「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
はじめに
人工知能(AI)がもたらすメリットを把握し、そのリスクを管理することを目的として、米国のバイデン政権は2023年10月30日に「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」1(人工知能の安全・安心・信頼できる開発と利用に関する大統領令、以下「EO」)を公表しました。EOは複数のセクションにわたり、連邦政府機関と民間企業を含むさまざまなセクターをカバーしています(図表1)。EOは2019年の大統領令「人工知能における米国のリーダーシップの維持」2や2022年の「AI権利章典」3に見られる、産業の発展に主軸を置いたソフトローアプローチを踏襲しています。
図表1:EOの主な内容
| セクション名 | 主な内容 |
| AI技術の安全・安心の確保 |
|
| イノベーションと競争力強化 |
|
| 労働者支援 |
|
| 公平と公民権推進 |
|
| 消費者、患者、交通機関利用者、学生の保護 |
|
| プライバシー保護 |
|
| 連邦政府のAI活用推進 |
|
| 米国の国際的リーダーシップ推進 |
|
| 導入推進 |
|
AI技術の安全・安心の確保(Ensuring the Safety and Security of AI Technology)
- 基盤モデルなど最も強力なAIシステムの開発者に対してレッドチーム結果などを連邦政府と共有することを義務付け
- AIシステムの安全性、セキュリティなどを確保する標準を制定
- 新しい基準を開発し、AIを使用して危険な生物学的物質を製造するリスクから保護
- AIのアウトプットに関する認証基準とベストプラクティスを確立し、詐欺などから保護
- 脆弱性を発見、修正するAIツールを開発し、サイバーセキュリティの向上を促進
- AIと安全保障に関する文書を作成し、情報機関などのAIの倫理的使用を保障
EOはNIST(国立標準技術研究所)に対してAIの安全性とセキュリティに関するガイドライン、基準、ベストプラクティスの発行を要求しています。また、AIの安全性と信頼性を確保するため、軍民両用(デュアルユース)基盤モデルを開発する企業や、大規模なコンピューティングクラスタを所有する企業に対して報告を求めています。さらに、外国の悪意のあるサイバー攻撃者による米国のIaaS製品の使用に対処するため、外国ユーザーのアカウント開設時の報告などについて追加規制の提案を要求しています。
重要インフラに対するAIサイバーセキュリティリスクを低減するため、各連邦政府機関にはAIのリスク評価が求められています。また、金融機関のAI特有のサイバーセキュリティリスクを管理するためのベストプラクティスの発行と、AIリスクマネジメントフレームワーク(AI RMF)4の適用、AI安全保障委員会の設立を要求しています。さらにCBRN(化学、生物、放射線、核)リスクを伴うAIの悪用の可能性を評価し、軽減するため、核酸合成産業におけるバイオセキュリティ対策を要求しています。
EOは、AIが生成した合成コンテンツの識別とラベリング能力向上を図り、既存の基準、ツール、方法を特定し、さらなる基準と技術の開発を検討するための調査を要求しています。また、ガイダンスを発行し、連邦調達規制をこのガイダンスを反映するように改正することを要求しています。加えて、軍民両用基盤モデルのリスクとメリットを評価するための公的な意見を求めること、連邦政府のデータの漏洩および悪意のある使用の防止に関する報告書の作成を要求しています。
イノベーションと競争力強化(Promoting Innovation and Competition)
- 「National AI Research Resource」を始動し、米国のAI研究を促進
- 小規模なAI開発者、起業家などに技術的支援
- ビザ手続きを合理化し、専門知識のある人材を積極的に受け入れる
EOはAIや他の重要な新興技術の分野の人材を米国に引き付け、保持するため、ビザの申請と審査の手続きの負荷を軽減することを検討し、AIや他の重要な新興技術の専門家を対象とした移民経路の明確化など、政策の見直しを要求しています。
また、官民の協力強化、高性能コンピューティングへの支援、AIと特許関連問題の明確化、AI関連の知財リスクへの対策、患者と医療従事者の福祉促進、退役軍人の医療の質の改善、米国の気候変動レジリエンス強化など、連邦政府機関による複数の対策を要求しています。
労働者支援(Supporting Workers)
- AIによる労働者への不利益を軽減し、労働者の利益最大化を図る
- 労働市場に対するAIの影響を評価し、連邦政府の支援を強化
EOは、労働者を支援し、AIの労働市場への影響についての理解を深めるため、AIの労働市場への影響についての報告書と、AIや他の技術によるディスラプションのために職を失った労働者を支援するための報告書の提出を要求しています。また、雇用主がAIが従業員の福祉に及ぼし得る負の影響を軽減し、その潜在的なメリットを最大化するために使用できる原則とベストプラクティスを特定、公表することを要求しています。
公平と公民権推進(Advancing Equity and Civil Rights)
- 経営者や連邦政府機関に対しAIによる差別を防止するためのガイダンスを提供
- アルゴリズムによる差別などに対する司法対策
- 刑事司法制度全体の公平性の確保
EOは、公民権強化、公正で公平な司法制度の確保のための対策に関する報告書とベストプラクティスの提出を要求しています。また、採用におけるAIに起因する不法な差別、住宅へのアクセスに関する決定を行う自動化システムやアルゴリズムツールの使用、障害者がAIの便益を享受できるようにするための方策について、連邦政府機関にガイダンスを発行することを要求しています。
