はじめに
2022年11月に米OpenAIがChatGPTを公開して以降、AIの利用が飛躍的に拡大しています。
AIを利用した業務の効率化などの恩恵を実感されていると思います。
一方で、AIが犯罪などに悪用されるという危険性も指摘され、AIの安全な利用に関する議論が世界各国で行われています。
このような状況の中、EUでは、2024年5月にAIを規制する法案が成立し、2024年8月1日に発効しました。
本記事では、EU AI法の特徴と日本企業は何から着手すれば良いのかを解説いたします。
EU AI法(EU AI Act)とは?
EU AI法の目的
EU AI法の第1条に、目的として以下の内容が記載されています。
The purpose of this Regulation is to improve the functioning of the internal market and promote the uptake of human-centric and trustworthy artificial intelligence (AI), while ensuring a high level of protection of health, safety, fundamental rights enshrined in the Charter, including democracy, the rule of law and environmental protection, against the harmful effects of AI systems in the Union and supporting innovation.
(EU Artificial Intelligence Act, Article 1)
健康や安全、基本的権利などに対して有害な影響を及ぼすAIの利用を規制し、人間中心で信頼できるAIの導入を促進してイノベーションを支援するという趣旨の法律であると考えられます。
EU AI法の規制対象
EU AI法の規制対象は、AIシステムと汎用目的AIモデル(GPAI: General-purpose AI model)であり、第3条に定義が記載されています。
AIシステム
様々なレベルの自律性で動作するように設計され、導入後に適応性を示すことがあり、明示的または暗黙的な目的のために、受け取った入力から、物理環境または仮想環境に影響を与える出力(予測、コンテンツ、推奨、決定など)を生成する方法を推論する機械ベースのシステム。
汎用目的AIモデル
大量のデータを使用して自己監督で大規模に訓練されたAIモデルを含み、モデルが市場に投入される方法に関係なく、大きな汎用性を示し、広範囲の異なるタスクを適切に実行することができ、さまざまな下流システムまたはアプリケーションに統合できるAIモデル。
ただし、市場投入前の研究、開発、またはプロトタイピング活動に使用されるAIモデルは除外。
EU AI法の適用対象者
また、第2条にはEU AI法の適用対象者が下記のとおり定められています。
(a)
EU域内でAIシステムを市場に投入、サービス提供する、または汎用目的AIモデルを市場に投入するプロバイダー(プロバイダーはEU域内に設立または所在しているか否かにかかわらず対象)
(b)
EU域内に設立または所在しているデプロイヤー
(c)
EU域外に設立または所在しているが、AIシステムのアウトプットがEU域内で使用されるプロバイダーおよびデプロイヤー
(d)
AIシステムのインポーターおよびディストリビューター
(e)
自社製品および自社の名称や商標とともにAIシステムをEU域内の市場に投入する、またはサービス提供する製品製造者
(f)
EU域内に設立されていないプロバイダーの正規代理人
(g)
EU域内に所在する影響を受ける者
このEU AI法で使用されている適用対象者のタイプに関する言葉は、日本のIT分野で使用されている言葉(カタカナ語)と一致するわけではなく、注意が必要ですので簡単にまとめておきます。
ここでいう、「プロバイダー」は、AIシステムや汎用目的AIモデルの開発者または提供者です。
また、(b)と(c)に記載されている「デプロイヤー」の意味が分かりにくいですが、第3条の(4)を見ると、デプロイヤーはAIシステムの利用者であると定義されています。
「インポーター」は、EU域外からEU市場にAIシステムを輸入するEU域内に設立または所在する輸入業者、「ディストリビューター」はEU市場で活動する販売代理店ととらえておけば良いでしょう。
ここでは、特に(a)と(c)は注意が必要なポイントと言えます。
(a)は、例えば、EU域内に拠点が無い日本企業が、AIシステムをEU市場に投入するケースが該当します。
また、(c)はAIシステムのアウトプットがEU域内で使用される場合、そのAIシステムを提供または利用しているEU域内に拠点が無い日本企業が該当するということになります。
EU AI法(EU AI Act)の特徴
このパートでは、EU AI法の主な特徴を解説します。
リスクレベルに応じた規制
EU AI法はリスクベースアプローチを採用し、AIシステムのリスクを4つのレベルに分けて、それぞれのリスクレベルに応じた規制を設定しています。
これはEU AI法の最も大きな特徴と言えるでしょう。
リスクレベルと規制内容および対象AIシステムは下図のとおりです。
図:EU AI法におけるリスクレベルに応じた規制(AI ActおよびEU官報を基にトレンドマイクロが作成)
各リスクレベルの対象となるAIシステムの詳細は、EU AI法の第5条、6条、50条をご確認ください。
「ハイリスク」と「限定的なリスク」に該当するAIシステムのプロバイダーとデプロイヤーには、以下の義務が課されています。(第16条、26条、50条)
