EU人工知能法に関する洞察

2021年4月、欧州委員会は、人工知能の規制に関する、非常に注目度の高い旗艦的な法案提案を公表しました。一般に人工知能法（「AI法」）として知られる本提案は、AIシステムに対する水平的な規制を導入しようとする、世界初の包括的な試みを示すものです。AI法は、AIおよびその特定の用途に関連する有害なリスクに対処するとともに、この分野における責任あるイノベーションを促進することを目的としています。成立すれば、本規則は、企業が人工知能技術を開発、展開、保守および活用する方法を恒久的に再定義することになります。

‍

AI法の主な特徴

「人工知能システム」（AIシステム）の定義:

欧州委員会は、AIシステムについて広範な定義を提示しており、その対象は、ソフトウェアベースの技術であって、広く定義された複数のAIアプローチおよび技術、すなわち「機械学習」、「論理・知識ベース」システム、「統計的アプローチ」を包含するものに及びます。

リスクベースのアプローチ:

本規則は、リスクの段階に応じて市場参加者の要件および義務を最適化する、リスクベースのピラミッド型アプローチを採用します。リスクの4区分については、以下で詳述します。

1. 許容不能なリスク。 このピラミッドの頂点には、ユーザーおよび社会全体に許容不能なリスクをもたらすと考えられるAIのユースケースが位置付けられ、それらは全面的に禁止されます。禁止されるシステムの例には、潜在意識下での操作、リアルタイム生体認証識別、公的機関による社会的スコアリング、または脆弱な社会的集団の搾取などが含まれますが、これらに限定されません。

2. 高リスク。利用は可能であるものの、個人の安全または基本的権利に悪影響を及ぼす可能性のある幅広い高リスクAIシステムについては、より厳格な要件が提案されています。この区分には、インフラ、教育、雇用、法執行におけるシステムや、既にEUの健康安全法制の対象となっている製品の安全構成要素を担うシステムが含まれます。高リスクシステムに適用される具体的規則は、とりわけ、組織に対し以下を求めます。

• 特定のシステムに関して適切なリスク評価が実施されるよう、リスク管理システムを整備すること;

• 自社システムに関する包括的な技術文書を作成すること;

• 導入前の適合性評価の対象とすること;

• 高品質なデータガバナンスおよびデータ管理手順を維持すること; ならびに

• システムが堅牢性、サイバーセキュリティおよび精度に関する高水準の基準を満たすようにすること。

3. 限定リスク。 明示的に禁止されておらず、また高リスクとも分類されないアプリケーションは、概ね規制の対象外とされています。限定リスクシステムには、ユーザーがAIツールとやり取りしていることを通知するだけの、より負担の小さい透明性要件が適用されます。

4. 最小限のリスク。 他のいずれの区分にも該当しないアプリケーションについては、特段の要件はなく、したがって最小限のリスクしかもたらしませんが、リスクの程度にかかわらず、すべてのAIシステムに対して倫理に基づくアプローチを企業が採用することが推奨されます。実際、AI法第69条は、より低リスクのAIシステムのベンダーおよびユーザーに対し、比例的な観点から、高リスクのシステムと同等の基準を自主的に遵守することを促す、包括条項として機能します。

コンプライアンスの責任者は誰か、また違反時の結果は何か:

AIライフサイクルにおいて各市場参加者が担う役割に応じて、それぞれ異なる義務が適用されます。AI法は、「提供者」「ユーザー」「輸入者」および「流通業者」を区別し、それぞれに異なる義務を課します。現行ドラフトのEU AI法における罰則は非常に厳格です。最も悪質な違反に対する制裁金は、年間売上高の最大6％に達する可能性があります。

‍

現在の状況

公表以来、本法案には欧州連合の他の立法機関および関心を有する第三者から数多くのコメントが寄せられています。未解決の主要論点については、以下でさらに取り上げます。

「人工知能システム」の定義:

「AIシステム」に該当するかの判断は、AI法下における責任配分にとって極めて重要です。概念を定義しようとする第3条第1項の広範な定義範囲は、業界関係者の間で大きな議論の的となってきました。チェコ議長国が提示した妥協修正案は、この広範な定義によって生じた曖昧さの解消を図るものです。このより限定的な定義では、(1) システムが機械学習技術および知識ベースのアプローチを通じて開発されること、ならびに (2) 対象となるアプリケーションが、相互作用する環境に影響を及ぼす「生成システム」であること、という2つの追加要件を導入することで、従来型ソフトウェアシステムを本規則の適用範囲から除外しています。

AI「提供者」と「ユーザー」との間の責任配分:

AI法は、主としてユーザーではなく提供者（すなわち、当該AIシステムを開発する者）にコンプライアンス義務を課しています。業界団体は、このトップダウン型の責任配分は、AIサービスが下流で予見不可能な目的に利用される場合や、真に誰が提供者であるかを特定することが困難な場合に、問題となり得ると指摘しています。

汎用AI:

アプリケーションが汎用AIシステムとして分類されるかどうかは、複数のタスクを多様な文脈で実行できる能力に左右されます。本年5月、EUの政策立案者は、低リスク用途の場合であっても、EU AI法の要件をすべての汎用AIに拡大する意向を表明しました。これは、提案の中核を成すリスクベースのアプローチからの根本的な逸脱であり、イノベーションを阻害しかねないとして、反対派から強い異議が唱えられ、議論を呼びました。本年9月、理事会は、汎用AIに包括的なリスク評価手続きを義務付ける妥協案を提示し、これにより低リスクの汎用AIシステムは、AI法下のより厳格な要件の適用対象外となります。この案は概ね好意的に受け止められています。

義務的な基本原則:

すべてのAIシステムに対し、公平性、透明性、および説明責任に関する義務的な基本原則を導入するよう求める勧告が欧州議会議員（MEP）によって提出され、最終的な判断を待っています。

標準:

立法プロセスと並行して、欧州委員会は欧州標準化機関であるCENおよびCENLECに対し、AI法への準拠を評価するための技術標準の策定を要請しています。これらの機関が策定する標準は任意ですが、自社システムがそれらを満たすことを示せる組織は、AI法への適合が推定されるという利益を享受できます。

課題

AI法は現在もEUの複雑な立法手続を進行中ですが、多くの組織はすでに対応準備を始めています。市場が成熟するにつれ、リスク管理システムの導入や詳細な技術レビューの実施といった先手の対応は、規制上の義務の有無にかかわらず、組織に明確な利益をもたらします。

それでも、プロセスには多くの課題が残されています。市場参加者がエコシステムの中で果たす役割を理解し、リスクレベルの設定の複雑さを乗り越え、そのうえでAI法に基づく関連義務の適用可能性を判断し、さらにそれらを遵守することは、この分野で事業を行う者にとって大きな負担となります。Enzaiプラットフォームはこの点を踏まえて設計されており、組織がこの領域を迅速かつ効率的に進めることで、将来を見据えたAI技術の構築に集中できるよう支援します。

Enzaiは、抽象的な方針を運用レベルの統制へと移行させることを支援するために設計された、エンタープライズ向けAIガバナンスのリーディングプラットフォームです。当社のエンタープライズAIガバナンスプラットフォームは、AIリスク管理プラットフォームとして、エージェント型AIガバナンスを管理し、包括的なAIインベントリを維持し、EU AI法への準拠を確実にするために必要な専門インフラを提供します。複雑なワークフローを自動化することで、Enzaiは、企業が ISO 42001 やNISTといったグローバル基準との整合性を維持しながら、自信を持ってAI導入を拡大できるよう支援します。