欧州連合人工知能法（European Union Artificial Intelligence Act）

EUは世界に先駆けて人工知能に関する法律を制定しました。

英語の法律を読むのは、非常にハードルが高いので、生成AIを使って、概要（音声、テキスト）を作成しました。最初に音声を聞いた後で、テキストを読むと理解がしやすいかと思います。

ご参考になれば幸いです。

以下の情報は、すべて生成AIを用いて作成しました。この情報はあくまでも参考とし、原文を読むか、専門家の意見を訊くようにして下さい。

音声解説

以下の音声は、NotebookLMで作成したポッドキャスト風の解説音声です。

EU AI規則の概要

欧州連合（EU）のAI規則（Artificial Intelligence Act）は、AI（人工知能）の開発、市場投入、利用に関する包括的な法的枠組みを確立するものです。その主な目的は、EU域内におけるAIの信頼性と安全性を確保し、基本的人権、民主主義、法の支配、環境保護といったEUの価値観を保護しつつ、イノベーションを促進することにあります。この規則は、AIシステムのリスクレベルに応じて異なる義務を課す「リスクベースアプローチ」を採用しています。

1. 基本原則と目的

• 人間中心の信頼できるAIの促進: AIが人間に奉仕し、人間の幸福を増進するツールであることを目指します。
• 健康、安全、基本的人権の保護: AIシステムがもたらす可能性のある危害から市民を保護します。特に、差別禁止、プライバシー保護、子供の権利などを重視します。
• イノベーションの支援: 特に中小企業（SME）やスタートアップを含むイノベーションを支援し、EUが信頼できるAIのリーダーとなることを目指します。
• 単一市場の機能向上: AIシステムに関する統一的な法的枠組みを定めることで、EU域内でのAI関連製品・サービスの自由な流通を確保し、加盟国間の規制の断片化を防ぎます。

2. リスクベースアプローチ

AI規則は、AIシステムがもたらす潜在的なリスクのレベルに応じて、主に以下の4つのカテゴリーに分類し、それぞれ異なる規制を適用します。

• 許容できないリスク (Unacceptable Risk): 特定のAIシステムは、EUの価値観や基本的人権に対する脅威が大きすぎると判断され、原則として禁止されます。
  • 例: サブリミナル技術を用いた行動操作、脆弱性を悪用した行動操作、公的機関・民間事業者による社会的スコアリング、法執行目的での公共空間におけるリアルタイム生体認証システム（厳格な例外あり）、インターネットやCCTV映像からの無差別な顔画像収集による顔認識データベースの作成・拡張、職場や教育機関における感情認識システム（医療・安全目的を除く）、個人の生体情報に基づく人種・政治的意見・性的指向などの推測・分類（法執行分野での合法的なラベリング等を除く）。
• 高リスク (High-Risk): 健康、安全、基本的人権に重大なリスクをもたらす可能性のあるAIシステムです。これらのシステムは、市場投入前に厳格な要件を満たし、適合性評価を受ける必要があります。
  • 例:
    • 製品の安全構成要素となるAI: 機械、玩具、医療機器、自動車、航空など、既存のEU製品安全法規の対象となる製品に組み込まれるAI。
    • 特定分野のスタンドアロンAI:
      • 生体認証・分類システム: リアルタイムでない遠隔生体認証システム、機微な属性に基づく生体分類システム、感情認識システム（禁止されていないもの）。
      • 重要インフラの管理・運用: 道路交通、水道・ガス・電力供給など。
      • 教育・職業訓練: 教育機関へのアクセス・割り当て、学習成果の評価など。
      • 雇用・労働者管理・自営業へのアクセス: 採用、昇進・解雇の決定、業務割り当て、従業員の監視・評価など。
      • 必要不可欠な民間・公共サービスへのアクセスと享受: 公的扶助・サービスの適格性評価、信用スコアリング（金融詐欺検出目的を除く）、生命・健康保険のリスク評価・価格設定、緊急通報の評価・優先順位付けなど。
      • 法執行: 犯罪被害リスク評価、証拠の信頼性評価、犯罪リスク評価（プロファイリングのみに基づくものを除く）、犯罪捜査におけるプロファイリングなど（関連法規で許可される範囲内）。
      • 移民・亡命・国境管理: リスク評価、申請審査支援、人物の検知・認識・特定（渡航文書の検証を除く）など（関連法規で許可される範囲内）。
      • 司法・民主的プロセス: 司法判断支援、選挙・国民投票の結果や投票行動への影響を意図するシステム（管理・物流ツールは除く）。
• 限定的リスク (Limited Risk): 透明性に関する特定の義務が課されます。
  • 例: チャットボットのように人間と対話するAIシステム（利用者にAIと対話していることを通知）、ディープフェイク（AIが生成・操作したコンテンツであることを開示）、感情認識システムや生体分類システム（利用者にその運用を通知）。
• 最小リスク (Minimal Risk): 既存の法律の範囲内で自由な利用が可能です。多くのAIシステムがこのカテゴリーに該当すると想定されています。自主的な行動規範の策定が奨励されます。

