もしあなたの企業が、リスク管理ポリシー、年次影響評価、アルゴリズムによる差別の注意義務(duty-of-care)を中心に、過去 18 か月をかけてコロラド州 AI 法のコンプライアンス・プログラムを構築してきたのであれば、そのルールは足元から覆されました。2026 年 5 月 14 日、コロラド州のジャレッド・ポリス知事は、元のコロラド州 AI 法の主要な義務が施行される前に、同法を撤廃し置き換える上院法案 26-189 に署名しました。新しい枠組みでは、注意義務基準、正式なリスク管理プログラムの要件、および年次影響評価の義務が削除されました。それらに代わって、使用前通知、不利益な結果発生後の開示、および「対象となる自動意思決定技術(ADMT)」に関連する一連の消費者権利を中心とした、より限定的な透明性制度が導入されました。
元の SB 24-205 の枠組みに従ってコンサルティング費用を投じてきた創業者、人事責任者、貸し手、保険会社、医療管理者、家主、SaaS オペレーターにとって、当然の反応は安堵でしょう。しかし、その安堵は慎重であるべきです。新しい法律は依然として、ほぼあらゆる規模の企業に対して実質的な義務を課しており、コロラド州司法長官による執行リスクを生じさせます。また、業務において自動意思決定技術が重大な影響を及ぼす意思決定(consequential decisions)のどこに関与しているかをマッピングすることも引き続き求められます。コンプライアンスの負担は軽くなりましたが、ゼロではありません。2027 年 1 月 1 日の施行日は、予算サイクルやベンダーとの再交渉を考慮すると、多くのチームが予想するよりも早く到来します。
このガイドでは、何が変更され、何が維持され、誰が適用対象となり、2027 年 1 月 1 日までに具体的に何をすべきか、そして、複数の管轄区域で事業を展開する企業に押し寄せている他の州や連邦政府の AI 規制と、コロラド州の義務をどのように調整するかを解説します。
元のコロラド州 AI 法に何が起きたのか
SB 24-205 として法制化された元のコロラド州 AI 法は、2024 年 5 月に署名され、2026 年 2 月 1 日に施行される予定でした。これは米国で最初の包括的な州 AI 法であり、欧州連合(EU)の AI 法のリスク階層アプローチを緩やかにモデルにしていました。この元の枠組みは、テクノロジー企業、ビジネス団体、超党派の議員から、州内のイノベーションを抑制し、実際のアルゴリズム差別リスクに対して不釣り合いなコストを課し、小規模企業に対して規制対象の金融機関と同等のガバナンス・プログラムの構築を強いるものであるとして、根強い批判を受けていました。
2025 年の議会セッション中に、州議会は法案を修正する時間を確保するため、施行日を 2026 年 2 月 1 日から 2026 年 6 月 30 日に延長しました。そして 2026 年 5 月、SB 26-189 が可決・署名され、元の法律を撤廃し、2027 年 1 月 1 日に施行される大幅に絞り込まれた枠組みに置き換えられました。コロラド州司法長官は同日までに実施規則の策定を完了することが求められており、司法長官事務所は、規則策定が完了し、企業が対応するための合理的な機会が得られるまでは執行を開始しない意向を示しています。
コンプライアンス・チームにとっての実務上の要点:SB 24-205 の枠組みに基づいて作成したドキュメント、ベンダーのデューデリジェンス・パケット、または影響評価のテンプレートは、基礎としての価値は依然としてありますが、元の注意義務基準ではなく、SB 26-189 の義務に合わせて再調整する必要があります。
維持されたものと廃止されたもの
コンサルタントやベンダーが依然として SB 24-205 の枠組みを販売しているため、旧法と新法の差分を理解することが重要です。以下に、廃止されたもの、新設されたもの、そして実質的に維持されたものを示します。
元の法律から削除されたもの:
- 消費者をアルゴリズムによる差別から保護するための合理的注意義務(reasonable-care duty)
- 正式なリスク管理ポリシーおよびプログラムの要件
- 目的、データ入力、緩和策、モニタリング、および差別リスクをカバーする年次影響評価の義務
