AI採用コンプライアンス · 複数法域にまたがるバイアスとアクセシビリティ
2026年4月時点で、ニューヨーク、コロラド、イリノイ、テキサス、カリフォルニア、またはEUでAEDTを運用しているCHROや法務顧問は、自社のベンダーの多くが想定していなかった規制の局面の只中にいます。イリノイ州HB 3773は1月1日に施行されました。テキサス州TRAIGAは1月1日に施行されました。カリフォルニア州のFEHA ADS改正は昨年10月に施行されました。コロラド州SB 24-205は6月30日に発効します。EU AI法は8月2日から採用をハイリスクと位置づけます。ニューヨーク州会計検査官は2025年12月の監査結果を公表したばかりで、DCWPが1件としていたところに17件のLL144違反を見つけ、DCWPは事前予防的な執行へと移行することに同意しました。Mobley v. Workdayはディスカバリー段階にあります。Kistler v. Eightfoldは、AI採用プラットフォームがFCRA上の消費者信用調査機関に当たるかを問うています。このページが存在するのは、貴社の最終候補リストにあるどの単一ベンダーも、これらすべてに正直に答えられないからです。
17対1
同一の32社サンプルにおいて、NY州監査人が見つけたLL144違反件数 対 DCWPが見つけた件数
ニューヨーク州会計検査官、2025年12月2日
4.6%
391社のNYC雇用主のうちバイアス監査を公表していた割合 — いわゆる「ヌル・コンプライアンス」の発見
Cornell / Data & Society / Consumer Reports、FAccT 2024
6,400万
McHire / Paradoxの管理者アカウントがパスワード「123456」を使用していたために流出した応募者記録数
Carroll & Curryによる開示、2025年6月30日
これらの出来事のうち3つはすでに施行されています。2つは夏が終わる前に本格化します。2つは係争中です。いずれも貴社の年次コンプライアンス・サイクルを待ってはくれません。
雇用主はADSの入力、出力、バイアス検査の結果、選考基準を少なくとも4年間保持しなければなりません。ADSに起因する差別的な雇用慣行については、意図の有無を問わず責任が生じます。本社の所在地にかかわらず、カリフォルニアで採用を行うすべての雇用主に適用されます。
募集、採用、昇進、懲戒、解雇において差別的効果を持つAIの使用を禁止します。郵便番号を保護対象クラスの代理変数として用いることを明示的に禁止します。AIが雇用に関するいかなる決定を「左右または促進」するために使われる場合は常に通知が必要です。執行はイリノイ州人権局が担い、同局は2025年後半に通知規則案を公表しました。
AIを介した意図的な差別を禁止します。テキサス州は格差影響(disparate impact)を独立した理論として明示的に退け、LL144やコロラド州の枠組みとは異なる立場をとりました。執行はテキサス州司法長官が独占的に行います。違反者には通知と60日間の是正期間が与えられ、罰則は是正可能な違反で12,000ドル、是正不可能な違反で200,000ドルに及びます。
州の監査人は、DCWPが1件しか見つけなかったのと同一の32社サンプルにおいて、17件のLL144違反の可能性を発見しました。AEDTに関する311件の苦情電話のうち75%が誤って転送されていました。DCWPはAEDTを評価する技術的専門性を欠いていたことを認め、事前予防的な執行を採用することに同意しました。罰則の構成は変わらず、違反1件につき1日あたり最大1,500ドルです。「ヌル・コンプライアンス」 — 自社のツールを適用範囲外と自己分類すること — は、もはやニューヨーク市では擁護できる姿勢ではありません。
Rita F. Lin判事はWorkdayの却下申立てを退け、AI採用ベンダーのツールが候補者を推薦またはフィルタリングして意思決定に関与する場合、当該ベンダーは雇用主の「代理人」として直接責任を負い得ると判示しました。2025年5月16日に集団訴訟の暫定的な認証が認められ、40歳以上の応募者向けのオプトイン期間は2026年3月7日に締め切られました。裁判所はその後、Workdayに対し、HiredScore SpotlightおよびFetchを有効化した雇用主の網羅的なリストを提出するよう命じ、買収後の製品を集団から除外しようとするWorkdayの試みを退けました。
AI採用プラットフォームがFCRA上の「消費者信用調査機関」に当たるかを問う最初の試金石です。原告らは、EightfoldがLinkedIn、GitHub、Stack Overflow、および公開データベースからデータをスクレイピングし、「15億を超えるグローバルなデータポイント」から候補者の調査書を構築し、候補者の認証、通知、開示、許可、または異議申立て手続きなしに0〜5の「成功可能性」スコアを生成したと主張しています。裁判所がEightfoldはCRAであると判示すれば、同様のあらゆるプラットフォームは、スコアを付けたすべての候補者に対して不利益取扱い通知と異議申立てのワークフローを負うことになります。FCRA上の法定損害賠償は、消費者1人・違反1件につき100〜1,000ドルです。
