生成AIを巡る米欧中の規制動向最前線

過去5年間の潮流に見る海外AI規制の動き

2023-06-28

グローバル企業が生成AIを安全に業務で活用するためには、海外のAI動向を理解し、生成AIの社内ルールを作成する必要があります。欧州型、米国型の2つのタイプのルール形成の流れや今後の展開を読み解きます。

はじめに

生成AIサービスの急速な拡大により、AIサービスを提供する事業者に対し、既存の法規制の枠組みに基づくエンフォースメントや、アルゴリズムの透明性や説明責任を確保するための新たな法規制の策定などが進んでいます。グローバル企業が生成AIを安全に業務で活用するためには、海外のAI動向を理解し、生成AIの社内ルールを作成する必要があります。

PwCが「Responsible AI（責任あるAI）の構築に向けて：AIガバナンスの取り組み^¹」で取り上げたように、AI規制については、

1. 人間中心、持続可能性、倫理などに関する「原理原則」
2. AIのサービス内容などに関して、法律やガイドラインの形で具体的な規定を提示する「中間的ルール」
3. 各事業者が提供するサービスについて自ら定める「企業ルール」

の3つの枠組みで大きくとらえることができます。

過去5年間の潮流を振り返ると、他に先んじる形で欧州がAIに関する原理原則を発出し、その後、具体性を伴うAI規則案が提示されています。米国でも、まずAI原則を示す大統領令が発令され、その後、連邦取引委員会（FTC）をはじめとする各機関がさまざまなガイドラインの策定を進めています。

本レポートでは、ハードロー策定による規制を進める「欧州型」、ソフトロー（AI規制に係るガイダンスなど）によるガバナンスおよび既存法によるエンフォースメントで対応を進める「米国型」の2つのタイプについて、そのルール形成の流れや今後の展開を読み取きます。

ホットトピックとなる欧州のAI法規制動向

AIに関する欧州の規制方針の根幹にあるのは、欧州プライバシー規制における問題意識と同様のものとしてとらえることができます。欧州は2018年の「AI指針（Artificial Intelligence for Europe）^²」で示されたように、AI開発における遅れを自認しており、他国に域内の情報を自由に使われることを強く懸念していると考えられます。このことから欧州のデータ保護法など、関連する法規制とも足並みを揃えながら、AI分野において欧州の地域経済圏を保持したいとの意図を持っていることが伺えます。

AI分野においても、プライバシー保護規制と同様に、各国・地域で相互に認証を図ることが必要となります。この点、AIに関する国際連携のためのマルチステークホルダーで構成される団体である「GPAI」（Global Partnership on AI）^³ における取り組みが進んでおり、OECDの「人間中心」「公平性」「透明性・説明責任」を掲げたAI基本原則（2019年6月に採択）についてのコミットメントを共有しています。日本も2022年にGPAIサミットの議長国となるなど積極的に関わっていますが、発足時より欧州が主導的な役割を果たしています。

近年のエンフォースメントの動きとしては、欧州のある国の個人情報保護当局が、EU一般データ保護規則（GDPR）違反の疑いがあるとして生成AIの使用を一時差し止める措置をとりました。この措置は程なくして解除されましたが、個人情報保護法やその他の既存の法規制の枠組みを活用して、AIの規制措置を強化する流れがあります。最近の注目される動きとしては、欧州の「Digital Services Act」（以下、「デジタルサービス法」）⁴ に基づき、アルゴリズムの機能がデジタルサービス法のリスク管理義務に合致しているかどうかを評価するための新組織である「European Centre for Algorithmic Transparency」（以下、「ECAT」）⁵が2023年4月に発足しました。また、欧州発のAIに特化した包括的な法規制となるAI規則案については、欧州委員会による提案に基づき、欧州議会による修正案についても近く合意が見込まれるなど、動きが加速しています。報道によれば、サービス提供企業に対し、AIの判断理由や倫理基準の説明を求めるとともに、AI作成の文章に“メード・ウィズAI”を付ける案が検討されています⁶。