3. 高リスクAIシステムに対する主な義務

高リスクAIシステムを提供する事業者は、以下の義務を負います。

• リスク管理システムの確立・運用: AIシステムのライフサイクル全体を通じてリスクを特定、分析、評価、管理する継続的なプロセス。
• データ及びデータガバナンス: トレーニング、検証、テストに使用するデータセットの品質（関連性、代表性、エラーのなさ、完全性）、バイアス緩和策。
• 技術文書の作成・保管: AIシステムの設計、開発プロセス、性能、制限事項などを詳細に記述した文書。
• 記録保持: AIシステムの運用中のイベントを自動的に記録するログ機能。
• 透明性と利用者への情報提供: 利用者がAIシステムの出力結果を解釈し、適切に使用できるよう、十分な情報（取扱説明書など）を提供。
• 人間による監視: AIシステムが意図通りに機能し、リスクを最小化できるよう、人間が効果的に監視できる設計。
• 正確性、堅牢性、サイバーセキュリティ: 意図された目的に対して適切なレベルの正確性、エラーや不整合に対する耐性、不正アクセスや悪用からの保護。
• 適合性評価: 市場投入前に、内部統制に基づく評価、またはノーティファイドボディ（第三者認証機関）が関与する評価を実施。
• CEマーキングの貼付: 規則への適合を示す。
• EUデータベースへの登録: 高リスクAIシステムに関する情報を登録。
• 品質管理システムの導入: 規則遵守を確実にするためのシステム。
• 上市後モニタリングシステムの確立: 市場投入後のAIシステムの性能を監視し、継続的なコンプライアンスを評価。
• 重大インシデントの報告義務: 特定の重大なインシデントが発生した場合の当局への報告。

4. 汎用AIモデルに関する規定

特定の汎用AIモデル（広範なタスクを実行できる基盤モデルなど）の提供者にも、透明性確保（技術文書の作成、下流のAIシステム提供者への情報提供、著作権法遵守ポリシーの策定、学習に用いたコンテンツの要約公表など）の義務が課されます。特に「システミックリスク」をもたらす可能性のある汎用AIモデルには、モデル評価、システミックリスクの評価と軽減、サイバーセキュリティ確保といった追加的な義務が課されます。

5. ガバナンスと執行体制

• AIオフィス（AI Office）: 欧州委員会内に設置され、規則の実施、監視、監督、特に汎用AIモデルに関する執行を担う。
• 欧州AI理事会（European Artificial Intelligence Board）: 各加盟国の代表者で構成され、委員会と加盟国を支援し、規則の一貫した適用を促進。
• 諮問フォーラム（Advisory Forum）: 産業界、SME、学術界、市民社会などのステークホルダーが参加し、専門的知見を提供。
• 科学パネル（Scientific Panel）: 独立した専門家で構成され、AIオフィスの活動を支援。
• 各国管轄当局（National Competent Authorities）: 各加盟国が指定する市場監視当局やノーティファイドボディ指定当局。

6. イノベーション支援策

• AI規制サンドボックス: 革新的なAIシステムを開発・テストするための管理された環境。特にSMEやスタートアップの参加を奨励。
• 実環境テスト: 特定の条件下で、高リスクAIシステムを市場投入前に実環境でテストすることを許可。
• SME支援: 情報提供、研修、適合性評価費用の低減などを通じてSMEを支援。

日本企業への影響

EU AI規則は、EU域内で事業を展開する日本企業だけでなく、EU市場にAIシステムやAI搭載製品・サービスを提供したり、EU域外で開発・運用していてもその出力がEU域内で利用されたりする日本企業にも広範な影響を及ぼします。

1. 直接的な影響と対応

• EU市場への製品・サービス提供:
  • AIシステムやAIを組み込んだ製品（機械、自動車、医療機器、玩具など）をEU市場に輸出・販売する日本企業は、本規則の対象となります。
  • 自社のAIシステムが「高リスク」に該当するか否かを特定し、該当する場合は上記の厳格な義務（リスク管理、データガバナンス、技術文書作成、適合性評価、CEマーキング、EUデータベース登録など）を遵守する必要があります。
  • 「許容できないリスク」に分類されるAI技術を利用している場合は、EU市場での提供が禁止される可能性があります。
  • チャットボットなどを提供する場合は、透明性義務（AIであることの明示、生成コンテンツであることの開示など）への対応が必要です。
• EU域内の利用者・拠点:
  • EU域内に子会社や支店を持ち、そこでAIシステムを利用（deploy）する日本企業も、利用者としての義務（取扱説明書に従った利用、人間による監視、ログの記録・保管、特定の高リスクAI利用時の基本的人権影響評価など）を負う可能性があります。
  • EU域内の従業員に対してAIシステムを利用する場合、労働者への情報提供義務なども考慮する必要があります。
• EU域外からのAI出力利用:
  • 日本国内で開発・運用しているAIシステムであっても、その出力（分析結果、コンテンツ、意思決定支援など）がEU域内で利用される場合、本規則の適用対象となる可能性があります。例えば、日本の親会社が開発したAIをEU子会社が業務に利用するケースなどが考えられます。この場合、開発者である親会社が提供者としての義務を負う可能性があります。

