米カリフォルニア州、AIの安全性・透明性・プライバシー保護強化への複数の法案を制定

(米国)

サンフランシスコ発

2025年10月27日

米国カリフォルニア州のギャビン・ニューサム知事(民主党)は9〜10月にかけて、人工知能(AI)チャットボットに対する新たな安全対策法(2025年10月23日記事参照)に加え、AIリスク管理、情報開示、子供の安全確保、プライバシー保護などを対象とする複数のAI関連法案に署名した。同州は、全米初となる包括的な最先端AI安全開示法「SB53」の制定に加え(2025年10月3日記事参照)、複数のAI関連法案の成立により、AI分野で全米の規範形成を主導する姿勢を鮮明にしている。

【AIのリスク管理・説明責任】

  • AB316外部サイトへ、新しいウィンドウで開きます:AIが関与した損害に対し、技術開発者・サービス提供者が「AIが自律的に危害を引き起こした」と主張して責任を免れることを防止。AIシステムの設計・開発・運用における法的責任の所在を明らかにする。
  • AB489外部サイトへ、新しいウィンドウで開きます:AIが医療資格を持つかのような用語・表記を広告や機能に使用することを禁止。利用者がAIの助言を医療行為と誤認するのを防ぐ。

【情報開示・透明性】

  • AB853外部サイトへ、新しいウィンドウで開きます:月間利用者100万人以上の生成AI事業者に対し、AI検出ツールの無償提供の施行日を2026年8月2日に延期。また、大規模オンラインプラットフォームに対し、2027年1月1日以降、コンテンツの起源を示す「出所情報(プロビナンス・データ)」表示機能を義務化。さらに、2028年1月1日以降に販売されるカメラやスマートフォンなどの撮影機器の製造者に対し、撮影・録音されるコンテンツに「潜在的開示(latent disclosure)」(注1)情報を含める選択肢を使用者に提供することを義務付け。
  • SB524外部サイトへ、新しいウィンドウで開きます:法執行機関がAIを使用して報告書を作成する際、担当者の署名および操作履歴を残すことを義務付け。

【子供の保護・安全性】

  • AB1043外部サイトへ、新しいウィンドウで開きます:オペレーティングシステム提供者に年齢確認機能の実装と、アプリ開発者への情報提供を義務付け。
  • AB621外部サイトへ、新しいウィンドウで開きます:ディープフェイクポルノ被害者に最大25万ドルの民事救済を認め、罰則を強化。
  • AB56外部サイトへ、新しいウィンドウで開きます:ソーシャルメディア(SNS)に警告ラベルを導入し、若年層に長時間利用の危険を警告。
  • AB656外部サイトへ、新しいウィンドウで開きます:年間収入1億ドル以上のSNSプラットフォームに、カリフォルニア州消費者プライバシー法(CCPA)に基づき明確な「アカウント削除」ボタンの設置を義務化。ダークパターン(注2)を用いた妨害を排除し、アカウントの解約を可能にするよう義務付け。
  • AB772外部サイトへ、新しいウィンドウで開きます:州教育局(CDE)に対し、学校外で発生するサイバーいじめへの対策モデルポリシーの策定を義務付け。
  • SB50外部サイトへ、新しいウィンドウで開きます:家庭内暴力(DV)被害者が、加害者によるデバイスやアカウントへのアクセス遮断を申請できる仕組みを導入。

【プライバシーとサイバーセキュリティー】

  • SB361外部サイトへ、新しいウィンドウで開きます:カリフォルニア州プライバシー権法(CPRA、注3)に基づき、データブローカー(注4)に、個人情報の収集状況や、外国の組織や政府機関、AI開発者とのデータ共有・販売状況の報告を義務付け。
  • AB566外部サイトへ、新しいウィンドウで開きます:ブラウザ事業者に、CPRAに基づく「オプトアウト選択信号」(注5)送信機能の搭載を義務化。
  • SB446外部サイトへ、新しいウィンドウで開きます:データ侵害の発覚後30日以内に、州内居住者への通知を義務付け。
  • AB979外部サイトへ、新しいウィンドウで開きます:州サイバーセキュリティー統合センター(CCIC)に「AIサイバーセキュリティー協働行動指針」の策定を義務付け、AI関連の脅威に対する情報共有と集団防御を促進。

(注1)コンテンツに不可視の形で埋め込まれる識別情報(ウォーターマークやメタデータ)で、AIが生成したことや使用されたモデル、生成日時などの情報を、通常の閲覧では見えないが専用ツールで検出可能な形で埋め込むこと。これに対し「マニフェスト開示(manifest disclosure)」はAI生成コンテンツであることを視覚的・聴覚的に明示的に表示する方法で、利用者が容易に認識できるようにすること。

(注2)ウェブサイトやアプリで、利用者の意図に反して特定の行動をとらせることを目的として設計されたユーザーインターフェースを指す。

(注3)CCPAは2018年に成立した企業による個人情報の収集や販売に対し、消費者に開示や削除請求などの権利を付与したもので、2020年の住民投票で承認されたCPRAはCCPAを改正、拡充したもの。

(注4)個人や企業から収集したデータを、第三者に提供する業者。

(注5)個人情報の販売・共有についてオプトアウトするという消費者の選択を消費者に代わってプラットフォーム、技術またはメカニズムが送信する信号。企業側が収集した顧客の個人情報をメールや広告で利用している状況で、利用者が希望して、その利用を拒否する行為や意思表示をオプトアウトと呼ぶ。

(松井美樹)

(米国)

ビジネス短信 ea97d110406cf2b1

関連情報