2024年8月発効 EU AI規制法への対応のために企業は何をするべきか？

2024年8月に発効され、今後2～3年にかけて段階的に施行されるEUのAI規制法は、企業にどのような影響を与えるのでしょうか。AI規制法はAI技術の使用における透明性と安全性を確保するために設けられたものであり、EU内でビジネスを行う企業が遵守すべきガイドラインと要求事項を示しています。この記事では、AI規制法の概要と要求事項、企業における対応事項について詳しくご紹介します。

AI規制法の概要

AI規制法は、EU内でビジネスを行う企業が遵守すべきガイドラインと要求事項を示すものです。2021年よりEU内で検討が進められ、2024年8月に発行されました。AI規正法は、世界で初めてAIに関する規制を設定したものであり、AI規制のグローバルスタンダードとなると想定されます。

AI規制法については、総務省にて和訳された資料^※1があります。詳しくAI規制法の内容について知りたい方は、こちらも併せてご覧になることをおすすめします。

※1：総務省「人工知能に関する調和の取れたルールを定める規則の提案」

AI規制法の目的

端的にいうと、健康面、安全面などAIのリスクに対処しつつ、AIの導入や投資、AIによるイノベーションを強化することがAI規制法の導入目的です。

AIの活用においては、予期せぬ動作により人間に害を与える可能性や不正確な情報が提供されることによる危険性など、さまざまなリスクが存在します。このようなリスクを抑えるためにも、AIに関する一定の規制が必要であると判断されています。

また、同法案では以下のとおりEU内におけるAIの活用促進や市場機能の向上なども目的が記載されています。

本規則の目的は、特に、EUの価値に適合する人工知能の開発、マーケティング及び利用に関する統一的な法的枠組みを規定することによって、域内市場の機能を高めることである。本規則は、健康、安全及び基本権の高い水準における保護など公共の利益に係る多くの優越的な理由を追求するとともに、AIベースの物品及びサービスが国境を越えて自由に移動することを確保する。

※引用：総務省「人工知能に関する調和の取れたルールを定める規則の提案」P20より

AI規正法に関するタイムライン

前述のとおり、AI規正に関する法律の制定は世界初となります。AI規制法に関するこれまでのタイムラインは以下のとおりです。

• 欧州委員会（EC）は2021年4月にAI規制法を提案
• 2023年12月、欧州議会と欧州理事会、欧州委員会（EC）はAI規制法を法制化することで合意
• 2024年8月、AI規制法の発行。今後、段階的に施行される予定

対象

AI規制法の対象は以下のとおりです。

・設立されたのがEU域内であるか第三国であるかにかかわらず、EUにおいてAIシステムを市場に置き又はサービスを提供する提供者

・EU域内に所在するAIシステムの利用者

・AIシステムが生み出すアウトプットが EU域内で利用される場合における、第三国に所在する当該システムの提供者及び利用者

※引用：総務省「人工知能に関する調和の取れたルールを定める規則の提案」P45より

このように、基本的にはEU内でビジネスを行う際に適用されるのがAI規制法です。近年では、グローバルにビジネス展開を進める企業も増えていますが、自社の商圏がEUにまたがる場合には、必ず押さえておくべき法令となります。

AI規制法におけるAIの分類

AI規制法においては、以下のようにAIを分類しています。

〇許容できないリスクのあるAI

以下に該当するAIは、原則として利用が禁止されます。

• 精神的または身体的な害を生じさせるおそれがあり、その者の行動をゆがめるために、意識を超えたサブリミナルな技法を展開するAIシステム
• 精神的または身体的な害を生じさせるおそれがあり、年齢、身体的障害または精神的障害による脆弱性のある人々の行動をゆがめるために、その脆弱性を利用するAIシステム
• 社会的なスコアリングにより、社会的に不利な扱いを受けてしまう可能性のあるAIシステム
• 公にアクセスできる場所においてリアルタイムで遠隔生体識別システム（例：監視カメラによる人物判断など）を利用するAIシステム　など