- アルゴリズムによる差別が発見された際の、90 日以内の発見および開示義務
- 4 つの基準によるテストを伴う小規模導入者免除の枠組み(これは再構成され、そのままの形では維持されていません)
SB 26-189 で新設されたもの:
- 「高リスク人工知能システム」ではなく「対象となる自動意思決定技術(ADMT)」を中心とした、より狭い適用範囲
- 2 段階の通知枠組み:重大な影響を及ぼす意思決定における導入前の「使用前通知」、および 30 日以内の「不利益な結果発生後の開示」
- 対象となる ADMT で使用される個人データにアクセスし、訂正する消費者の権利
- 技術的に可能な場合、重大な影響を及ぼす意思決定について意味のある人間によるレビュー(human review)を要求する権利
- すべての通知が障害を持つ消費者や英語能力が限られた消費者に届くようにするアクセシビリティ要件
- 導入者が消費者とのやり取りに合理的に近い場所に目立つ形で公的に掲示することで、使用前通知を満たすことを認めるセーフハーバー規定
実質的に維持されたもの:
- 重大な影響を及ぼす意思決定(consequential decision)のカテゴリー:教育、雇用、金融または貸付サービス、不可欠な政府サービス、ヘルスケアサービス、住宅、保険、および法的サービス
- コロラド州司法長官による排他的な執行(私的訴権はなし)
- 違反をコロラド州消費者保護法に基づく欺瞞的取引慣行として扱うこと
- デベロッパー(ADMT を構築または大幅に修正する者)とデプロイヤー(コロラド州の消費者について重大な影響を及ぼす意思決定を行うためにそれを利用する者)の一般的な区別
適用範囲
新法は、コロラド州の消費者に関する重大な決定を下す、あるいは決定に実質的な影響を与える、対象となる自動意思決定技術(ADMT)の開発者または展開者に適用されます。地理的な適用範囲はビジネスの所在地ではなく、消費者の居住地によって決定されます。そのため、オースティンに本社を置くリモートファーストのSaaS企業や、コロラド州の雇用主に候補者を派遣するニューヨークの人材派遣会社も、明確に適用範囲に含まれます。
SB 26-189における重大な決定とは、教育への入学または機会、雇用または雇用機会、金融または貸付サービス、不可欠な政府サービス、ヘルスケアサービス、住宅、保険、または法務サービスの8つのカテゴリーにおいて、サービスの提供、拒否、コスト、または条件に重大な法的または同様に重要な影響を及ぼすあらゆる決定を指します。このリストは、中小企業が人々に対して日常的に行うリスクの高い決定の大部分を網羅しています。
対象となる具体的な活用事例には、求職者をスコアリングする履歴書スクリーニングツール、ローンの承認または拒否を行う信用引受モデル、保険料を設定する保険価格設定エンジン、賃貸申込者をフィルタリングする入居者審査ツール、患者の予約や紹介に影響を与える臨床意思決定支援、オンライン教育プロバイダーが使用するAIチューターや入学選考ツール、法律扶助クリニックや法律事務所のウェブサイトにある受付またはトリアージツールなどが含まれます。カスタマーサービス・チャットボット、マーケティングのパーソナライゼーション、内部生産性向上ツール、およびコンテンツの下書きに使用される生成AIは、前述の重大な決定のいずれかに実質的な影響を与えない限り、通常は適用範囲外となります。
使用前の通知義務
展開者が重大な決定に実質的な影響を与えるために対象ADMTを使用する前に、展開者はADMTが使用されている、または使用される予定であることを、消費者に対して明確かつ目立つ形で通知しなければなりません。通知は、システムの目的、それが関与する重大な決定の種類、および消費者が法律によって付与された権利をどのように行使できるかを、平易な言葉で説明する必要があります。
ここでセーフハーバーが重要になります。やり取りのたびに個別の通知を行うのではなく、消費者がやり取りを行う場所に、合理的にアクセス可能な目立つ公表を行うことで、この義務を果たすことが認められています。実際には、アプリケーションポータル、ローン申込フロー、入居者審査のランディングページ、または患者のオンボーディングポータルに明確にリンクされたAI開示ページがあれば、そのリンクが関連する取引の視覚的に近くにあり、開示内容が一般の読者向けに書かれている限り、通常は十分です。