ポリス知事は2025年8月28日に延期法案に署名し、発効日を2月1日から2026年6月30日へと移しました。デプロイヤーはリスク管理プログラムを採用し、初回および年次の影響評価を実施し、決定前および不利益決定に関する消費者通知を発行し、ウェブサイト上で開示を公表しなければなりません。コロラド州司法長官が執行権限を独占的に有します。反証可能な推定による抗弁には、文書化された合理的注意が求められます。
募集、スクリーニング、求人広告のターゲティング、応募のフィルタリング、候補者の評価は、すべて附属書IIIのハイリスクに該当します。2026年8月2日までに、提供者は適合性評価を完了し、技術文書(第11条 / 附属書IV)を公表し、データガバナンス・プログラム(第10条)を実装し、人間による監督(第14条)を確保し、EUデータベースに登録し、CEマーキングを付さなければなりません。罰則は、禁止行為違反で3,500万ユーロまたは全世界の年間売上高の7%、ハイリスク義務違反で1,500万ユーロまたは3%に達します。2025年後半のデジタル・オムニバス提案は附属書IIIを2027年12月まで延期する可能性がありますが、その延長は成立しておらず、慎重なコンプライアンスは8月2日を拘束力あるものとして扱います。
以下の表は購入者向けガイドではありません。各プラットフォームが現行の法制度に対してどの位置にあるか、そしてそれが2026年に契約の更新または変更を必要とするCHROにとって何を意味するかを示す地図です。当社はベンダー中立であり、ここに掲載するいかなる企業とも商業的関係を持ちません。
| ベンダー / 製品 | 現在の規制上の立ち位置 | CHROが自ら抱える正直なギャップ |
|---|---|---|
| Workday + HiredScore (Spotlight、Fetch) | Secretariatによる第三者分析を公表。LL144監査用の設定を提供。現在係争中: Mobley | Lin判事はHiredScoreを集団から除外しようとするWorkdayの試みを退けました。顧客が集団訴訟の対象期間中にSpotlightを導入していた場合、その顧客の名称は裁判所命令によるリストに記載されています。 |
| Eightfold AI (Match) | バイアス監査の文書を公表。エンタープライズ顧客にはMicrosoft、Morgan Stanleyを含む | 次の訴訟で被告として指名: Kistler。FCRAの理論が認められれば、Matchのスコアリングを使用したすべての顧客が、候補者に対して遡及的に不利益取扱い通知を負う可能性があります。 |
| HireVue | 2021年1月に表情コーディング分析を廃止。構造化されたテキストおよびビデオによる評価へと方向転換 | 2025年3月のACLU提訴(D.K. v. Intuit/HireVue)で、ADA、公民権法第7編、コロラド州差別禁止法を根拠として名指しされました。HireVueのCEOはAI評価が使用されたことを否定していますが、ASRパイプライン自体は、アクセシビリティ研究で文書化された格差あるWERの問題の影響を依然として受けています。 |
| Paradox(Olivia) | 特定のコンプライアンス上の差別化はなし。事後対応的なパッチ適用 | 2019年の管理者テスト・アカウントが以下をパスワードとして使用していたため、2025年6月に6,400万件の記録が流出: 123456 。根本原因はMLではなく設定でした。貴社のDPOとCISOは、あらゆる更新の協議に参加する必要があります。 |
| Pymetrics / Harver | 公開されたバイアス監査履歴を持つゲームベースの評価 | ACLUによるAon/CangradeのFTC提訴のADA理論の影響を依然として受けています。すなわち、臨床診断基準を映し出す性格特性測定ツールは、障害スクリーニングとして機能するというものです。 |
| iCIMS、Greenhouse、Lever、SmartRecruiters、Ashby | ATSレイヤー — 一部はLL144バイアスレポートをエクスポート可能。一般に被告として指名されてはいない | ATSはデータウェアハウスであり、それ自体がAEDTではありません。コンプライアンス上の問題は、貴社の採用担当者が有効にしたスコアリングまたはランキングのプラグインにあり、それをATSベンダーが貴社に代わって監査することはありません。 |
