欧州AI規則案の概要 - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに

欧州委員会は、2021年4月21日、「人工知能に関する整合的規則(人工知能法)の制定および関連法令の改正に関する欧州議会および理事会による規則案」(以下、「欧州AI規則案」という)を発表した。
AI(人工知能〔Artificial Intelligence〕)は既にビジネスや日常生活に活用されており、AIに関連する規制のあり方は、日本を含めて国ごとにさまざまなアプローチが検討されているところであるが、欧州AI規則案は、世界で初めてのAIの法的枠組みに関する提案であり、その内容については、AIソフトウェアやこれを組み込んだ製品のベンダー企業だけではなく、AIを活用する側の企業にとっても関心が高いところであろうと思われる。

本稿では、欧州AI規則案について、その内容を概括するとともに、日本を含む経済界の反応や今後想定される世界の動向について述べる。

規制対象

欧州AI規則案においては、AIは以下のように定義されている。

①機械学習アプローチ、②論理ベースまたは知識ベースアプローチ、③統計的アプローチのいずれかの技術を一つ以上使用しながら、人間が定めたある目的のために、当該システムが相互作用する環境に影響をもたらすコンテンツ、予測、推奨または決定等のアウトプットを行うソフトウェア(3条1号、附属書I)

かかる定義は、システム管理や契約書チェック等に用いるAIソフトウェアを含め、我々が普段AIとしてイメージするようなソフトウェア全般を広く補足しているといえる。
欧州AI規則案の規制対象は、大きくは、AIの「プロバイダー」と、AIの「ユーザー」に分かれており、いずれも自然人であると法人であるとを問わない。具体的には、以下の者が規制の対象となる(2条1項)。

 EU域内においてAIを市場投入しまたは稼働させるプロバイダー(EU域内に拠点を有するか、EU域外に拠点を有するかを問わない)

 EU域内に所在するユーザー

 AIシステムにより生み出されたアウトプットがEU域内で利用される場合における、EU域外のプロバイダーまたはユーザー

このような規定ぶりは、GDPRとよく類似しており、上記にあるように、EU域外の企業等にも域外適用が認められている点も同様である。特に、AIを開発する事業者にとどまらず、単にAIを利用するだけのユーザーであっても、AIの利用結果がEU域内で「アウトプット」される場合は規制の対象となりうるところ、「アウトプット」について具体的に定義されていない現在の欧州AI規則案を前提とすると、たとえばAIシステムを用いて作成したコンテンツ等をEU域内で販売するだけのような行為も適用対象となりうることには注意が必要である(なお、プライベートで利用する場合は、「ユーザー」には該当しないとされている)。

規制内容

欧州AI規則案においては、規制対象となる行為について、リスクベースアプローチが採用されており、AIシステムに関連する危険性が高ければ高いほど、より厳格な規制が課せられる仕組みとなっている。具体的には、以下の四つに区分される。

(ⅰ) 禁止されるAIシステム

(ⅱ) ハイリスクAI

(ⅲ) 透明性義務を伴うAI

(ⅳ) 最小限リスク/リスクなし

以下、それぞれについて解説する。

禁止されるAIシステム

欧州AI規則案では、一定のAIシステムが「禁止されるAIシステム」に分類され、「禁止されるAIシステム」を市場に投入し、サービスとして提供しまたは使用する行為は原則として禁止される(5条1項)。「禁止されるAIシステム」の概要は以下のとおりであるが、これらは、たとえばそれを利用する子供に対して知らず知らずのうちに一定の指向を根付かせるようなAIソフト等、AIの悪用によって人の身体や精神に危害を与え、あるいはそれに匹敵するような権利の侵害をもたらす可能性があるようなシステムが想定されている。

【禁止されるAIシステム(概要)】

① サブリミナル技術を使用し、身体的・精神的危害を引き起こすもの

② 子供や精神障害のある人の脆弱性を悪用し、身体的・精神的危害を引き起こすもの

③ 自然人の信用性を評価等するものであって、特定の自然人やその人の属するグループ全体を不利益に取り扱うこと等につながるようなもの

④ 法執行の目的で、公の場所で遠隔地のリアルタイムの生体識別システムを使用する行為

ハイリスクAI

(1) ハイリスクAIの類型

次に、欧州AI規則案では、人の安全や権利に影響を及ぼすリスクが高いAIは「ハイリスクAI」に分類されており、「ハイリスクAI」システムの提供や利用にあたっては、プロバイダー等に重い義務が課されている。
「ハイリスクAI」には二つの類型があり、一つ目は、既存のEU法令(たとえば、玩具の安全性に関する指令2009/48/EC等)の規制対象製品の安全性コンポーネント(製品の安全性を確保するための制御システム等)として使用されることが意図されたAIシステム、または当該製品そのものであるAIシステムのうち、第三者適合性評価の対象となるものである(6条1項、附属書Ⅱ)。
もう一つの類型は、欧州AI規則案自体に「ハイリスクなもの」として列挙されたAIシステム(スタンドアロンAI)であり、主要なものは以下のとおりである。たとえば、④については、採用や人事評価を行う際に用いられるAIシステムがこれに該当し、このようなシステムを利用する多くの企業が規則の適用を受ける可能性がある(6条2項、附属書Ⅲ)。

