EU AI法遵守に必要な専門家の洞察: 知っておくべきこと

2023年12月8日、欧州連合（EU）の政策立案者は、世界初の包括的な人工知能（AI）規制枠組みであるAI法を最終化し、重要な節目に到達しました。EUは、デジタルおよびデータガバナンスのリーダーとして、データプライバシーやターゲット広告など、さまざまな問題において基準を設定してきました。2021年4月に始まった長い立法プロセスを経て、AI法はAIガバナンスを変革し、世界経済全体にAI基準を引き上げる「ブリュッセル効果」をもたらす準備が整っています。公式文書は最終修正の段階ですが、EUのリーダーは、歴史的なAI法が2024年4月に正式に採択され、2026年から段階的に実施される見込みです。

AI法とは？

AI法は、2021年4月に欧州委員会によって提案された画期的な法的枠組みであり、EU市場におけるAIシステムの安全性、説明責任、透明性を確保することを目的としています。この法律はリスクに基づいたアプローチを採用しており、AI開発者、流通業者、輸入業者、およびユーザーに対して監視を行い、AIシステムの潜在的な悪影響を慎重に評価します。AIアプリケーションの潜在的な危険性が高いほど、より厳しい監視が求められます。この法律は、2016年に施行されたEUの一般データ保護規則（GDPR）を彷彿とさせ、グローバルなプライバシー基準に影響を及ぼしています。

AI法の影響を受ける企業

AI法は、AIエコシステムにおけるさまざまなエンティティの定義と責任を明確にしています。EU外に拠点を置く企業であっても、EU内で利用されるAIシステムを提供する場合は、この法律の適用を受ける可能性があります。たとえば、南米の企業がEU居住者に影響を及ぼすAIシステムを開発する場合、AI法の対象となります。なお、軍事や国家安全保障に関連するアプリケーションには適用されませんが、法執行機関によるリモート生体識別システムの使用には厳しい条件が課されています。

2023年6月に欧州議会によって採択されたAI法の草案では、以下の2つの主要なプレイヤーのカテゴリーが示されています：

- プロバイダー：これは、自ブランドでAIシステムを提供する開発者を指し、無料または有料で提供することができます。例えば、OpenAIによるChatGPTがEU市場でのプロバイダーに該当します。

- デプロイヤー：従来「ユーザー」と呼ばれていたこの用語は、ビジネスや専門的な目的でAIシステムを利用するエンティティを指します。

遵守義務は主にAIプロバイダーに課せられ、GDPRがデータコントローラーに責任を負わせるのと同様です。しかし、高リスクシステムに関しては、デプロイヤーの数がプロバイダーを大幅に上回ることが予想され、AI関連のリスク管理において重要な役割を果たすことになります。

AI活動のリスク分類

AI法は、エンドユーザーの権利と安全を保護するために、AIシステムを4つのリスク分類に分けています：

1. 許可されないAI：民主的価値や人権を脅かすAI技術の使用を全面的に禁止します。例には、ソーシャルクレジットシステムや侵入的な生体監視が含まれます。

2. 高リスクAI：インフラ、雇用、公衆衛生などの重要なセクターに重大な損害を引き起こす恐れのあるAIシステムは、高リスクと見なされます。こうしたシステムの開発者は、適合性評価、登録、データガバナンス、サイバーセキュリティプロトコルなど、厳格な要件を満たさねばなりません。

3. 低リスクAI：基本的なチャットボットなど、軽微なリスクを抱えるシステムには透明性が求められ、コンテンツがAI生成であることをユーザーに通知する義務があります。

4. 最小または無リスクAI：自動要約やスパムフィルターなど、ユーザーに重大なリスクをもたらさない低リスクのアプリケーションが含まれます。

違反に対する罰則

AI法の規定に違反すると、多額の罰金が科されます。罰金は、市場のグローバル年間収益の1.5%（最大750万ユーロ）から7%（最大3500万ユーロ）まで及び、違反の深刻度によって異なります。2023年の議会版では、以下の潜在的な罰金が提案されています：

- 許可されないAI：最大7%（以前は6%）の世界年間収益。

- 高リスクAI：最大2000万ユーロまたは4%の世界収益。

- 一般的なAI（例：ChatGPT）：最大1500万ユーロまたは2%の世界収益、生成AIアプリケーションに特有の条項あり。

- 誤った情報の提供：最大750万ユーロまたは1.5%の世界収益。

AI法への対応準備

AI法に効果的に対応するため、企業は強固な内部統制とサプライチェーン管理を含む包括的なガバナンス戦略を採用する必要があります。高リスクAIシステムを開発・展開する企業は、以下の質問を考慮して自社の運営を徹底的に評価することが重要です：

- どの部門がAIツールを利用していますか？

- これらのツールは、専有情報や敏感な個人データを処理していますか？

- これらの利用ケースは、AI法で定義される許可されない、高リスク、または低リスク/無リスクのいずれに該当しますか？

- 企業はAIプロバイダーとして、またはAIデプロイヤーとして行動していますか？

- データ保護や遵守に関するベンダー契約にはどのような規定がありますか？

EUのAI法に関する進展は、AIリスク管理に関する世界的な立法アプローチに大きな変化をもたらす可能性があります。10月に発表された米国のAIに関する大統領令と相まって、この重要な合意は、企業がAI技術を責任を持って効果的に活用する新時代の幕開けを告げています。