Tekoälysovellusten sääntelystä ja tekoälyratkaisuiden riskienhallinnasta
Tekoälysovellusten käyttö lisääntyy räjähdysmäisesti ja tuo mukanaan lieveilmiöitä ja riskejä. Sovellusten hallintaan tuleekin nyt panostaa samoin kuten käyttöön ja tuottamiseen liittyvään riskienhallintaan. Lue tästä tiiviisti muutamista asiaan liittyvistä periaatteista.
Tekoälysovelluksia säädellään
Tekoälysovelluksia säädellään
Moni organisaatio on jo pitkällä tekoälysovellusten hyödyntämisessä, ja osa on lähtenyt sellaisia jopa itse kehittämään. EU:n tekoälysäädös (EU AI Act https://artificialintelligenceact.eu/the-act/) astui voimaan 1. elokuuta 2024 ja säädöksen vaatimuksia aletaan soveltaa vaiheittain (https://artificialintelligenceact.eu/the-act/) niin, että 2. helmikuuta 2025 ns. kiellettyjen tekoälyratkaisuiden käyttö on kiellettyä. EU AI Act tarkastelee asioita tekoälysovellusten tekoälyn käyttöskenaarioiden ja niihin liittyvien taustalla olevien tekoälymallien kautta. AI Act koskee kaikkia suomalaisia yrityksiä ja organisaatioita ja ei ole edes vapaaehtoista, vaan pakollista jopa sanktioiden uhalla. Muun muassa kriittinen infrastruktuurin osalta tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi turvakomponentteina kriittisen digitaalisen infrastruktuurin, tieliikenteen tai vesi-, kaasu-, lämmitys- tai sähköhuollon hallinnassa ja toiminnassa, kuuluvat suurriskisiin tekoälyjärjestelmiin.
Tekoälysovelluksien hallintamalli
Tekoälysovelluksien hallintamalli
Tekoälysovelluksen hallintamalli on tärkeä osa tekoälyn vastuullista ja tehokasta käyttöä. Hyvin toimiva hallintamalli sisältää useita keskeisiä elementtejä:
- Roolit ja vastuut: Hallintamallissa tulee määritellä selkeästi eri roolit ja vastuut, kuten tekoälyvastaava, tekoälyarkkitehti, tekoälyratkaisuiden riskienhallinnan vastaava, tekoälyn laadunhallintavastaava jne.
- Riskienhallinta: Tekoälysovellusten riskienhallinta on olennainen osa hallintamallia. Tämä sisältää riskien tunnistamisen, arvioinnin ja hallinnan sekä vaatimustenmukaisuuden arvioinnin.
- Käyttötapausten luokittelu: Organisaation tulee varmistaa, että kaikki erilaiset tekoälyn käyttötapaukset täyttävät kaikki sovellettavat vaatimukset, kuten GDPR ja tekoälysäädös. Organisaation vastuulla on luokitella tekoälyjärjestelmät ja arvioida, mitkä tekoälyjärjestelmät soveltuvat mihinkin tarkoitukseen.
- Läpinäkyvyys ja selitettävyys: Tekoälysovellusten tulee olla läpinäkyviä ja selitettäviä. Tämä tarkoittaa, että tekoälyn toimintalogiikat ja päätöksentekoprosessit tulee olla ymmärrettäviä ihmisille.
- Tietosuoja ja tietoturva: Tekoälysovellusten tulee noudattaa tietosuoja- ja tietoturvavaatimuksia. Tämä sisältää tietosuojan vaikutustenarvioinnit (DPIA), tietoturva-arvioinnit ja datan hallinnan.
- Eettiset periaatteet: Tekoälysovellusten kehittämisessä ja käytössä tulee noudattaa eettisiä periaatteita, kuten yhdenvertaisuus, monimuotoisuuden huomiointi ja oikeusturvan varmistaminen.
- Koulutus ja osaamisen kehittäminen: Tekoälyosaamisen kasvattaminen on tärkeää. Tämä voi sisältää johdon ymmärryksen kasvattamista, itseopiskelumateriaaleja, verkkovalmennuksia ja syventäviä opintoja valikoiduille rooleille.
Nämä elementit auttavat varmistamaan, että tekoälysovellukset ovat turvallisia, luotettavia ja eettisesti kestäviä.
Tekoälysovelluksiin ja niiden hyödyntämiseen liittyy tunnistettuja riskejä. Eräs malli riskien käsittelyyn on NIST AI Risk Management framework. NIST, U.S. National Institute of Standards and Technology, viimeisin versio mallista syntyi, kun heinäkuussa 2024 U.S. valtioviraston toimisto julkaisi riskiprofiilin, joka korostaa Ihmisoikeuksien suhdetta tekoälysovellusten hyödyntämisessä https://www.state.gov/risk-management-profile-for-ai-and-human-rights/).
Riskienhallintakehikosta poimittua
Riskienhallintakehikosta poimittua
Kehys korostaa mallissaan hyvää hallintomallia (Govern), johon kuuluu erottamattomana ja jatkuvasti toistuvana iteraationa kartoitukset (MAP), mittaaminen (Measure) ja luonnollisesti omalle toiminnalle relevanttien riskien hallinta (Manage).
