未来は到来したのか？人工知能に関するEU規則案の概要

2021年4月21日、EU委員会は人工知能に関する規則案（AI規則案、規則案）を公表した^[1]。データに関する欧州戦略」^[2]の一環であるAI規則案は、EU域内でAIを規制するためのゴールドスタンダードを設定するとしている[^3]。[^3]現時点では、この規則案は議論中であり、数千の修正案が存在するが、2022年秋までには採択される見込みである^[4]。一旦採択されれば、AI規則は公表から20日後に発効し、EU域内でAIシステムを提供または利用するすべての組織がそれぞれの対策と義務を実施するための24カ月の移行期間が残される。

本稿では、AI規則の草案の概要と、世界中の組織に対するその影響について解説する。

適用範囲

AI規則草案はGDPRのような域外適用範囲を持ち、以下に適用される（第2条）：

• EU域内でマーケティングを行うプロバイダー、またはEU域内でAIシステムを稼働させるプロバイダー；
• EU域内のAIシステムの利用者
• EU域内で利用されるAIシステムの提供者および利用者。

AI規則草案では、「提供者」という用語を、AIシステムを開発する者、またはAIシステムを開発させ、自己の名称や商標の下で市場に投入したり、サービスを開始したりする者と定義している（第3条）。なお、販売業者、輸入業者、ユーザーその他の第三者は、以下の場合、提供者とみなされる（第28条）：

1. AIシステムを自らの名称または商標で市場に投入する場合；
2. 既存のAIシステムの目的を変更する場合。
3. AIシステムに大幅な変更を加える場合。

ユーザー」という用語は、AIシステムが個人的な非専門的活動の過程で使用される場合を除き、その権限の下でAIシステムを使用する者と定義される（第3条）。

注目すべきは、AI規則案が水平的な規制の枠組みを規定していることである^[5]。技術に関する既存の規制、法律、基準、規範などは、ほとんどの場合、特定の産業に適用されるものであり、ハードウェアやソフトウェアシステムを通じたこれらの技術の実装には対応していない。提案されている規制は、AIを水平的に規制しようとするものであり、したがって、ユースケースに依存しない^[6]。

AIの定義

本規則案は、AIの定義を定めていない。その代わり、AIシステムの定義を定めている（第3条）：

「人工知能システム」（AIシステム）とは、附属書Iに列挙された技術およびアプローチの1つ以上を用いて開発され、人間が定義した所定の目的に対して、コンテンツ、予測、推奨、またはそれらが相互作用する環境に影響を与える決定などの出力を生成できるソフトウェアを意味する。

附属書Iの技術とアプローチのリストには、統計的アプローチだけでなく、機械学習アプローチ、論理、知識ベースのアプローチも含まれている。

AI規則草案におけるAIシステムの広すぎる定義は、様々な利害関係者から批判を浴びている。AI規制草案の最終版がどのようなものになるかはまだ分からないが、一部の州は、人工知能の定義をより狭くし、システムが「技術やアプローチで実装された学習、推論、モデリング」が可能であること、また、環境に直接影響を与える「生成システム」であることの2つの要件を追加することを提案した^[7]。

AIシステムの種類と関連するコンプライアンス要件

AI規制草案では、AIシステムを「許容できないリスクのAIシステム」、「高リスクのAIシステム」、「透明性の義務があるAIシステム」、「最小リスクのAIシステム」の4つに分類している。

許容できないリスクのAIシステム（第5条）：例えば、EUの価値観に反し、人々の安全、生活、基本的権利に明らかな脅威をもたらすようなAIは、容認できないリスクの高いシステムとみなされる。このようなシステムは、AI規則案の下では認められない。

高リスクのAIシステム（第6条）：以下のカテゴリーのAIシステムが該当する：

1. 生体認証システム
2. バイオメトリクス識別システム、市民の生命と健康を危険にさらす可能性のある重要インフラ；
3. 教育や職業訓練で、教育へのアクセスや職業上の進路を決定する可能性のあるもの；
4. 製品の安全部品
5. 雇用、労働者の管理、自営業へのアクセス；
6. 必要不可欠な民間および公共サービス；
7. 法執行、司法管理、民主的プロセス
8. 移民、亡命、国境管理。