消費者、患者、交通機関利用者、学生の保護(Protecting Consumers, Patients, Passengers, and Students)
- 医療・福祉領域における責任あるAIの使用を促進
- AIを活用した教育ツールなどによる教育者の支援
EOは、独立した規制機関にあらゆる権限を活用して消費者を詐欺、差別、プライバシー侵害やAIの使用に伴うその他のリスクから保護するよう検討することを要求しています。ヘルスケア、公衆衛生、対人サービス部門、交通部門、教育部門での責任あるAI開発と展開を確保するための取り組みが求められています。連邦通信委員会には、AIが通信ネットワークと消費者に与える影響に関連する対策を検討することを要求しています。
プライバシー保護(Protecting Privacy)
- プライバシーを保護しながらAI技術の開発を促進
- 暗号化ツールなどプライバシー保護技術を促進
- 連邦政府によるデータ収集とプライバシー評価のためのガイダンスを策定
- AIを含む、プライバシー保護技術を評価するガイダンスを策定
AIによるプライバシーリスクを軽減するため、プライバシーと機密性に関するリスクを伴う商用利用可能な情報についてのガイダンスの策定を要求しています。また、AIに対する差分プライバシー保証の効果を評価するガイドライン作成と、プライバシー強化技術(PETs)の研究、開発、実装の推進を要求しています。
連邦政府のAI活用推進(Advancing Federal Government Use of AI)
- 各省庁にAIの調達、配備についてガイダンスを提供
- 契約の迅速化などによりAI製品やサービスの効率的な取得を支援
- AI人材の迅速な獲得を促進し、各省庁職員にAIトレーニングを提供
各連邦政府機関ではAI担当者(「Chief Artificial Intelligence Officer」)の役職を設置の上、生成AIの活用をブロックではなく、リスクベースアプローチが要求しています。
また、AI関連政策の効果的な策定、開発、コミュニケーション、業界との関与、および適時の実施を確保するために「ホワイトハウス人工知能評議会(White House AI Council)」の設置が要求しています。
米国の国際的リーダーシップ推進(Strengthening American Leadership Abroad)
- 国際的な協力を強化
- グローバルなAI基準の策定
- 安全で責任ある、権利を尊重したAI開発におけるグローバルな課題に対処
EOは米国がAIにおいて世界をリードすることを目指し、国際的な協力を拡大すること、AIに関連するリスクの管理とメリットの活用のための強固な国際的枠組みを確立すること、AI RMFに基づいたグローバル基準の策定と利用推進を要求しています。
終わりに
今回のEOには、法的強制力を持ついくつかの指令が含まれており、これらは日本企業にも影響を及ぼす可能性があります。特に、IaaS製品の外国ユーザー向けの規制は、遵守できるよう細心の注意を払う必要があります。また、方針設定・機関設置などの連邦政府内の動きは、後発的に動くいわゆるレギュレーションテイカーとみなされる法域の方針に取り入れられる可能性があるため、今後も注目されます。
1 バイデン政権, Exec. Order No. 14110, 2023, Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, 2023/11/30閲覧, Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence
2 トランプ政権, Exec. Order No. 13859, 2019, Maintaining American Leadership in Artificial Intelligence, 2023/11/30閲覧, Maintaining American Leadership in Artificial Intelligence
3 バイデン政権, 2022, Blueprint for and AI Bill of Rights, 2023/11/30閲覧, Blueprint for and AI Bill of Rights
4 米国科学技術研究所, 2023, Artificial Intelligence Risk Management Framework (AI RMF 1.0), 2023/11/30閲覧, Artificial Intelligence Risk Management Framework (AI RMF 1.0)
生成AIを巡る米欧中の規制動向最前線
10 results
Loading...
米国における「人工知能の安全・安心・信頼できる開発と利用に関する大統領令」の解説
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
世界初のAI包括的ルール「広島AIプロセス」関連文書の解説
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
プライバシー法規制のトレンドと企業に求められる対応 生成AIと個人情報―法的論点と実務上の対策の概説
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
Loading...
インサイト/ニュース
100 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