2. サプライチェーン全体への影響

• AI規則は、AIシステムの開発者や提供者だけでなく、輸入業者、販売業者、さらにはAIシステムに利用されるツールやコンポーネントの供給者にも協力を求める規定があります。
• 日本の部品メーカーやソフトウェア開発企業が、EU市場向けの高リスクAIシステムに自社の製品や技術を提供する場合、AIシステム提供者（最終製品メーカーなど）から、規則遵守に必要な情報提供や技術協力を求められる可能性があります。書面による合意が推奨されています。

3. 高リスクAIへの該当性判断とコンプライアンス体制

• 自社が開発・提供・利用するAIシステムが、附属書IIIにリストアップされた高リスク分野に該当するか、あるいは附属書IにリストアップされたEU製品安全法規の対象製品の安全構成要素となるかを慎重に評価する必要があります。
• 高リスクに該当しない例外規定（例：狭い手続き的タスクの実行、人間による活動の結果改善のみを目的とするなど）に当てはまるかどうかの検討も重要ですが、その場合でも評価文書の作成とEUデータベースへの登録が必要です。
• 高リスクAIシステムに対応するためには、社内にリスク管理、品質管理、上市後モニタリングなどの体制を構築し、関連文書を整備・維持する必要があります。これには専門知識を持つ人材の確保や育成が不可欠です。

4. 汎用AIモデル開発企業への影響

• 大規模言語モデル（LLM）のような汎用AIモデルを開発し、EU市場に提供する日本企業は、技術文書の作成・保管、下流のAIシステム提供者への情報提供、著作権法遵守ポリシーの策定・実施、学習データに関するサマリーの公表といった義務を負います。
• 特に、モデルの計算量が一定の閾値（1025 FLOPs）を超えるなどして「システミックリスク」があると判断された場合、モデル評価の実施、システミックリスクの評価と軽減策の実施、重大インシデントの報告、サイバーセキュリティ確保といった、より重い義務が課されます。

5. データ戦略の見直し

• 高リスクAIシステムの開発には、質の高い学習・検証・テストデータが不可欠であり、データ収集・管理プロセス、バイアス検出・緩和策の実施が求められます。
• 個人データを利用する場合は、GDPR（EU一般データ保護規則）の遵守が前提となります。本規則はGDPRを補完するものであり、両方の規制への対応が必要です。特に、バイアス検出・修正のために機微な個人データを処理する場合は、厳格な条件を満たす必要があります。

6. イノベーションと競争力への影響

• 規則への対応は、日本企業にとって新たなコスト負担（コンプライアンス体制構築、技術文書作成、適合性評価費用など）となる可能性があります。
• 一方で、本規則に準拠した「信頼できるAI」を開発・提供することは、EU市場における競争優位性を確立し、グローバル市場での信頼獲得にも繋がる可能性があります。
• AI規制サンドボックスなどのイノベーション支援策を積極的に活用することで、規制対応と技術開発を両立させることが期待されます。

7. グローバルなAI規制への波及と日本国内法制化への示唆

• EU AI規則は、世界初の包括的なAI規制として、他の国・地域のAI規制議論にも大きな影響を与える「ブリュッセル効果」をもたらす可能性があります。日本企業は、今後のグローバルなAI規制の動向を注視し、国際的な整合性を意識した対応が求められます。
• 日本国内においても、AIに関するルール整備の議論が進んでおり、EU AI規則の内容は日本の法制度設計においても参考にされる可能性があります。日本企業は、国内外の規制動向を踏まえ、倫理的で信頼性の高いAIの開発・利用に向けた自主的な取り組みを強化していくことが重要です。

結論

EU AI規則は、AI技術の社会実装が進む中で、その便益を最大限に引き出しつつ、潜在的なリスクを管理するための重要な一歩です。日本企業にとっては、短期的に対応コストが発生するものの、中長期的には信頼性の高いAIを提供することで新たなビジネスチャンスを掴む機会ともなり得ます。規則の詳細を正確に理解し、早期に適切な対応策を講じることが、今後のグローバル市場での競争力を維持・強化する上で不可欠と言えるでしょう。

まとめ

以前から気になっていたEU AI法について、生成AIを使って概要を確認してみました。最初に記載した通り、生成AIを使った概要なので、間違いが含まれているかもしれません。

それでも全体の概要と基本的な考え方を理解するぬは十分かと思いました。