| FairNow、Holistic AI、Credo AI、Warden AI、Fairly AI | ガバナンス・プラットフォームと監査ツール。一部はLL144に特化 | プラットフォームは貴社の指標がどう見えるかを教えてくれます。しかし、ベンダーのデューデリジェンスを代替するものではなく、アクセシビリティを格差影響とは別に監査することもなく、相反する規制を調整することもありません。最も有用なのは、戦略が定まった後のダッシュボードとしてです。 |
| DCI Consulting、ORCAA、Secretariat | 法的に認められた独立系のLL144監査人。おおむねシステム1件あたり年間5万〜20万ドル | LL144が要求する年次スナップショットのゴールドスタンダード。継続的でも、複数法域横断的でもなく、貴社のAEDTアーキテクチャを書き換えるよう設計されてもいません。 |
| Deloitte、KPMG、EY、PwC AIプラクティス | 雇用法の人脈と監査の信頼性を備えたアドバイザリー部門 | 契約は通常50万ドルから始まり、200万ドル超に及びます。ガバナンス成果物には強いものの、動作するコードの提供には弱いです。無制限の予算を持つFortune 50には良い答えですが、コンプライアンス達成まで四半期しかない中堅市場のCHROには誤った答えです。 |
正直な答えは、取締役会に提出できるガバナンス報告書が必要で、請求書の金額を気にしないのであれば、Deloitte、KPMG、EY、PwCは正しい選択だということです。彼らの方法論は健全で、ブランドは政治的に貴社を守り、規制当局との関係は本物です。しかし、根本的な問題が、四半期に200万人の候補者に0〜5のスコアを付けるニューラルネットワークであり、期限が12週間先に迫っており、貴社のMLチームと共に座って特徴量エンジニアリングのパイプラインを書き換えてくれる人が必要なとき、彼らは誤った選択です。大手企業はその作業を外注します。小規模な専門会社は直接それを行います。当社がBig 4の監査契約の何分の一かの費用で済むのは、オフィスタワーを賄っていないからであり、200枚のスライドのデッキではなく動作するコードを提供します。デッキが必要ならBig 4を雇ってください。コードが必要なら読み進めてください。
NYC LL144を満たすバイアス監査は、コロラドを満たしません。コロラドを満たす監査は、EU AI法を満たしません。一部の要件は技術的に両立しません。これは市場が是正する設計上の欠陥ではなく、貴社が足を踏み入れている法的環境そのものです。
LL144は、選考の各段階について、人種×性別で算出されるインターセクショナルな影響比率を要求します。SB 24-205におけるコロラドの「合理的注意」基準は方法論を規定しておらず、イリノイ州人権法は統計的検定を定めることなく差別的効果に焦点を当てています。単一の汎用監査を実行すると、LL144にとっては粗すぎ、かつコロラド固有の影響評価として認められるには詳細すぎる出力が生じます。各法域には異なる形の成果物を用意するか、さもなければそれぞれが自らの条件で不合格となります。
イリノイ州HB 3773は、郵便番号を保護対象クラスの代理変数として用いることを明示的に禁止しています。EU AI法第10条(3)は、訓練データが「関連性があり、代表的で、可能な限り誤りがなく完全である」ことを要求しており — これは通常、地域的なカバレッジの欠落を避けるために地理的特徴を含めることを意味します。郵便番号を取り除けばEUの代表性監査に不合格となり、残せばイリノイに違反します。実務的な答えは、EU訓練データには地理的粒度を粗くした明示的な居住地特徴を用い、イリノイの推論には完全な地理的マスクを用いることであり — これには1つではなく、同一モデルの2通りのデプロイ構成が必要になります。
LL144のもとでは、ツールが採用の決定を「実質的に支援する」かどうかを雇用主が自己判断します。Mobleyのもとでは、ツールが候補者を推薦またはフィルタリングするとき、雇用主が何を主張しようとも、ベンダーが直接責任を負います。「当社のWorkday Spotlightの導入はAEDTではない」と述べる2024年の自己分類メモは、いまや原告側の証拠物件Aです。唯一擁護できる姿勢は、あらゆるスコアリング、ランキング、フィルタリング、ルーティングのツールを適用範囲内として扱い、それに応じて文書化することです。
テキサス州TRAIGAは、格差影響をAI採用責任の独立した根拠として明示的に退けた最初の州法です。これはテキサスの雇用主が安全であることを意味するものではなく — 連邦の公民権法第7編やテキサス州人権委員会法に基づく請求は依然として適用されます — しかしそれは、TRAIGAのコンプライアンス成果物が統計重視ではなく意図重視であることを意味します。連邦公民権法第7編の格差影響分析、LL144の5分の4レポート、TRAIGAの意図評価は、3つの別個の証拠基準を伴う3つの別個の契約です。