※参考：総務省「人工知能に関する調和の取れたルールを定める規則の提案」P49より

〇ハイリスクAI

安全や基本的権利に影響を及ぼすAIシステムであり、具体例としては以下のとおりです。

• 航空、自動車、医療機器など、EUの製品安全法の対象製品に使用されるAIシステム
• 公共設備などの重要インフラに関連するAIシステム
• 教育や訓練に関連するAIシステム
• 出入国管理、亡命管理など入出国に関するAIシステムなど

〇限定的にリスクのあるAI

以下のように、比較的リスクが低いAIシステムが該当します。

• チャットボット
• コンテンツの自動生成AI
• 感情認証システムなど

〇最小リスクのAI

これらのいずれにも該当しないAIを、最小リスクのAIと定義します。

AI規正法では、これらの分類ごとにAIの提供・利用における規制や制限が設けられています。

AI規制法における要求事項

具体的に、AI規制法はAIに対してどのような要求を行っているのでしょうか。以下では、上述した4つの分類ごとにご紹介します。

許容できないリスクのあるAI

許容できないリスクのあるAIについては、原則として開発・利用は禁止されます。ただし、以下のように一部例外的に利用が許可されるケースもあります。

• 行方不明の子どもを含む、特定の潜在的な犯罪被害者を対象とした捜索においては、遠隔生体識別システムの利用が許可されます。
• または、人の生命や身体の安全、テロリストの特定など、実質的でかつ差し迫った脅威の防止においても、遠隔生体識別システムの利用が許可されます。

ハイリスクAI

ハイリスクAIに対しては、さまざまな義務が課せられます。具体的にはAI規制法内の「第3編ハイリスクAIシステム」に示されている要件が求められます。以下では、主な要件をとりあげてご紹介します。

• リスク管理システムを構築・導入し、文書化し維持する
  
• データによるモデルの学習を利用するハイリスクAIシステムにおいては、一定の品質基準を満たす学習用、検証用および試験用データセットに基づいて開発する
  
• ハイリスクAIシステムの技術文書は、システムが提供される前に作成するものとし、常に最新の状態を維持するものとする
  
• ハイリスクAIシステムは、その動作中に処理内容の自動的な記録（ログ）を取得する機能を備えるように設計・開発するものとする
  
• ハイリスクAIシステムは、利用者が当該システムのアウトプットを解釈し、かつそれを適切に使用することができるようにするため、当該システムの動作について透明性を確保する
  
• ハイリスクAIシステムは、システムの使用期間中に人によって動作を監視できる方法で設計・開発するものとする
  
• ハイリスクAIシステムは、その意図された目的に照らし適切なレベルの正確性、頑健性およびサイバーセキュリティを達成する
  
• ハイリスクAIシステムの提供者は、本規則の遵守を確保する品質管理システムを整備するものとする

このように、リスク管理からログの取得、処理内容の透明性など、ハイリスクAIに対しては広範囲での規制・要件が設定されています。

限定的にリスクのあるAI

同様に、限定的にリスクのあるAIに対しては、AI規制法内の「第4編一定のAIシステムに関する透明性の義務」に示されている以下への対応が求められます。

• AIシステムの提供者は、このシステムがAIを利用していると利用者に分かるように設計・開発する
  
• 感情認識や生体分類システムの利用者に対して、システムの動作情報を提供する
  
• ディープフェイクを生成するAIシステムの利用者は、作成したコンテンツが人工的であることを示さなければならない

なお、これらの項目は法的に認められた犯罪捜査用のAIシステムには適用されないという例外条件が設定されています。

最小リスクのAI

最小リスクのAIに該当するAIにおいては、特段の義務や制約は課されません。ただし、EU内でのAIへの信頼性向上のため、行動規範の確立が奨励されています。

違反時の罰則

AI規制法に違反した場合、企業はどのような罰則を受けるのでしょうか。同法では、以下のとおり違反時の制裁について規定されています。

• 「許容できないリスクのあるAI」に該当し実装が禁止されるAIを実装した場合、もしくは「ハイリスクAI」に該当するAIの開発においてデータの不適切利用があった場合には、30,000,000ユーロもしくは、前会計年度の世界全体における売上総額の6%以下の金額のうち、いずれか高い金額の制裁金が科される
  
