{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
2023年6月、欧州連合(EU)欧州議会本会議で欧州における「AI法案」が採択されました。生成AIを含めた包括的なAIを対象とし、初の国際的なAI法案ともいえる本法案の枠組みを紹介するとともに、企業への影響と求められる対応について考察します。
はじめに(背景)
2023年6月14日、生成AIを含む包括的なAIの規制案である「AI法案」が、欧州議会の本会議において賛成多数で採択されました。今後理事会との調整を行い、早ければ年内の合意を目指すことになります。
欧州委員会は2年前にも規制案を発表していましたが、生成AIの急激な進化と普及を受け、生成AIに関する考え方や要求事項が追加で盛り込まれた形となっています。
本規制では、AIを特性別にカテゴライズし、そのリスクレベルに応じた規制が適用されることになります。他の欧州規制同様に、欧州市場に関係する日本企業をはじめ、域外企業が提供するAIも対象となり、違反時には全世界売上ベースでの制裁金が課されることになります。
施行は2024年以降となる見込みですが、すでにAIは私たちの生活に密接に組み込まれており、各企業は新たな規制環境見据えた活動に今から着手する必要があります。
規制の基本思想
欧州規制に共通する基本的思想として、欧州連合基本条約に沿うことが求められます。つまり、域内における人権や自由の確保が最優先であり、技術は人間中心であるべきという考えが重要となります。よって、AIから人間の自律性・自由は守られるべきであり、そのためにAIが倫理的に適用されることに対するセーフガードが必要である、という考えが「AI法案」の根底にあります。
具体的には「全てのAIシステムに適用される一般原則」に以下が記されています。
人間による営みと監視(human agency and oversight)
技術的な頑健性(technical robustness and safety)
プライバシーとデータガバナンス(privacy and data governance)
透明性(transparency)
多様性、無差別、公平性(diversity, non-discrimination and fairness)
社会と環境に対する健全性(social and environmental well-being)
上記は既存の各種AIガイドラインでも謳われていた概念と同様ですが、改めて本規制に一体的に盛り込まれた形となります。加えて、上記原則の達成にはAI開発者・利用者、製品の提供者・展開者のAIリテラシーが不可欠であるとも記されており、AIリテラシーを確保していく措置も不可欠であるという姿勢が明確に示されています。
規制の骨子
上記原則を念頭に置きつつ、法案の骨子を大きく3つの特徴である「リスクベースでのAI分類」「要求事項と義務」「イノベーション支援」に沿って概説します。
「リスクベースでのAI分類」
リスク度合いによりAIを4つのカテゴリに分類し、それに応じて禁止事項、要求事項や義務が定められています。順に解説します。
1)「許容できないリスク」
EUの価値観に反するとされ、活用が禁止されるAIです。
具体的には、潜在意識への操作(治療目的は対象外)や、社会的スコアリング、ネットやTVデータのスクレイピングによる顔認証データベース化などが挙げられています。
これらのユースケースでは、個人の権利・自由が侵害される恐れがあり、AI適用の対象として禁止されています。
なお草案から今回の採択案までにユースケースの表現が大きく修正されており、「AIに何をさせてはいけないか」という議論が活発に行われている実態が垣間見えます。
2)「ハイリスク」
主な規制対象となるAIであり、a)既存規制下の製品(医療機器、玩具、産業機器など:AnnexⅡで別記)と、b)当規制で定めるもの(AnnexⅢで別記)の2タイプがあります。
a)については、既存の規制で第三者による適合性評価が求められている製品そのものや、安全機能としてのAIが該当します。b)については生体認証、重要インフラ管理関連、教育・雇用関連などのユースケースでのAIが挙げられており、ユースケースの記述にリスクの観点を見ることができます。
