OpenAIがFrontier Governance Framework(フロンティアガバナンス枠組み)を公開しました。これは米カリフォルニア州の「透明性法(SB 53)」およびEU AI ActのCoP(Code of Practice、実施規範)への対応を公式に文書化したものです。同社がサイバー攻撃支援・大量破壊兵器(CBRN)リスク・悪意ある操作・制御不能といった脅威カテゴリに対してどう評価・対処するかを、外部から初めて体系的に確認できる内容となっています。
背景と文脈
2025年9月、カリフォルニア州知事がSB 53(Transparency in Frontier Artificial Intelligence Act)に署名し、2026年1月1日から施行されました。この法律は米国で初めてフロンティアAI(最先端の大規模AIモデル)の開発者に対し、標準化された安全枠組みの策定・インシデント報告・内部ガバナンス・内部告発者保護を義務づけるものです。
EU AI Actのうち汎用AI(GPAI)モデルに適用されるCoP(実施規範)はシステムリスクモデルの評価・安全緩和策・ガバナンス・インシデント追跡を対象とし、2026年8月からEUが施行を開始します。OpenAIはCoPの署名企業として対応義務を負っています。
OpenAIには2024年に策定した独自の「Preparedness Framework(準備態勢枠組み)」がありましたが、それはあくまで内部基準でした。今回のFrontier Governance Frameworkは、その内部基準が規制要件にどう対応するかを外部向けに翻訳した文書と位置づけられます。
技術/ビジネス面
Framework は4つの主要リスク領域を定義しています。①サイバー攻撃支援(Cyber Offense)、②CBRN(化学・生物・放射線・核)リスク、③悪意ある操作(Harmful Manipulation)、④制御不能(Loss of Control)です。
「システムリスク」の定義として「単一事故で50名超の死亡または10億ドル超の財産被害が合理的に見込まれる場合」という数値基準を設けており、このリスクラインに近づいたモデルは外部専門家による独立レビューを経た上でSafety Advisory Groupが最終判断を行う仕組みです。
また、モデルが新しいリスク評価ラインに近づいた際には外部の独立評価機関(サードパーティ評価者)によるストレステストを実施することも規定しています。これはMETR(Model Evaluation and Threat Research)のような組織が担う役割として言及されています。
文書はカリフォルニア法・EU CoPそれぞれの要件との対応マッピングを含んでおり、どの条項がどの内部プロセスで充足されるかを明示する形式を取っています。
これからどうなるか
EUのCoPに基づく施行が2026年8月から始まるため、AnthropicやGoogleなど他の大手AI企業も同様の文書を順次公開するとみられます。規制対応の標準化が進むにつれ、各社のドキュメントを横断比較できるようになり、AI安全性評価のエコシステムが成熟していくでしょう。
開発者の視点では、このような文書の整備がAPIの利用条件や地域ごとの機能制限に影響する可能性があります。特に高リスク判定を受けた機能はEU向け製品への組み込みに制約が生じる場合も考えられるため、LLMを組み込んだサービスをグローバル展開するチームはOpenAIの評価基準の変化に注目しておくとよいでしょう。
またインシデント報告義務が法的に確立されることで、将来的にモデルの誤用事例が公開データとして蓄積されていく可能性もあります。これはセキュリティリサーチャーや開発者にとって参照できるリスク情報の増加を意味します。
まとめ
OpenAIがFrontier Governance Frameworkを公開し、サイバー・CBRN・操作・制御不能の4リスクカテゴリへの対応を文書化しました。カリフォルニア法は既に施行済み、EUのCoPは2026年8月施行と、AI規制の具体化が着実に進んでいます。
参考リンク
- OpenAI’s Frontier Governance Framework | OpenAI
- OpenAI Rolls Out Frontier Governance Framework | StartupHub.ai
アイキャッチ画像: Photo by Beatriz Pérez Moya on Unsplash