米国発の標準主導を推進し、エンフォースメントに取り組む米国

米国におけるAIの原理原則に関するルール策定の動きとしては、2019年2月にAIに関する「大統領令（Executive Order 13859, Maintaining American Leadership in Artificial Intelligence）」^⁷が発令されました。さらに、バイデン政権は2022年10月、「AIに係る権利の章典」の草案^⁸を発表し、「安全で効果的なシステム」「アルゴリズム由来の差別からの保護」「データのプライバシー」「ユーザーへの通知と説明」「人による代替手段、配慮、フォールバック」という5つの原則を提示しました。「AIに関わる権利の章典」は現段階で法的拘束力を伴うものではなく、主として巨大なテクノロジー企業に対し、AIに関する透明性と説明責任を求める意図を持ったものであると考えられています。

原理原則の策定が進む中、法律やガイドラインの執行（エンフォースメント）につながる具体的なルールの策定も進んでおり、米国は主としてAIに関するガイドラインの策定や標準の推進を中心とする、ソフトロー型の動きを見せています。いくつかの例を挙げると、FTCは2020年4月に「ビジネス向けのAIアルゴリズム利用に係るガイダンス（Using Artificial Intelligence and Algorithms）」⁹、2021年4月にはその更新版である「Aiming for truth, fairness, and equity in your company’s use of AI」¹⁰をそれぞれ発表しました。FTCのガイドラインには特に目新しい指摘はないのですが、人種差別などのバイアスがかかったアルゴリズムの販売が、不公正または欺瞞的な商取引を禁じるFTC5条の対象になり得ることなどが述べられています。また最近ではデジタルに関する非営利団体が生成AIの商用リリースの中止をFTCに申し立てるといった形で、団体の活動の影響力を示そうとする動きがありました。

このように、欧州同様に米国でも、既存の法律の枠組みを使うことで、AIサービスのリスクに対処し、問題がある場合に摘発を進める動きがあります。

ルール策定に関しては、米国は欧州のハードロー型の規制ではなく、リスクベースアプローチに基づいたリスク分類に応じた実務的な対応と、非規制団体のガイダンス、すなわちソフトローによる規制への誘導という戦略をとっていると考えられます。具体的には、米国国立標準技術研究所（NIST）が2023年1月に「AIリスクマネジメント枠組み（Artificial Intelligence Risk Management Framework）」を発表しており、米国の戦略としては、こうした米国発の標準にAIに関する規制の枠組みを寄せていくことで、グローバルでの主導権をとっていきたいという考えがあると考えられます。

今後どのようにルール形成や事業者対応が進むのか

欧州では、前述のデジタルサービス法に基づき、2023年4月23日に、4,500万以上のユーザー数を有する超巨大オンラインプラットフォーム（VLOPsおよびVLOSEs）として、大手事業者の19のサービスが指定されました。これら指定サービスを提供する事業者に課せられた義務として、

1. ユーザーへの明確な情報提供などを通じユーザーに選択を与えること
2. 未成年者の保護
3. 違法コンテンツ・偽情報対策
4. さらなる透明性と説明責任

などが要求されています。さらに、対応の状況について、半年ごとに透明性レポートを公開することが定められています。デジタルサービス法は、違法コンテンツ監視などに関する法律として知られていますが、アルゴリズムに関する透明性や説明責任についての要件が規定されており、AI分野においても、AI規則案などを補完する、あるいは同期をとりながら適用が進むことも予想されます。そのため、欧州の動向によるAI分野でのルール形成への影響が引き続き注目されます。

デジタルサービス法にみられるような法的強制力を伴う形での透明性レポートの要求は、グローバルでもまだ始まった段階です。現時点で各社が公表しているポリシーを見る限り、特に生成AIのアルゴリズムに特化した形で透明性を保証し、確約と具体性を伴った対策内容の情報量はそれほど多くはありません。これは、大規模言語モデルなどの新たな技術を基盤とする生成AIサービスのモデルが、他の種類のAIサービスのモデルよりも相当に複雑であることが一因であると考えられます。

一方で主要事業者はAI原則やデータ保護方針を定め、それを公表する動きを急加速させています。

主要事業者の取り組みの例

主要事業者	透明性／説明責任についての取り組み
OpenAI	「Our approach to AI safety^¹¹」でAI原則を公開。また、「APIデータポリシー^¹²」で安全策を提示
Microsoft	「責任あるAI原則^¹³」を公開。各製品/サービス規約などでも透明性に関する記載
Google	「Google AI原則^¹⁴」において、社会的に有益であることや不当なバイアスを排除する、などのAI原則を提示