【ハイリスクAIシステム(概要)】

① 自然人の生体識別およびカテゴライゼーション

② 道路交通、水道、ガス、暖房、電気といった重要なインフラの管理と運用における安全性確保のために用いられるAI

③ 教育、職業訓練機関等で学生の成績評価等の目的で使用されるAI

④ 雇用、従業員管理、および自営業者に対して用いられるAIであって、採用・昇進・契約関係の終了等の決定、業務分配・業績評価等のために用いられるもの

⑤ 重要な民間および公共サービス、および公的給付へのアクセスに関連するAIであって、これらのサービスの受給資格等の審査、受給者の信用スコアや与信評価、緊急時のサービス提供の判断のために用いられるもの

⑥ 法的執行機関が用いるAIであって、個人の犯罪もしくは再犯のリスク評価、個人のプロファイリング等のために用いられるもの

⑦ 移民、亡命、国境管理のための自然人の安全性リスクや健康リスク等を評価することの支援を目的としたAIシステム

⑧ 司法当局が事実と法律を調査・解釈し、法律を具体的な一連の事実に適用することの支援を目的としたAIシステム

(2) プロバイダー等の義務

欧州AI規則案においては、ハイリスクAIシステムについては、リスク管理システムを構築、実行、文書化、維持し、継続的にアップデートを行うことを前提としたマネジメントシステム要求事項を充足しなければならないとされている。具体的な要求事項の概要は以下のとおりである。

① 適正なリスクマネジメントシステムの構築(9条)

② 評価データ等についての正確性および公平性等の確保(10条)

③ AIシステムに関する技術文書の作成(11条)

④ 特にAIシステムのオペレーションの記録等(12条)

⑤ 透明性の保証および利用者への情報提供(13条)

⑥ 人間による監督の保証(14条)

⑦ 堅牢性、正確性、安全性の保証(15条)

そして、上述の要求事項の充足を担保するために、プロバイダーおよびユーザーに、具体的に課せられる義務の概要は以下の図表1のとおりである(16条~29条)。

図表1 ハイリスクAIに関して課される具体的義務

ハイリスクAIのプロバイダーの義務 ハイリスクAIのユーザーの義務

1 組織内で品質管理システムを確立、実施

2 技術文書の作成

3 ユーザー等がハイリスクAIシステムの運用をモニターできるようにログの保管

4 関連する適合性評価の実施、適合性を満たさない場合の是正措置

5 EUデータベースへのAIシステム登録

6 CEマークを貼付、適合性宣言への署名

7 市場投入後モニタリングを実施

8 市場監視当局への協力

❶ 使用説明書に従ってAIシステムを運用

❷ AIシステムを利用する際に人間による監督を保証

❸ 起こりうるリスクに対する運用の監督

❹ 重大なインシデントまたは誤作動に対してAIプロバイダーまたは販売者に情報提供する。

❺ 既存の法的義務を遵守する(GDPR等)。

このように、プロバイダーには、品質管理システムを構築したり、適合性評価を実施しなければならない等、社内体制の整備等に多大な手間とコストを伴う高度な義務が課せられている。これに対して、ユーザーの義務は、AIを適切に利用しなければならないことや、問題が生じたときはAIプロバイダー等に対して情報提供しなければならないことなど、一定の対応を強いられはするものの、副次的な内容にとどまっているといえる。

透明性義務を伴うAI

欧州AI規則案においては、自然人との間で相互にやり取りが生じるAIについては、自然人とAIシステムとにそのようなやり取りが生じることが明確ではない場合、その旨を人に通知することが義務づけられている。また、存在する人物等に相当程度似せた画像、動画コンテンツ等を生成または操作するシステム(ディープフェイク注1)を利用する場合には、利用者に対して当該コンテンツが人工のものであることを開示することが義務づけられている(52条)。

最小限リスク/リスクのないAIシステム

上記三つのリスクグループに該当しないAIシステムは、一般的に適用される法律を遵守して開発および使用することができ、欧州AI規則案上、プロバイダーおよびユーザーが特に遵守すべき法的義務として定められた事項はない。ただし、欧州委員会と欧州人工知能会議は、こうした低リスクAIシステムの提供・利用にあたっても、ハイリスクAIを提供・利用するのと同様の行動規範を自主的に策定することを促しており、規制対象外のAIにも広く適切な行動規範が及ぶようにしていくことを目指している(69条)。

制裁金

欧州AI規則案においては、プロバイダー等が規則に違反した場合の制裁金について、概要、図表2のとおりに定められている。禁止されたAIシステムを使用した場合のみならず、ハイリスクAIが要件を遵守していない場合も、三つにカテゴリー分けされた制裁金のうち、最大級の制裁金が課せられうることとなり、このような制裁金は、事業自体に対する重大な影響を与えかねないものである(71条)。

