カリフォルニア州はAIフロンティアモデルを規制する法令「SB 53 (Transparency in Frontier AI Act)」を制定した。9月29日に州知事Gavin Newsom(下の写真)が法案に署名し、来年1月1日から発効する。この法令は開発企業にAIフロンティアモデルの安全性に関する情報を公開することを求めるもので、米国で最初のAIモデル規制法となる。トランプ政権はAIアクションプランで規制を緩和する政策を取るが、カリフォルニア州はこれと反対に、AIモデルに一定の制限を課す。連邦政府レベルの規制法が無い中、カリフォルニア・モデルが他州に広がり、これが事実上のAI規制フレームワークとなるのか、今後の動きを注視する必要がある。

AI規制法「SB 53」とは

カリフォルニア州のAI規制法「SB 53 (Transparency in Frontier AI Act)」(下の写真)はAIフロンティアモデルの安全情報を公開することを求める。コンセプトはAI開発企業にフロンティアモデルに関し「透明性(Transparency)」と「説明責任 (Accountability)」を求める構成となる。具体的には、開発企業はフロンティアモデルの安全性を検証する手法を制定し、これに従って安全試験を実行し、その結果を公開することを求めている。政府が安全試験を実施する手法を制定するのではなく、各企業が独自に試験プロトコールを定め、これに従ってベンチマークを実施する。

緩やかな規制

SB 53はAIイノベーションと安全性のバランスを重視し、緩やかに規制することが特徴となる。AI開発企業は大企業に限られ、スタートアップ企業などはこの対象から除外される。法令によると、対象は年収5億ドル以上のカリフォルニア企業で、Google、OpenAI、Anthropic、Metaなどに限定される。また、フロンティアモデルとはアルゴリズム教育で巨大システムで開発されたモデルとなる。具体的には、処理能力が「10^26 FLOPs」超えるプロセッサで開発されたモデルとなる。企業は開発環境に関する情報を公開していないが、Google Gemini 2.5、OpenAI GPT-5、Anthropic Claude 3.5、Meta Llama 4などが対象となると推定される。

公開するドキュメント

SB 53はAI開発企業に安全性とセキュリティに関するフレームワークを公開することを求めている。このフレームワークはAIモデルの開発で安全性とセキュリティの評価プロセスを定めたもので、この情報をウェブサイトなどで公開することを求めている。具体的には、重大なリスクに関し、開発企業はこれをどのように管理・評価し、如何にリスクを回避する措置を講じたかなど、一連のプロセスを公開することを求めている。

リスク管理フレームワーク

AI市場ではリスク評価のフレームワークが開発されているが、SB 53は開発企業にこれらを適用することを求めている。SB 53は具体的な安全フレームワークについて言及していないが、米国では国立標準技術研究所(National Institute of Standards and Technology 、NIST)が開発した安全フレームワーク「AI Risk Management Framework」(下の写真)がその代表となる。また、EUでは「AI Act」が制定され、米国の主要企業はこの安全フレームワークに準拠することを公表している。

インシデントレポート

SB 53は開発企業に重大なインシデントが発生した場合はそれをカリフォルニア州政府に報告することを求めている。カリフォルニア州は「California Governor’s Office of Emergency Services(Cal OES)」という組織を運用しており、この部門が緊急事態や災害などのイベントに対処するハブとなる。SB 53は開発企業に対し、AIで重大な問題が発生した場合は、Cal OESにこれを報告することを求めている。その後に、Cal OESは匿名でこのインシデントを公開するプロセスとなる。

二度目のトライアル

カリフォルニア州議会(下の写真)は昨年、AI規制法案「SB 1047」を可決したが、州知事のGavin Newsomは拒否権を発動し、この法案は成立しなかった。この規制法案は開発企業にAIセーフティに関し厳しい義務を課すもので、AI開発が大きな制約を受けるとして成立には至らなかった。SB53この義務を大幅に軽減し、対象を大企業に絞り、第三者による監査の義務などを削除し、緩やかで現実的な法令となった。

