
「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
米国商務省の国立標準技術研究所(NIST)は2023年1月、AI技術のリスク管理のためのガイダンスである「AIリスクマネジメントフレームワーク」(AI RMF)を発表しました。日本の組織にとって非常に有益なドキュメントであるAI RMFについて解説します。
米国政府は、AI規制についてソフトローによるガバナンスやエンフォースメントで対応を進めています。つまり、EUのハードローによる厳格な法規制とは異なり、ガイドラインなどによる緩やかな規制への誘導という戦略をとっています。
こうした考え方の下、米国商務省の国立標準技術研究所(NIST)は2023年1月、人工知能(AI)技術のリスク管理のためのガイダンスである「AIリスクマネジメントフレームワーク」(以下、「AI RMF」)1を発表しました。AI RMFは以下の点において、日本の組織にとっても非常に有益なドキュメントであると言えます。
AI RMFは、AIに関連するリスクを効果的に管理するためにNISTによって開発されたものであり、民間企業や公共機関との協力によって成り立っています。フレームワーク作成のプロセスでは、草案に対するパブリックコメントやワークショップなどが行われ、約1年半の時間をかけて合意形成されました。
AI RMFは2部構成であり、前半では「AIに関わるリスクの考え方」や「信頼できるAIシステムの特徴」、後半では「AIシステムのリスクに対処するための実務」が説明されています。主な読者対象は、AIシステムの設計、開発、展開、評価、利用を行う者であり、AIのライフサイクル全体にわたってリスク管理の取り組みを推進するAI関係者(AIアクター)です。
図表1に示したAIライフサイクル活動は、OECDのAIシステム分類フレームワークを基にしており、内側の円は主要なディメンション、外側の円はAIライフサイクルの段階をそれぞれ表しています。理想的には、組織は「Application Context(アプリケーションコンテキスト)」から着手し、「Data and Input(データと入力)」「AI Model(AIモデル)」「Tasks and output(タスクとアウトプット)」の流れでリスク管理することが推奨されています。また、それぞれの段階では、プロダクトマネージャー、AI設計者、テスト評価(TEVV)担当、コンプライアンス担当など、組織の異なるAIアクターが関与する必要があるとしています。
AI RMFは、一般的なシステムリスクとは異なり、「AIによってもたらされるリスクには独特な点がある」と指摘しています。例えば、「教師データによって予期しない結果が出力される」「不具合が発生した場合に検知や対応が困難である」「社会や人間の行動への影響が大きい」といったことが挙げられています。これらのリスクに対して、NISTは「AI RMFを活用することで、AIリスクを管理するプロセスを強化でき、社会への影響を組織が認識できるといった効果が期待できる」としています。
AI RMFでは、AIの信頼性を向上させるアプローチとして、AIに関する負の要素(リスク)を軽減することを推奨しており、7つのリスクで構成される「信頼できるAIシステムの特徴」(図表2)を整理しています。これらの状態が確保できていることで、はじめて「信頼できるAIシステム」であると言えます。
NISTサイバーセキュリティフレームワーク(CSF)と同じように、AI RMFには「コア」という概念が存在します。AI RMFコアでは、取るべき対応策を「統治(Govern)」「マップ(Map)」「測定(Measure)」「管理(Manage)」の4つに分類しています(図表3、4)。
組織内でAI RMFを利用するシーンとして、自組織のAIリスク管理の成熟度をアセスメント(評価)する際のフレームワークとしての活用が考えられます。AI RMFコアには、それぞれカテゴリーとサブカテゴリーが明記されており、各要件を満たしているのか評価することが可能です。また、一次的なアセスメントだけではなく、AIシステムのライフサイクルの各段階を通じて、継続的にリスク管理を行う際にも活用が可能です。
例えば、Govern 1.1の要件については、「NIST AI RMF Playbook」3を参照することで、詳細な要求事項が分かります。図表5のとおり、Govern1.1では、AIに関する法規制を把握し、対応状況を文書化することが求められています。このようなサブカテゴリーは全部で72個あり(2023年5月1日時点)、それぞれの対応状況を把握することで、不足しているリスク管理項目を明確にすることが可能になります。
NISTの「AIリスクマネジメントフレームワーク」(AI RMF)は、一般的なAIのリスク管理手法に関するフレームワークであり、生成AIに関しても組織の成熟度を把握する上で有益です。また、NISTサイバーセキュリティフレームワーク(CSF)と類似した概念に基づくため、既存のセキュリティ管理業務と整合性を合わせやすいことが特徴です。
特に米国政府や企業とAIに関連するビジネスを行う企業にとっては、重要なフレームワークと言えるため、AIリスク管理に活用することが推奨されます。
1 NIST, 2023, AI RISK MANAGEMENT FRAMEWORK, 2023/5/1閲覧,
https://www.nist.gov/itl/ai-risk-management-framework
2 NIST, 2018, Cybersecurity Framework Version 1.1, 2023/5/1閲覧,
https://www.nist.gov/cyberframework
3 NIST 2023, AI RMF Playbook, 2023/5/1閲覧,
https://airc.nist.gov/AI_RMF_Knowledge_Base/Playbook
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
グローバルにビジネス展開をしている国内上場会社を中心とした日系多国籍企業を対象に、税務ガバナンスに関する調査を実施し、それをもとにレポートとしてまとめました。
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
PwCが世界77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施した調査結果をもとに、本レポートではセキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
PwC独自のインシデントデータベースをもとに国内組織のインシデント公表事例を分析し、傾向および組織への推奨事項をまとめました。前年調査よりも「今後の対応」を記載する組織が大幅に増え、政府ガイダンスの記載項目に即したインシデント公表の広がりが明らかになりました。