リスクレベル
プロバイダーの主要な義務
デプロイヤーの主要な義務
ハイリスク
●第8条~15条のシステム要件の遵守
●名称、登録商標および連絡先住所の表示
●品質管理システムの整備
●文書の保管
●ログの保管
●適合性評価の実施
●EU適合宣言の作成
●CEマークの付与
●EUデータベースへの登録
●是正措置および情報提供
●システム要件への適合性の証明
●アクセシビリティ要件の遵守
●使用説明書に従った技術的・組織的措置
●人的監視の割り当て
●入力データの管理
●AIシステムの運用監視
●リスクがある場合や重大インシデント発生時の市場監視当局等への通知
●自動生成されるログの保管
●労働者への通知
●EUデータベース未登録時の連絡
●データ保護影響評価の実施
●司法当局への使用許可申請
●自然人への通知
●関係する管轄当局への協力
限定的なリスク
●AIシステムと対話していることが通知される方法での設計および開発を保証
●AIシステムの出力が機械可読形式でマークされ、人工的に生成または操作されたものとして検出可能であることを保証
●感情認識システムまたは生体認証分類システムの影響を受ける自然人への通知
●画像、音声、動画コンテンツおよび文章が人工的に生成されたことを開示
汎用目的AIモデルの規制
テキスト、音声、画像などを作ることができる生成AIモデルが、汎用目的AIモデルの典型例として挙げられます。
AIシステムの4つのリスクレベルに応じた規制とは別に、汎用目的AIモデルに対する規制が設定されています。
さらに、汎用目的AIモデルがシステミックリスク(Systemic Risk)※を有する場合は規制が追加されています。
※影響力の大きい汎用目的AIモデルの特有のリスクであり、その範囲によりEU市場に重大な影響を及ぼすか、または公衆衛生、安全、公共の安全、基本的権利、または社会全体に実際にまたは合理的に予見可能な悪影響を及ぼし、バリューチェーン全体に大規模に伝播する可能性があるリスク(第3条)
汎用目的AIモデルのプロバイダーに課されている義務は下記のとおりです。(第53条、54条、55条)
汎用目的AIモデル一般
システミックリスクを有する汎用目的AIモデル
●技術文書の作成と更新
●汎用目的AIモデルを自社のAIシステムに組み込むプロバイダーへの情報提供
●著作権および関連する権利に関するEU法の遵守
●学習に使用したコンテンツの情報公開
●EU域外のプロバイダーはEU域内に正規代理人を任命
●モデル評価の実施
●EUレベルでシステミックリスクの評価および軽減
●是正措置に関する情報の記録と当局への報告
●適切なレベルのサイバーセキュリティ保護
なお、第51条にシステミックリスクを有する汎用目的AIモデルの条件が定義されています。
(a)適切な技術的ツールや方法論、指標やベンチマークに基づいて評価された高い影響力※を持っていること。
※モデルの学習に使用した累積計算量が浮動小数点演算(FLOPs(Floating Point Operations))で10の25乗を超える場合、高い影響力を持つと推定されるとしています。AI研究の推進団体である「EPOCH AI」が公表している研究によると、GoogleのGemini Ultra、Open AIのGPT-4をはじめ、ほとんど著名なAIモデルは10の25乗以上の演算力を持ちます。
(b)科学パネルからの適格な警告に基づくか、または職権で、附属書XIIIに定められた基準を考慮して、(a)に示されたものと同等の能力または影響力を有するとの委員会の決定に基づくこと。
罰則
EU AI法が定める規制に違反した場合、非常に高額な制裁金が科されることになります。(第99条)
違反内容
制裁金
禁止されるAIの規程違反
3,500万ユーロまたは全世界総売上高の7%のいずれか高い方
その他の義務に関する規定への違反
1,500万ユーロまたは全世界総売上高の3%のいずれか高い方
当局に対して不完全または誤解を招く情報の提供
750万ユーロまたは全世界総売上高の1%のいずれか高い方
汎用目的AIモデルのプロバイダーが下記の行為を行った場合、1,500万ユーロまたは全世界総売上高の3%のいずれか高い方の制裁金が科されます。(第101条)
(a)規制に違反した場合
(b)文書、情報提供の要求に応じなかった場合、または不正確、不完全もしくは誤解を招く情報を提供した場合
(c)要請された措置に応じなかった場合
(d)汎用目的AIモデルへのアクセスを欧州委員会に提供しなかった場合
適用スケジュール
EU AI法は、2025年2月2日から段階的に適用され、2027年8月2日に全面施行される予定です。
図:EU AI法の適用スケジュール(「EU Artificial Intelligence Act」のImplementation TimelineおよびEU官報を基にトレンドマイクロで作成)
EU AI法の各章と適用開始日の関係は下記のとおりです。
EU AI法
2025年2月2日
2025年8月2日
2026年8月2日
2027年8月2日
第1章 総則
✓
第2章 禁止されるAI
✓
第3章 ハイリスクAIシステム
✓
(4節のみ)
✓
(第6条1項を除く)
✓
第4章 透明性の義務
✓
第5章 汎用目的AIモデル
✓
✓
第6章 イノベーション支援の措置
✓
第7章 ガバナンス
✓
✓
第8章 ハイリスクAIシステムに関するEUデータベース
✓
(第78条のみ)
✓
第9章 市販後モニタリング、情報共有、市場監視
✓
第10章 行動規範とガイドライン
✓
第11章 権限移譲と委員会の手続き
✓
第12章 罰則
✓
(第99条、100条のみ)
✓
第13章 最終規定
✓