例えば、企業の採用活動関連で「ターゲットを絞る求人広告の掲載、応募のスクリーニングやフィルタリング、面接や試験での候補者評価といった採用選考に用いることを意図されたAI(AnnexⅢの4)」はハイリスクAIに該当します。このことからは、雇用機会は平等であり、AIに制御されてはならないという思想が読み取れます。
3)「限定リスク」
人と自然に相互作用するAIや、感情推定や生体分類を行うAI、人物など現世界の実体に酷似させたコンテンツ(ディープフェイクコンテンツ)を生成するAIが例として挙げられています。これらには後述する透明性の義務が適用されますが、上述の「許容できないリスク」「ハイリスク」に該当するものは、当然そのカテゴリの扱いとなります。
4)「最小リスク」
上記のいずれにも該当しないAIはこの位置付けとなります。このカテゴリには特に明確な義務はありませんが、後述する行動規範を遵守することが奨励されています。
5)ファウンデーションモデル
近年の生成AIの急激な進化の背景となった技術でもあるファウンデーションモデルについては、上記4カテゴリと別で扱われている点が特徴的です。多用途に発展利用され得るファウンデーションモデルは、その汎用性ゆえ、ユースケースの観点からの分類は適切ではありません。
またFoundationモデル提供者のAIサプライチェーン上の立場が強く、モデルを用いた製品提供者だけの取り組みでは規制対応に限界あるという現実もあります。これらからFoundationモデルのAIリスクを法案上で明確化するとともに、モデル提供者とその利用についての要求事項・義務が当初草案から大きく追加されています(詳細については後述します)。
要求事項と義務
次に、リスク分類ごとの法案上の要求事項と義務について見ていきます。
「ハイリスク」
ハイリスクのAIシステムには「リスク管理システム」「データガバナンス」「技術文書、ログ管理」「透明性」「人による監視」「サイバーなどのセキュリティ」などの観点で定められた要求事項の遵守が求められています。また、市場に出す前にAIシステムをEU管理下のデータベースに登録しなければなりません。
上記はAIシステム自体への要求事項ですが、提供者に対しては上記を担保すべく、品質管理システムの整備が義務付けられています。別の規制下の製品(医療機器など)は既存の枠組みに基づいた評価、そうでない場合は適合性評価を行う必要があります。
この適合性評価はセルフアセスメントが認められていますが、生体認証に使用されるAIシステムは第三者機関によるアセスメントが必要になります。
ここで生体認証が特筆されている点に着目してみると、安心・安全のためにこの技術は有意義である一方で、その精度や仕組みによっては特定集団の差別、プライバシー侵害などへの懸念が背景にあることが分かります。特に顔認証については、法的執行を目的とした公的スペースでのリアルタイムな使用は原則禁止とし、商業施設・公共交通機関・学校などでの使用は事前許可を前提とされています(単に分類目的のものは低リスクとして扱われる見込み)。
「限定リスク」
ハイリスク以外のAIについては、透明性に係る義務が以下のように定められています。
人がAIと相互作用していることを知らせる方法で設計・開発すること
感情認識または生体分類AIシステム利用時には適用される相手に動作について通知すること
いわゆるディープフェイクコンテンツには人工生成であることを明確かつ視覚的に開示し、ラベル付けすること
また、前述した「全てのAIシステムに適用される一般原則」に沿った行動規範を作成し、自発的に遵守することを推奨しています。企業が自らのAI開発や利用に関する姿勢を対外的に示していく動きはますます広がっていくと考えられます。
「Foundationモデル」
ファウンデーションモデルも当法案の対象であることが明示されており、特有の要求事項が明記されています。具体的には以下のようになります。
基本思想(健康、安全、基本的権利など)に対するリスクを開発前、開発中からコントロールすることに努める
下流の開発者が法令遵守できるように技術文書を用意する
ハイリスクAIシステム同様に、データベース登録や透明性の義務を遵守する
