「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
諸外国および日本におけるAI利活用の拡大
AIの産業活用はグローバル規模で進展し、あらゆる国・業界へと広がっています。特に中国および米国におけるAI活用によるGDPへのインパクトは大きく、日本でも今後の実質GDPの押し上げ効果が期待されています。
活用の推進と同時に、AIが原因となったインシデントも世界的に増加傾向にあり、倫理違反、人種や性別などによる差別的バイアスや公平性の欠如、プライバシーやセキュリティの侵害といった、AIリスクに対する懸念も高まっています。
AIがはらむリスク
米国商務省の国立標準技術研究所(NIST)が公開した「Artificial Intelligence Risk Management Framework(AI RMF 1.0)」(以下、AIリスクマネジメントフレームワーク)では、AIにおけるリスクを7つの要素に整理し(図表1)、「信頼できるAIシステム」構築のためには、これらのリスクを軽減することが重要だとしています。
生成AIの台頭と新たなAIリスク
AIリスクを語るうえで外せないのが、近年急速に台頭し普及した生成AI(Generative AI)の存在です。
生成AIとは、画像や、文章、音声、プログラムコードなどさまざまなコンテンツを生成することのできるAI(人工知能)を指します。データの特徴を学習して予測や分類などを行う機械学習は、データの特徴を機械自体が判断する深層学習(ディープラーニング)へと発展し、そこからさらに発展したものが生成AIです。学習したデータをもとに識別をしたり、認識をして推論したりするAIが、指示に従ってオリジナルの画像や文章、音声などを生成するものへと大きく進化したのです。
これまでのAIガバナンスを巡る議論で言及されてきたように、学習データやモデルの説明可能性や透明性、公平性、制御可能性、アカウンタビリティなど、人が留意しなくてはならない範囲は、生成AIが評価対象に加わっても大きく変わらないでしょう。しかし生成AIの大きな特徴として、アクセスがしやすいという点や、人間らしいアウトプットが得られるという点が挙げられます(図表2)。これまでのAIと異なり、技術的なバックグラウンドがないユーザーでもすぐに生成AIを活用することができ、また内容の真偽はともかく、まるで人が回答してくれているような自然な文章を得ることができます。
それゆえに、ひとたびサイバー犯罪や機密情報の漏洩、大衆扇動などのインシデントが発生すると、そのインパクトは大きなものになる可能性があります。また、著作権侵害の問題も確実に複雑なものとなります。2024年7月末現在、著作物の学習は日本では違法ではなく、著作物から生成された生成物の著作権についてはルールもなく、学習データの開示なども求められていません。
企業はこのようなAIリスクや、生成AIの技術的な特性を理解したうえで、安全に運用する必要があります。例えば人事における判断を行う場合や、人のグループにある種の評価(スコアリングなど)を行う場合など、その結果に対する説明が求められるような事象には、従来の統計的手段を用いるなどの考慮が必要です。また、生成物は必ず人が目視で確認し、責任をもって活用しなければなりません。
AIリスクを巡る世界各国の規制動向
AIリスクの顕在化を受け、各国ではAIリスクのコントロール実現に向けたルール整備が急速に進んでいます。
ルールの枠組として主に、
- OECD(経済協力開発機構)やGPAI(Global Partnership on AI)などの国際機関や各国政府が取りまとめた原理原則
- 各国政府が定める中間的ルール
- 企業ごとに自主的に取り組む企業ルール
などがありますが、代表的なルールとして、欧州では初の国際的なAI法案ともいえる「AI法案」が成立しました。また、米国では人工知能(AI)がもたらすメリットを把握し、AIリスクを管理することを目的とした「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」(人工知能の安全・安心・信頼できる開発と利用に関する大統領令)が公表されました。さらに中国では、既存の法令とアルゴリズム規制、AI倫理規制などを組み合わせた独自のAIガバナンスモデルが形成されつつあります。日本企業がこれらの国・地域でAIに関連するビジネスを展開する場合には、これらの法令要件への対応が必要になると見られ、ビジネスへの影響が予想されます。