全米で広がるか

トランプ政権はAIイノベーションを重視しAI規制を緩和する政策を取る。これに対し、カリフォルニア州はAI開発を後押しするものの、AIフロンティアモデルに対しては一定レベルの制限が必要であるとのポジションを取る。この法令はカリフォルニア州に拠点を置く企業などに適用される。大手AI開発企業の多くがカリフォルニア州を拠点としており、法令はAI市場の多くの部分をカバーする。また、他の州がカリフォルニア州のSB53をリファレンスとして、独自の法令を制定する流れが始まることも予測される。カリフォルニア州のAI規制が全米における事実上の規制法となるのか、これからの動きを注視していく必要がある。

女性の服を脱がせるAIツール「Nudification」が水面下で爆発的に広がっている。Nudificationとはヌードに変換するという意味で、早くから使われてきたが、AI技法が進化し使い方が容易になり、大量のコンテンツが生成されている。同意を得ない性的なイメージが殆どで、被害件数が急増している。連邦政府はヌード化されたコンテンツを掲載することを禁止する法令を制定し、AI規制の第一歩を踏み出した。しかし、Nudificationの使用を禁止するものではなく、効果は限定的で、多くの課題が積み残されている。

Nudificationとは

「Nudification」とはヌードイメージを生成する技法を指し、写真に写っている女性の服を脱がせるツールとして使われている。技術的な視点からは、AIモデルが女性の全体像を解析し、そこから衣服の部分を特定(Segmentation)する。次に、この部分(マスク)を含め、身体の構成(手足や胴体など)を推定する(Pose Prior)。更に、この基本情報を元に、AIモデルがマスクに肌や質感などをペイント(Inpainting)する。AIモデルは身体に関するデータを学習しており、高精度で身体を再現する。一般に、フェイクイメージを生成する技法は「ディープフェイク(DeepFakes)」と呼ばれ、Nudificationはこの主要コンポーネントとなる。

フェイクイメージ生成技法

マスク部分に肌をペイントする技法は、今までは「Generative Adversarial Networks (GANs)」というAIモデルが使われてきた。GANは二つのAIモデル、「生成ネットワーク(Generator)」と「識別ネットワーク(Discriminator)」で構成され、両者が競い合ってリアルなイメージを生成する(下の写真)。具体的には、生成ネットワークがイメージを出力し、識別ネットワークがその真偽を判定する。このプロセスを繰り返し、識別ネットワークが偽イメージを見抜けない段階に達し、リアルなイメージが完成する。この手法で人物や風景などのフェイクイメージが生成されてきたが、これが女性を裸にするツールに適用され重大な社会問題を引き起こした。

ディフュージョンモデルに進化

一方、GANを使うには技術を要し、また、その出力は完成度が低く、リアルなヌードイメージを生成するにはスキルを要した。今では、フェイクイメージを生成するための技法として「ディフュージョンモデル(Diffusion Model)」が幅広く使われている。ディフュージョンモデルとはアルゴリズムを教育する手法で、イメージにノイズを付加し、それを取り除くスキルを学ぶことでハイパーリアルな写真を生成する(下の写真)。

ディフュージョンモデルをNudificationに適用

ディフュージョンモデルは言葉に従って高精度なイメージを生成する機能を持つ。更に、入力された写真を編集する機能(Inpainting)があり、この技法がNudificationで使われる。新興企業Stable Diffusionはこの手法でリアルなイメージを生成し、Inpainting機能で写真のマスク部分を編集する機能を持つ(下の写真)。最新のディフージョンモデルは「ディフージョン・トランスフォーマ(Diffusion Transformer)」を搭載し、高品質な画像を大量に生成できるようになった。GPT-5などフロンティアモデルの基礎技術がNudificationで使われ、高品質なフェイクイメージが大量生産される時代になった。

