AI の規制と標準は、リージョンや業界をまたいで出現しており、信頼できる AI を開発して使用するためのコントロールを評価、実装、テストするための堅牢なフレームワークを組織に提供しています。 この記事は、リスクチームとコンプライアンス チームがコンプライアンス作業に備える際に役立ちます。 次の方法について説明します。
- 規制に対するコンプライアンス体制を評価し、強化します。
- AI アプリとデータの使用を制御するコントロールを実装します。
これはシリーズの 4 番目の記事です。 AI セキュリティの準備、 AI アプリとデータの検出、AI アプリとデータの 保護に関する記事のタスクをまだ完了していない場合は、次の記事から始めて、この記事に規定されている機能を使用して環境を準備します。
この記事は、次のリソースと共に使用してください。
- ゼロ トラスト導入フレームワークのビジネス シナリオ - ゼロ トラストで規制とコンプライアンスの要件を満たす
- AI のためのクラウド導入フレームワーク (CAF) - AI を管理するプロセス
AI アプリとデータを管理するための新しい考慮事項
AI がリスクの状況を変える新しい攻撃対象領域を導入するのと同様に、AI では規制コンプライアンスに影響を与えるデータを処理および使用する新しい方法も導入されます。 これらの AI の新しい特性は、プライバシー規制などの既存の規制と、特に AI の使用を対象とする新しい規制の両方に影響します。
次の図は、北米の人工知能とデータ法 (AIDA)、EU AI 法、オーストラリアの AI アクション プラン、ISO によって生成されたグローバル標準など、新たに登場する AI 規制を示しています。
大まかに言えば、規制コンプライアンスのための AI の管理には、次のものが含まれます。
- AI 対話のログ記録と保持。
- 非準拠の可能性のある使用を検出する。
- 必要に応じて、AI の相互作用に関する電子情報開示などのツールを使用します。
これは、組織がコンプライアンス要件を満たし、潜在的な訴訟に効果的に対応するのに役立ちます。
AI を構築する組織の場合、リスクおよびコンプライアンス チームは、開発チームがプロジェクトの詳細 (モデル名、バージョン、AI システムの目的、品質、安全性、およびセキュリティ リスクに対処するための評価メトリックなど) を文書化できるようにする必要があります。 この取り組みは、リスクチームとコンプライアンス チームが監査に備え、規制の要求に対応するための標準化された形式の情報を用意するのに役立ちます。
もう 1 つのベスト プラクティスは、多くの企業が GDPR などの規制に対して既に実装しているコントロールであるプライバシー影響評価を使用して、AI アプリがプライバシーを保護するためのすべての評価と制御を確実に実施できるようにすることです。 Microsoft は、開発者がプライバシーを常に念頭に置くために、AI 開発ライフサイクルに簡単に統合できる Priva Privacy Assessments などの機能を提供しています。
最後に、責任ある AI アプリケーションを構築し、新しい規制要件に従うために、組織は、暴力、ヘイト、性的、自傷行為などの有害なコンテンツを検出してブロックするガードレールを作成する必要があります。 さらに、AI アプリで信頼性の高いコンテンツを生成する必要があります。 ガードレールは、正しくない情報を検出して修正し、未解決の出力に基づいて不正な意思決定のリスクを軽減するのに役立つ必要があります。 また、著作権に違反するコンテンツも特定する必要があります。 これらのガードレールは、組織が責任ある信頼できる AI アプリケーションを構築するのに役立ちます。
AI アプリとデータを管理するための機能
Microsoft には、組織が規制基準とテクノロジ ソリューションの間で点を結び付けるのに役立つ機能が含まれています。
次の手順では、図について説明し、これらの機能を実装する手順についても説明します。
| ステップ | タスク | 範囲 |
|---|---|---|
| 1 | Microsoft Purview コンプライアンス マネージャーで評価を構築および管理する | エンタープライズ全体 |
| 2 | Defender for Cloud Apps を使用してコンプライアンス リスクに基づいて AI アプリを管理する | SaaS AI アプリ |
| 3 | AI ワークロードに Cloud Security Posture Management (CSPM) を使用して、コンプライアンス リスクに基づいてカスタム構築されたアプリを検出して管理する | カスタムビルドの Azure AI ベースの AI アプリケーション |