日本においても、総務省・経産省が「AIガバナンスの統一的な指針を示し、イノベーションの促進と連鎖リスクの緩和を両立する枠組みを共創していくことを目指す」ことを目的に「AI事業者ガイドライン」を公表しました。これはAIを活用する事業者(政府・自治体などの公的機関を含む)がAIを安全安心に活用するための望ましい行動指針となることが期待されています。
このように、各国・地域でルール作りが進んでゆく中で、日本企業はどのようにAIリスクと向き合っていくべきなのでしょうか。
AI事業を担う主体と、留意すべきリスク
日本政府が2024年に公表した「AI事業者ガイドライン」では、AIライフサイクルにおける具体的な役割を考慮し、AIの事業活動を担う立場として、「AI開発者」「AI提供者」「AI利用者」の3つに大別して整理されています。
AIリスクをコントロールし、AIを安心安全に利用していくためには、主体別にどのようなAIリスクがあるのかを把握することが重要です。
AI開発者としてのリスク
AIを開発するにあたっては、正確性を重視するためにプライバシーや公平性が損なわれたり、プライバシーを重んじすぎて透明性が損なわれたりするなど、リスク同士や倫理観が衝突する場面が想定されます。その際には、経営リスクや社会的な影響力を踏まえ、適宜判断・修正することが求められます。
(例)
- 学習データへ個人情報、機密情報、第三者に権利が帰属する著作物が混入し、権利侵害が発生する
- 学習データ、モデルの学習過程において、人種差別などのバイアスが混入する
- AIが何らかの誤判定をしたとき「なぜそのような推論をしたのか」についての根拠を示すことができない
AI提供者としてのリスク
AIを活用したシステムやサービスを、開発者の意図・想定とは異なる範囲で実装してしまうと、社会やステークホルダーに対して権利侵害や意図しない不利益などを生じさせてしまうことがあります。
(例)
- 開発者が想定しない環境下や用途でAIを提供することで関係者に危害が発生する
- 提供したAIが経年や環境変化によって精度劣化や挙動の変化を招き、利用者に意図せず不利益をもたらす
- 最新の攻撃手法に対応できず、セキュリティ上の脆弱性を突かれてしまう
AI利用者としてのリスク
AIを商用利用する場合、業務外利用者からAIの能力や出力結果の説明を求められることがありますが、その要望に応えることができないと、社会やステークホルダーからの理解を得られず、事業活動に悪影響が及ぶ可能性があります。
(例)
- AIから出力された内容や結果が他者の商標と類似し、著作権などの権利を侵害する
- AIから出力された内容や結果に誤りがあり、それを参照した業務外利用者(エンドユーザー)から責任を問われてしまう
- ステークホルダーからAIの能力や出力結果に関する説明を求められた際にそれが果たせず、レピュテーションの失墜を招く
今後に向けて
AIリスクに関する統一的な基準が示されたことで、今後これをもとに日本でも法令化の検討や業種ごとの基準策定など、さまざまなルールの検討が進むことが予想されます。企業においては、その流れと連動し、AIリスクマネジメントを整備することで、自社のAI利活用を加速させ、競争力を高めることが重要です。
生成AIを巡る米欧中の規制動向最前線
10 results
Loading...
米国における「人工知能の安全・安心・信頼できる開発と利用に関する大統領令」の解説
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
世界初のAI包括的ルール「広島AIプロセス」関連文書の解説
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
プライバシー法規制のトレンドと企業に求められる対応 生成AIと個人情報―法的論点と実務上の対策の概説
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
Loading...
最新のインサイト
100 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
税務ガバナンス実態調査2024 企業価値に貢献する魅力的な税務組織の構築
グローバルにビジネス展開をしている国内上場会社を中心とした日系多国籍企業を対象に、税務ガバナンスに関する調査を実施し、それをもとにレポートとしてまとめました。
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
Loading...