回避すべき3つの起草上の落とし穴があります。第一に、開示を一般的なプライバシーポリシーの中に埋もれさせないでください。法律は、関連する取引の合理的に近くに配置することを要求しています。第二に、「自動意思決定技術」や「ADMT」のような業界用語を説明なしに使用しないでください。アクセシビリティの要件は、スクリーンリーダーの互換性だけでなく、認知的および言語的なアクセシビリティもカバーしています。第三に、決定におけるAIの役割を曖昧にするような通知を書かないでください。「当社は支援のために技術を使用する場合があります」といった曖昧な表現は、司法長官の精査に耐えうる平易な言葉の基準を満たしません。
30日以内の不利益な結果に関する開示
対象ADMTが重大な決定に実質的な影響を与え、その結果として消費者に不利益な結果が生じた場合、展開者は決定から30日以内に、ADMTの役割について平易な言葉で説明を提供しなければなりません。不利益な結果には、申し込みの拒否、既存サービスの終了、実質的に不利な価格設定、または消費者が本来受け取ることができた利益を減少させるあらゆる決定が含まれます。
この開示では、営業秘密、モデルの重み、または独自のアルゴリズムを開示することまでは求められません。求められるのは、システムが何を考慮したか、決定においてどのような役割を果たしたか、どのようなカテゴリーの個人データを処理したか、そして消費者がアクセス、訂正、および人間による審査を受ける権利をどのように行使できるかについて、合理的な消費者が理解できる説明です。業界特有の構成のバリエリエーションは認められており、貸付業者の不利益処分開示は既存の信用機会均等法(ECOA)レギュレーションBの通知形式に準拠でき、ヘルスケア展開者の開示は既存の患者とのコミュニケーション慣行に基づいて作成できます。
これは、並行した作業として扱うのではなく、関連する連邦政府の開示義務と調整してください。すでに公正信用報告法(FCRA)の不利益処分通知、信用機会均等法(ECOA)の措置通知、またはHIPAA準拠の通知を送信している場合は、冗長なコロラド州固有の手紙を作成するのではなく、既存の通知を拡張してください。SB 26-189に基づく30日の期限は、通常、それらの連邦通知のタイミングと互換性がありますが、例外が存在するため、期限はケースバイケースで確認する必要があります。
消費者のアクセス権、訂正権、および人間による審査を受ける権利
新しい枠組みの下では、3つの消費者権利が定められています。消費者は、対象ADMTが自分について処理した個人データへのアクセスを要求できます。消費者は、不正確な個人データの訂正を要求できます。そして消費者は、技術的に可能な場合、重大な決定についての意味のある人間による審査を要求できます。
アクセス権と訂正権は、コロラド州プライバシー法(CPA)の下ですでに一般の個人データに対して存在する権利と大幅に重複しています。運用上、最も簡潔なアプローチは、個別の受付チャネルを構築するのではなく、既存のCPAデータ主体リクエストのワークフローを拡張してADMT固有のリクエストを処理することです。どのシステムにADMTで使用されるどのカテゴリーの個人データが含まれているかを特定し、プライバシー担当チームや人事受付チームに新しいカテゴリーについてのトレーニングを行い、対応スケジュールを文書化してください。
人間による審査を受ける権利は、コンプライアンス上のより興味深い課題です。法律は、技術的に可能な場合に意味のある人間による審査を要求していますが、これはアルゴリズムの出力を人間が形式的に承認(ラバースタンプ)することとは異なります。意味のある審査には、通常、決定を覆す権限を持つ人物が消費者の状況を実際に調査し、アルゴリズムのスコア以外の情報を考慮し、異なる結論に達する実質的な能力を持っていることが求められます。「技術的に可能」という限定条件は、基礎となる決定が人間によって全く審査できないケースを免除するものですが、単なる不便さやコストを理由とした免除は認められません。
開発者の義務