| 4 | Purview Communication Compliance を構成して、組織内の不適切なメッセージの検出、キャプチャ、および対処を支援することで、コミュニケーション リスクを最小限に抑える | Microsoft 365 アプリとサービス Microsoft Entra または Microsoft Purview データ マップ コネクタによって接続された AI アプリ Azure AI サービス |
| 5 | 保持する必要があるコンテンツを保持し、保持していないコンテンツを削除するように Purview データ ライフサイクル管理を構成します。 | AI アプリのアイテム保持ポリシーには、Microsoft 365 Copilot と Copilot Studio のユーザー プロンプトと応答のほか、コンテンツをキャプチャする設定を含むコレクション ポリシーがある場合の他の Microsoft の副操縦アプリと生成 AI アプリに対するユーザー プロンプトと応答も含まれます。 これらのメッセージは、コンプライアンス上の理由で保持および削除できます。 他のクラウド プロバイダーで開発された AI アプリを統合するには、Purview SDK を使用します。 |
| 6 | 必要に応じて、Microsoft 365 Copilot の監査ログと共に電子情報開示を調査に使用する | 監査ログは、ユーザーが Copilot または AI アプリケーションと対話すると自動的に生成されます。 他のクラウド プロバイダーで開発された AI アプリを統合するには、Purview SDK を使用します。 |
| 7 | Priva プライバシー評価を使用して、構築した AI アプリのプライバシーへの影響評価を開始する | 任意のアプリ、任意の場所 |
| 8 | AI Foundry で AI レポートを使用して、開発するアプリの AI プロジェクトの詳細を文書化する | Azure の AI アプリ |
| 9 | Azure AI Content Safety を実装して有害なコンテンツをブロックし、未解決の応答を検出して修正する | Azure の AI アプリ |
手順 1 - Microsoft Purview コンプライアンス マネージャーで評価を構築および管理する
Microsoft Purview コンプライアンス マネージャーは、マルチクラウド環境全体のコンプライアンスを自動的に評価および管理するのに役立つソリューションです。 コンプライアンス マネージャーは、データ保護リスクのインベントリの作成から、複雑な制御の実装の管理、規制や認証の最新情報の入手、監査人への報告まで、コンプライアンスの過程全体を支援します。
現在、コンプライアンス マネージャーには、次の AI 関連の規制に関する規制テンプレートが含まれています。
- EU 人工知能法
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI リスク管理フレームワーク (RMF) 1.0
コンプライアンス マネージャーの使用を開始するには、次のリソースを使用します。
| タスク | 推奨リソース |
|---|---|
| 概要の習得と開始 | Microsoft Purview コンプライアンス マネージャー Microsoft Purview コンプライアンス マネージャーを使い始める Microsoft Purview コンプライアンス マネージャーで評価を構築および管理する |
| コンプライアンス マネージャーに規制のテンプレートが含まれているかどうかを確認する | 規制一覧 |
| カスタム評価を構築する | Microsoft Purview コンプライアンス マネージャーでカスタム評価 (プレビュー) を構築する |
手順 2 - Defender for Cloud Apps を使用する
Defender for Cloud Apps を使用して、コンプライアンス リスクに基づいて AI アプリを管理します。 このシリーズの前の記事では、Defender for Cloud Apps を使用して AI アプリの使用を検出、管理、保護する方法について説明します。 規制コンプライアンスでは、これらのアプリのリスクをトリアージして評価するための追加の基準が導入されています。
Purview コンプライアンス マネージャーで特定の規制に対して 1 つ以上の評価を作成した後、Defender for Cloud Apps チームと協力して、コンプライアンスの義務を、AI アプリのリスクの評価、これらのアプリの承認またはブロック、およびこれらのアプリへのアクセス方法を制御するためのセッション ポリシーの適用 (準拠デバイスのみなど) の基準に統合します。