• その他の本規則に規定する要件または義務をAIシステムが遵守しなかった場合には、20,000,000ユーロもしくは前会計年度の世界全体における売上総額の4%以下の金額のうち、いずれか高い金額の制裁金が科される。
  
• 要請に対し、不正確、不完全または誤解を招く情報を第三者認証機関や加盟国所管機関に提供した場合には、10,000,000ユーロもしくは、前会計年度の世界全体における売上総額の2%以下の金額のうち、いずれか高い金額の制裁金が科される。

このように、違反時の罰則は非常に重いものとなっています。特にグローバル企業など売上総額の大きい会社に対して厳しい制裁が用意されています。

※参考：総務省「人工知能に関する調和の取れたルールを定める規則の提案」P92より

企業における対応事項

AI規制法に対応するために、企業はどのような取り組みが求められるのでしょうか。AI規制法の施行は段階的に実施されるため、各施行時期までの対応が必要です。

2025年2月：「許容できないリスクのあるAI」への対応

最初に適用されるのは、総則および「許容できないリスクのあるAI」に関する条項です。これらの条項は、発効から6カ月後となる2025年2月から適用されます。

2025年12月：汎用目的型AIモデルの対応

次に、発効から12カ月後となる2025年8月には、汎用目的型AIモデルに関する条項の施行が開始されます。同時に罰則に関する条項も施行が開始されるため、これ以降AI規制法の違反により制裁金が科せられることとなります。

2026年8月：一部を除き全面的な施行開始

発効から24カ月後の2026年8月には、一部を除き全ての条項が適用されます。ハイリスクAIに関する規制は、このタイミングから施行されます。前述のとおり、ハイリスクAIに関する規制は多岐にわたりますので、企業に大きな影響を与えることとなります。

その他例外条件

以下の条件に合致するAIシステムについては、個別に対応期限が設定されています。

• 2025年8月までに利用が開始された汎用目的型AIモデルについては猶予期間が設けられ、2027年8月までに規制に準拠すればよいとされています。
  
• 2026年8月までに利用が開始され、かつ公的機関により利用されるハイリスクAIシステムについては、2030年8月2日までにAI規制法に準拠するために必要な措置を講じることが求められています。
  
• 大規模ITシステムに利用されるAIシステムで、2027年8月2日までにリリースされたものについては、2030年12月31日までAI規制法への準拠が猶予されます。

イノベーション支援

AI規制法には、AIの活用促進を意図したイノベーション支援に関する条項も含まれます。具体的には以下のような内容が盛り込まれています。

AIの規制のサンドボックス

EU加盟国は、AI規制を緩和したサンドボックス環境を設置できます。これは、革新的なAIシステムが市場に発表される前のシステムの開発、テストおよび検証の期間に利用できるものとされています。

ただし、サンドボックス内のAIシステムの開発・テスト中に健康・安全・権利に関するリスクは直ちに低減されなければならないなど、一定の規制も設けられています。また、個人データの取り扱いログについてはサンドボックス利用中、およびその終了後1年間は保持することも求めています。

小規模事業者の支援

EU加盟国は、小規模事業者やスタートアップ企業に対して、AI規制のサンドボックスへの優先的なアクセスを提供することが求められます。また、小規模事業者や利用者に対して、AI規制法の適用についての意識向上のための活動を計画・実施します。

また、AI規制法への適合性評価の料金を設定する場合には、小規模事業者のニーズを考慮し、当該事業者の規模に比例して料金を減額こととしています。

このように、イノベーション促進のために一部要件を緩和する措置が取られているのも、AI規制法の特徴です。

まとめ

この記事では、2024年8月に発効されたEUのAI規制法について詳しく解説しました。EU内でビジネスを行う企業においては、AI規制法への対応は必須となります。記事中でご紹介した通り、AI規制法による制限や要件は多岐にわたるため、AI規制法の十分な確認と対応方法の検討を進める必要があるでしょう。