図表2 制裁対象行為と制裁金の額

対象行為 制裁金

5条で規定されたAI慣行の禁止を遵守しない場合(禁止されたAIシステムの使用等)、または10条で規定された要件(ハイリスクAIの要件)を遵守していない場合

3,000万ユーロ以下の制裁金、または違反者が企業の場合は直近の会計年度における世界全体における売上総額の6%以下の金額、もしくはいずれか高額の方の制裁金

規則の要件または義務(5条と10条を除く)を遵守しない場合

 

2,000万ユーロ以下の制裁金、または違反者が企業の場合は直前の会計年度における世界全体における売上総額の4%以下の金額、もしくはいずれか高額の方の制裁金

要求に対する回答において公認認証機関および国内所轄機関に不正確、不完全または誤解を招く情報を提供した場合

1,000万ユーロ以下の制裁金、または違反者が企業の場合は直前の会計年度における世界全体における売上総額の2%以下の金額、もしくはいずれか高額の方の制裁金

おわりに

経済界等の反応

欧州委員会は、欧州AI規則の目的は「基本的権利の保護とユーザーの安全を確保すること」と、「AIの開発と普及に対する信頼を強化すること」の双方にあるとしている。
もっとも、上述のとおり、規制範囲が非常に広範であるほか、EU国外の企業も域外適用を受ける可能性があること、違反した場合には高額の制裁金が課されること等から、このままルール化されてしまえば、企業は大きな負担を強いられることになるため、米国テック企業をはじめとして、AIイノベーションの促進を図る経済界からは否定的な見解が少なくない。

日本においても、一般社団法人日本経済団体連合会は、2021年8月6日、連名にて「欧州AI規制法案に対する意見」を公表し、「現段階では、禁止・ハイリスクAIの定義等に曖昧さや解釈の余地が残されており、欧州への投資意欲や新興AI企業などの育成・強化を妨げ、イノベーションや国家安全保障に影響を及ぼす恐れがある」として、AIシステムによって生成されたアウトプットのみがEU域内で使用される場合について、プロバイダー等に課せられる義務の内容をより明確化するべきである等の意見が述べられている。

今後の動向

欧州委員会がGDPRを施行して以来、GDPRが世界的な標準となり、日本を含めた多くの国でこれに追従する形で個人情報保護規制の厳格化の方向へ舵が切られていくこととなった(いわゆる「ブリュッセル・エフェクト」)。AIに関する法規制についても、欧州委員会には、世界標準的なルールの策定を試み、国際社会で主導権を握るねらいがあることがうかがえる。

これに対し、日本においては、経済産業省が2021年7月9日に取りまとめた「AI原則実践のためのガバナンス・ガイドラインver. 1.0」等にもあるように、日本でのAIの利活用とイノベーション促進の観点から、法的拘束力のない企業ガバナンス・ガイドライン(ソフトロー)を策定する方向で議論が重ねられており、現時点では、欧州でのルールに追従した厳格な規制が策定されるような動きは見られない。
とはいえ、実際に欧州AI規則案の適用が開始されれば、GDPRと同様に、域外適用に備えた規程の策定や管理体制の構築といった、日本企業にとって多大な労力を要する対応が必要になることは明らかであるし、欧州でいち早く法制化されることにより、日本のルール策定にあたっても、欧州AI規則の考え方が取り入れられる可能性は否定できない。

欧州AI規則案は、現時点ではあくまで提案にとどまるものであり、今後、欧州議会と欧州理事会における立法手続を経て、発効するのは2024年以降になると見られ、その過程で、内容が大幅に変更される可能性もある。したがって、日本企業としては、現時点でただちに具体的な対応策を講じなければならない段階にはないが、上述のとおり適用が開始された場合の実務に与える影響が大きいことに鑑みると、欧州AI規則案の内容を適切に把握しておき、同規則案を含めた今後の各国のAI規制の動向を注視していく必要があるといえよう。

→この連載を「まとめて読む」

[注]
  1. ディープフェイクの定義はさまざまであるが、一般に、機械学習アルゴリズムを使用して、複数の画像や動画の一部を結合させ、元のものとは異なる画像・動画を作成する技術のことを指し、最近では、AIによって作成された精巧な偽物の画像や動画を広く指す用語として用いられる。[]

松田 祐人

弁護士法人御堂筋法律事務所 パートナー弁護士・ニューヨーク州弁護士

2010年大阪大学法学部卒業。2012年京都大学法科大学院修了。2013年弁護士登録。2018年Northwestern University School of Law 卒業(LL.M.)、Baker & Hostetler LLP(米国ワシントンDC)勤務。2019年ニューヨーク州弁護士登録。主な取扱分野はM&A/企業再編、コーポレート、国際取引、国際紛争、GDPR等の個人情報保護法制を含む外国法コンプライアンス、海外進出支援など。

御堂筋法律事務所プロフィールページはこちらから