Defender for Cloud Apps の概要と使用方法については、このシリーズの前の記事を参照してください。
| タスク | 推奨リソース |
|---|---|
| Microsoft Defender for Cloud Apps を使用して AI アプリを検出、承認、ブロックする | AI アプリとデータの検出の手順 3 を参照してください |
| Defender for Cloud Apps を使用して AI アプリのトリアージと保護を行う | AI アプリとデータの保護に関する「AI の脅威保護を最大限に活用する」を参照してください |
手順 3 - AI ワークロードにクラウド セキュリティ体制管理 (CSPM) を使用する
Microsoft Defender for Cloud の Defender Cloud Security Posture Management (CSPM) プランを使用して、コンプライアンス リスクに基づいてカスタム構築されたアプリを検出して管理します。 Defender for Cloud Apps と同様に、規制コンプライアンスでは、CSPM for AI を使用してカスタム構築されたアプリのリスクをトリアージおよび評価するための追加の基準が導入されています。
Defender for Cloud チームと協力して、コンプライアンスの義務を、カスタム構築アプリのリスクを評価および管理するための基準に統合します。
Defender for Cloud の概要と使用方法については、このシリーズの前の記事を参照してください。
| タスク | 推奨リソース |
|---|---|
| 環境内にデプロイされた AI ワークロードを検出し、Microsoft Defender for Cloud でセキュリティの分析情報を取得する | 「 AI アプリとデータの検出」の手順 4 を参照してください] |
| Defender for Cloud で AI 保護を適用する | AIアプリとデータを保護するためのAI向け脅威保護を最大限に利用する方法 ステップ2 を参照してください。 |
手順 4 - Purview 通信コンプライアンスを構成する
Purview Communication Compliance を構成して、組織内の不適切なメッセージの検出、キャプチャ、および対処を支援することで、通信リスクを最小限に抑えます。 Generative AI の場合は、コミュニケーション コンプライアンス ポリシーを使用して、生成 AI アプリケーションに入力された対話 (プロンプトと応答) を分析し、不適切または危険な相互作用の検出や機密情報の共有に役立ちます。 これは Microsoft 365 Copilot、Microsoft Copilot Studio を使用して構築された Copilot、Microsoft Entra または Microsoft Purview Data Map コネクタで接続された AI アプリケーションなどでサポートされます。
開始するには、次のリソースを使用します。
| タスク | 推奨リソース |
|---|---|
| について学び、始めましょう。 | 通信コンプライアンスの詳細 通信コンプライアンスの計画 通信コンプライアンスを使用して開始する |
| ポリシーを構成する | 生成 AI の相互作用を検出するように通信コンプライアンス ポリシーを構成する 通信コンプライアンス ポリシーを作成および管理する |
手順 5 - Purview データ ライフサイクル管理を構成する
Microsoft Purview データ ライフサイクル管理には、残しておく必要があるコンテンツを保持し、必要のないコンテンツを削除するためのツールと機能があります。 保持する必要がなくなったコンテンツを事前に削除することで、AI ツールでのデータの露出超過のリスクを軽減できます。 主な機能は次のとおりです。
- 保持ポリシーと保持ラベル
- メールボックスのアーカイブと非アクティブなメールボックス - ユーザー メールボックスには、Copilot プロンプトと応答を含む非表示フォルダーが含まれます
開始するには、次のリソースを使用します。
| タスク | 推奨リソース |
|---|---|
| 概要の習得と開始 | Microsoft Purview データ ライフサイクル管理について説明します データ ライフサイクル管理の使用を開始する |
| Copilot & AI アプリの保有期間についての詳細 | AI アプリでのリテンション期間のしくみについて説明します |
