欧州（EU）AI規制法の対応支援

2024年5月21日、生成AIを含む包括的なAIの規制である「欧州（EU）AI規制法」が成立しました。同法では、リスクの程度ごとにさまざまな要件・義務があり、今後、段階的に適用されます。

欧州（EU）AI規制法の成立により、EU域内でAIに関連するビジネスを展開する日本企業は同法の要件への対応が必要になる場合があります。さらに、EU域内から利用可能なAIサービスを運用している場合も、同法の要件への対応が必要になる場合があります。

欧州（EU）AI規制法の対象になるにもかかわらず適切な対応が実施されていない場合、高額な制裁金を科されるおそれがあります。日本企業においても、欧州（EU）AI規制法の内容をよく理解し、施行タイミングや自社サービスに適用される要件・義務の把握やアセスメントを実施することが望まれます。

PwC Japanグループは、各社のEUでのビジネス展開ケースに応じたサポートを通じ、日本企業が欧州（EU）AI規制法に適切に対応し、AI利活用を有意義に推進するための包括的なガバナンスの整備を支援します。

欧州（EU）AI規制法の概要

欧州（EU）AI規制法はリスクベースアプローチを採用しており、AIシステムを4つのリスクレベルに分類し、それぞれのリスクに応じた要件や規制を設定しています。また、汎用目的型AIモデル（GPAI）の概念を定義しています。EU域内にAIシステムを提供する域外企業も適用対象としており、日本企業であっても義務適用・制裁の対象となる場合があります。

欧州（EU）AI規制法は人権侵害、差別・偏見リスクを重大リスクと捉え、センシティブな情報を扱うAIは禁止、製品事故等の危険性があるハイリスクなAIにはリスク評価や基準遵守義務、誤使用等のリスクのあるAIには表示義務等が課されています。

汎用目的型AIモデルには透明性要件の遵守義務があり、特に影響力が大きいモデルにはサイバーセキュリティ対策など、さらに多くの義務が課されています。

具体的には、欧州（EU）AI規制法はAIを以下の4つに分類しています。

許容できないリスク
人の生命や基本的人権に直接的な脅威をもたらすと考えられるAIシステムが該当します。例えば、無意識のうちに行動を操作するAIシステムや、差別的な判断を行うAIシステムが含まれることがあります。
ハイリスク
人の健康や安全、基本的人権、または社会的・経済的な利益に影響を与える可能性があるAIシステムが該当します。例えば、医療、交通、雇用などの分野で使用されるAIシステムが含まれることがあります。
特定の透明性が必要なリスク
深刻なリスクはないものの、透明性に関する特定の要件を満たす必要があるAIシステムが該当します。例えば、対話を行うチャットボットやパーソナルアシスタントが含まれることがあります。
最小リスク
リスクがごくわずか、またはリスクを伴わないAIシステムです。

また、汎用目的型AIモデルは他のAIシステムに組み込まれて使用される可能性が高いため、汎用目的型AIモデルを提供する事業者（プロバイダー）には、EU著作権法の遵守や規制当局への協力など、さまざまな義務が課せられます。特定の条件を満たす汎用目的型AIモデルはSystemic risk^*があると見なされ、前述の義務に加えて、リスク評価やその対策、サイバーセキュリティ対策など、より厳しい要件に対応する必要があります。

^*Systemic riskとは、AIシステムが社会、経済、または特定のセクター全体に広範な影響を及ぼし、重大な混乱や被害を引き起こす可能性があるリスクを指します。

制裁

欧州（EU）AI規制法は、AIシステムの安全性と信頼性を確保するために厳格な制裁措置を設けています。各違反に対する制裁金は以下のように定められており、重大な違反を犯した場合、全世界の年間売上を基準に制裁金が科されるため、全社的な対応が求められます。

許容できないAIに関する禁止事項の違反
違反した場合、3,500万ユーロまたは全世界売上高の7％のいずれか高い方を上限とする罰金が科されます。
ハイリスクAIに関する要求事項および透明性義務、汎用AIのプロバイダーによる関連規定の違反
違反した場合、1,500万ユーロまたは全世界売上高の3％のいずれか高い方を上限とする罰金が科されます。
認定機関または当局への虚偽、不完全または誤解を招く情報の提供
違反した場合、750万ユーロまたは全世界売上高の1％のいずれか高い方を上限とする罰金が科されます。

日本企業にとっての欧州（EU）AI規制法の適用範囲について

欧州（EU）AI規制法は、EU域内で提供されるAIシステムおよび汎用目的型AIモデルと関連する以下のステークホルダーが対象になります。

プロバイダー：AIシステムを設計・開発し、市場に投入する企業。
デプロイヤー：AIシステムを実際に使用し、管理する企業。
インポーター：EU市場でAIシステムを流通させる企業。
ディストリビューター：AIシステムの流通と普及を支援する企業。

日本企業にとっては、EUでどのようなビジネス展開をしているかによって、欧州（EU）AI規制法の適用範囲が変わります。主に以下の3つのケースが考えられます。

EU域内にAIサービス・製品を投入する場合：
企業がEUに拠点を持っているかどうかにかかわらず適用されます。日本企業がAIサービスや製品をEU市場に提供する際には、欧州（EU）AI規制法の規制を遵守する必要があります。
EU域内の拠点にAIシステムを導入する場合：
日本企業がEU域内に拠点を持ち、その拠点にAIシステムを導入する際にも、欧州（EU）AI規制法の規制対象となります。
EU域内でAIシステムの出力結果を利用する場合：
企業がEUに拠点を持っているかどうかにかかわらず、EU域内でAIシステムの出力結果を利用する場合も欧州（EU）AI規制法の適用対象となります。