Kistler v. Eightfoldは格差影響の事案ではありません。FCRAの枠組みは、スコアが公正かどうかにかかわらず、そのプラットフォームが消費者信用調査機関として機能するかを問います。完全にバイアスのないプラットフォームであっても、スコアを付けたすべての候補者に対して、事前不利益取扱い通知、「報告書」の写し、異議申立ての経路を負う可能性があります。バイアス監査はそれらの成果物を一切生み出しません。LL144とコロラドのコンプライアンスだけに最適化した購入者は、FCRAの問いが一度も問われなかったために、依然として集団訴訟の被告となり得ます。
LL144は障害影響の検査を要求していません。コロラドは一般的な「合理的注意」基準のもとでこれを要求しますが、方法論は規定していません。先住民のろう者従業員を代理してのACLU提訴(D.K. v. Intuit / HireVue)は、ASRを用いたビデオ面接が、その発話パターンが訓練データで過少に表現されていた人々を格差的に不利に扱うと主張しています。根底にある技術的問題は測定可能です。公表された研究によれば、Whisperの多言語平均WERは英語のWERのおよそ3倍であり、2025年InterspeechのSpeech Accessibility Project Challengeの優勝チームは、発話障害のある音声で8.11%のWERを達成しましたが — それでも標準的なベンチマークの数倍です。人種と性別のみを追跡するバイアス監査ではこれは表面化せず、LL144に合格した企業であってもADA提訴に直面し得ます。
Paradox / McHireの侵害で6,400万件の候補者記録が流出したのは、2019年の管理者テスト・アカウントが 123456 をユーザー名とパスワードの両方として依然有効なまま、MFAもなく、内部APIにIDORを抱えていたためです。これらのいずれもMLとは何の関係もありませんでした。しかし、採用ツールを通じて流出した候補者データは依然として採用データであり、GDPRの侵害通知、CCPAの私的訴権、継続的処理のための適法な根拠の喪失の対象となるため、これらすべてがいまやCHROにのしかかります。AI採用ツールに関するベンダーのデューデリジェンスは、認証情報の衛生、API認可の境界、デフォルトパスワードの監査をカバーしなければならず — それは標準的なSOC 2レターが教えてくれることではありません。
これらは製品ではなくコンサルティング契約です。一つひとつがオーダーメイドです。当社が有用なのは、コードを書き、貴社のベンダーミーティングに最後まで同席するからです。当社はベンダー中立であり、HRテックを再販することはなく、貴社のWorkdayやEightfoldの導入が現状のままで擁護可能なときはそうお伝えします。
採用の決定に触れるあらゆるツールを列挙します — ATSプラグイン、スコアリングエンジン、日程調整ボット、ビデオ面接ツール、リファレンスチェックAPI、身元調査の連携、LinkedIn RecruiterのネイティブAI、候補者を浮上させたり隠したりするあらゆるものです。各ツールについて、LL144の「実質的に支援する」定義、コロラドのデプロイヤー/開発者の区別、イリノイの「左右または促進」テスト、テキサスの意図のみのテスト、EU附属書IIIのハイリスク分類に照らして分類します。アウトプットは、規制当局の調査に耐えるAEDT登録簿と、どの契約に修正が必要かを法務に伝えるベンダーリストです。
成果物: AEDT登録簿、法域別エクスポージャー・マトリクス、ベンダー契約修正リスト、是正の優先順位キュー。
LL144が要求するインターセクショナルなレベルで完全な5分の4分析を実施し、コロラド州司法長官の規則案が向かいつつある形式でコロラドの「合理的注意」影響評価を算出し、イリノイの通知成果物を生成し、EU AI法第10条のデータガバナンス文書を作成します。規制が衝突する箇所では、どこでなぜ衝突するかを正確に述べるメモを書き、法務戦略の提言を行います(どの規制に最適化するか、どの規制でエクスポージャーを受け入れるか、そのエクスポージャーの大きさが実際にどの程度か)。当社はLL144のもとでの独立監査人ではなく — その役割はDCI、ORCAA、Secretariatに属します — しかし、独立監査が書き立てるに値するものを何も見つけない状態に貴社のシステムを整えます。
成果物: LL144インターセクショナル・レポート、コロラド影響評価、イリノイ通知テンプレート、EU第10条/第11条文書パック、衝突メモ。
