PwC Japanグループ、欧州（EU）AI規制法の対応支援を開始

2024年7月31日
PwC Japanグループ

PwC Japanグループ（グループ代表： 久保田 正崇、以下、PwC Japan）は、2024年7月31日、日本企業が欧州（EU）AI規制法に適切に対応し、AI利活用を有意義に推進するための包括的なガバナンスの整備を支援するサービスを提供開始します。PwCグローバルネットワークから得られる現地の知見や情報と、日本企業のビジネス状況の深い理解、このPwC Japanが持つ2つの強みを活かし、適切な支援を提供できる体制を構築しました。

欧州（EU）AI規制法は2024年5月21日に成立したもので、今後、段階的に施行されます。EU域内でAIシステムを提供する日本企業は、同法への対応が必要になる場合があります。同法の規制対象にもかかわらず適切な対応が実施されていない場合、高額な制裁金を科されるおそれがあり、日本企業においても、欧州（EU）AI規制法の内容をよく理解し、施行タイミングや自社サービスに適用される要件・義務を把握し対応する必要があります。

^{※欧州（EU）AI規制法の概要や適用範囲の詳細は、こちらをご参照ください。} 

PwC Japanは、世界的にも初のAI包括規制法である欧州AI法案が、今後の人間とAIとの関係や、新たに生じるリスクに対してどうガバナンスしていくかの試金石となり得ると考えています。そこで、「社会に信頼を構築し、重要な課題を解決する」というPwCのPurposeを体現するため、PwCグローバルネットワークで構築している、AIとデータの規制に関わるコミュニティでの定期的な情報交換などを通じて得た知見を活用した、欧州（EU）AI規制法の対応支援サービスを提供することにしました。PwC Japanの日本企業や業界に関する深い理解、デジタルに関する知見、課題解決の経験値を組み合わせることで、日本企業にとって必要な検討要素を包括したガバナンスの整備を支援します。具体的には、PwC Japan有限責任監査法人内の企業のガバナンス向上を提供している専門組織と、長年にわたりAI活用支援を提供してきたPwCコンサルティングのチームが一体となり、日本企業の状況を踏まえたアドバイスを行います。さらにPwC弁護士法人は欧州のPwCリーガルと連携し、欧州（EU）AI規制法の深い理解や、現地での豊富な対応事例の知識に基づき、多角的に分析・検討したアドバイスをご提供します。

PwC Japanの欧州（EU）AI規制法の対応支援サービス概要

１ 現状の把握：　自社が欧州（EU）AI規制法の適用を受けるか否かを把握

欧州（EU）AI規制法の適用を受ける対象を特定し、リスク類型の該当性を評価のうえ、対策を検討および実行することが必要です。

そこで、まず自社のAIサービスの棚卸を行い、次の観点を踏まえて現状を把握することが重要です。

• AIシステムの分類
  各AIシステムがどのリスク類型（許容できないリスク、ハイリスク、特定の透明性が必要なリスク、最小リスク）に該当するかの評価、使用目的およびステークホルダーなどを確認します。
• データ管理
  データの品質確保やバイアスへの対処を含むデータガバナンスの状況を確認します。
• リスク管理
  各AIシステムに対するリスク管理システムが適切に整備、運用されているかを確認し、定期的な見直しや更新が行われているかを確認します。
• コンプライアンス対応
  各AIシステムに適用される法令や規制への遵守状況を確認します。特に、ハイリスクAIシステムに該当する場合、求められる適合性評価や第三者評価が必要な場合に対応しているかを確認します。
• ドキュメント管理
  AIに関するポリシーおよび規程類、技術文書、品質管理文書などの策定、管理状況を確認します。

２ 各企業のビジネス状況に合わせた具体的な支援

PwC Japanは、上記の現状把握の結果と、各企業のEUにおけるビジネス展開ケースに応じて、次の具体的な支援により、各ケースで必要な対応を効果的に推進します。

1.EU現地法人（子会社、合弁会社等）がAIサービスを提供・導入する場合

1-1 EU現地法人の対応状況確認支援

• 目的：現地法人がEUの規制や標準に適合しているかを確認し、法的リスクを回避する。
• 具体的な支援（例）：
  • 規制調査：EU内でのAI関連法規を調査し、現地法人が遵守すべき規制を特定する。
  • コンプライアンス監査：現地法人の運用プロセスやシステムを監査し、法規制に適合しているかを確認する。
  • ギャップ分析：現状と法規制との間にどのようなギャップがあるかを分析し、具体的な改善策を提案する。

1-2 グループガバナンス強化支援

• 目的：グループ全体で統一されたガバナンスを確立し、リスク管理と効率的な運営を実現する。
• 具体的な支援（例）：
  • ガバナンスフレームワークの構築：現地法人と本社との間で統一されたガバナンスフレームワークを構築する。
  • リスク管理：リスクマネジメントの手法を導入し、潜在的なリスクを特定・管理する。
  • トレーニングと教育：全スタッフに対して、ガバナンスやコンプライアンスに関するトレーニングを実施する。

2.日本法人が製造したAIサービスをEU域内に提供する場合

2-1 要求義務の遵守状況確認・対応支援

• 目的：日本法人が製造したAIサービスがEUの規制を遵守していることを確認し、適法に提供できるようにする。
• 具体的な支援（例）：
  • 規制リサーチ：EUのAI関連法規を詳細に調査し、要求事項を把握する。
  • コンプライアンスチェックリスト：法規制に基づくチェックリストを作成し、サービスがどの程度遵守しているかを評価する。
  • 改善提案：不足している要件を補完するための具体的なアクションプランを提案する。

2-2 適合性評価の支援

• 目的：AIサービスがEUの基準に適合していることを証明するための評価を実施する。
• 具体的な支援（例）：
  • 適合性評価の計画：評価のための計画を立案し、必要な手順を明確化する。
  • テストと検証：技術的なテストや検証を実施し、適合性を確認する。
  • ドキュメント作成：評価結果をまとめたドキュメントを作成し、規制当局に提出するための準備を支援する。

3.日本法人がEU域内でAIサービスを利用する場合

3-1 ガバナンスの整備と要求事項への対応支援

• 目的：日本法人がEU域内でAIサービスを利用する際に求められるガバナンスを整備し要求事項に準拠する。
• 具体的な支援（例）：
  • ポリシーと運用手順の策定：EUの規制に準拠したポリシーや運用手順を策定する。
  • コンプライアンス調査：利用するAIサービスの法規制や自社のポリシーに対する準拠性を調査する。
  • リテラシー教育：AIサービスを利用する従業員に対して、関連する法令上の要求事項や留意点などを提供する。
  • 継続的モニタリング：コンプライアンス態勢を含むガバナンスの運用状況を継続的にモニタリングし、改善が必要な箇所を特定・対応する。

以上