このように、世界でAIに関するルール形成や各社の対応が進む中、日本は「AIのサービスに関する透明性や説明責任をどう確保していくか」「国際的なルールとどのように同期をとっていくか」「どのようにAIを活用していくべきか」という観点で政策上の判断が迫られているという、重要な時期を迎えています。

また、利用者の観点からは、AI関連のサービスを提供する事業者が透明性を担保し、説明責任を果たすためにどのような取り組みを行っているのかをしっかり理解した上で、それらのサービスを利用することが求められます。

企業がAIを事業で活用するにあたっては、それが効率性や利便性を高める一方で、使い方によっては個人情報漏洩や、営業秘密漏洩などの法的リスクを伴うものであることを認識する必要があります。そのようなリスクを回避するためには、欧州、米国、中国などの海外AI動向を理解し、自社が事業展開している国・地域で求められる基準を満たす社内ルールを策定することが不可欠です。

^¹ PwC, 2022,「Responsible AI（責任あるAI）の構築に向けて：AIガバナンスの取り組み」, 2023/5/18閲覧,
https://www.pwc.com/jp/ja/knowledge/column/dataanalytics/responsible-ai.html

^² 欧州委員会（EU）, 2018,「Artificial Intelligence for Europe」, 2023/3/14閲覧,
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2018:237:FIN

^³ OECD, 2019,「The Global Partnership on AI」, 2023/5/18閲覧,
https://oecd.ai/en/gpai

^⁴ 欧州委員会（EU）, 2019,「The Digital Services Act」, 2023/5/18閲覧, https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_en

^⁵ 欧州委員会（EU）, 2023,「European Center for Algorithmic Transparency」, 2023/5/18閲覧,
https://algorithmic-transparency.ec.europa.eu/index_en

^⁶ 日本経済新聞, 2023/4/25, 独自取材記事「EU、生成AIに統一規制論」, 2023/5/18閲覧, https://www.nikkei.com/article/DGXZQOGR234M20T20C23A4000000/

^⁷ 米国ナショナル・アーカイブ, 2019,「Executive Order 13859」,2023/5/18閲覧,
https://www.federalregister.gov/documents/2019/02/14/201902544/maintaining-american-leadership-in-artificial-intelligence

^⁸ 米国ホワイトハウス, 2022,「Blueprint For An AI Bill Of Rights」,2023/5/18閲覧,
https://www.whitehouse.gov/ostp/ai-bill-of-rights/

^⁹ 米国FTC, 2020,「Using Artificial Intelligence and Algorithms」,2023/5/18閲覧, https://www.ftc.gov/business-guidance/blog/2020/04/using-artificial-intelligence-and-algorithms

^¹⁰ 米国FTC, 2021,「Aiming for truth, fairness, and equity in your company’s use of AI」, 2023/5/18閲覧,
https://www.ftc.gov/business-guidance/blog/2021/04/aiming-truth-fairness-equity-your-companys-use-ai

^¹¹ OpenAI, 2023,「Our approach to AI safety」,2023/5/18閲覧,
https://openai.com/blog/our-approach-to-ai-safety

^¹² OpneAI, 2023,「API data usage policies」,2023/5/18閲覧,
https://openai.com/policies/api-data-usage-policies

^¹³ Microsoft, 2023,「Microsoft Responsible AI Principles」,2023/4/14閲覧, https://www.microsoft.com/en-us/ai/our-approach?activetab=pivot1:primaryr5

^¹⁴ Google, 2018,「GoogleとAI：私たちの基本理念」,2023/4/14閲覧, https://japan.googleblog.com/2018/06/ai-principles.html

主要メンバー

上杉謙二

ディレクター, PwCコンサルティング合同会社

生成AIを巡る米欧中の規制動向最前線

10 results

2024-09-09

「欧州（EU）AI規制法」の解説―概要と適用タイムライン・企業に求められる対応

2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州（EU）AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。

2024-01-23

米国における「人工知能の安全・安心・信頼できる開発と利用に関する大統領令」の解説

2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」（人工知能の安全・安心・信頼できる開発と利用に関する大統領令）について解説します。