いかなるバイアス監査の枠組みもこれをカバーしないため、当社はこれを別個の領域として扱います。貴社のビデオ面接ASRパイプラインを、Speech Accessibility Projectのコーパスと、ろう者、難聴者、訛りのある話者に関して公表されたWERの格差に照らしてベンチマークします。ACLUのAon理論に照らして性格測定ツールを評価します。すなわち、質問が臨床診断基準を映し出すものであれば、それはADAのもとで障害スクリーニングとして機能します。配慮の必要性を開示した候補者のために、候補者を72時間待たせないCARTプロバイダーのSLAを含む、人間が介在するエスカレーション経路を設計します。ここがACLU提訴やDOJのADA調査が始まる地点であるため、それらの手続きが要求する証拠基準で文書化します。
成果物: ASR WER格差レポート、性格測定ツールADAレビュー、配慮ワークフロー仕様、CARTプロバイダーSLAテンプレート。
貴社のAI採用ベンダーが、Kistlerの原告らが追及している事実パターンに合致するかを評価します。すなわち、第三者データのスクレイピング、候補者プロファイルの構築、数値スコアの生成、そしてそれらのスコアを用いたフィルタリングです。パターンが当てはまる箇所では、FCRA不利益取扱い通知のパイプライン、候補者向けの異議申立てワークフロー、スコアにどの情報が使われたかを示すデータ来歴ログ、貴社の法務顧問が法廷で擁護できる異議解決のタイムラインを構築します。Kistlerで裁判所がEightfoldはCRAであると判示すれば、貴社は初日から準備が整っています。判示しなくても、いずれにせよ貴社のDEIチームが感謝するような候補者体験が手に入ります。
成果物: FCRA適用可能性メモ、不利益取扱い通知テンプレート、候補者異議申立てポータル仕様、データ来歴ログのアーキテクチャ。
McHireの後では、SOC 2レターでは不十分です。貴社のスタックにあるすべてのHRテック・ベンダーに対して、AIを意識したセキュリティ・レビューを実施します。すなわち、デフォルトの認証情報、管理者アカウントでのMFA強制、API認可の境界(特に6,400万件の記録を流出させたものと同種のIDORクラスのバグ)、候補者チャットの会話履歴の保持、会話型インターフェースにおけるプロンプトインジェクション耐性、そしてGDPRの適法根拠分析のためのデータ所在地です。成果物は、CISOが連署できるベンダーリスク・メモと、調達チームがあらゆる更新に添付できる契約上のライダーです。
成果物: ベンダーリスク・メモ、IDOR / 認可境界のテスト結果、契約上のセキュリティ・ライダー、GDPR向けDPIA更新。
監査の結果、モデルを変更せずにはコンプライアンスを達成できないツールが明らかになった場合、当社には2つの選択肢があります。選択肢その1: 当社が構築するグラスボックス・アーキテクチャ — すべての決定が浮動小数点の重みではなく監査可能なノードまで辿れる、知識グラフによるスキルマッチャー、または制約強制型のシンボリック・ルールエンジン — に置き換える。選択肢その2: 既存のベンダーの上にコンプライアンス・オーバーレイを重ね、スコアを傍受し、法域固有の調整を適用し、ディスカバリーに耐える独立した監査証跡を生成する。代替案が真により悪い場合を除き、当社はゼロから始めることはしません。ほとんどの場合、狭いオーバーレイで問題は解決します。
成果物: 是正の選択肢メモ、プロトタイプまたはオーバーレイのコード、既存ATSとの統合仕様。
当社は顧問契約を売りません。以下の各フェーズは、それぞれ独自の成果物を伴う独自の作業範囲記述書(SOW)です。クライアントの中にはフェーズ1の後で止めて満足する方もいれば、アーキテクチャの是正まで継続する方もいます。どのフェーズも、次に進むことを約束する必要はありません。
完全な採用サイクルを1つ追跡し、あらゆるAEDTを列挙し、貴社の事業展開する法域をマッピングし、どの規制が適用され、どこで現在コンプライアンス違反となっているかを述べるエクスポージャー・メモを作成します。人事、法務、調達、ITセキュリティとのワーキングセッション。固定報酬。最終状態: 貴社の法務顧問が、番号付きのリストを携えて取締役会に臨めること。
実際の統計作業です。インターセクショナルな格差影響の表、コロラド影響評価、イリノイ通知成果物、EU第10条/第11条文書、FCRA適用可能性メモ、ASR WERベンチマーク。貴社が選んだ独立LL144監査人(DCI、ORCAA、Secretariat)が書き直すことなく受け入れる事前監査パッケージを作成します。調整不能な衝突を特定し、どのエクスポージャーを承知の上で受け入れるかを経営陣に伝える法務戦略メモを書きます。
指名された各ベンダーについて、AIを意識したセキュリティ・レビューを実施し、7つの衝突ゾーンに照らしてDPAをレビューし、調達チームが更新時に添付する契約ライダーを起草します。Workday / HiredScoreの顧客については、特に以下のエクスポージャーをレビューし、 Mobley 貴社の導入が事実パターンとどこで異なるかを文書化します。Eightfoldの顧客については、Kistlerのリスクに警告を発し、暫定的な緩和策を提言します。