Malli esittelee myös näihin liittyvät useimmille sopivat toimenpide-ehdotukset näiden otsikoiden alle. Mukana on aivan valtavia aiheita esim. aiheeseen liittyvän kulttuurin luominen ja toisaalta yksinkertaisempia teknisiä kartoitustehtäviä – joka tapauksessa suositeltavia toimenpiteitä löytyy kaikille tehtäväksi.
Monet ehdotuksista eivät ole kaikille valideja sikäli, koska osa sisällöstä koskee korostetusti tekoälysovelluksia toteuttavia toimijoita ja osa niitä hyödyntäviä organisaatioita. Toisaalta molempia näkökulmia kannattaa pohtia. Kun tekoälysovelluksia hyödynnetään oman toiminnan kehitykseen, voi olla vaikea vetää rajaa sille koska itseasiassa ollaan tekemässä tekoälysovellusta ja koska vain sitä hyödyntämässä. Toimenpide-ehdotuksia pääsee kuitenkin selailemaan AI RMF Playbook työkalun avulla.
Kenties mielenkiintoisempaa ja vieläkin haastavampaa voi olla kuitenkin kartoitustehtävät. Ei niinkään sovellusten luettelointi ja tietovaikutusten dokumentointi, vaan tekoälyn hyödyntämisen kontekstin ymmärtäminen – eli merkityksen ymmärtäminen omalle toiminnalle. Joka voi olla hyvinkin piilossa, ellei tiedetä kaikkien hyödyntäjien odotusarvoja ja pyrkimyksiä saatavista hyödyistä. Lisäksi voi olla hyvä pohtia sitä, minkälaisia sosiaalisia vaikutuksia sovellusten hyödyntämisestä voi koitua. Asia saattaa vaatia laajaa dialogia organisaatiossa.
Mittaustehtävissä ilmeistä on sopivien mittareiden virittely ja miten mitataan tekoälyn tuotosten mahdollisia vaikutuksia ihmisoikeuksiin – tai edes tuotosten olemista linjassa yrityksen tai organisaation arvojen kanssa. Tärkeää on kuitenkin teknisesti varmistaa sovellusten toiminta ja säännöllisesti arvioida mittareiden perusteella esiin nousevia riskejä.
Hallintatoimista ei voi olla nostamatta palautumisen suunnittelua tai häiriötilanteisiin varautumista ja niistä viestintää – varsinkin jos oman organisaation tuotokset ovat tekoälysovelluksista riippuvaisia – kuten alati lisääntyvissä määrin on jokaisessa yrityksessä.
Digipoolin suosituksia riskienhallintaan tekoälyaiheissa
Digipoolin suosituksia riskienhallintaan tekoälyaiheissa
Digipoolin verkostossa yritysten kanssa pidetyissä työpajoissa summattiin oleelliseksi nähtyjä toimenpide ehdotuksia – jotka näin jälkikäteen tarkasteltuina osuvat varsin hyvin yhteen NIST kehikon suositusten kanssa. Tässä verkoston suosituksia toimenpiteiksi tekoälyn kehityksen ja varautumisen nimissä:
- Hanki työkaluja organisaation käyttöön – osta tai tee itse
- Kouluta henkilöstöä valittujen sovellusten käyttöön – kouluta promptausta hyötyjen ulosmittaamiseksi
- Sovi politiikat käytölle – käy läpi kaupallisten sovellusten käyttöehdot ja mieti kuinka ne toimivat yrityksesi tunnistamissa käyttötapauksissa – erityisesti jos hyödynnät tekoälyä omien kaupallisten tuotteiden kehityksessä.
- Arvioi vaikutukset – kuinka työ tehostuu ja mitä muutoksia se tuo toimintatapoihin – ollaanko valmiina tuottavuuden kasvuun vai estääkö jokin hyötyjen täysimääräisen ulosmittaamisen. Mitkä toiminnot vaativat teknisiä toimenpiteitä – esim. kyberhyökkäysten monipuolistumisen ja onnistumisprosentin kasvaessa tulee niiden torjuntavälineisiin panostaa uhan torjumiseksi.
NIST mallin voinee todeta menevän näissä hieman pidemmälle ja kannustaa tekemään riskienhallintaa ja mallin monet toimenpide-ehdotukset voi nähdäkin edellytyksenä sille, että näitä yksinkertaistettuja toimenpiteitä voi ylipäänsä pystyä tekemään.
Yhteenveto
Nyt on siis aika ottaa tekoälyn hyödyntämisen riskienhallinnasta niskalenkki ja tässä pääsee vauhdilla käyntiin valmiiden välineiden avulla. Käy läpi valmiita toimenpide ehdotuksia ja tee valintaa omalle organisaatiolle oleellisista toimenpiteistä ja lähde niitä sitten tärkeysjärjestyksessä toteuttamaan. Tässäkin on lopulta kyse melko perinteisestä – säntillisestä riskienhallinnasta, jonka avulla turvataan liiketoiminnan jatkuminen ja lopulta myös huoltovarmuus.
Kirjoittajat
Juha Karppinen, Microsoft – Digipoolin pilvipalvelut jaoksen puheenjohtaja.
Antti Nyqvist, Teknologiateollisuus ry – HVO Digipoolin poolisihteeri
Kirjoittajat