Nudificationの事例

市場には数多くの種類のNudificationサイトやアプリがあり、ここで大量のコンテンツが生成されている。その代表は「CrushAI」というアプリで簡単な操作でヌードイメージを生成する(下の写真)。このアプリは香港に拠点を置く企業Joy Timeline HK Limitedが開発した。対象とする人物の写真をアップロードし、「Erase now」ボタンを押すと、AIモデルが衣服の部分を肌に書き換え、女性を裸にしたイメージを生成する。シンプルなインターフェイスで技術知識なしに使うことができ、市場で急速に利用が広がっている。非営利団体BellingcatがNudificationツールを追跡し、被害の状況をレポートしている。

MetaはCrushAIを提訴

CrushAIの利用が急拡大した背景には、ソーシャルメディアで広告を掲載し、利用者をサイトに誘導したことにある。CrushAIはFacebookやInstagramにアプリの広告を掲載し、ヌード化の機能をアピールした。これに対しMetaは、Joy Timeline HK Limitedは利用規定に反して広告を掲載したとして同社を訴訟した。Metaは同意を得ない性的なイメージを生成するツールを広告することを禁止している。

アメリカ連邦政府

社会でNudificationの被害が拡大する中、連邦議会は非同意の性的イメージを公開することを禁止する法令「The TAKE IT DOWN Act」を制定した(下の写真)。また、性的イメージを掲載するプラットフォームに対して、これを削除することを求めている。連邦政府はAI規制に消極的なポジションを取るが、性的な被害が拡大する中、対策に向けて一歩を踏み出した。一方で、この法令は個人が非同意の性的イメージを生成することは禁止しておらず、被害の拡大を食い止めることはできていない。特に、裸体のイメージで対象者を脅す「セクストーション(sextortion)」の被害が米国で急増している。

ディープフェイクと表現の自由

AI技術は急速に進化し規制法はこのスピードに追随できない現状が改めて明らかになった。ディープフェイクは敵対国がアメリカの世論を操作する手段として使われるとして警戒をしてきたが、実際には、Nudificationによる被害が広がり、この対策が喫緊の課題となっている。アメリカは憲法修正第1条(First Amendment to the United States Constitution)で表現の自由(Freedom of expression)を定めており、国民は公権力によって規制されることなく、自由に思想や意見を主張する権利を持つ。有害なディープフェイクを規制する根拠となる考え方について議論が進んでいる。

米国政府は中国企業が開発したフロンティアモデルの検証を開始した。これはトランプ政権の「AIアクションプラン」に基づくもので、NIST配下の「CAISI(旧称AISI)」が安全試験を実施しその結果を公表した。DeepSeekが最初のケースとなり、報告書はジェイルブレイクなどサイバー攻撃への耐性が低いと評価した。一方、DeepSeekの性能は米国企業の最新モデルに及ばないものの、その差は小さいとしている。報告書は技術的な観点からモデルを評価するものであるが、米国政府は関連機関にDeepSeekの調達を控え、また、民間企業にはその運用で注意するよう呼びかけている。

調査レポートの概要

この安全試験は国立標準技術研究所(National Institute of Standards and Technology、NIST)配下のAI標準イノベーション室(Center for AI Standards and Innovation、CAISI)で実施された。CAISIはAIモデルの技術開発支援と安全評価をミッションとする。トランプ政権はAIアクションプランで、国家安全保障の観点から、外国製のAIモデルを評価することをCAISIに求めており、今回の安全試験はこの最初のケースとなる。政権は中国製のフロンティアモデルを念頭に、これが米国や同盟国で普及するとセキュリティや情報操作で重大なリスクが発生すると懸念している。

評価対象モデル

安全試験では中国製AIモデルとしてDeepSeekの三つのモデル(R1, R1-0528, V3.1)が対象とした。Rシリーズは推論モデルで、Vシリーズは言語モデルで、「DeepSeek R1」が世界にショックをもたらしたことは記憶に新しい。言語モデルの最新版は「V3.2」であるが、今回の試験の対象とはなっていない。一方、米国のAIモデルはOpenAI (GPT-5, GPT-5-mini, gpt-oss-120b)とAnthropic (Claude Opus 4)が評価された。19のベンチマークテストを実施し、両者の性能を比較する方式でDeepSeekの機能や性能を査定した。

