AI法規制の現状と企業のリスク対応

世界的なAI法規制の動向

現在、AI技術の急速な発展に伴い、その利用に関する法規制の議論が世界中で活発化しています。

EUでは2024年5月21日に生成AIを含む包括的なAIの規制である「欧州（EU）AI規制法」が成立し、AI規制法案が可決され、AIシステムのリスクに応じた包括的な規制が規制内容に応じて2030年12月31日までに段階的に施行される予定です。

米国でもAIに関する法案が複数提出され、議会での審議が進んでいます。また、中国でもAIに関する規制が強化されており、生成AIサービスの提供には政府の認可が必要となっています。

世界各国でのAI法規制についての動きが活発的になってきていますので、今回は、欧州（EU）AI規制法を中心に、世界と日本の「AI法規制の現状と企業のリスク対応」についてご紹介します。

欧州（EU）AI規制法とは

欧州（EU）AI規制法について、次のような特徴をもった法律です。

欧州（EU）AI規制法の要約

• 目的: AI技術の安全かつ倫理的な利用を促進し、基本的人権とEUの価値を守る法的枠組みを提供する。
• 特徴: リスクベースのアプローチを採用し、AIシステムを4つのリスクレベルに分類し、それぞれに異なる要件を課す。
• 対象: EU域内でAIシステムを提供・利用する全ての主体（企業、個人、公的機関など）
• 主な規制内容:
  • 禁止: 容認できないリスクを持つAIシステム（例：社会的スコアリング、リアルタイム顔認識による法執行）
  • 高リスクAIシステムへの厳格な要件: 事前の適合性評価、技術文書の作成、透明性確保、人間の監視など
  • 透明性義務: 特定のAIシステム（例：チャットボット）はAIを使用していることを明示
  • ガバナンス体制: AI規制当局の設置、市場監視、罰則規定

AIの安全且つ倫理的な利用を促し、基本的人権とEUの価値の保護を目的とした法律になっています。あくまでもEUの保護を目的とした法律ですので、日本側の企業にとってはその内容がマイナスに影響しないかなどについて確認が必要になるものです。また、欧州（EU）AI規制法の特徴についても抑えておきたいのですが、この法律は、リスクベースアプローチをとっていることが最大の特徴となっています。

欧州委員会ウェブサイト：The EU Artificial Intelligence Act（外部リンク）

欧州（EU）AI規制法の特徴 リスクベースアプローチとは？

リスクベースアプローチ

リスクベースのアプローチとは、AIシステムがもたらす可能性のある「リスクの大きさ」に応じて、規制の厳しさを変える考え方です。

例えるなら、包丁と拳銃を同じように規制しないのと同じです。包丁は料理に役立ちますが、使い方を誤ると怪我をする可能性があります。拳銃は人を殺傷する可能性があり、より危険です。そのため、拳銃は所持や使用に厳しい規制があり、包丁はそこまで厳しくありません。

EUのAI規制法も同じように、AIシステムをそのリスクの大きさで分類し、それぞれに合った規制を設けています。

4つのリスクレベル

EU AI規制法は、AIシステムを以下の4つのリスクレベルに分類し、それぞれに異なる要件を課しています。

• 容認できないリスク: 禁止される
• 高リスク: 事前の適合性評価、技術文書の作成、透明性確保、人間の監視など、厳格な要件が課される
• 限定的リスク: 特定の透明性義務が課される
• 最小限のリスク: 特に規制は課されない

リスクベースのアプローチは、AI技術のメリットを活かしつつ、そのリスクを適切に管理するための考え方です。EUのAI規制法は、このアプローチを採用することで、AI技術の安全かつ倫理的な利用を促進することを目指しています。

リスクベースアプローチからの要件

リスクベースアプローチからの要件は次の通りです。

• リスク管理システムの導入
• 高品質なデータセットの使用
• 技術文書の作成と保管
• 透明性確保と説明可能性
• 人間の監視
• 正確性、堅牢性、サイバーセキュリティの確保
• 事前の適合性評価
• CEマーキングの表示
• 市販後監視

詳細については、ここでは割愛します。

禁止されるAIシステム

EU AI規制法では、特定のAIシステムの使用が明確に禁止されています。これらのシステムは、人間の尊厳、基本的人権、民主主義の価値観を侵害する可能性が高いため、EU域内での使用が認められません。

禁止されるAIシステム

• 人間の行動を操作し、害を及ぼす可能性のあるAIシステム
  • 例：
    • サブリミナル技術を用いて、人間の意識下に影響を与えるシステム
    • 脆弱な人々（子供、高齢者、障害者など）をターゲットに、彼らの判断能力を悪用するシステム
    • 危険な行動を誘発する可能性のあるおもちゃやゲーム
• 脆弱な個人の搾取を目的とするAIシステム
• 公共の場でのリアルタイム顔認識システムによる法執行
• 社会的スコアリングシステム
  • 例：
    • 行動、社会経済的地位、個人的特徴に基づいて人々を分類し、差別的な扱いをするシステム
    • 信用スコアに基づいて、サービスへのアクセスや雇用機会を制限するシステム

