欧州「AI法案」の解説

規制の骨子

上記原則を念頭に置きつつ、法案の骨子を大きく3つの特徴である「リスクベースでのAI分類」「要求事項と義務」「イノベーション支援」に沿って概説します。

「リスクベースでのAI分類」

リスク度合いによりAIを4つのカテゴリに分類し、それに応じて禁止事項、要求事項や義務が定められています。順に解説します。

1）「許容できないリスク」

EUの価値観に反するとされ、活用が禁止されるAIです。

具体的には、潜在意識への操作（治療目的は対象外）や、社会的スコアリング、ネットやTVデータのスクレイピングによる顔認証データベース化などが挙げられています。

これらのユースケースでは、個人の権利・自由が侵害される恐れがあり、AI適用の対象として禁止されています。

なお草案から今回の採択案までにユースケースの表現が大きく修正されており、「AIに何をさせてはいけないか」という議論が活発に行われている実態が垣間見えます。

2）「ハイリスク」

主な規制対象となるAIであり、a）既存規制下の製品（医療機器、玩具、産業機器など：AnnexⅡで別記）と、b）当規制で定めるもの（AnnexⅢで別記）の2タイプがあります。

a）については、既存の規制で第三者による適合性評価が求められている製品そのものや、安全機能としてのAIが該当します。b）については生体認証、重要インフラ管理関連、教育・雇用関連などのユースケースでのAIが挙げられており、ユースケースの記述にリスクの観点を見ることができます。

例えば、企業の採用活動関連で「ターゲットを絞る求人広告の掲載、応募のスクリーニングやフィルタリング、面接や試験での候補者評価といった採用選考に用いることを意図されたAI（AnnexⅢの4）」はハイリスクAIに該当します。このことからは、雇用機会は平等であり、AIに制御されてはならないという思想が読み取れます。

3）「限定リスク」

人と自然に相互作用するAIや、感情推定や生体分類を行うAI、人物など現世界の実体に酷似させたコンテンツ（ディープフェイクコンテンツ）を生成するAIが例として挙げられています。これらには後述する透明性の義務が適用されますが、上述の「許容できないリスク」「ハイリスク」に該当するものは、当然そのカテゴリの扱いとなります。

4）「最小リスク」

上記のいずれにも該当しないAIはこの位置付けとなります。このカテゴリには特に明確な義務はありませんが、後述する行動規範を遵守することが奨励されています。

5）ファウンデーションモデル

近年の生成AIの急激な進化の背景となった技術でもあるファウンデーションモデルについては、上記4カテゴリと別で扱われている点が特徴的です。多用途に発展利用され得るファウンデーションモデルは、その汎用性ゆえ、ユースケースの観点からの分類は適切ではありません。

またFoundationモデル提供者のAIサプライチェーン上の立場が強く、モデルを用いた製品提供者だけの取り組みでは規制対応に限界あるという現実もあります。これらからFoundationモデルのAIリスクを法案上で明確化するとともに、モデル提供者とその利用についての要求事項・義務が当初草案から大きく追加されています（詳細については後述します）。

要求事項と義務

次に、リスク分類ごとの法案上の要求事項と義務について見ていきます。

「ハイリスク」

ハイリスクのAIシステムには「リスク管理システム」「データガバナンス」「技術文書、ログ管理」「透明性」「人による監視」「サイバーなどのセキュリティ」などの観点で定められた要求事項の遵守が求められています。また、市場に出す前にAIシステムをEU管理下のデータベースに登録しなければなりません。

上記はAIシステム自体への要求事項ですが、提供者に対しては上記を担保すべく、品質管理システムの整備が義務付けられています。別の規制下の製品（医療機器など）は既存の枠組みに基づいた評価、そうでない場合は適合性評価を行う必要があります。

この適合性評価はセルフアセスメントが認められていますが、生体認証に使用されるAIシステムは第三者機関によるアセスメントが必要になります。

ここで生体認証が特筆されている点に着目してみると、安心・安全のためにこの技術は有意義である一方で、その精度や仕組みによっては特定集団の差別、プライバシー侵害などへの懸念が背景にあることが分かります。特に顔認証については、法的執行を目的とした公的スペースでのリアルタイムな使用は原則禁止とし、商業施設・公共交通機関・学校などでの使用は事前許可を前提とされています（単に分類目的のものは低リスクとして扱われる見込み）。

「限定リスク」

ハイリスク以外のAIについては、透明性に係る義務が以下のように定められています。

• 人がAIと相互作用していることを知らせる方法で設計・開発すること

• 感情認識または生体分類AIシステム利用時には適用される相手に動作について通知すること

• いわゆるディープフェイクコンテンツには人工生成であることを明確かつ視覚的に開示し、ラベル付けすること

また、前述した「全てのAIシステムに適用される一般原則」に沿った行動規範を作成し、自発的に遵守することを推奨しています。企業が自らのAI開発や利用に関する姿勢を対外的に示していく動きはますます広がっていくと考えられます。

「Foundationモデル」

ファウンデーションモデルも当法案の対象であることが明示されており、特有の要求事項が明記されています。具体的には以下のようになります。

• 基本思想（健康、安全、基本的権利など）に対するリスクを開発前、開発中からコントロールすることに努める

• 下流の開発者が法令遵守できるように技術文書を用意する

• ハイリスクAIシステム同様に、データベース登録や透明性の義務を遵守する

モデルの生成・利用時の膨大なエネルギー消費を念頭においた要求事項に含まれており、環境リスクも他のリスクと同等に扱う姿勢が改めて見て取れます。

イノベーション支援

ここまで禁止事項や要求事項、義務について述べてきましたが、AI法案には、AIの開発・利用を活性化するイノベーション支援の観点も織り込まれている点が特徴的です。具体的には以下のサンドボックス環境と呼ばれるものになります。

この環境では、規制への準拠性検証も含めたAIテストを所管機関の監督・指導のもとで行うことを想定しています。プログラム開発の世界ではあまり例はありませんが、他の規制産業では市場導入前の公的な検証（例：医薬品開発における治験）が行われており、AIにおいてもこういったビジネススキームを念頭においた戦略立案が必要になるかもしれません。

ちなみに公益性が高い公共の安全、公衆衛生、環境保護などの領域では、一定条件のもとで、他目的にて収集された個人データの利用も考慮されています。

加えて、スタートアップや小規模提供者に対するサンドボックス環境への優先的アクセスや、これらの小規模プレイヤーの具体的ニーズを重視する方向性も示されています。

まとめ

これまでさまざまな観点でAIの捉え方が議論され、ガイドラインも多く出されてきました。

今回の法案は、生成AIを含めた形で「人間とAIが共存していく社会のための枠組み」を包括的に示していると捉えることができます。

AI法案の狙いには欧州市場の保護という側面はもちろんありますが、地球規模で直面する社会課題を踏まえ、「人が技術にどうガバナンスをかけていくか」について、経営課題としての取り組みを今後本格化させることは避けられません。

当法案では技術的要求事項として、データガバナンス、プライバシーガバナンス、サイバーセキュリティが挙げられています。これを機に自社ガバナンスを再チェックし、断片的になりがちなそれぞれのガバナンスを統合することにもつながるでしょう。

単なる規制対応にとどめず、規制が見据える近い未来において求められるガバナンスを事業活動に組み込むことが、企業の競争力の差別化要素の1つになると考えられます。