2021年4月、欧州委員会は、人工知能の規制に関する、待望されていた旗艦的な草案提案を公表しました。一般に人工知能法（以下「AI法」）として知られる本提案は、AIシステムに対する水平的規制を実施するための、世界初の包括的な試みを示すものです。AI法は、AIおよびその特定の利用に関連する有害なリスクに対処するとともに、この分野における責任あるイノベーションを促進することを目的としています。成立すれば、本法は、企業が人工知能技術を開発、展開、保守、活用する方法を恒久的に再定義することになります。

‍

AI法の主な特徴

「人工知能システム」（AIシステム）の定義：

欧州委員会は、AIシステムについて広範な定義を提示しており、その対象は、機械学習、論理・知識ベースのシステム、および統計的アプローチといった、複数の広義のAIアプローチや技術を包含するソフトウェアベースの技術にまで及びます。

リスクベースのアプローチ：

本規則は、リスクレベルに応じて市場参加者に求められる要件および義務を調整しつつ、AIリスクに対処するためのリスクベースのピラミッド型アプローチを採用します。以下に、4つのリスク区分をさらに詳しく示します。

1. 許容できないリスク。 このピラミッドの頂点には、利用者およびより広い社会に対して許容できないリスクをもたらすと考えられるAIのユースケースが位置づけられており、したがって全面的に禁止されます。禁止対象システムの一覧には、潜在意識への働きかけを伴う操作、リアルタイムの生体認証識別、公的機関による社会的スコアリング、または脆弱な社会集団の搾取を伴うAI技術などが含まれますが、これらに限定されません。

2. 高リスク。 利用は可能であるものの、個人の安全または基本的権利に悪影響を及ぼす可能性のある多数の高リスクAIシステムについては、より厳格な要件が提案されています。この区分には、インフラ、教育、雇用、法執行におけるシステム、ならびにすでにEUの健康・安全法令の適用を受ける製品の安全性構成要素を構成するものが含まれます。高リスクシステムに適用される具体的な規則は、とりわけ、組織に対して以下を求めています。

• 特定のシステムに関して適切なリスク評価が行われることを確保するため、リスク管理システムを整備すること。

• 自社システムに関する包括的な技術文書を作成すること。

• 展開前の適合性評価を自社アプリケーションに受けさせること。

• 高品質なデータガバナンスおよびデータ管理手続きを維持すること。

• システムが、堅牢性、サイバーセキュリティ、および正確性について高水準を満たすことを確保すること。

3. 限定的リスク。 明示的に禁止されておらず、また高リスクとも分類されないアプリケーションは、概して規制の対象外となります。限定的リスクのシステムには、より負担の軽い透明性ルールのみが適用され、利用者がAIツールとやり取りしていることを知らされることを求めるにとどまります。

4. 最小リスク。 他のいずれの区分にも当てはまらないアプリケーションについては、特段の要件は存在せず、そのためリスクは最小とされますが、企業はリスクの程度にかかわらず、すべてのAIシステムに対して倫理に基づくアプローチを採用することが推奨されます。実際、AI法第69条は、より低リスクのAIシステムの供給者および利用者に対し、比例原則に基づいて、高リスクシステムと同じ基準を任意で遵守するよう促す「包括的受け皿」規定として機能します。

誰がコンプライアンス責任を負い、違反の結果はどうなるか：

AIのライフサイクルにおいて各市場参加者が果たす役割に応じて、それぞれ異なる義務が適用されます。AI法は、「提供者」、「利用者」、「輸入者」および「販売代理者」を区別し、それぞれに異なる義務を課しています。現行のEU AI法草案における制裁は厳格です。最も重大な違反に対する罰金は、年間売上高の最大6％に達する可能性があります。

‍

現状

公表以来、本法は欧州連合の他の立法機能や関心を有する第三者から、広範な論評を受けてきました。主な未解決点のいくつかを、以下にさらに詳しく説明します。

「人工知能システム」の定義：

何が「AIシステム」を構成するのかを定めることは、AI法の下で責任を配分するうえで極めて重要です。概念を定義しようとする第3条第1項の広範な定義範囲は、業界関係者の間で多くの論争の的となってきました。チェコ議長国が欧州理事会に提出した妥協修正案は、この広範な定義によって生じる曖昧さに対処しようとするものです。このより狭い定義では、追加要件を2つ導入することにより、従来型ソフトウェアシステムを規則の適用範囲から除外しています。(1) システムが機械学習技術および知識ベースのアプローチを通じて開発されていること、(2) 対象アプリケーションが、それらと相互作用する環境に影響を与える「生成システム」であること、です。

AIの「提供者」と「利用者」の間の責任分担：

AI法は主として、利用者ではなく提供者、すなわち特定のAIシステムを開発する者に対してコンプライアンス義務を課しています。業界団体は、このトップダウン型の責任配分は、AIサービスが下流で予見し得ない目的に使用される場合や、誰が正確な提供者であるかを特定することが困難な場合に、問題となり得ると主張しています。

汎用AI：

アプリケーションが汎用AIシステムとして分類されるかどうかは、さまざまな文脈において複数のタスクを実行できるか否かにかかっています。今年5月、EUの政策立案者は、低リスクの用途であっても、EU AI法の要件をすべての汎用AIに拡大する意向を発表しました。これは、提案の中核にあるリスクベースのアプローチからの根本的な逸脱であり、イノベーションを阻害するおそれがあるとして、反対派から強い批判を受けています。今年9月には、理事会が、汎用AIに包括的なリスク評価手続を受けさせることを条件として、低リスクの汎用AIシステムをAI法のより厳格な要件の対象外とする妥協案を提案し、これについては概ね好意的に受け止められています。

義務的な基本原則：

すべてのAIシステムに対して、公平性、透明性、説明責任に関する基本原則を義務化する提言が欧州議会議員（MEP）によって提出され、最終判断を待っています。

標準：

立法手続と並行して、欧州委員会は欧州標準化機構であるCENおよびCENLECに対し、AI法への適合性を評価するための技術標準の策定を要請しました。これらの機関が策定する標準は任意ですが、自社システムがそれらを満たすことを示した組織は、AI法に適合しているとの推定を受けることができます。

課題

AI法は、なおEUの複雑な立法手続を進行中です。しかし、多くの組織はすでにAI法への準備を開始しています。この分野が成熟するにつれ、リスク管理システムの導入や詳細な技術レビューの実施といった先手を打った対応の利点は、規制上の義務の有無にかかわらず、組織にとって明確な価値をもたらします。

このプロセスには、なお多くの課題が残されています。市場参加者がエコシステム内で果たす役割を理解し、リスクレベルを設定する複雑さを乗り越え、そのうえでAI法に基づく関連義務の適用可能性を判断し遵守することは、間違いなく、この分野で事業を行う者に負担をもたらします。Enzaiプラットフォームはこの点を踏まえて設計されており、組織がこの分野を迅速かつ効率的に進められるよう支援することで、将来にわたって有効なAI技術の構築に注力できるようにします。

当社のEU AI法ソリューションの詳細にご関心をお持ちでしたら、hey@enz.ai までご連絡ください。どのようにお役立てできるかご案内いたします。また、当社ブログでは、米国および英国におけるAI規制へのアプローチに関する記事もご覧いただけます。

‍