高リスクAIシステム

欧州（EU）AI規制法では、人間の健康、安全、または基本的人権に重大な悪影響を及ぼす可能性のあるAIシステムを「高リスクAIシステム」として、具体的に定義しています。

高リスクAIシステムは、以下の2つのカテゴリーに分類されます。

1. EUの製品安全法の対象製品に使用されるAIシステム
2. EUのデータベースに登録しなければならない特定分野に該当するAIシステム

人間の健康、安全、基本的人権に重大な影響を与える可能性のある高リスクAIシステムの例

• 重要インフラの管理・運用
• 教育・職業訓練における評価
• 雇用、人事管理、労働者へのアクセス
• 重要な民間サービス・公共サービスへのアクセス
• 法執行
• 移民・亡命・国境管理
• 司法・民主的プロセスへの支援

これらの分野で使用されるAIシステムは、その影響力の大きさから、高リスクAIシステムとみなされます。

また、以下の特徴があるAIシステムも、高リスクAIシステムとして定義されています。

• 人間の意思決定を支援または代替する
• 重要なインフラ、公共サービス、または基本的人権に関連する
• 誤った判断や動作が深刻な結果をもたらす可能性がある

余談ですが、、、

日本の国会議員や地方議員の間では、積極的に米国の企業等が開発する生成AIサービスをもっと積極的に利用しようという動きがありました（※今現在も積極的に使っている人も多いかもしれません）が、日本国の立法を行う立場でのAI利用は、欧州（EU）AI規制法が示す通り、高いリスクが内包していると考え、その利用についてAIや外国の影響を受けないよう十分な注意し、AIの利用には法整備が必要なはずですが、残念ながら今の日本の政治の場ではAIが内包するリスクについて軽視されている傾向が見受けられます。

日本の政治の場におけるAI利用がどこに向かうかはわかりませんが、企業経営などの場においても、AIの利用には少なからず外的なリスクが潜んでいることを認識しておく必要があります。

透明性義務

EU AI規制法は、AIシステムの利用者に対する透明性を高めるために、特定のAIシステムに対して透明性義務を課しています。これは、AIシステムがどのように機能し、どのようなデータに基づいて判断を下しているのかを利用者が理解できるようにすることを目的としています。

透明性義務の対象となるAIシステム:

• 限定的リスクAIシステム　特定のAIシステムには、利用者に対してAIを使用していることを明確に開示する義務があります。具体的には、以下のシステムが対象となります。
  • 感情認識システム、生体認証システム
  • ディープフェイク生成システム
  • チャットボットなど、人間とのインタラクションを目的とするAIシステム

高リスクAIシステム　高リスクAIシステムには、より詳細な透明性義務が課されます。具体的には、以下の情報を提供する必要があります。

• AIシステムの目的、機能、性能に関する情報
• AIシステムの学習データに関する情報
• AIシステムの出力結果の解釈方法に関する情報
• AIシステムの潜在的なリスクと制限に関する情報

汎用AIシステム　汎用的なAIモデルのプロバイダーには、モデルの能力、制限、潜在的な影響に関する詳細な情報を提供する義務があります。

EU AI規制法の透明性義務は、AIシステムの透明性を高めるために、特定のAIシステムに対して透明性義務を課すものです。これは、AI技術の倫理的な利用を促進し、利用者の信頼性を確保するための重要な取り組みと考えられています。

ガバナンス体制

EU AI規制法は、AI技術の安全かつ倫理的な利用を促進するために、強固なガバナンス体制を構築しています。この体制は、EUレベル、加盟国レベル、そして市場監視の3つの層で構成されています。

1. EUレベルのガバナンス

• 欧州人工知能委員会（European Artificial Intelligence Board）
  • EU加盟国から選出された代表者、欧州データ保護監督官、欧州委員会の代表者で構成される。
  • AI規制法の施行に関する助言、ガイドラインの作成、ベストプラクティスの共有、加盟国間の協力促進などを担う。

2. 加盟国レベルのガバナンス

• 各国AI規制当局の設置
  • 各加盟国は、AI規制法の施行を監督するための規制当局を設置する義務がある。
  • 規制当局は、AIシステムの適合性評価、認証、市場監視、苦情処理などを担当する。
  • 加盟国間の協力と情報共有を促進するために、EUレベルのガバナンス体制と連携する。