| 他のクラウド プロバイダーで開発された AI アプリの場合は、Purview SDK と統合します | Microsoft Purview SDK について |
手順 6 - Microsoft 365 Copilot の監査ログと共に電子情報開示を使用する
Microsoft Purview 電子情報開示を使用して、不適切な可能性があるキーワードを Copilot のプロンプトと応答から検索します。 この情報を電子情報開示ケースに含めて、進行中の法的調査のためにこのデータを確認、エクスポート、または保留にすることもできます。
Microsoft Purview 監査ログを使用して、Copilot の対話が発生した方法、タイミング、場所、およびアクセスされた項目 (それらの項目の秘密度ラベルを含む) を特定します。
| タスク | 推奨リソース |
|---|---|
| Copilot 使用状況データが格納されている場所と、それを監査する方法について説明します | Microsoft 365 Copilot におけるデータ保護と監査アーキテクチャ |
| eDiscoveryを始めましょう | 電子情報開示ソリューションについて |
| Purview 監査ログについて | Microsoft Purview での監査ソリューションの詳細情報 |
| AI アプリの監査ログについて説明します | AI アプリに対してログに記録される管理者アクティビティとユーザー アクティビティについて説明します |
| 他のクラウド プロバイダーで開発された AI アプリの場合は、Purview SDK と統合します | Microsoft Purview SDK について |
手順 7 - Priva プライバシー評価を使用する
Priva Privacy Assessments (プレビュー) を使用して、構築する AI アプリのプライバシー影響評価を開始します。 これは、AI アプリがプライバシーを尊重する方法で構築されていることを確認するのに役立ちます。 プライバシー評価により、データ資産全体にわたる個人データの使用の検出、ドキュメント、評価が自動化されます。
Priva のプライバシー評価を開始し、プライバシーへの影響評価を開始するには、次のリソースを使用します。
| タスク | 推奨リソース |
|---|---|
| 概要の習得と開始 | プライバシー評価について プライバシー評価を始める |
| 評価の作成 | プライバシー評価の作成と管理 |
手順 8 - AI Foundry で AI レポートを使用する
Azure AI Foundry の AI レポートは、開発者がプロジェクトの詳細を文書化するのに役立ちます。 開発者は、モデル カード、モデル バージョン、コンテンツ セーフティ フィルターの構成、評価メトリックなど、AI プロジェクトのすべての詳細を表示するレポートを作成できます。 このレポートは PDF 形式または SPDX 形式でエクスポートできるため、開発チームはガバナンス、リスク、コンプライアンス (GRC) ワークフロー内での運用の準備状況を示し、運用環境でのアプリケーションの監査をより簡単かつ継続的に行うことができます。
開始するには、次のリソースを使用します。
| タスク | 推奨リソース |
|---|---|
| AI Foundry の AI レポートについて読む (ブログ) | AI レポート: 一貫したドキュメントを使用して AI ガバナンスと GenAIOps を改善する |
| AI Foundry について学習し、使用を開始する | Azure AI Foundry とは |
手順 9 - Azure AI コンテンツの安全性を実装する
Azure AI Content Safety は、アプリケーションおよびサービス内の有害なユーザー生成コンテンツや AI 生成コンテンツを検出する AI サービスです。 Azure AI Content Safety には、有害な素材を検出できるテキストと画像の API が含まれています。 対話型の Content Safety Studio を使用すると、さまざまなモダリティで有害なコンテンツを検出するサンプル コードを表示、探索、試用できます。
開始するには、次のリソースを使用します。
| タスク | 推奨リソース |
|---|---|
| 概要の習得と開始 | Azure AI Content Safety とは? - Azure AI サービス | Microsoft Learn Azure AI Foundry ポータルで Content Safety を使用する |
AI をセキュリティで保護するための次の手順
ゼロ トラスト リソースを使用して、エンドツーエンドのセキュリティを引き続き進めます。