような汎用AIモデル(GPAI)についても、透明性義務が重視されます。AIによって生成されたコンテンツ(テキスト、画像、音声など)には、それがAIによる生成物であることを明示する(ラベリングや電子透かしなど)ことが求められます。

このAI規制法は、EU域内でサービスを提供するすべての事業者に適用されるため(域外適用)、日本の企業が利用するサードパーティがEUのAIサービスを活用している場合も、その影響を直接受けることになります。

米国の動向:既存法の積極適用と新たな枠組み

米国では、連邦取引委員会(FTC)が中心となり、既存の消費者保護法(FTC法第5条)を積極的に適用して、AIによる不公正または欺瞞的な商慣行を取り締まる方針を明確にしています。FTCは「AIを言い訳にした法の回避は許されない」との強い姿勢を示しており、AIを利用した詐欺や虚偽広告に対して法執行を強化しています。

さらに、バイデン政権はAIの安全性や信頼性確保に関する大統領令を発出し、国立標準技術研究所(NIST)が「AIリスクマネジメントフレームワーク(AI RMF)」を公開するなど、政府全体で安全なAI利用に向けた枠組み作りを進めています。

英国・中国・韓国の動向

  • 英国 :EUのような包括的な事前規制ではなく、既存の規制当局(競争・市場庁(CMA)や情報コミッショナー事務局(ICO)など)がそれぞれの所管領域で対応する柔軟なアプローチを採用しています。特に、2024年に成立した「デジタル市場・競争・消費者法(DMCC法)」により、AIが生成したフェイクレビューの投稿・助長が明確に禁止され、CMAに強力な執行権限が与えられました。
  • 中国 :世界に先駆けて「生成AIサービス管理暫定措置」を施行し、アルゴリズムの届け出制度や、社会主義的価値観に反するコンテンツ生成の禁止など、国家管理を前提とした独自の規制を構築しています。
  • 韓国 :2024年に「AI基本法」が成立し、AI産業の振興と信頼性確保の両立を目指しています。AI生成コンテンツの表示義務などが盛り込まれており、政府主導で体系的なAIガバナンス体制を築いています。

このように、規制のアプローチは国ごとに異なりますが、「透明性の確保」「説明責任」「データ保護」「消費者保護」が共通のキーワードとなっており、グローバルで事業を展開する企業にとって、これらの動向を注視することが不可欠です。

生成AI利用に伴う情報管理・セキュリティの具体的課題は?

サードパーティによる生成AIの利用は、自社の管理が直接及ばない領域で重大なリスクを引き起こす可能性があります。委託先管理においては、以下の課題を具体的に認識しておく必要があります。

情報漏洩・プライバシー侵害のリスク

委託先の従業員が、機密情報や取引先の個人情報を含む業務内容を、セキュリティ対策が不十分な外部の生成AIサービスに入力してしまうケースが考えられます。これにより、入力した情報がAIの学習データとして利用され、意図せず第三者に漏洩するリスクがあります。ブラジルでは、Meta社がユーザーデータをAI学習に利用した件で当局が調査に乗り出すなど、データ保護は世界的に厳しい目が向けられています。

知的財産権の侵害リスク

生成AIは、インターネット上の膨大なデータを学習してコンテンツを生成します。その学習データに著作物が含まれている場合、生成物が第三者の著作権を侵害する可能性があります。委託先が生成AIを利用して作成した成果物(デザイン、文章、プログラムコードなど)が、知らぬ間に他社の権利を侵害していた場合、委託元である自社も責任を問われる可能性があります。

アウトプットの信頼性とハルシネーション

生成AIは、もっともらしい嘘の情報を生成する「ハルシネーション」と呼ばれる現象を起こすことがあります。委託先がAIの生成した不正確な情報に基づいて業務を行い、その結果として誤った分析レポートや欠陥のある製品が納品されるリスクも考慮しなければなりません。

巧妙化するサイバーセキュリティリスク

生成AIは、フィッシング詐欺のメール文面を精巧に作成したり、本人と見分けがつかない音声や映像(ディープフェイク)を生成したりするなど、サイバー攻撃を高度化させるためにも悪用されています。委託先のセキュリティ意識が低い場合、これらの攻撃の踏み台にされ、自社にまで被害が及ぶ可能性があります。