3. 市場監視

• 適合性評価: 高リスクAIシステムは、市場に出す前に適合性評価を受ける必要がある。これは、第三者機関または自己申告によって行われる。
• 認証: 適合性評価に合格した高リスクAIシステムは、CEマーキングを表示し、EU市場で自由に流通できる。
• 市場監視: 規制当局は、市場に出回っているAIシステムを監視し、違反があれば是正措置や罰金を科すことができる。
• 罰則: AI規制法に違反した場合、最大で全世界年間売上高の6%または3,000万ユーロの罰金が科される可能性がある。

日本企業への影響

EU域内でAIシステムを提供・利用する日本企業は、このガバナンス体制の影響を受けることになります。特に、高リスクAIシステムを提供する場合は、適合性評価などの手続きが必要となります。本記事の執筆時点で考えられる主な影響は以下の通りです。

1. EU域内でのAIシステム提供
   • 高リスクAIシステム: EU域内で高リスクAIシステムを提供する日本企業は、適合性評価、技術文書の作成、透明性確保、人間の監視など、厳格な要件を満たす必要があります。
   • その他AIシステム: EU域内でAIシステムを提供する日本企業は、透明性義務やデータガバナンス要件などを遵守する必要があります。
2. EU域外からのAIシステム提供
   • EU域内で利用されるAIシステム: 日本企業がEU域外から提供するAIシステムがEU域内で利用される場合も、EU AI規制法が適用される可能性があります。特に、高リスクAIシステムを提供する場合は、EUの要件を満たす必要があります。
3. EU域内でのAIシステム利用
   • 高リスクAIシステム: EU域内で高リスクAIシステムを利用する日本企業は、システムの運用に関する責任を負い、必要なリスク管理体制を構築する必要があります。
   • その他AIシステム: EU域内でAIシステムを利用する日本企業は、透明性義務やデータ保護要件などを遵守する必要があります。
4. グローバルサプライチェーンへの影響
   • EU AI規制法は、EU域内で事業を行う企業だけでなく、そのサプライチェーンにも影響を与える可能性があります。日本企業がEU企業にAIシステムや部品を提供する場合、EUの要件を満たす必要があります。
5. AIガバナンス体制の強化
   • EU AI規制法への対応は、日本企業にとってAIガバナンス体制を強化する良い機会となります。AIリスク管理、透明性確保、データ保護などの取り組みを強化することで、企業の信頼性を向上させることができます。

日本企業が取るべき対策

まず最初に、EU AI規制法の内容を深く理解し、自社のAIシステムへの影響を評価することが必要になります。に、高リスクAIシステムを提供する場合は、適合性評価の準備を進めることになります。

AIリスク管理、透明性確保、データ保護などの体制を強化を目的に、AIガバナンス体制の構築を行う必要もでてきます。 EU企業との取引がある企業においてはサプライチェーン管理という観点で、AI規制法への準拠を確認も必要になるでしょう。

そして最後に、常日頃からEU AI規制法の施行状況や関連ガイドラインなどの最新情報を常に収集しておくことが重要になります。

今回は、「AI法規制の現状と企業のリスク対応」と題し、EU AI規制法の中身についてご紹介しました。次回は、AI分野で最先端を突き進む米国もしくは中国の最新情報についてご紹介できればと思います。

（ご注意）本記事は、2024年9月10日時点の情報に基づいています。法規制の内容は今後変更される可能性がありますので、最新情報をご確認ください。また、法の正確な解釈や法に対する対応等々につきましては、各専門家にお問い合わせください。

システム開発にお困りではありませんか？

もしも今現在、

• どのように開発を依頼したらよいかわからない
• どのように開発を依頼したらよいかわからない
• 企画や要件定義の段階から依頼できるのか知りたい
• システム開発費用がどれくらいかかるのか知りたい
• 見積りがほしい

など、システム開発に関するご相談・ご依頼がございましたら、お気軽にご相談ください。APPSWINGBYでは、「アプリでお客様のビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること」をミッションとしています。大手SIerやＲ＆Ｄ部門で培った経験やノウハウ、高度な技術力でお客様の「やりたい」を実現します。

今すぐ相談

まずはお気軽にご相談ください

この記事を書いた人

株式会社APPSWINGBY マーケティング

APPSWINGBY（アップスイングバイ）は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。

ご支援業種

情報・通信、医療、製造、金融（銀行・証券・保険・決済）、メディア、流通・EC・運輸 など多数

監修

株式会社APPSWINGBY
CTO 川嶋秀一

動画系スタートアップ、東証プライム R&D部門を経験した後に2019年5月に株式会社APPSWINGBY 取締役兼CTOに就任。
Webシステム開発からアプリ開発、AI、リアーキテクチャ、リファクタリングプロジェクトを担当。C,C++,C#,JavaScript,TypeScript,Go,Python,PHP,Vue.js,React,Angular,Flutter,Ember,Backboneを中心に開発。お気に入りはGo。