必要な場合のみ。スコアが採用担当者の画面に届く前に傍受するオーバーレイ、貴社のATSと統合された候補者向け異議申立てポータル、既存ベンダーが合格できない1つの職種ファミリーのための知識グラフによるスキルマッチャー。当社が構築し、コードを引き渡し、貴社のエンジニアリングチームのために文書化します。典型的な契約: 1〜3四半期。
貴社がすでに保有または選定済みのガバナンス・プラットフォーム(FairNow、Holistic AI、Credo AIはいずれもこれに適しています。当社はそのいずれも再販していません)の上で、継続的なモニタリングを立ち上げるお手伝いをします。各規制当局が用いる言葉でダッシュボードをどう解釈するかを、貴社の社内チームに教育します。その後、当社は手を引きます。
タイムラインと正直さについて: 2024年以来これに手をつけていない企業が、2026年8月2日までに6つの規制すべてにわたって完全にコンプライアンスを達成することはできません。当社は、どのエクスポージャーが残るかを正確にお伝えし、メモを書き、貴社が何を受け入れているかについて十分な情報に基づく法務戦略の判断を下すお手伝いをします。代替策 — 実現不可能だった期日までに完全なカバレッジを主張すること — は、規制当局と原告が探し求める、まさにその「悪意」の記録を生み出します。
どこで採用し、何を使っているかを入力してください。ツールは、どの規制が適用されるか、貴社のベンダーのうちどれが係争中または規制上のエクスポージャーを抱えているか、是正の優先順位がどうなるかを計算します。何もどこにも送信されません — これはすべて貴社のブラウザ内で実行されます。当社を雇うかどうかにかかわらず、次回のコンプライアンス会議でこの出力をご活用ください。
ウェブサイト向けに整えたものではなく、クライアントが最初の通話で実際に話す言い回しのままに。
別々の監査ではなく、よく設計された1つの監査から導かれる別々の成果物です。根底にある統計作業 — 格差影響比率、インターセクショナル分析、特徴量の寄与度 — は共通です。形式と何を算出するかは共通ではありません。LL144は、インターセクショナルな人種×性別の影響比率と、特定の形式での公開要約を要求します。コロラドは、リスク管理プログラムの一環として文書化された影響評価を求め、明示的な5分の4の要件はありません。イリノイは通知成果物と代理変数の文書を必要とします。EUは第10条のデータガバナンス記録と第11条の技術文書を求めており、これはどの米国の枠組みよりもはるかに深いものです。「汎用」のLL144監査を実行してそれをコロラドにも良しとする単一の監査人は、規制当局が拒否するものを貴社に提供しているのです。1つの監査契約は、正しく設計されていれば、4つか5つの異なる形の成果物を生み出します。当社はそのように契約を設計します。汎用の監査ベンダーの多くはそうしません。
なるかもしれませんし、ならないかもしれません。2025年5月に暫定認証を受けた集団は、Workdayのツールを使用するWorkday顧客によってふるい落とされた40歳以上の求職者を対象としています。Lin判事はその後、HiredScore SpotlightとFetchがこれらの製品が提訴後に買収されたものであっても集団から除外しようとするWorkdayの試みを退け、HiredScoreの機能を有効化した雇用主の網羅的なリストを提出するようWorkdayに命じました。40歳以上の応募者向けのオプトイン期間は2026年3月7日に締め切られ、これはディスカバリーが今や特定された集団構成員について進行することを意味します。貴社の当面の対応事項は次のとおりです: HiredScoreの導入履歴を日付とともに引き出すこと、SpotlightまたはFetchが候補者をフィルタリングした職種と地域を特定すること、その期間のすべての応募者レベルのデータを保全すること、そして人間によるレビューのチェックポイントがあったならそれを文書化すること。「ベンダーが対応した」という抗弁は、まさにLin判事の「代理人」判決が打ち負かすために設計されたものです。貴社の法務顧問が事実メモを早く手にするほど、原告側弁護士が接触してきたときの姿勢は良くなります。
LL144のもとで認められた独立監査人 — 主にDCI Consulting、ORCAA、Secretariat、およびいくつかの小規模な会社 — は通常、データ量、人口統計の利用可能性、選考ワークフローの複雑さに応じて、AEDT1件あたり年間50,000ドルから200,000ドルを請求します。データの準備完了から署名済み監査までの所要期間は、監査人が必要なものをすべて入手してから15〜20営業日です。「データの準備完了に至る」フェーズで最も多くの時間が消えていくのであり、それこそが当社の行うことです。すなわち、データパイプライン、人口統計の補完方法の選択、インターセクショナルなグループ化、選考率の算出、成果物の形式整備です。当社からクリーンな事前監査パッケージを受け取った監査人は、公表された15〜20日で署名できます。貴社のデータを自ら整える必要のある監査人は、レンジの上限で請求し、より長くかかります。当社は独立監査人ではなく — 設計上、最終的なLL144成果物に署名することはできません — しかし、貴社の独立監査人が署名する監査がクリーンであるのは当社のおかげです。
いいえ。EU AI法は、文書化、データガバナンス、人間による監督において最も要求の厳しい規制ですが、LL144が要求する特定のインターセクショナルな格差影響比率を要求せず、コロラド州司法長官の規則案が向かいつつある形式でコロラド影響評価の形式を生み出すこともありません。EUのコンプライアンスは、米国の州コンプライアンスにとって必要ではあるものの十分ではありません。逆方向では、LL144のコンプライアンスはEUの水準に手が届くところまで貴社を導きません — LL144は本質的に狭い統計監査と公開要約であるのに対し、EU AI法は完全な品質管理システム(第17条)、適合性評価、技術文書一式、市販後モニタリング、CEマーキングを求めます。貴社の事業範囲が米国とEUの両方にまたがるなら、2つのワークストリームを計画してください。一方の規制の要件が他方に違反する衝突ゾーン(郵便番号が最も明白な例)は現実のものであり、エンジニアリングの判断ではなく法務戦略の判断を必要とします。
別個のADAパイプライン・レビューで対抗します。これは異なる法理論であり異なる証拠基盤であるため、ほとんどのバイアス監査ベンダーは提供していません。ビデオ面接ツールについては、貴社のASRコンポーネントを、Speech Accessibility Projectのコーパスや、ろう者、難聴者、訛りのある英語話者に関する同様のテストセットに照らしてベンチマークすることを意味します。公表された格差は大きいものです。2025年SAP Challengeの優勝チームは発話障害のある音声で8.11%のWERを達成しましたが、これは標準的な英語のベンチマークWERの依然として数倍であり、Whisperの多言語性能は平均して英語性能のおよそ3倍劣ります。性格評価やゲームベースの評価については、問いはその測定ツールが臨床診断基準を映し出すかどうか — ACLUのAon FTC提訴における理論です。候補者体験については、ろう者の応募者を人間によるCARTサポートのために72時間待たせない配慮ワークフローが必要です。なぜなら、「手続きは利用可能だった」というのは、その手続きが応募者に尋ねることを知っていることを要求する場合、抗弁にはならないからです。 D.K. v. Intuit/HireVue の訴状は、原告側弁護士が今用いているテンプレートです。それを読み、各具体的な主張に貴社の管理策を整合させてください。なぜなら、それこそまさにディスカバリーが順を追って検証することだからです。
どの理論が貴社を捕らえるかによります。LL144は違反1件につき1日あたり1,500ドルで、これは私的訴権が重なる前に、未監査のツール1件あたり年間547,500ドルに達します。テキサス州TRAIGAは是正不可能な違反1件あたり最大200,000ドルです。EU AI法は、ハイリスク義務について1,500万ユーロまたは全世界の年間売上高の3%のいずれか高い方を上限とします。EEOCは初のAI採用事案(iTutorGroup、2023年)を365,000ドルで和解しましたが、これは個別の差別請求の下限が今やこれであると気づくまでは小さく見えます。集団訴訟は異なるスケールで拡大します。Mobleyの集団は、Workdayのエコシステムを通過した40歳以上の応募者のうち相当な割合をカバーし得る可能性があり、裁判所はそれが10億人を超え得ると指摘しました。KistlerのFCRA理論は、もし認められれば、消費者信用調査機関と判断されたプラットフォームによってスコアを付けられたすべての候補者に対し、消費者1人・違反1件につき100〜1,000ドルの法定損害賠償を課します。年間200万人の候補者にスコアを付け、たとえ下限の支払いを負うと判断された企業でも、年間2億ドルのエクスポージャーに直面します。複数規制にまたがる監査と是正プログラムのコストは、当社のクライアントの大半にとっては6桁台前半で、最大手についてのみ7桁台前半で測られます。保険対エクスポージャーの計算は、勝負にもなりません。
それで結構ですし、継続的なモニタリングにとってガバナンス・プラットフォームは本当に有用です。当社には、継続的なLL144追跡のためにFairNowを、クロスリスクの可視化のためにHolistic AIを実行しているクライアントがおり、適切な文脈では両方をお勧めします。プラットフォームが行わないのは、貴社のCISOと共にベンダーセキュリティ・レビューに最後まで同席すること、イリノイとEUの要件が衝突したときに法務戦略メモを書くこと、貴社のHireVue導入でSAPコーパスのASRベンチマークを実行すること、あるいはスコアが採用担当者の画面に届く前に出力を傍受するようスコアリング・パイプラインを書き換えることです。プラットフォームはダッシュボードです。当社が実施する契約は、そもそもそのダッシュボードを意味のあるデータで満たすものです。プラットフォームを実行し、契約のためには専門家を雇ってください。両者は代替物ではありません。
2024年には十分でした。今は十分ではありません。Cornell / Data & Society / Consumer Reportsの研究は、まさにこのパターンに対して「ヌル・コンプライアンス」という用語を生み出しました。すなわち、調査対象の391社のNYC雇用主のうち、バイアス監査を公表したのはわずか4.6%で、残りはそのツールをLL144の適用範囲外に置く自己分類の主張に依拠していました。その後、2025年12月のニューヨーク州会計検査官の監査は、自己分類が厳格な第三者レビューに耐えないことを実証しました。すなわち、DCWPが1件しか見つけなかったのと同一の32社サンプルにおいて、州の監査人は17件の違反の可能性を発見しました。DCWPは事前予防的な執行を採用することに同意し、これは規制当局が雇用主の開示を待つのではなく、今や自ら分析を実行することを意味します。ベンダー責任の側では、Mobleyの「代理人」理論は、候補者を推薦またはフィルタリングするスクリーニング・ツールが決定に関与していないという考えを明示的に退けます。あらゆるCHROにとっての実務的な姿勢はこうです: あらゆるスコアリング、ランキング、フィルタリングのツールが適用範囲内であると想定し、「ベンダーが当社はAEDTではないと言った」というメモを将来のディスカバリーの証拠物件として扱い、それに応じて監査すること。規制当局と原告がベンダーの特性評価に同意することを要求する自己分類の抗弁は、抗弁ではなく希望的観測です。
このソリューション・ページは、当社のインタラクティブ・ホワイトペーパー8本に基づいています。それぞれがAI採用コンプライアンス問題の別個の側面を扱っています。真剣な購入者は、いかなる契約の協議の前にも、それらすべてに目を通すべきです。
このページの基盤となる論文。2025年12月のニューヨーク州会計検査官によるLL144監査、NYC、コロラド、イリノイ、EUにまたがる「コンプライアンスのトリレンマ」、そして監査対応可能なAI採用システムのアーキテクチャ要件を分析します。
説明可能な採用への知識グラフ・アプローチ。スキル・オントロジーが、EU AI法第13条および第14条が要求する種類の決定追跡をいかに可能にするか、そしてそのアプローチが代理バイアスの限界にどこで突き当たるか。
反事実的公正性と構造的因果モデル。なぜ敵対的なバイアス除去が実務上不安定なのか、そして予測精度とのトレードオフが実際にどのようなものか。
バイアス監査がカバーしないADAエクスポージャー。ACLUのAon FTC提訴の理論と、障害を意識した評価のための因果表現学習の技術的限界を分析します。
McHire / Paradoxの6,400万件記録侵害の事後検証。認証情報の衛生、IDORクラスのバグ、そしてなぜSOC 2レターがAIを意識したベンダー・デューデリジェンスの代替にならないのか。
Mobley v. Workdayの「代理人」判決の徹底分析。ニューロシンボリック・アーキテクチャがディスカバリーに耐える監査可能な決定追跡をいかに生み出すか。
AI採用プラットフォームへのFCRAの適用可能性、Kistler v. Eightfoldの事実パターン、そしてCRAと分類されたベンダーが構築する必要のあるデータ来歴と「異議申立ての権利」のワークフロー。
アクセシビリティとマルチモーダル融合の観点。ろう者、難聴者、先住民の英語話者に関するASR WERの格差、D.K. v. Intuit / HireVueの事実パターン、そして現実的なHITLエスカレーション設計。
NYCの未監査のAEDTは、LL144の罰則だけで年間最大547,500ドルに達します。MobleyとKistlerは、貴社の応募件数に応じて拡大する集団訴訟のエクスポージャーを加えます。適切な複数規制監査契約のコストは、1件の集団訴訟防御のごく一部です。
当社は固定報酬のディスカバリーとエクスポージャー・レビューから始めます。契約を継続するかどうかにかかわらず、擁護可能なAEDT登録簿と番号付きのメモを携えてお帰りいただけます。