この夏に施行された EU AI Act（AIA）は、汎用 AI（GPAI）モデルの提供者に向けた原則を示しています。GPAI 提供者向けの、これらの原則を具体的かつ実務に落とし込んだ解釈は、欧州 AI 事務局が GPAI Code of Practice を公表する 2025 年 5 月に明らかになる予定です。GPAI Code of Practice に整合することで、欧州 AI 事務局が調和規格を公表するまでの間、GPAI 提供者は AIA の一部について「適合推定」を得られる可能性があります。

したがって、GPAI 提供者にとって、欧州委員会のウェブサイトで 11 月 14 日に公開された GPAI Code of Practice の初版にアクセスできたことは有益でした。このドラフトは、9 月 30 日以降、4 つのワーキンググループ内および相互の協働の成果です：

1: 透明性および著作権関連のルール

2: システミックリスクのためのリスク識別と評価

3: システミックリスクのための技術的リスク緩和

4: システミックリスクのためのガバナンス・リスク緩和

2025 年 5 月の最終版に至る反復プロセスにおける 4 つのドラフトのうち最初のものであることを踏まえても、36 ページに及ぶ Code of Practice ドラフトは、少なくとも 3 つの点で注目に値します。

1. 提供者の判定

まず、GPAI 提供者の判定が重要であることを認めています。OpenAI、Google、Anthropic、Meta、Cohere、Mistral は GPAI 提供者の最も明白な例ですが、AIA では、GPAI モデルを利用する組織が提供者とみなされる状況（たとえば、そのようなモデルに自社名や商標を付す場合）も定めています。AIA におけるグレーゾーンは、このようなモデルをファインチューニングした組織が提供者になるかどうかです。ドラフト版 Code of Practice では、最終版でこの論点に関する指針が示されるとしていますが、ファインチューニングにより提供者と見なされる場合でも、提供者の義務はファインチューニングの影響に限定されると説明しています。

2. システミックリスクの分類体系

第二に、GPAI システムに起因するシステミックリスクについて、種類、性質、発生源を含む高レベルの分類体系を示しています。AIA は、一定の AI システムをシステミックリスクをもたらすものとして分類しており（たとえば、「学習に使用された累積計算量を浮動小数点演算で測定した値が 10(^25) を超える場合」）、ドラフト版 Code of Practice が示す分類体系では、a) リスク種別の項目として「サイバー犯罪」から「大規模な差別」まで、b) リスクの性質の項目として発生源、リスクを推進する主体、および意図、c) 「危険なモデル能力」などのリスク源の項目が含まれています。分類体系は高いレベルで示されているにすぎませんが、欧州 AI 事務局が懸念する可能性の高いシステムリスクに関する考慮事項を把握する手がかりとなります。

3. 透明性

第三に、AIA 第 53 条の下で GPAI 提供者が実装者および欧州 AI 事務局と共有する必要のある「技術文書」および「情報」の種類について、一定の明確さを示しています。これらは、「許容利用ポリシー」から「アーキテクチャとパラメータ数」まで多岐にわたります。AIA の付属書との対応関係を参照しながらこれらの要素が具体化されているのは有益ですが、各要素に関して提供される詳細度には大きなばらつきがあります。

また、この文書は著作権の問題や、システミックリスクをもたらす GPAI システムに対するリスク評価および緩和策についても掘り下げています。

また、欧州 AI 事務局がこの初版を公開したことも注目に値します。これは、今後大きく変化する可能性が高いためです。これは、組織が AIA 対応を進める中でドラフト作成プロセスを追えるようにし、さらに、この草案作成アプローチが公開的・協働的・反復的であることを強調する目的で行われた可能性があります。この点について文書は、「初版は詳細に乏しいものの、このアプローチは、最終 Code の潜在的な形式と内容について、関係者に明確な方向性を示すことを目的としています。」と述べています。

Enzai が皆様を支援します

Enzai の AI GRC プラットフォームは、EU AI Act、Colorado AI Act、NIST AI RMF、ISO/IEC 42001 などのベストプラクティスおよび新たな規制、標準、フレームワークに沿って、貴社の AI 導入を支援します。詳細については、こちらまでお問い合わせください。

Enzai は、抽象的な方針から運用上の監督へと組織を移行させることを目的に構築された、業界をリードする企業向け AI ガバナンスプラットフォームです。弊社のAI リスク管理プラットフォームは、エージェンティック AI ガバナンスの管理、包括的なAI インベントリの維持、およびEU AI Act コンプライアンスの確保に必要な専門インフラを提供します。複雑なワークフローを自動化することで、Enzai は、ISO 42001およびNISTのようなグローバル標準との整合性を維持しながら、企業が安心して AI 導入を拡大できるよう支援します。