対象となるADMTの開発者は、下流の導入者がコンプライアンスを遵守するために必要なものを提供するという、並行した義務を負っています。元のSB 24-205の枠組みでは、開発者はトレーニングデータのソース、パフォーマンス指標、意図されたユースケース、およびアルゴリズムによる差別の既知のリスクに関する広範な文書を維持することが求められていました。SB 26-189の下では、これらの義務は縮小されましたが、なくなったわけではありません。
開発者は、導入者が通知および開示義務を満たすのに十分な文書を導入者に提供しなければなりません。これには、ADMTの意図されたユースケース、処理する個人データのカテゴリ、生成する出力のカテゴリ、および重大な決定の文脈に関連する既知の制限の説明が含まれます。また、開発者は、提供する対象ADMTの概要と、重大な決定に関連するリスクをどのように管理しているかをまとめた公開声明を公表しなければなりません。
コロラド州の導入者が使用するAIツールを販売またはライセンス供与している場合、ベンダー契約に関する議論はすでに始まっています。導入者である顧客は、標準化されたモデルカード、データシート、およびADMT固有の契約上の表明を要求することが予想されます。基本サービス合意書(MSA)や更新パッケージに添付できる1ページのADMT開示資料を準備することで、先手を打ちましょう。
中小企業に関する考慮事項
元のSB 24-205における小規模導入者の免除は、4つの条件からなるテストであり、狭い条件下でフルタイム従業員50名未満の導入者を影響評価の要件から除外するものでした。SB 26-189では、影響評価の要件自体がなくなったため、免除規定をそのまま維持するのではなく、中小企業の扱いを再構成しています。
ほとんどの中小規模の導入者にとって、新しい法律の下での実務上のコンプライアンス負荷は、実に控えめなものです。消費者との接点において合理的にアクセス可能な明確なADMT開示ページを維持し、30日間の不利益な結果への対応プロセスを構築し、既存のデータ主体リクエストのワークフローをADMTデータのアクセスと修正をカバーするように拡張し、アルゴリズムが実質的に影響を与える決定のための人的レビュープロセスを文書化することです。適切に運営されている企業のほとんどは、特にすでにコロラド州プライバシー法のプログラムを導入している場合、数週間の集中した作業でこれを立ち上げることができます。
中小企業にとって最大のコスト要因は、通知そのものではなく、ビジネスのどこに対象となるADMTが存在するかを目録化する上流の作業です。よくある驚きは、ベンダーによってAI機能が組み込まれた既製のSaaSツールが、導入企業がAIを導入していると意識していなかったとしても、重大な決定の目的において対象となるADMTとして機能していることを発見することです。入居審査プラットフォーム、自動アンダーライティング(引受審査)ウィザード、AIを強化した採用ツール、電子健康記録(EHR)システムに組み込まれた臨床決定支援モジュールなどは、すべてよくある驚きの対象となります。
他のAIおよびプライバシー法との調整方法
コロラド州は孤立して立法を行っているわけではなく、調整されたコンプライアンスプログラムを運営する方が、州ごとの個別対応を行うよりも劇的に安上がりです。2026年と2027年に向けて計画すべき主な調整ポイントは以下の通りです。
コロラド州プライバシー法(CPA)。CPAはすでにコロラド州の消費者にデータアクセス、修正、削除の権利を与えており、「法的または同様に重大な効果をもたらす決定を促進するためのプロファイリング」を行う管理者に対して、プロファイリング関連のオプトアウトおよびデータ保護評価の義務をすでに課しています。データ主体リクエストのワークフロー、ベンダー契約テンプレート、消費者への通知インフラが大きく重なるため、CPAプログラムはSB 26-189プログラムの自然な基盤となります。
ニューヨーク市地方条例144号(NYC Local Law 144)。ニューヨーク市は、NYC居住者を審査するために使用される自動雇用意思決定ツールに対して、年次の独立したバイアス監査を求めています。SB 26-189はバイアス監査を求めていませんが、LL 144の監査のために作成された文書は、コロラド州司法長官から問い合わせがあった場合に、アルゴリズムによる差別のリスクを検討したことを示す有用な証拠資料となります。
