EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
EUでは、世界初の包括的なAI規制法案が、間もなく成立しようとしています。本法はEU外の企業にも適用され得るもので、日本企業も早めの準備が必要です。本法の対象となるAIの定義や、適用対象となる当事者、義務の内容など、本法で留意すべき事項と、今後の展望について概観します。
本稿の執筆者
EY弁護士法人 弁護士 小木 惇
EYデジタル法チームメンバー。AIやIoT事業のM&Aサポート、データガバナンス・サイバーセキュリティ体制構築に係る法務サポートを通じて、日系企業や多国籍企業に対し、データ利活用事業の拡大を支援。
要点
- EUは世界初の包括的AI規制法案につき暫定合意(欧州議会は最終承認済)。本法は、EU内へAIサービスを提供する日本企業にも広く適用され、違反時には重い制裁が予定されている。
- 本法はリスクベースアプローチをとっており、AIのリスクの大きさに応じた段階的な規制を設けている。生成AIについては「汎用目的モデル」として特別な規制の対象となる。
- 本法は、早ければ2024年春には成立し、6カ月後から徐々に施行される。成立後2年で全面的に施行される。
Ⅰ はじめに
2023年12月9日、欧州連合(EU)のEU理事会と欧州議会は、人工知能(AI)を包括的に規制する世界初の法的枠組みである”Artificial Intelligence Act”(以下、欧州AI法)の法案について暫定的に合意しました。2024年3月13日には欧州議会が最終案を可決し、その成立は目前に迫っています。一般データ保護規則(GDPR)、デジタルサービス法、デジタル市場法など、EUの他のデジタル関連法に続くものです。
欧州AI法案の内容は、欧州で活動する日本の企業などにも影響します。
合意された法案(以下、暫定合意案)は、本稿作成時点(2024年3月)で正式には公表されていませんが、これまでの公表内容を基にその枠組みをご紹介します。併せて、欧州チームのニュースレター「Political agreement reached on the EU Artificial Intelligence Act」(2023年12月10日リリース)もご参照ください。
Ⅱ 法案の概要
EU AI法案(Proposal for a Regulation of the European Parliament and of the Council Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts※1, European Commission, 2021)(以下、2021年4月版法案)は2021年4月に最初に公表されました。法案の主な目的として、次の内容が挙げられています。
- EU市場におけるAIの安全性を確保し、現行EU法の規律を尊重する
- AIへの投資とイノベーションを促進するための法的確実性を確保する
- 基本的権利や安全に関する現行EU法によるガバナンスと効果的な執行を強化する
- 安全かつ信頼できるAIの、単一のEU市場の発展を促進し、市場の分断を防ぐ
その後の議論を経て、2023年6月に欧州議会により採択されたものが、現在正式に公表されている最新の法案(Amendments adopted by the European Parliament on 14 June 2023 on the proposal for a regulation of the European Parliament and of the Council on laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts※2, European Parliament, 2023)(以下、2023年6月版法案)です。※3
※1 www.europarl.europa.eu/RegData/docs_autres_institutions/commission_europeenne/com/2021/0206/COM_COM(2021)0206_EN.pdf(2024年1月18日アクセス)
※2 www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.html(2024年1月18日アクセス)
※3 なお、2024年1月に、SNS上に非公式な形で最新法案とされる文書がアップロードされましたが、非公式情報のため、本稿では2023年6月版法案をベースに議論しています。
Ⅲ 対象となる「AIシステム」
2023年6月版法案は、欧州AI法の対象となる「AIシステム」の定義を、経済協力開発機構(OECD)が提唱する定義と合わせています。欧州理事会によれば、暫定合意案においてもこの前提は維持されています※4。
OECDはAIシステムを、概要、「入力内容から予測や推奨、決定などの出力を生成できる機械ベースのシステム」と定義しています※5。対象となるAIシステムが、機械上で一定の自律性をもってアウトプットを生み出すことのできるシステムであることを示しています。
さらに、2023年6月版法案は、生成AIについて厳格なルールを課すことを念頭に、①幅広いアプリに利用可能な「汎用目的AIシステム(general purpose AI system)」(3条1d項)、②大量のデータを用いて学習し、画像やテキスト生成など幅広いタスクに対応できる「基盤モデル(foundation model)」(3条1c項)を特に定義して、特別な規制を設けました。急速に普及した生成AIについて、特別にルールを定めるものです。
