2021年4月、欧州委員会は、待望されていた旗艦的な人工知能規制に関する法案提案を公表しました。一般に「人工知能法」（以下「AI法」）と呼ばれる本法案は、AIシステムに対する水平的規制を実現しようとする世界初の包括的な試みです。AI法は、AIおよびその特定の用途に伴う有害なリスクに対処すると同時に、この分野における責任あるイノベーションを促進することを目的としています。成立すれば、本法は、企業が人工知能技術を開発、展開、保守、利用する方法を恒久的に再定義することになります。

‍

AI法の主な特徴

「人工知能システム」（AIシステム）の定義：

欧州委員会は、AIシステムについて広範な定義を提示しており、その対象は、機械学習、論理および知識ベースのシステム、統計的アプローチといった、幅広く定義された複数のAIアプローチおよび技術を包含するソフトウェアベースの技術に及びます。

リスクベースアプローチ：

本規則は、AIリスクへの対応にあたり、リスクベースのピラミッド型アプローチを採用し、市場参加者に課される要件および義務を、各AIシステムがもたらすリスクのレベルに応じて調整します。4つのリスク区分については、以下でさらに説明します。

1. 受容し得ないリスク。 このピラミッドの頂点には、利用者およびより広範な社会に対して受容し得ないリスクをもたらすと考えられるAIユースケースの区分が位置づけられており、したがって、これらは全面的に禁止されます。禁止対象システムの一覧には、潜在意識への働きかけを伴う操作、リアルタイム生体認証、公共機関による社会的スコアリング、脆弱な社会的集団の搾取などを含むAI技術が挙げられますが、これらに限定されません。

2. 高リスク。利用自体は許容されるものの、個人の安全または基本的権利に悪影響を及ぼす可能性のある広範な高リスクAIシステムについては、より厳格な要件が提案されています。この区分に含まれるアプリケーションには、インフラ、教育、雇用、法執行に用いられるシステム、ならびに既にEUの保健・安全法制の対象となっている製品の安全構成要素を構成するシステムが含まれます。高リスクシステムに適用される具体的な規則は、とりわけ、組織に対して次の事項を求めています。

• あるシステムに関して適切なリスク評価が実施されることを確保するためのリスク管理システムを整備すること;

• 自社システムに関する包括的な技術文書を作成すること;

• アプリケーションを導入前の適合性評価に付すこと;

• 高水準のデータガバナンスおよびデータ管理手続を維持すること; および

• システムが堅牢性、サイバーセキュリティおよび正確性に関する高い基準に適合することを確保すること。

3. 限定的リスク。 明示的に禁止されておらず、高リスクとも分類されないアプリケーションは、概ね規制の対象外とされています。限定的リスクのシステムには、利用者がAIツールと対話していることを知らされることのみを要件とする、より負担の小さい透明性ルールが適用されます。

4. 最小リスク。 他のいずれの区分にも該当しないアプリケーションについては、特段の要件は設けられておらず、したがって最小リスクとみなされますが、事業者は、関与するリスクの水準にかかわらず、すべてのAIシステムに倫理ベースのアプローチを採用することが推奨されます。実際、AI法第69条は、低リスクAIシステムの提供者および利用者に対し、高リスクのシステムと同等の基準を、比例原則に基づき自主的に遵守することを奨励する「包括条項」として機能します。

コンプライアンスの責任者は誰か、また違反時の結果は何か：

各市場参加者に適用される義務は、AIライフサイクルにおける役割に応じて異なります。AI法は、「提供者」「利用者」「輸入者」および「販売業者」を区別し、それぞれに異なる義務を課しています。現行のEU AI法草案における罰則は非常に重く、最も重大な違反に対する制裁金は年間売上高の6％に達する可能性があります。

‍

現時点の状況

公表以来、本法案は欧州連合の他の立法機能および関係する第三者から広範なコメントを受けています。主要な未解決事項のいくつかを以下で取り上げます。

「人工知能システム」の定義：

何が「AIシステム」に該当するかの判断は、AI法の下で責任を配分するうえで極めて重要です。概念を定義しようとする第3条第1項の広範な定義範囲は、業界関係者の間で大きな論争の的となってきました。欧州理事会議長国を務めるチェコが提示した妥協修正案は、この包括的な定義によって生じる曖昧さの解消を図るものです。このより狭い定義では、次の2つの追加要件を導入することで、従来型のソフトウェアシステムを本規則の適用範囲から除外しています。すなわち、(1) システムが機械学習技術および知識ベースのアプローチによって開発されていること、ならびに (2) 対象となるアプリケーションが、相互作用する環境に影響を及ぼす「生成システム」であることです。

AIの「提供者」と「利用者」との間における責任配分：

AI法は、主として利用者ではなく提供者（すなわち、当該AIシステムを開発する者）にコンプライアンス義務を課しています。業界団体は、このトップダウン型の責任配分は、AIサービスが下流で予見しがたい目的に使用される場合や、誰が正確に提供者であるかを特定しにくい場合に、問題を生じ得ると主張しています。

汎用AI：

アプリケーションが汎用AIシステムに分類されるかどうかは、複数のタスクをさまざまな文脈で遂行できる能力に左右されます。本年5月、EUの政策担当者は、低リスク用途であっても、EU AI法の要件をすべての汎用AIに拡大する意向を表明しました。これは、提案の中核にあるリスクベースアプローチからの根本的な逸脱であり、イノベーションを阻害しかねないとして、反対派から強い批判を受けています。本年9月には、理事会が、汎用AIに包括的なリスク評価手続を義務付ける妥協案を提案し、これにより低リスクの汎用AIシステムはAI法のより厳格な要件の対象外となります。この提案は、概して好意的に受け止められています。

義務的な基本原則：

すべてのAIシステム（リスクレベルにかかわらず）に対して、公平性、透明性および説明責任に関する基本原則を義務化することを提案する勧告が、欧州議会議員（MEP）により提出され、最終判断を待っています。

標準：

立法プロセスと並行して、欧州委員会は、欧州標準化機構であるCENおよびCENLECに対し、AI法への適合性を測るための技術標準の策定を要請しています。これらの機関が策定する標準は任意ですが、自社システムがそれらに適合していることを示せる組織は、AI法への適合が推定されるという利益を享受できます。

課題

AI法はなおEUの複雑な立法手続を進行中です。しかし、多くの組織はすでにAI法への備えを開始しています。この分野が成熟するにつれ、リスク管理システムの導入や詳細な技術レビューの実施といった先手の対応は、規制上の義務の有無にかかわらず、組織に明確な利益をもたらします。

なお、プロセスには依然として多くの課題があります。エコシステムにおいて市場参加者が果たす役割を理解し、リスクレベルの設定という複雑さを乗り越えたうえで、AI法に基づく関連義務の適用可能性を判断し、これを遵守することは、この分野で事業を行う企業にとって間違いなく大きな負担となります。Enzaiプラットフォームはこの点を踏まえて設計されており、組織がこの分野を迅速かつ効率的に進められるよう支援し、将来にわたって有効なAI技術の構築に集中できるようにします。

Enzaiは、組織が抽象的なポリシーから運用レベルの監督へ移行することを支援するために専用設計された、業界をリードするエンタープライズAIガバナンスプラットフォームです。当社のAIリスク管理プラットフォームは、エージェント型AIガバナンスを管理し、包括的なAIインベントリを維持し、EU AI法へのコンプライアンスを確保するために必要な専門的インフラを提供します。複雑なワークフローを自動化することで、Enzaiは、ISO 42001やNISTのような国際標準との整合性を維持しながら、企業が安心してAI導入を拡大できるよう支援します。