欧州（EU）AI規制法の対応支援

2024年5月21日、生成AIを含む包括的なAIの規制である「欧州（EU）AI規制法」が成立しました。同法では、リスクの程度ごとにさまざまな要件・義務があり、今後、段階的に適用されます。

欧州（EU）AI規制法の成立により、EU域内でAIに関連するビジネスを展開する日本企業は同法の要件への対応が必要になる場合があります。さらに、EU域内から利用可能なAIサービスを運用している場合も、同法の要件への対応が必要になる場合があります。

欧州（EU）AI規制法の対象になるにもかかわらず適切な対応が実施されていない場合、高額な制裁金を科されるおそれがあります。日本企業においても、欧州（EU）AI規制法の内容をよく理解し、施行タイミングや自社サービスに適用される要件・義務の把握やアセスメントを実施することが望まれます。

PwC Japanグループは、各社のEUでのビジネス展開ケースに応じたサポートを通じ、日本企業が欧州（EU）AI規制法に適切に対応し、AI利活用を有意義に推進するための包括的なガバナンスの整備を支援します。

制裁

欧州（EU）AI規制法は、AIシステムの安全性と信頼性を確保するために厳格な制裁措置を設けています。各違反に対する制裁金は以下のように定められており、重大な違反を犯した場合、全世界の年間売上を基準に制裁金が科されるため、全社的な対応が求められます。

• 許容できないAIに関する禁止事項の違反
  違反した場合、3,500万ユーロまたは全世界売上高の7％のいずれか高い方を上限とする罰金が科されます。
• ハイリスクAIに関する要求事項および透明性義務、汎用AIのプロバイダーによる関連規定の違反
  違反した場合、1,500万ユーロまたは全世界売上高の3％のいずれか高い方を上限とする罰金が科されます。
• 認定機関または当局への虚偽、不完全または誤解を招く情報の提供
  違反した場合、750万ユーロまたは全世界売上高の1％のいずれか高い方を上限とする罰金が科されます。

PwCのサービス

欧州（EU）AI規制法の影響を受ける範囲を評価し、対策を検討および実行することが重要です。

まずAIサービスの棚卸を行い、以下の観点を踏まえて対応状況を確認する必要があります。

• AIシステムの分類
  各AIシステムが該当するリスクレベル（許容できないリスク、ハイリスク、特定の透明性が必要なリスク、最小リスク）の分類、使用目的、対象ステークホルダーなどを確認します。
• データ管理
  データの品質、バイアス、データガバナンスの状況を確認します。
• リスク管理
  リスク評価とその対応策を確認します。リスク管理システムが適切に設計、運用されているかを確認し、定期的な見直しや更新が行われているかを評価します。
• コンプライアンス対応
  関連する法的要件や規制の遵守状況を確認します。特に、ハイリスクAIシステムに関する適合性評価が適切に行われているか、第三者評価が必要な場合に対応しているかを確認します。
• ドキュメント管理
  AIに関するポリシーおよび規程類、技術文書、品質管理文書などの管理状況を確認します。

PwC Japanグループは、上記とEUでのビジネス展開ケースに応じた以下の具体的な活動により、各ケースで必要な対応が効果的に行われるよう支援します。

具体的な支援内容

1.EU現地法人（子会社、合弁会社等）がAIサービスを提供・導入する場合

EU現地法人の対応状況確認支援

• 目的：現地法人がEUの規制や標準に適合しているかを確認し、法的リスクを回避する。
• 具体的な支援（例）：
  • 規制調査：EU内でのAI関連法規を調査し、現地法人が遵守すべき規制を特定する。
  • コンプライアンス監査：現地法人の運用プロセスやシステムを監査し、法規制に適合しているかを確認する。
  • ギャップ分析：現状と法規制との間にどのようなギャップがあるかを分析し、具体的な改善策を提案する。

グループガバナンス強化支援

• 目的：グループ全体で統一されたガバナンスを確立し、リスク管理と効率的な運営を実現する。
• 具体的な支援（例）：
  • ガバナンスフレームワークの構築：現地法人と本社との間で統一されたガバナンスフレームワークを構築する。
  • リスク管理：リスクマネジメントの手法を導入し、潜在的なリスクを特定・管理する。
  • トレーニングと教育：全スタッフに対して、ガバナンスやコンプライアンスに関するトレーニングを実施する。

2.日本法人が製造したAIサービスをEU域内に提供する場合

要求義務の遵守状況確認・対応支援

• 目的：日本法人が製造したAIサービスがEUの規制を遵守していることを確認し、適法に提供できるようにする。
• 具体的な支援（例）：
  • 規制リサーチ：EUのAI関連法規を詳細に調査し、要求事項を把握する。
  • コンプライアンスチェックリスト：法規制に基づくチェックリストを作成し、サービスがどの程度遵守しているかを評価する。
  • 改善提案：不足している要件を補完するための具体的なアクションプランを提案する。

適合性評価の支援

• 目的：AIサービスがEUの基準に適合していることを証明するための評価を実施する。
• 具体的な支援（例）：
  • 適合性評価の計画：評価のための計画を立案し、必要な手順を明確化する。
  • テストと検証：技術的なテストや検証を実施し、適合性を確認する。
  • ドキュメント作成：評価結果をまとめたドキュメントを作成し、規制当局に提出するための準備を支援する。

3.日本法人がEU域内でAIサービスを利用する場合

ガバナンスの整備と要求事項への対応支援

• 目的：日本法人がEU域内でAIサービスを利用する際に、ガバナンスとコンプライアンスの要件に準拠する。
• 具体的な支援（例）：
  • ポリシーと運用手順の策定：EUの規制に準拠したポリシーや運用手順を策定する。
  • コンプライアンス調査：利用するAIサービスの法規制や自社のポリシーに対する準拠性を調査する。
  • リテラシー教育：AIサービスを利用する従業員に対して、関連する法令上の要求事項や留意点などを提供する。
  • 継続的モニタリング：コンプライアンス態勢を含むガバナンスの運用状況を継続的にモニタリングし、改善が必要な箇所を特定・対応する。

PwCは、150カ国以上に30万人超の専門スタッフを擁し、地域別、業界別の多様な経験とノウハウ、ネットワークを有しています。

AIガバナンスにおいても、AIとデータの規制に関わるグローバルワイドのコミュニティを運営し、定期的な情報交換を行っており、世界中のAIガバナンス事例を共有しています。

そのネットワークを活かし、欧州（EU）AI規制法の対応支援においても、PwC主体のワールドワイドな調査やグローバルでの先行事例を踏まえた、効率的かつ効果的なサービスを提供することが可能です。

AIにまつわる課題はそれ単独で存在するものではなく、ビジネスやITシステムと密接に関連しています。したがって、単にAIに精通しているだけでは、その解決は困難です。PwC Japanグループ では、「AIガバナンスの方法論」に加えて、「業界×業務に対する深い理解」「デジタル（テクノロジー、ITシステム）に関する知見（最新の動向と現実的な活用）」「課題解決の経験値」を組み合わせることで、日本企業が欧州（EU）AI規制法に適切に対応し、AI利活用を有意義に推進するための包括的なガバナンスの整備を支援します。