モデルの生成・利用時の膨大なエネルギー消費を念頭においた要求事項に含まれており、環境リスクも他のリスクと同等に扱う姿勢が改めて見て取れます。
イノベーション支援
ここまで禁止事項や要求事項、義務について述べてきましたが、AI法案には、AIの開発・利用を活性化するイノベーション支援の観点も織り込まれている点が特徴的です。具体的には以下のサンドボックス環境と呼ばれるものになります。
この環境では、規制への準拠性検証も含めたAIテストを所管機関の監督・指導のもとで行うことを想定しています。プログラム開発の世界ではあまり例はありませんが、他の規制産業では市場導入前の公的な検証(例:医薬品開発における治験)が行われており、AIにおいてもこういったビジネススキームを念頭においた戦略立案が必要になるかもしれません。
ちなみに公益性が高い公共の安全、公衆衛生、環境保護などの領域では、一定条件のもとで、他目的にて収集された個人データの利用も考慮されています。
加えて、スタートアップや小規模提供者に対するサンドボックス環境への優先的アクセスや、これらの小規模プレイヤーの具体的ニーズを重視する方向性も示されています。
適用範囲と罰則
ここまで法案の枠組みを見てきましたが、対象となるAIや事業活動の範囲、法案に反した場合の罰則について概説します。
適用範囲
EU圏を対象に市場投入されるAIとその提供者、展開者が対象になります。また副次的ではあるものの、AI利用者の義務も当法案では触れられており、AIを取り巻くエコシステム全体で法案の目的達成が謳われています。
なお域外適用があり、EU圏の者にAIシステムまたはそのアウトプットを提供するAIおよびその提供者に対しても、当法案は適用されます。
ここでは、アウトプットのみの提供でも適用対象となる点に注意が必要です。つまりAIシステム自体は提供していなくても、EU圏に提供するアウトプットの生成過程でAIシステムを利用しているようなケースも適用対象となります。
AIサプライチェーンがますます複雑化する中で、自社製品とAIとの接点をサプライチェーン全体で把握・管理していくことが求められます。
罰則
違反や不遵守に対する制裁金は以下のように明記されています。
受容できないAIに関する禁止事項(第5条)への違反:4,000万ユーロまたは全世界売上高の7%の高い方
ハイリスクAIに関する要求事項(第10条、13条)への不遵守:2,000万ユーロまたは全世界売上高の4%の高い方
上記以外の要求事項・義務の不遵守:1,000万ユーロまたは全世界売上高の2%の高い方
当初法案では上記1)、2)の制裁金額は同じ(3,000万ユーロまた全世界売上高の6%の高い方)でしたが、直近の採択案では上記のように修正されています。
制裁に関する事項は今後議論が進むと思われますが、現時点でGDPRより大きい規模での制裁基準にはEUの姿勢を伺うことができると言えるでしょう。
開始時期
施行から1年未満のうちに市場に投入されるAIシステムは対象外となる見込みですが、欧州に拠点またはグローバルサービス展開している企業は、規制の影響評価や体制整備に向けた議論に早々に着手する必要があるでしょう。
まとめ
これまでさまざまな観点でAIの捉え方が議論され、ガイドラインも多く出されてきました。
今回の法案は、生成AIを含めた形で「人間とAIが共存していく社会のための枠組み」を包括的に示していると捉えることができます。
AI法案の狙いには欧州市場の保護という側面はもちろんありますが、地球規模で直面する社会課題を踏まえ、「人が技術にどうガバナンスをかけていくか」について、経営課題としての取り組みを今後本格化させることは避けられません。
当法案では技術的要求事項として、データガバナンス、プライバシーガバナンス、サイバーセキュリティが挙げられています。これを機に自社ガバナンスを再チェックし、断片的になりがちなそれぞれのガバナンスを統合することにもつながるでしょう。
単なる規制対応にとどめず、規制が見据える近い未来において求められるガバナンスを事業活動に組み込むことが、企業の競争力の差別化要素の1つになると考えられます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
