欧州連合（EU）の人工知能法（EU AI法）について

世界初の包括的な AI フレームワークとされる EU AI 法は、一部の AI の使用を全面的に禁止し、その他の使用については厳格なガバナンス、リスク管理、透明性の要件を課しています。

この法律はまた、IBMのGraniteやMetaのLlama 3オープンソース基盤モデルのような、汎用の人工知能モデルのルールも作成しています。

罰金はコンプライアンス違反の種類に応じて、750万ユーロまたは世界の年間売上高の1.5％から、3,500万ユーロまたは世界の年間売上高の7％までの幅があります。

EUの一般データ保護規則（GDPR）が各国にデータ・プライバシー法の導入を促したのと同様に、専門家はEU AI規則が世界中でより強力なAIガバナンスおよび倫理基準の開発が促進されると予想しています。

EU AI法は、AIのバリューチェーンにおける複数の事業者（プロバイダー、導入業者、輸入業者、販売業者、製品製造業者、正規代理店など）に適用されます。特筆すべきは、EU AI法に基づくプロバイダー、デプロイヤー、インポーターの定義です。

プロバイダーとは、AIシステムまたは汎用AI（GPAI）モデルを開発する、または自分の代わりに開発させ、それを市場に投入したり、自分の名称や商標の下でAIシステムをサービスに投入したりする個人または組織です。

同法律では、AIシステムを、一定の自律性をもってインプットを処理し、物理環境または仮想環境に影響を与えるアウトプット（例えば予測、推奨、決定、コンテンツなど）を生成する方法を推論できるシステムと広範に定義しています。汎用AIは、有意な一般性を示し、幅広い個別のタスクを高い水準で実行でき、さまざまな下流AIシステムやアプリケーションに統合できるAIモデルと定義されています。例えば基盤モデルはGPAIで、そのモデル上に構築されたチャットボットまたは生成AIツールはAIシステムとなります。

デプロイヤーは、AIシステムを使用する人や組織です。たとえばサードパーティー製のAIチャットボットを使用してカスタマー・サービスの問い合わせを処理する組織はデプロイヤーです。

インポーターとは、EU圏外で設立された個人または企業のAIシステムをEU市場に持ち込む、EU圏内に拠点を置く、またはEU圏内で設立された個人および組織を指します。

EU AI規則は、EU圏外のプロバイダーやデプロイヤーにとっても、AIまたはその出力がEU圏内で使用される場合に適用されます。

例えば、EU圏内の企業がEU圏外のAIプロバイダーにデータを送信し、そのプロバイダーはAIを使用してデータを処理し、その出力をEU圏内の企業に送り返して使用したとします。この場合、プロバイダーのAIシステムの出力はEU圏内で使用されるため、プロバイダーにはEUのAI規則が適用されます。

EU圏内でAIサービスを提供するEU圏外のプロバイダーは、自社に代わってコンプライアンス調整を行う、EU圏内の正当な権限が与えられた代理人を指名する必要があります。

EU AI規則は、適用範囲が広いですが、一部のAIの使用には適用されません。AIの純粋に個人的な使用、および科学的な研究開発にのみ使用されるAIモデルとシステムなどは、AI利用の例外となります。

EU AI法はリスクレベルに基づいてAIシステムを規制します。ここでのリスクとは、潜在的な危害の可能性と重大性を指します。最も重要な規定には、次のようなものがあります。

• 許容できないリスクをもたらすとみなされる特定のAIの使用の禁止
  
  
• 特定の高リスクのAIシステムの開発とデプロイに関する基準
  
  
• 汎用AI（GPAI）モデルのルール

EU AI規則のリスク・カテゴリーのいずれにも当てはまらないAIシステムは、同規則に基づく要件（しばしば「最小リスク」カテゴリーと呼ばれます）の対象ではありません。ただし、一部は透明性に関する義務を果たす必要がある場合があり、他の既存の法律に準拠しなければなりません。例としてはEメールのスパム・フィルターやビデオ・ゲームがあります。今日の一般的なAI用途の多くは、このカテゴリーに分類されます。

EU AI規則の実際の適用に関する詳細なルールの多くはまだ検討が進んでいます。例えば、この法律では、欧州委員会が市販後監視計画やトレーニング・データの概要などの要件に関するさらなるガイダンスを発表することに言及しています。

