
「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
米国商務省の国立標準技術研究所(NIST)は2023年1月、AI技術のリスク管理のためのガイダンスである「AIリスクマネジメントフレームワーク」(AI RMF)を発表しました。日本の組織にとって非常に有益なドキュメントであるAI RMFについて解説します。
米国政府は、AI規制についてソフトローによるガバナンスやエンフォースメントで対応を進めています。つまり、EUのハードローによる厳格な法規制とは異なり、ガイドラインなどによる緩やかな規制への誘導という戦略をとっています。
こうした考え方の下、米国商務省の国立標準技術研究所(NIST)は2023年1月、人工知能(AI)技術のリスク管理のためのガイダンスである「AIリスクマネジメントフレームワーク」(以下、「AI RMF」)1を発表しました。AI RMFは以下の点において、日本の組織にとっても非常に有益なドキュメントであると言えます。
AI RMFは、AIに関連するリスクを効果的に管理するためにNISTによって開発されたものであり、民間企業や公共機関との協力によって成り立っています。フレームワーク作成のプロセスでは、草案に対するパブリックコメントやワークショップなどが行われ、約1年半の時間をかけて合意形成されました。
AI RMFは2部構成であり、前半では「AIに関わるリスクの考え方」や「信頼できるAIシステムの特徴」、後半では「AIシステムのリスクに対処するための実務」が説明されています。主な読者対象は、AIシステムの設計、開発、展開、評価、利用を行う者であり、AIのライフサイクル全体にわたってリスク管理の取り組みを推進するAI関係者(AIアクター)です。
図表1に示したAIライフサイクル活動は、OECDのAIシステム分類フレームワークを基にしており、内側の円は主要なディメンション、外側の円はAIライフサイクルの段階をそれぞれ表しています。理想的には、組織は「Application Context(アプリケーションコンテキスト)」から着手し、「Data and Input(データと入力)」「AI Model(AIモデル)」「Tasks and output(タスクとアウトプット)」の流れでリスク管理することが推奨されています。また、それぞれの段階では、プロダクトマネージャー、AI設計者、テスト評価(TEVV)担当、コンプライアンス担当など、組織の異なるAIアクターが関与する必要があるとしています。
AI RMFは、一般的なシステムリスクとは異なり、「AIによってもたらされるリスクには独特な点がある」と指摘しています。例えば、「教師データによって予期しない結果が出力される」「不具合が発生した場合に検知や対応が困難である」「社会や人間の行動への影響が大きい」といったことが挙げられています。これらのリスクに対して、NISTは「AI RMFを活用することで、AIリスクを管理するプロセスを強化でき、社会への影響を組織が認識できるといった効果が期待できる」としています。
AI RMFでは、AIの信頼性を向上させるアプローチとして、AIに関する負の要素(リスク)を軽減することを推奨しており、7つのリスクで構成される「信頼できるAIシステムの特徴」(図表2)を整理しています。これらの状態が確保できていることで、はじめて「信頼できるAIシステム」であると言えます。
NISTサイバーセキュリティフレームワーク(CSF)と同じように、AI RMFには「コア」という概念が存在します。AI RMFコアでは、取るべき対応策を「統治(Govern)」「マップ(Map)」「測定(Measure)」「管理(Manage)」の4つに分類しています(図表3、4)。
組織内でAI RMFを利用するシーンとして、自組織のAIリスク管理の成熟度をアセスメント(評価)する際のフレームワークとしての活用が考えられます。AI RMFコアには、それぞれカテゴリーとサブカテゴリーが明記されており、各要件を満たしているのか評価することが可能です。また、一次的なアセスメントだけではなく、AIシステムのライフサイクルの各段階を通じて、継続的にリスク管理を行う際にも活用が可能です。
例えば、Govern 1.1の要件については、「NIST AI RMF Playbook」3を参照することで、詳細な要求事項が分かります。図表5のとおり、Govern1.1では、AIに関する法規制を把握し、対応状況を文書化することが求められています。このようなサブカテゴリーは全部で72個あり(2023年5月1日時点)、それぞれの対応状況を把握することで、不足しているリスク管理項目を明確にすることが可能になります。
NISTの「AIリスクマネジメントフレームワーク」(AI RMF)は、一般的なAIのリスク管理手法に関するフレームワークであり、生成AIに関しても組織の成熟度を把握する上で有益です。また、NISTサイバーセキュリティフレームワーク(CSF)と類似した概念に基づくため、既存のセキュリティ管理業務と整合性を合わせやすいことが特徴です。
特に米国政府や企業とAIに関連するビジネスを行う企業にとっては、重要なフレームワークと言えるため、AIリスク管理に活用することが推奨されます。
1 NIST, 2023, AI RISK MANAGEMENT FRAMEWORK, 2023/5/1閲覧,
https://www.nist.gov/itl/ai-risk-management-framework
2 NIST, 2018, Cybersecurity Framework Version 1.1, 2023/5/1閲覧,
https://www.nist.gov/cyberframework
3 NIST 2023, AI RMF Playbook, 2023/5/1閲覧,
https://airc.nist.gov/AI_RMF_Knowledge_Base/Playbook
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
グローバルにビジネス展開をしている国内上場会社を中心とした日系多国籍企業を対象に、税務ガバナンスに関する調査を実施し、それをもとにレポートとしてまとめました。
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。