これらのモデルは、暫定合意直前に公開された妥協案(Compromise proposal on general purpose AI models/general purpose AI systems)(以下、妥協案)では、「汎用目的AIモデル(GPAIモデル)」として規制されています。
最新の定義については、今後公表される法文を確認する必要があります。
※4 Artificial intelligence act: Council and Parliament strike a deal on the first rules for AI in the world, Council of the European Union, 2023, www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/ (2024年1月18日アクセス)
※5 OECD AI Principles overview, OECD, oecd.ai/en/ai-principles(2024年1月18日アクセス)
Ⅳ 規制を受ける主体
欧州AI法案は、幅広くAIのバリューチェーンにおける当事者を対象としています。同法案は、域外適用されることも明示されています。2023年6月版法案によれば、以下の者は、本法案の適用対象となります(2条1項)。
|
号数 |
対象者 |
|---|---|
|
(a) |
EU内に所在するかどうかにかかわらず、EU内でAIシステムを上市またはサービスに供する提供者 |
|
(b) |
EU内に所在する導入者 |
|
(c) |
EU外に所在する提供者または導入者(国際公法によってEU加盟国の法が適用される場合、またはそのAIシステムのアウトプットがEU内で使用されることが予定されている場合) |
|
(ca) |
後述の禁止されたAIシステムを、EU外で上市し、またはサービスに供している提供者(当該AIシステムの提供者、流通者がEU内に所在する場合) |
|
(cb) |
EU内に所在する以下のいずれかの者 ① 輸入者 |
上記に登場する用語の意味は以下のとおりです(3条)。
|
提供者(provider) |
有償か否かを問わず、自らの名称・商標で上市し、またはサービスに供する目的で、AIシステムを開発し、または開発させる自然人、法人、公的機関、代理店(agency)その他の団体 |
|---|---|
|
導入者(deployer) |
権限に基づいてAIシステムを使用(個人的な非専門的活動の過程での使用を除く)する自然人、法人、公的機関、代理店その他の団体 |
|
代理人(authorised representative) |
AIシステム提供者から、書面により、AI法が定める義務や手続を代理して履行、実施する権限を付与されたEU内の自然人・法人 |
|
代理人(authorised representative) |
EU内に所在し、EU外の自然人や法人の名称・商標で、AIシステムを上市し、またはサービスに供する自然人・法人 |
|
流通者(distributor) |
AIシステムのサプライチェーン上の自然人・法人であって、AIシステムを、その特性に影響を与えることなくEU市場で入手可能にする者(提供者や輸入者を除く) |
EU内で提供されるAIシステムの利用により健康、安全または基本的権利に不利な影響を受けた者(EU内に所在)は本法案による保護の対象となります(2条1項(cc))。
なお、欧州AI法は以下には適用されないこととされています(2条3~5e項)
- 軍事目的で開発されたAIシステム(EUの規制権限の範囲外)
- EUやその加盟国と、法の執行または司法共助の協定を結んでいる非EU加盟国および国際機関の公的機関
- 上市またはサービス開始前のAIシステムに関する研究、試験、開発活動
- フリーおよびオープンソースのソフトウェア(後述の禁止または高リスクのAIに分類される場合を除く)
Ⅴ 欧州AI法案における義務の概要
1. 4段階の規制
欧州AI法案は、AIがもたらし得るリスクの高さに応じて、規制の強さを4つのランクに分けています(リスク・ベース・アプローチ)。すなわち、AIは「禁止されたAI」、「高リスクAI」、「低リスクAI」、「最小リスクAI」に分けられます。
|
分類 |
概要 |
規制レベル |
例 |
|---|---|---|---|
|
禁止されたAI |
安全、セキュリティ、基本的権利の観点で容認できないリスクをもたらすため禁止される |
禁止 |
ソーシャルスコアリング(特定の個人や団体に不利益をもたらすもの。なお、2021年4月版では「公的機関によるスコアリング」に限定されていましたが、当該制限は削除された)、職場や教育現場での感情認識、人種などセンシティブな特徴に基づく生体分類、犯罪行動予測や法執行目的の生体認証などへのAIの使用(一部例外あり) |
|
高リスクAI |
上市前の適合性評価など、厳格な法の要件を順守することが条件となる |
厳格 |
入学や採用、生体認証による監視、医療機器などの安全部品、重要な民間・公的サービスの給付(健康保険や生命保険など)、重要インフラなどへのAIの利用 |
|
低リスクAI |
透明性確保など限定的な条件がある |
限定的 |
人と直接対話するAIシステム(チャットボットなど)や、ディープフェイクに関するシステム |
|
最小リスクAI |
一定の自主的な行動規範の作成が推奨される。強制される措置はない |
最小限 |
上記に分類されないその他のすべてのAIシステム(写真編集、商品の推薦、スパムフィルタリング、スケジュール管理のソフトなど) |