生成AI時代に今すぐ始めるべきサードパーティリスクマネジメント(TPRM)

生成AIがもたらす新たなリスクに対応するためには、従来の委託先管理の枠組みをアップデートし、より網羅的で継続的なサードパーティリスクマネジメント(TPRM)の実践が不可欠です。

【ステップ1:委託先のAI利用状況の可視化とリスク評価】

まずは、自社のサプライチェーン全体で「どの委託先が」「どの業務で」「どの生成AIサービスを」利用しているかを正確に把握することから始めます。

  • アンケート・ヒアリングの実施 :全委託先に対し、生成AIの利用状況に関するアンケート調査を実施し、利用ツール、目的、管理体制などを棚卸しする。
  • リスクの特定と評価 :利用しているAIサービスについて、提供元の信頼性、データ取り扱いポリシー、セキュリティ対策、関連法規への準拠状況などを評価し、リスクレベルを特定する。

【ステップ2:契約・規程の見直しと厳格化】

リスク評価の結果に基づき、委託先との契約や自社の情報管理規程を見直します。

  • 契約へのAI条項の追加 :業務委託契約書に、生成AIの利用に関する条項を明記する。具体的には、利用の可否、利用目的の限定、機密情報・個人情報の入力禁止、成果物の権利帰属、インシデント発生時の報告義務などを定める。
  • AI利用ガイドラインの策定と遵守要請 :自社でAI利用に関するガイドラインを策定し、委託先にもその遵守を求める。ガイドラインには、許容される利用範囲、禁止事項、AI生成物の確認プロセスなどを盛り込む。

【ステップ3:継続的なモニタリング体制の構築】

一度評価して終わりではなく、委託先の状況や外部環境の変化を継続的に監視する体制を構築します。

  • 定期的な状況確認 :委託先のAI利用状況に変化がないか、定期的に(例:年1回)アンケートや監査を通じて確認する。
  • 情報収集とアップデート :世界各国のAI関連法規制の動向を常に収集し、自社のガイドラインや契約内容を最新の状態に保つ。
  • 成果物の検証 :委託先から納品される成果物がAIによって生成されたものである場合、その正確性、独自性、権利侵害の有無などを検証するプロセスを設ける。

複雑化する委託先リスク管理を効率化するために必要なことは?

生成AIの登場により、サードパーティリスクはより複雑かつ多様化しており、企業の委託先管理は新たなステージに入りました。本記事で解説したようなグローバルな法規制の動向や、情報漏洩、知的財産権侵害といった新たなリスクに対し、企業はプロアクティブに対応していく必要があります。

しかし、これらの網羅的なリスク評価や継続的なモニタリングを、従来のExcelやスプレッドシートによる手作業で管理するには限界があります。管理対象の委託先が増えれば増えるほど、その負担は増大し、抜け漏れや対応の遅れといった新たなリスクを生み出しかねません。

株式会社レンズが提供する「Lens RM」は、こうした複雑化する委託先管理・サードパーティリスク管理を一元的に管理・効率化するためのクラウドソリューションです。アンケートの配布・回収からリスク評価、是正措置の管理まで、一連のTPRMプロセスを自動化し、お客様の負担を大幅に軽減します。また、本記事で解説したような、生成AI利用に関する新たなリスク項目にも柔軟に対応し、貴社のサプライチェーン全体のセキュリティとコンプライアンス体制の強化を強力にサポートいたします。

生成AI時代の新たなリスクに備え、効率的かつ効果的な委託先管理体制の構築をご検討の際は、ぜひ「Lens RM」にお気軽にお問い合わせください。

← 記事一覧に戻る

AIの力で委託先・サードパーティ管理に革新を。

AIの力で委託先・サードパーティ管理を高度化・効率化しませんか? Lens RMは、煩雑な業務を削減し、リスク評価を強化し、包括的なリスクの所在を確かめた上で本質的な対応策や残存リスクの管理に集中することができます。 まずは、お気軽にお問い合わせください。

お問い合わせ