
「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
2024年5月21日、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」が成立しました。同法では、リスクの程度ごとにさまざまな要件・義務があり、今後、段階的に適用されます。
欧州(EU)AI規制法の成立により、EU域内でAIに関連するビジネスを展開する日本企業は同法の要件への対応が必要になる場合があります。さらに、EU域内から利用可能なAIサービスを運用している場合も、同法の要件への対応が必要になる場合があります。
欧州(EU)AI規制法の対象になるにもかかわらず適切な対応が実施されていない場合、高額な制裁金を科されるおそれがあります。日本企業においても、欧州(EU)AI規制法の内容をよく理解し、施行タイミングや自社サービスに適用される要件・義務の把握やアセスメントを実施することが望まれます。
PwC Japanグループは、各社のEUでのビジネス展開ケースに応じたサポートを通じ、日本企業が欧州(EU)AI規制法に適切に対応し、AI利活用を有意義に推進するための包括的なガバナンスの整備を支援します。
欧州(EU)AI規制法はリスクベースアプローチを採用しており、AIシステムを4つのリスクレベルに分類し、それぞれのリスクに応じた要件や規制を設定しています。また、汎用目的型AIモデル(GPAI)の概念を定義しています。EU域内にAIシステムを提供する域外企業も適用対象としており、日本企業であっても義務適用・制裁の対象となる場合があります。
欧州(EU)AI規制法は人権侵害、差別・偏見リスクを重大リスクと捉え、センシティブな情報を扱うAIは禁止、製品事故等の危険性があるハイリスクなAIにはリスク評価や基準遵守義務、誤使用等のリスクのあるAIには表示義務等が課されています。
汎用目的型AIモデルには透明性要件の遵守義務があり、特に影響力が大きいモデルにはサイバーセキュリティ対策など、さらに多くの義務が課されています。
具体的には、欧州(EU)AI規制法はAIを以下の4つに分類しています。
また、汎用目的型AIモデルは他のAIシステムに組み込まれて使用される可能性が高いため、汎用目的型AIモデルを提供する事業者(プロバイダー)には、EU著作権法の遵守や規制当局への協力など、さまざまな義務が課せられます。特定の条件を満たす汎用目的型AIモデルはSystemic risk*があると見なされ、前述の義務に加えて、リスク評価やその対策、サイバーセキュリティ対策など、より厳しい要件に対応する必要があります。
* Systemic riskとは、AIシステムが社会、経済、または特定のセクター全体に広範な影響を及ぼし、重大な混乱や被害を引き起こす可能性があるリスクを指します。
欧州(EU)AI規制法は、AIシステムの安全性と信頼性を確保するために厳格な制裁措置を設けています。各違反に対する制裁金は以下のように定められており、重大な違反を犯した場合、全世界の年間売上を基準に制裁金が科されるため、全社的な対応が求められます。
欧州(EU)AI規制法は、EU域内で提供されるAIシステムおよび汎用目的型AIモデルと関連する以下のステークホルダーが対象になります。
日本企業にとっては、EUでどのようなビジネス展開をしているかによって、欧州(EU)AI規制法の適用範囲が変わります。主に以下の3つのケースが考えられます。
欧州(EU)AI規制法の影響を受ける範囲を評価し、対策を検討および実行することが重要です。
まずAIサービスの棚卸を行い、以下の観点を踏まえて対応状況を確認する必要があります。
PwC Japanグループは、上記とEUでのビジネス展開ケースに応じた以下の具体的な活動により、各ケースで必要な対応が効果的に行われるよう支援します。
PwCは、150カ国以上に30万人超の専門スタッフを擁し、地域別、業界別の多様な経験とノウハウ、ネットワークを有しています。
AIガバナンスにおいても、AIとデータの規制に関わるグローバルワイドのコミュニティを運営し、定期的な情報交換を行っており、世界中のAIガバナンス事例を共有しています。
そのネットワークを活かし、欧州(EU)AI規制法の対応支援においても、PwC主体のワールドワイドな調査やグローバルでの先行事例を踏まえた、効率的かつ効果的なサービスを提供することが可能です。
AIにまつわる課題はそれ単独で存在するものではなく、ビジネスやITシステムと密接に関連しています。したがって、単にAIに精通しているだけでは、その解決は困難です。PwC Japanグループ では、「AIガバナンスの方法論」に加えて、「業界×業務に対する深い理解」「デジタル(テクノロジー、ITシステム)に関する知見(最新の動向と現実的な活用)」「課題解決の経験値」を組み合わせることで、日本企業が欧州(EU)AI規制法に適切に対応し、AI利活用を有意義に推進するための包括的なガバナンスの整備を支援します。
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
グローバルにビジネス展開をしている国内上場会社を中心とした日系多国籍企業を対象に、税務ガバナンスに関する調査を実施し、それをもとにレポートとしてまとめました。
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。