禁止されたAIとして法文に列挙されたAIの利用、提供は認められません。
2023年6月版法案では、高リスクAIには、概要、以下のような措置が求められます。
- リスク管理システムの構築(9条)
- データガバナンスの実施(10条)
- 上市前の適切な技術文書の作成と更新(11条)
- 作動期間中のログの保存(12条)
- システムの透明性確保と情報提供(13条)
- 人間による監督の確保(14条)
- 利用目的に応じた適切な水準の正確性、頑健性、サイバーセキュリティの確保(15条)
高リスクAIの提供者は、上市前に、適合性評価を実施した上で、所定のデータベースに当該AIシステムを登録することが求められます(19条、51条)。適合性評価は自己評価で足りる場合もありますが、AIが所定の安全部品に利用される場合など、第三者による評価を要求される場合もあります。
高リスクAIの導入者も、当該AIシステムの使用前に所定の基本的権利影響評価(Fundamental rights impact assessment)を実施しなければなりません(29a条)。高リスクAIの流通者や輸入者、提供者の代理人にも、市場に出す前に、法への適合性や技術文書の確認を行うことが求められます(25~27条)。
2. 生成AIの規制
前述のとおり、欧州AI法案は、上記の4つの規制レベルの議論とは別に、ChatGPTなどの急速な普及を受け、生成AIを念頭に特別な規制を設けています。
妥協案は、一般のGPAIモデルについて、技術文書の作成や、当該モデルを自社システムに組み込もうとする提供者への情報提供、EU著作権法の順守、学習に使用されたコンテンツのサマリーの公開といった一定の透明性確保を求めています。
さらに妥協案は、特にシステム上のリスクが高いGPAIモデルについて、モデル評価やシステムリスクの評価、敵対的テストの実施、サイバーセキュリティの確保といった、加重された措置を求めています。
欧州理事会によれば、暫定合意案では、かかる生成AIを念頭とした規制について、新たな定めが追加されているとのことです。具体的な内容は、今後の公表される法文を確認する必要があります。
Ⅵ 違反者への罰則
欧州理事会によれば、暫定合意案では、違反者は以下の制裁金の対象となります。EUのGDPRより重い基準です。ただし、暫定的合意では、中小企業やベンチャー企業に対する制裁金額には、比例した上限が認められます。
|
違反事由 |
制裁金額の上限 |
|---|---|
|
「禁止されたAI」への違反 |
3,500万ユーロまたは前年度の全世界年間売上高の7%のいずれか高い金額 |
|
高リスクAIの提供者としての義務など、AI法に定める義務への違反 |
1,500万ユーロまたは前年度の全世界年間売上高の3%のいずれか高い金額 |
|
当局への不正確な情報提供 |
750万ユーロまたは前年度の全世界年間売上高の1.5%のいずれか高い金額 |
Ⅶ 今後の展望と日本企業への影響
法案は、順調に進めば、2024年4月にEU理事会の承認を経て公布されます。常に最新の状況をフォローすることが重要です。
公布された内容は20日後に発効し、発効から6カ月で「禁止されたAI」についての規制が施行されます。発効後2年で全面的な施行が予定されています。
前述のとおり、日本企業であっても、EU内にグループ会社がある場合、EU向けにAIのサービスを提供しようとする場合、AIのアウトプットをEU域内で使用する場合、禁止されたAIに該当し得るシステム(人事における感情分析や社会的スコアリングのシステムなど)を利用・提供しているような場合などには、欧州AI法の適用の有無を検討する必要があります。
日本では、いまだソフトローや自主規制に対応が委ねられていることもあり、AIガバナンスの構築は途上という企業も少なくないと考えます。
特にグローバルでAI関連のサービスを提供されている場合、サービスを見直すために十分な準備期間が必要です。形式的にはGDPRよりも重い制裁金の対象となり得ることを考えますと、仮にAIを活用している事業が、付随的なものであるとか、ひ孫会社の事業であるからといって、リスクを軽視できるものではありません。早めにリスクの洗い出しをしておくことが求められます。
サマリー
2023年12月にEUで暫定合意された世界初の包括的なAI規制法案について、同法が予定する規制対象(対象となるAIシステムや、域外適用の定め)や義務・制裁についての定めを概観し、さらに、同法の施行までのスケジュールや本法に関して日本企業に推奨される点について考察します。
EYの関連サービス
-
EYのデジタル法務チームは、データやサイバー空間、デジタル知的財産、デジタル規制法、電子商取引法といった領域のリスク特定と問題の対処をサポートします。詳しい内容を知る
続きを読む -
昨今生成AIの急速な普及により、AIが身近に感じられ、業務において幅広く活用されるようになってきています。AIの利用により業務品質や生産性の向上が期待される一方、AIの利用には、正確性・公平性・知的財産権・セキュリティ・プライバシーなど、さまざまなリスクが存在します。 EYでは、組織においてAI活用を進めていくにあたり、そうした多様なリスクに対応したガバナンスの構築を支援します。
続きを読む -
EYのチームは監査、検証、認証、評価する各種業務の提供により、企業のテクノロジー導入と利用から生じるリスクを特定し、その理解、評価、管理、軽減を支援しています。
続きを読む
情報センサー
EYのプロフェッショナルが、国内外の会計、税務、アドバイザリーなど企業の経営や実務に役立つトピックを解説します。