評価結果：セキュリティ

AIモデルのセキュリティを評価する技法として「Cybench」、「CVE-Bench」、「CTF-Archive」が使われ、このベンチマークテストを通して、モデルのサイバー攻撃への耐性が評価された。具体的には、AIモデルがサイバー攻撃のシグナルを検知する能力が査定された。六つの分野で評価され(下のグラフ、三つの分野)、問題を解決(シグナルを検知)した割合を示している。青色が米国モデルで、赤色がDeepSeekとなり、米国モデルがセキュリティで高い性能を示した。因みに、「Cryptography」は暗号化されたメッセージを復号化してサイバー攻撃を検知する能力を測定する。また、「Digital Forensics」はシステムに残されたサイバー攻撃の痕跡を見つける技能が試される。

評価結果：エンジニアリング機能

次に、AIモデルのエンジニアリング性能が試された。これは、実社会での技術問題をAIモデルが解決するスキルを試すもので、ここでは「SWE-bench Verified」が使われた。このベンチマークでは、GitHubに掲載されているプログラムの問題(コードのバグなど)が示され、これをAIモデルが修正するスキルが問われる。その結果は正解率で示され(下のグラフ)、米国AIモデルがDeepSeekを上回るものの、OpenAIのオープンソース・モデル「gpt-oss-120b」はDeepSeek V3.1に及ばない。実社会でエンジニアリング問題を解決する能力では米中間の差が縮まっていることが明らかになった。

評価結果：科学知識

科学技術の知識を問うベンチマークテストでは米国モデルとDeepSeekの差は無く、両モデルでほぼ同じレベルの性能を示した(下のグラフ)。言語機能や推論機能を評価する「MMLU-Pro」では、米中間で差はなく、横一列となった。生物学、物理学、化学に関する推論機能を試験するベンチ「GPQA」でも両国のモデルの差は僅かとなった。

評価結果：CCPアラインメント

CAISIはAIモデルが中国共産党(Chinese Communist Party、CCP)の政治思想を反映している度合いを評価するベンチ「CCP-Narrative-Bench」を開発し、これを実行した(下のグラフ)。中国モデルの最新版でこの傾向が顕著で、中国共産党の政治思想を色濃く反映していることが判明した。これは政治思想のアラインメントを試験するもので、例えば、新疆ウイグル自治区 (Xinjiang) に関するプロンプトへの回答を評価し、AIモデルの出力が中国共産党の解釈に沿っているかどうかを査定する。米国政府は中国AIモデルが特定の思想を広め、世論を操作するツールとして使われることを警戒している。

総合評価

総合評価として、米国AIモデルとDeepSeekは性能評価試験では、米国モデルが優位であるがその差は僅かである。一方、AIモデルのセキュリティに関しては、DeepSeekは大きなリスクを内包しており、サイバー攻撃への耐性が低いことが判明した。更に、DeepSeekは中国共産党の政治思想を内包したモデルで、プロパガンダで使われることを懸念している。

注意喚起を促す

報告書は両者のAIモデルを技術的に評価することに留まり、利用制限などの提言はしていない。一方、報告書はAI政策を立案するための基礎資料として使われ、米国連邦議会などが中国AIモデルを規制する法令の準備などで使われる。同時に、この報告書を読むとセキュリティに関するリスクが大きく、導入して運用する際は注意を要す。DeepSeekはオープンソースで誰でも自由に利用できる魅力があるが、その危険性を勘案して安全に運用することが求められる。

次のステップ

AIアクションプランはCAISIに外国のAIモデルの安全検証を求めており、これから順次、このプロジェクトが進むことになる。中国でフロンティアモデルの開発が急進しており、DeepSeek以外に巨大テックが先進モデルを投入している。Alibabaは「Qwen」を、Baiduは「ERNIE」を、また、Tencentは「Hunyuan」を投入し、米国AIモデルに匹敵する性能を示している。CAISIはこれらのモデルを対象に安全試験を実施することになる。