EU AI規則には、許容できないレベルのリスクをもたらすとみなされ、禁止されている特定のAIの使用が明示的にリストされています。例えば、人々を意図的に操作して、そうでなければしないような有害な選択をさせるようなAIシステムの開発や使用は、同規則によってユーザーに容認できないリスクをもたらすこととみなされ、禁止されているAIの行為です。

EU委員会はこの規則内の禁止行為のリストを修正できることから、将来的にはさらに多くの AI 行為が禁止される可能性があります。

この記事が公開された時点で、禁止されているAIの使用の一部は次のとおりです。

• 社会的スコアリング・システム。社会的行動に基づいて個人を評価または分類するシステムで、本来のデータ収集とは無関係な社会的文脈で不利益または不利な扱い、行動の重大性に不当または不釣り合いな扱いにつながるもの
  
  
• 職場および教育機関における感情認識システム。ただし、これらのツールが医療または安全目的のために使用される場合を除く
  
  
• 人々の脆弱性（年齢や障害による脆弱性など）をエクスプロイトするために使用されるAI
  
  
• 顔認識データベースのためのインターネットまたは閉回路テレビ（CCTV）からの顔画像の無差別なスクレイピング
  
  
• 機微な特徴に基づいて個人を識別するバイオメトリクス識別システム
  
  
• 特定の予測警察アプリケーション
  
  
• 公共の場でのリアルタイム遠隔生体認証システムの法執行機関による使用（例外が適用され、司法機関または独立行政機関による事前承認が必要な場合を除く）

AIシステムが、玩具安全法や体外診断用医療機器法など特定のEU法で規制される製品、または製品の安全装置のコンポーネントである場合には、EUのAI法では高リスクとみなされます。

同規則にはAIの下記の用途をはじめ、一般に高リスクとみなされる具体的な用途も挙げられています：

• 人材の採用、応募者の評価、昇進の決定など、雇用環境で使用されるシステム
  
  
• 特定の医療機器
  
  
• 特定の教育および職業訓練
  
  
• 選挙結果に影響を与えることを目的としたシステムなど、司法・民主主義プロセスに関係するもの
  
  
• 公的給付の受給資格を評価し、クレジットスコアを評価するシステムを含む、重要な民間または公共サービスへのアクセスを決定するもの
  
  
• クリティカルなインフラ管理（例えば、水、ガス、電気の供給など）における用途
  
  
• 明示的に禁止されていない生体認証システム（ただし、指紋スキャナーを使用して銀行アプリへのアクセスを許可するシステムなど、個人の身元を確認するシステムは除く）

このリストに含まれるシステムについては、AIシステムが個人の健康、安全、または権利に重大な脅威を及ぼさない場合には例外が認められます。同規則は、例外が認められる前に1つ以上を満たす必要がある基準（たとえば、AIシステムが特定の手順に沿ったタスクを実行することを目的としている場合）を定めています。この例外を利用する場合、プロバイダーはシステムが高リスクではないというアセスメントを文書化しなければならず、規制当局はそのアセスメントの閲覧を要求する場合があります。この例外は、個人データを自動的に処理して、商品の好み（プロファイリング）など、常に高リスクとみなされる個人の生活のある側面を評価または予測するAIシステムには利用できません。

禁止されているAI使用のリストと同様に、欧州委員会は将来的に、高リスクのAIシステムのリストを更新する可能性があります。

高リスクAIシステムは、特定の要件を満たす必要があります。例としては、次のようなものがあります。

• AI のライフサイクル全体を監視する継続的なリスク管理システムの実装。例えば、プロバイダーは、そのシステムの使用目的によってもたらされる合理的に予見可能なリスクを軽減することが求められます
  
  
• し、トレーニング、検証、およびテストデータが特定の品質基準を確実に満たすよう、厳格なデータ・ガバナンス手法の採用。例えば、データ収集プロセスやデータの出所に関するガバナンス、バイアスを防止・緩和するための対策などが必要です
  
  
• システム設計の仕様、機能、制限、規制コンプライアンスの取り組みなど、特定の情報を含む包括的な技術文書の保持

特定のタイプのAIには追加の透明性義務が課されています。例：

• 個人と直接対話することを目的としたAIシステムは、文脈から明らかである場合を覗き、AIシステムと対話していることをユーザーに通知するように設計する必要があります。例えば、チャットボットは、それがチャットボットであることをユーザーに知らせるように設計しなければなりません。
  
  
  
