-
Richard Wingfield
Director, Technology Sectors, BSR
-
Asako Nagai
Managing Director, Technology Sectors and Asia-Pacific, BSR
-
Hannah Darnton
Director, Technology and Human Rights, BSR
-
J.Y. Hoh
Manager, Technology Sectors, BSR
要点
- EUの人工知能規制(以下「AI規制」)が間もなく施行されることを受け、世界中の経営者が自社への影響の把握に努めている。
- AI規制はEU域外にも広範な影響を及ぼし、テック企業のみならず、AIを開発、導入、使用するあらゆる企業が対象となる。
- 本稿では、AI規制の主な特徴や、影響を受ける企業について解説する。
AI規制は、EU域内におけるAIの開発、導入、使用を規制する新たな法律であり、その影響はEU域外の企業にも及ぶ。当規制な目的は、EU域内におけるAIシステムの市場を十分に機能させるとともに、人々の健康・安全・人権の保護および環境保護を高い水準で実現することである。
AI規制は、世界初の主要なAI関連規制であること、またその適用範囲の広さにおいても注目すべきである。「AIシステム」の定義(第3条)は、「入力内容から予測や推奨、決定などの出力を生成できる機械ベースのシステム」とし、対象となるAIシステムが、機械上で一定の自律性をもってアウトプットを生み出すことのできるシステムであることを示している。
リスクベース・アプローチの手法
AI規制は広い範囲を対象とするが、その中でリスクベースのアプローチがとられており、以下の5つの分類を前提として、リスクのレベルと性質に応じて異なる要件が定められている。
- 禁止されるAI関連行為:人の行動に影響し有害な結果につながり得る欺瞞的な手法や、人の脆弱性につけ込む手法など、特に有害とみなされる複数のAI関連行為を指定し、禁止している。これらの禁止事項は6ヵ月後に施行される。
- 高リスクのAIシステム:一定の種類のAIシステムを「高リスク」と指定している。これにはバイオメトリクス、重要インフラ、教育・職業訓練、雇用、必要不可欠な民間・公共サービス、法執行、司法行政に使用されるAIが含まれる。高リスクのAIシステムには、リスク管理体制の構築、技術文書の整備、正確性と堅牢性の確保、人的監視など、開発に関する多くの要件が定められている。AI規制にはさらに、高リスクのAIシステムをEU市場に上市・提供・使用するための規則も定められており、品質管理体制の確立、文書管理、国家当局との協力、適合性評価への準拠などが含まれる。これらの要件は3年後に発効する。
- 汎用目的型AIモデル(大規模言語モデル<LLM>を含む):汎用目的型AIモデルに適用する要件として、技術文書の整備、安全な使用に関する指示書の提供、著作権法の尊重の確保などを定めている。これらの要件は12ヵ月後に施行される。
- 透明性が求められるAIシステム(自然人と対話するAIシステム):自然人と直接対話することを意図したAIシステムのプロバイダーに対し、ユーザーがAIとやり取りしていることを認識できるようにすることを義務付けている。さらに、「ディープフェイク」の作成や、一般的な情報提供を目的としたテキストの生成・編集を行うAIシステムのデプロイヤーは、そのコンテンツが人工的に生成・編集されたものであることを開示しなければならない。これらの要件は2年後に施行される。
- 低リスクのAIシステム:上のカテゴリのどれにも該当しないAIシステムにはいかなる要件も課していないが、こうした低リスクのシステムに関する自主的な行動規範の策定を求めている。
AI規制にはまた、AI規制サンドボックス(セキュリティ機構)の取り組みなど、AIに関するイノベーション、スタートアップ、中小企業の支援を意図した措置も含まれている。規制の実施・施工は、EU全域レベル(実施規範・指針の策定、違反行為への対処の権限を有するAI事務局が欧州委員会内に新設予定)と、EU加盟各国の規制当局の双方で行われる。一連の罰金や制裁措置が規定されており(第99条)、最も深刻な違反(禁止されているAI関連行為の不遵守)には、最高3500万ユーロまたは違反した企業の前会計年度の全世界総売上高の7%に上る罰金が科される。
誰がAI規制の影響を受けるのか
当規制は、AIのライフサイクルにおいて、企業の業種ごとに異なる要件を定めている。
- EU域内において、AIシステムを上市・提供する企業、または汎用目的型AIモデルを上市する企業(以下「プロバイダー」)
- EU域内に事業所または所在地を有し、AIシステムを導入する企業(以下「デプロイヤー」)
- AIシステムのプロバイダーまたはデプロイヤーに該当する企業で、AIシステムによって生成された出力がEU域内で使用される企業
- AIシステムの輸入・販売企業
- 自社の製品とともに、自社の名称または商標の下に、AIシステムを上市または提供する製品メーカー
つまり、要件はAI技術を開発する企業に限られるものではなく、AIやそのアウトプットをEU域内で導入、利用するあらゆる分野の企業に適用される。したがってAI規制は、AIを利用するあらゆるセクターの多岐にわたる企業にとって重要な意味を持つことになる。例えば、金融サービス企業における信用評価のような専門分野に特化したものであっても、採用の意思決定にAIを利用するような一般的なものであっても、同様に規制の対象となる。
そして、プロバイダーやデプロイヤーの設立地や所在地がEU内外のいずれであるかを問わず、AIシステムや汎用目的型AIモデルがEU市場に上市されたり、そのアウトプットがEU域内で使用されたりする場合には、EU域外の企業にも適用されることになる。
AI規制の施行に伴い、AIを開発または使用する企業にとっては、その要件を理解することが重要となる。これは新しくかつ複雑な法的枠組みであるが、内容も適用企業の範囲も、EUの内外を問わず幅広い。コンプライアンスを確保するには、AI規制のリスクレベルの分類と、AIのライフサイクルにおける自社の役割(プロバイダー、デプロイヤーなど)を理解することが必要である。
後続の記事では、AI規制対応を含めてAI関連のリスクに対処するために、人権に基づくアプローチを取る方法について解説を行っていく。
AI規制についての詳細や貴社のビジネスへの影響に関するご相談は、BSRまでお気軽にお問い合わせください。
Let’s talk about how BSR can help you to transform your business and achieve your sustainability goals.