イリノイ州AIビデオ面接法およびカリフォルニア州AB 2930。どちらも採用の文脈におけるAI通知義務を課しており、これらはコロラド州の雇用文脈における開示と重なります。3つの別々の通知を作成するのではなく、3つすべてを満たす統一された採用AI通知を構築してください。
EU AI法。EUのユーザーにもサービスを提供している場合、EU AI法のハイリスクシステムの文書化および人的監視の要件は、コロラド州の新しい枠組みよりも大幅に厳格です。EUの文書は、通常、わずかな調整でコロラド州の義務を満たすことができます。
EEOCおよびDOJの執行。EEOC(雇用機会均等委員会)の2023年5月のAI雇用選考手順に関するタイトルVIIテクニカルアシスタンスと、司法省(DOJ)のADA(障害を持つアメリカ人法)執行の優先事項は、どちらも州の通知法とは無関係に存在する雇用AIにおける連邦レベルの反差別リスクを生じさせます。コロラド州の通知義務を遵守しても、連邦政府の民権執行から免責されるわけではありません。
NIST AI RMF。内部ガバナンスをNIST AIリスクマネジメントフレームワーク1.0に適合させることは、SB 26-189によって法的に義務付けられているわけではありませんが、法域を越えた規制当局や、AIベンダーのデューデリジェンスを行う企業顧客によって、防御可能な基準として広く受け入れられています。
実践的な12週間のコンプライアンス・ロードマップ
ゼロからスタートする中小企業にとって、2027年1月1日までに準備を整えるための作業は4つのフェーズに分かれます。
第1週から第3週 - 棚卸し。 コロラド州の消費者に関する8つの重要な意思決定カテゴリーにおいて、意思決定を行う、または重大な影響を与えるすべてのツール、ベンダー、または社内システムを特定します。サードパーティSaaSに組み込まれたAI機能も含めます。それぞれについて、対象となるADMT(自動意思決定技術)に該当するかどうかを分類し、開発者が誰であるかを文書化します。
第4週から第6週 - ベンダーとの調整。 対象となるADMTの各開発者に連絡し、通知および開示義務を果たすために提供されるドキュメントパッケージを要求します。補償、データ修正のサポート、および不利な結果への対応協力に関する契約修正の交渉を行います。
第7週から第9週 - 通知とプロセスの設計。 使用前の通知ページ、不利な結果の開示テンプレート、データ主体のリクエスト・ワークフローの拡張、および人的レビュー・プロセスをドラフトします。それぞれについて、平易な表現とアクセシビリティの確認を行います。顧客対応担当、人事、およびアンダーライティング(審査・引き受け)スタッフをトレーニングします。
第10週から第12週 - 開始と監査準備。 通知を公開し、新しいプロセスを本番環境に適用し、州司法長官の調査官が要求する可能性のある文書ファイル(ベンダー契約、通知のスクリーンショット、回答ログ、人的レビューの記録、トレーニング名簿など)を作成します。6ヶ月後の内部監査をスケジュールします。
2026年半ばに開始するチームには、十分な猶予があります。第4四半期まで待つチームは、特にエンタープライズ規模で通常60日から90日かかるベンダー契約の修正サイクルを考えると、対応に追われることになるでしょう。
コンプライアンス記録を会計帳簿と同じくらい透明に保つ
ADMTの棚卸し、不利な結果の開示の追跡、あるいは司法長官の調査官が要求する可能性のある監査に耐えうるドキュメントファイルの作成のいずれであっても、コンプライアンス記録には財務記録と同じ原則が適用されます。すなわち、フォーマットよりも透明性、バージョン管理、そして任意の時点における数値を再構築できる能力が重要です。Beancount.ioは、ブラックボックスやベンダーロックインのない、財務データへの完全な可視性を提供するプレーンテキスト会計を実現します。無料で始めることができ、開発者、財務チーム、そしてコンプライアンスを重視する経営者がなぜプレーンテキスト会計に切り替えているのか、その理由を確かめてください。
ソース: