オープンソース 記事12 EU AI法対応ロギングライブラリ

概要

EU AI法の影響を受けるAIシステム向けに、第12条準拠のロギングインフラを提供するオープンソースTypeScriptライブラリです。Vercel AI SDKを使用するNode.jsアプリケーション向けに特別に設計されています。

主な特徴

このライブラリは、2024年8月に発効するEU AI法第12条の要件に対応しており、高リスクAIシステムに対して6ヶ月間の保持期間を義務付ける自動イベント記録を規定しています。法律専門家はこれを、標準的なアプリケーションロギングではなく、追記専用台帳機能を必要とするものと解釈しています。

実装内容:

• すべての推論呼び出しをキャプチャするAIモデルをラップするミドルウェア
• 独自のS3バケットまたはローカルファイルシステムへの構造化JSONLロギング
• 改ざん検出のためのエントリ間のSHA-256ハッシュ連鎖
• 180日間の最小保持期間の自動強制
• 特定の決定を再構築しログの完全性を検証するCLIツール
• 潜在的なロギングギャップを特定するカバレッジコマンド（編集よりも省略が実践上より大きなリスクとされています）

このライブラリは意図的にシンプルな設計になっています：TypeScriptベース、Vercel AI SDKミドルウェアを対象、S3またはローカルファイルシステムストレージをサポート、線形ハッシュ連鎖を使用。またMastraエージェントフレームワークとも連携し、メンテナーは統合拡張のためのPRを歓迎しています。

HNディスカッションで指摘されているように、このライブラリは改ざん防止ではなく改ざん検出ロギングを提供します。変更を検出しますが、ストレージアクセス権を持つ者による完全な連鎖再構築を防ぐものではありません。設計は、インフラ層でのS3オブジェクトロック（コンプライアンスモード）とアプリケーション層でのハッシュ連鎖検証による多層防御を前提としています。外部タイムスタンプ（OpenTimestampsやRFC 3161など）は、独立した時間的固定のためのオプション機能として追加可能です。

開発者の規制解釈によると、第12条は監視と再構築を可能にする「自動記録」を要求しており、現在のガイダンスでは改ざん防止ストレージを義務付けているわけではなく、信頼性が高く監査可能な記録のみを求めています。