PwCのサービス

欧州（EU）AI規制法の影響を受ける範囲を評価し、対策を検討および実行することが重要です。

まずAIサービスの棚卸を行い、以下の観点を踏まえて対応状況を確認する必要があります。

AIシステムの分類
各AIシステムが該当するリスクレベル（許容できないリスク、ハイリスク、特定の透明性が必要なリスク、最小リスク）の分類、使用目的、対象ステークホルダーなどを確認します。
データ管理
データの品質、バイアス、データガバナンスの状況を確認します。
リスク管理
リスク評価とその対応策を確認します。リスク管理システムが適切に設計、運用されているかを確認し、定期的な見直しや更新が行われているかを評価します。
コンプライアンス対応
関連する法的要件や規制の遵守状況を確認します。特に、ハイリスクAIシステムに関する適合性評価が適切に行われているか、第三者評価が必要な場合に対応しているかを確認します。
ドキュメント管理
AIに関するポリシーおよび規程類、技術文書、品質管理文書などの管理状況を確認します。

PwC Japanグループは、上記とEUでのビジネス展開ケースに応じた以下の具体的な活動により、各ケースで必要な対応が効果的に行われるよう支援します。

具体的な支援内容

1.EU現地法人（子会社、合弁会社等）がAIサービスを提供・導入する場合

EU現地法人の対応状況確認支援

目的：現地法人がEUの規制や標準に適合しているかを確認し、法的リスクを回避する。
具体的な支援（例）：
- 規制調査：EU内でのAI関連法規を調査し、現地法人が遵守すべき規制を特定する。
- コンプライアンス監査：現地法人の運用プロセスやシステムを監査し、法規制に適合しているかを確認する。
- ギャップ分析：現状と法規制との間にどのようなギャップがあるかを分析し、具体的な改善策を提案する。

グループガバナンス強化支援

目的：グループ全体で統一されたガバナンスを確立し、リスク管理と効率的な運営を実現する。
具体的な支援（例）：
- ガバナンスフレームワークの構築：現地法人と本社との間で統一されたガバナンスフレームワークを構築する。
- リスク管理：リスクマネジメントの手法を導入し、潜在的なリスクを特定・管理する。
- トレーニングと教育：全スタッフに対して、ガバナンスやコンプライアンスに関するトレーニングを実施する。

2.日本法人が製造したAIサービスをEU域内に提供する場合

要求義務の遵守状況確認・対応支援

目的：日本法人が製造したAIサービスがEUの規制を遵守していることを確認し、適法に提供できるようにする。
具体的な支援（例）：
- 規制リサーチ：EUのAI関連法規を詳細に調査し、要求事項を把握する。
- コンプライアンスチェックリスト：法規制に基づくチェックリストを作成し、サービスがどの程度遵守しているかを評価する。
- 改善提案：不足している要件を補完するための具体的なアクションプランを提案する。

適合性評価の支援

目的：AIサービスがEUの基準に適合していることを証明するための評価を実施する。
具体的な支援（例）：
- 適合性評価の計画：評価のための計画を立案し、必要な手順を明確化する。
- テストと検証：技術的なテストや検証を実施し、適合性を確認する。
- ドキュメント作成：評価結果をまとめたドキュメントを作成し、規制当局に提出するための準備を支援する。

3.日本法人がEU域内でAIサービスを利用する場合

ガバナンスの整備と要求事項への対応支援

目的：日本法人がEU域内でAIサービスを利用する際に、ガバナンスとコンプライアンスの要件に準拠する。
具体的な支援（例）：
- ポリシーと運用手順の策定：EUの規制に準拠したポリシーや運用手順を策定する。
- コンプライアンス調査：利用するAIサービスの法規制や自社のポリシーに対する準拠性を調査する。
- リテラシー教育：AIサービスを利用する従業員に対して、関連する法令上の要求事項や留意点などを提供する。
- 継続的モニタリング：コンプライアンス態勢を含むガバナンスの運用状況を継続的にモニタリングし、改善が必要な箇所を特定・対応する。

PwCは、150カ国以上に30万人超の専門スタッフを擁し、地域別、業界別の多様な経験とノウハウ、ネットワークを有しています。

AIガバナンスにおいても、AIとデータの規制に関わるグローバルワイドのコミュニティを運営し、定期的な情報交換を行っており、世界中のAIガバナンス事例を共有しています。

そのネットワークを活かし、欧州（EU）AI規制法の対応支援においても、PwC主体のワールドワイドな調査やグローバルでの先行事例を踏まえた、効率的かつ効果的なサービスを提供することが可能です。

AIにまつわる課題はそれ単独で存在するものではなく、ビジネスやITシステムと密接に関連しています。したがって、単にAIに精通しているだけでは、その解決は困難です。PwC Japanグループでは、「AIガバナンスの方法論」に加えて、「業界×業務に対する深い理解」「デジタル（テクノロジー、ITシステム）に関する知見（最新の動向と現実的な活用）」「課題解決の経験値」を組み合わせることで、日本企業が欧州（EU）AI規制法に適切に対応し、AI利活用を有意義に推進するための包括的なガバナンスの整備を支援します。