高リスクAIシステムの提供者は、以下の実質的義務を負う：

1. 適切なリスク管理・軽減システムを構築し、実施すること（第9条）；
2. データを使用する高リスクAIシステムの訓練とテストを含め、データとデータガバナンスを真摯に管理すること（第10条）；
3. 技術文書を作成し、利用者に提供すること（第11条）；
4. 当局に詳細な記録管理を提供すること（第12条、第20条）；
5. 明確かつ適切な情報を利用者に提供すること（第13条）；
6. 適切なレベルの人的監視を行う（第14条）；
7. 正確性、堅牢性、サイバーセキュリティに配慮すること（第15条）；
8. 適切な品質管理システムを導入すること（17条）；
9. リスクの高いAIシステムの性能について、市販後のモニタリングを実施すること（第61条）。

また、高リスクAIシステムの提供者は、以下の手続き上の義務を遵守することが求められる：

1. 提供者は、ハイリスクAIシステムが市場に提供され、または使用される前に、いわゆる「適合性評価」を完了することを保証しなければならない（第19条）。バイオメトリクス ID システムの適合性は、関連する「ノーティファイド・ボディ」（付属 書 VII）によって実施される。その他のすべての種類の高リスク AI システムについては、プロバイダは自己評価を実施できる（附属書 VI）；
2. 高リスクAIシステムが適合性評価を受けたら、プロバイダーは適合宣言書を作成し（第48条）、高リスクAIシステムの文書に適合のCEマークを添付し（第49条）、高リスクAIシステムをEUのデータベースに登録しなければならない（第51条）；
3. 提供者は、高リスクAIシステムの「重大事故」または「誤作動」が発生した場合、15日以内に関係当局に報告しなければならない（62条）。

プロバイダーとは対照的に、高リスクAIシステムのユーザーは、限定的な要件に従う。すなわち、利用者は、高リスクAIシステムをその使用説明書に従って確実に使用し、高リスクAIシステムの運用を監視し、高リスクAIシステムによって生成されたログの記録を保管しなければならない（第29条）。

透明性の義務を負うAIシステム （第52条）：チャットボットやなりすましボットが該当する。このようなシステムの提供者は、自然人がAIシステムと相互作用していることを知らされるように設計・開発されていることを保証しなければならない。

最小リスクのAIシステム（第69条）：AIを利用したビデオゲームやスパムフィルターが該当する。このようなAIシステムにはコンプライアンス要件はない。現在EUで使用されているAIシステムの大半は、ミニマムリスクAIシステムと定義できる。

制裁

AI規則草案に基づく義務に違反した場合、違反の種類に応じて罰金刑が科される（第71条）。

違反者（該当する場合、提供者および／または利用者）は、以下の2種類の違反について、3,000万ユーロまたは、違反者が企業である場合、前会計年度の全世界の年間総売上高の6％以下のいずれか高い方の金額を上限とする行政制裁金の対象となる：

• 許容できないリスクのあるAI手法の上市、使用、使用（第5条）；
• 高リスクAIシステムのデータガバナンス要件への不遵守（第10.4条）。

上記以外の要件や義務に違反した場合、違反者は2,000万ユーロ以下の行政制裁金、または違反者が企業の場合、前会計年度の全世界の年間総売上高の4％以下のいずれか高い方の制裁金を科される。

また、AI規則草案では、いかなる要請に対しても、届出機関や各国の所轄官庁に対して、正確、完全、または正確な情報を提供しなかった場合の制裁についても定めている。この場合、違反者は、1,000万ユーロ以下の行政罰、または違反者が企業の場合は、前会計年度の全世界の年間総売上高の2％以下のいずれか高い方の制裁金の対象となる。

ビジネスへの影響

AI規則草案は、あらゆる経済分野におけるAI分野の産業界のコンプライアンス義務に高いハードルを課すものである。マッキンゼーが実施した世界的な調査によると、AI分野における規制コンプライアンスリスクに積極的に取り組んでいる企業は全体の38%に過ぎないため、多くの企業が次期規制の潜在的なコンプライアンス要件に対応するのが大幅に遅れていることが示されている^[8]。この点から、影響を受ける企業は、確実に到来する規制に備え、自社のAIシステムに戦略的コンプライアンスプログラムを採用する必要がある。そのためには、コンプライアンス専門家の役割の強化につながる必要なスキルセットとリソースが必要になる。企業は、コンプライアンス・チームを拡大し、この特殊な背景を持つ専門家を増員することが求められるかもしれない。外部の法律顧問の必要性も高まるだろう。