サードパーティ責任の誤解

組織がベンダーからAIシステムを購入するとき、多くはその購入でガバナンス責任が移転すると信じています。それは正しくありません。EU AI法の下で、オペレーター義務は独立しており購入によって排除できません。高リスクAIシステムを使用する組織は、誰がそれを構築したかに関係なくオペレーター義務を持ちます。

ほとんどのエンタープライズAIベンダー契約はベンダーの責任を制限し、コンプライアンス責任を顧客に移転するように設計されています。これは必ずしも悪意があるわけではありません--プロバイダーは多くの顧客のために多くのユースケースのコンプライアンスを保証できません。しかし何をサインするかを理解することは不可欠です。

ベンダーデューデリジェンスフレームワーク

技術文書:ベンダーはAIシステムの適切な技術文書を提供しているか?EU AI法の下で高リスクAIシステムのプロバイダーはオペレーターに十分な情報を提供することが義務付けられています。これができないまたはしたくないベンダーは、自分自身の規制義務を果たしていないか、適切に管理できないシステムを運用しているかのどちらかです。

バイアステスト:AIシステムは関連する人口統計グループに対してバイアスについてテストされたか?結果は何か?どの改善策が適用されたか?

データ処理:AIシステムはどのデータを処理するか?これらのデータはモデルトレーニングまたは改善のために使用されるか?それらはどこで処理・保存されるか?

インシデント対応:ベンダーはAIシステムの障害やパフォーマンス低下をどのように検出・通知するか?

契約上の保護

AIシステムのベンダー契約はガバナンスを明示的に対処すべきです:ガバナンス慣行と規制コンプライアンスの表明、監査権、インシデント報告義務(定義された時間枠で)、データ処理条件、AIシステムまたはその基盤モデルへの重大な変更に関する規定。

継続的なベンダー管理

AIベンダーデューデリジェンスは一回限りのイベントではありません。AIシステムは更新されます--時にはモデルの変更を通じて、時には新機能の追加を通じて、時にはトレーニングデータの変更を通じて。これらの変更は重大なパフォーマンスや公平性への影響を持つ可能性があります。継続的なベンダー管理には:重大なAIシステムの変更の通知を要求する(契約条件に含まれるべき)、高リスクシステムの定期的なパフォーマンス監視のレビュー、年次のベンダーレビューでガバナンス慣行とコンプライアンスステータスを評価することが含まれます。ベンダーとのガバナンスの会話は一度きりのデューデリジェンスではなく、継続的な関係として扱ってください。