• AIシステムがテキスト、画像、あるいは特定の他のコンテンツを生成する場合、アウトプットにAI生成または改変を示すマシン可読な形式を使用する必要があります。ここには、例えば、ディープフェイク（ある人物が実際にはやっていない、または言っていないことを、あたかもやっているかのように見せるために加工された画像や動画）を生成するAIが含まれます。

ここでは、AIバリュー・チェーンにおける高リスクAIシステムの主なオペレーター（プロバイダーとデプロイヤー）に対する義務について特に解説します。

高リスクAIシステムのプロバイダーは、次の要件に準拠する必要があります。

• 高リスクAIシステムについて、同規則で規定されている高リスクのAIシステムの要件へのコンプライアンスを確保する例えば、継続的なリスク管理システムの導入などが必要です。
  
  
• 品質管理システムの整備
  
  
• 市販後のモニタリング計画を実施することで、AIシステムのパフォーマンスを監視し、システムのライフサイクル全体にわたるAIシステムの継続的なコンプライアンスを評価することができます。

高リスクAIシステムのデプロイヤーには、次のような義務があります。

• 使用指示に確実に従って確実にシステムを使用するために、適切な技術的および組織的措置を講じる
  
  
• 自社の管理下にある範囲で、自動生成されたAIシステムログを特定の期間にわたって保持
  
  
• 官公庁・自治体や公共サービスを提供する民間組織など、ハイリスクAIシステムを使用して特定の必須サービスを提供しているデプロイヤーについては、特定のハイリスクAIシステムを初めて使用する前に、基本的権利への影響アセスメントを実施

EU AI法は、汎用AIモデル（GPAI）について個別の規則を設けています。GPAIモデルのプロバイダーの義務には以下のものがあります：

• EUの著作権法を遵守するポリシーの策定
  
• トレーニングデータセットに関する詳細な要約の文書化と公開

汎用AIモデルがシステミック・リスクを引き起こすものに分類された場合、プロバイダーは追加の義務を負うことになります。システミック・リスクとは、GPAIモデルの影響力の大きい機能に特有のリスクであり、その適用範囲や、ヘルス、安全、公安、基本的権利、または社会全体に対する実際のまたは合理的に予見可能な悪影響により、EU市場に大きな影響を与え、バリューチェーン全体に大規模に伝播する可能性があるものです。 同規則では、システミック・リスクを特定するための基準のひとつとして、トレーニング・リソースが用いられます。モデルのトレーニングに使用されるコンピューティング能力の累積量が10^25FLOP（浮動小数点演算）を超える場合、大きな影響を与える能力があり、システミック・リスクがあるとみなされます。 欧州委員会は、特定のモデルをシステミック・リスクを引き起こすものとして分類する場合もあります。

システミック・リスクをもたらすGPAIモデル（無料のオープンソースモデルを含む）のプロバイダーは、次のような追加の義務を果たさなければなりません。

• 重大なインシデントを文書化し、EU AI担当部局および関連する国内規制当局に報告する
  
  
• 適切なサイバーセキュリティーを実装して、モデルとその物理インフラストラクチャーを保護すること

禁止されているAI慣行に違反した場合、組織は最大で3,500万ユーロ、もしくは世界中の年間売上高の7％のいずれか高い方の罰金が科される可能性があります。

高リスクのAIシステムの要件の不遵守を含むほとんどの違反については、組織は最大1,500万ユーロまたは世界的な年間売上高の3%のいずれか高い方の罰金が科される可能性があります。

不正確、不完全、または誤解を招く情報を当局に提供した場合、組織には最大で7,500,000ユーロ、もしくは世界中の年間売上高の1%のいずれか高い方の罰金が科される可能性があります。

注目すべきことに、EU AI規則では、スタートアップ企業や中小規模の組織に対して課せられる罰金が異なります。これらの事業者の場合、罰金は上記の2つの可能な金額のうち低い方となります。

法律は2024年8月1日に施行され、今後もさまざまな規定が段階的に施行されます。重要な日付としては次のものがあります。

• 2025年2月2日から、禁止されているAIの使用に対する禁止規定が適用されます。
  
  
• 2025年8月2日から、汎用AIに関する規定が新しい汎用AIモデルに適用されます。2025年8月2日以前に発売されたGPAIモデルのプロバイダーは、2027年8月2日までに準拠する必要があります。
  
  
• 2026年8月2日から、高リスクのAIシステムに対する規定が適用されます。
  
  
• 2027年8月2日からは、特定のEU法の下で規制されている製品または製品の安全コンポーネントであるAIシステムに対する規定が適用されます。