EU(欧州連合)議会が今年3月13日、世界初の包括的なAI規制となる「人工知能(AI)法案」を正式に可決した。EU加盟国による5月の正式な承認を経て、発効、適用と段階的に進められるスケジュールとなっているが、一部の条項の施行は今年中にも予定されている。
法案が提案されてから約3年、EU議会が採決を1カ月前倒しし、可決へと歩みを進めたのは、ChatGPTに代表されるAIの急速な普及と、その潜在的なリスクが重く受けとめられている結果だとの指摘もある。欧州のみならず、世界の多くの企業がこのAI法への迅速な対応を迫られている。
UnsplashのGuillaume PérigoisよりこのAI規制法は、高リスクAIシステム、人間と対話するAIの透明性、規制対象製品のAIシステムに関する世界で初めての包括的な規制だ。
ChatGPTや画像生成AIなどの急速な普及で、生活を便利にする印象が強いAIだが、その濫用は様々な問題をもたらすとの指摘も多い。
このAI規制法も、ハルシネーション(AIが事実と異なる情報をもっともらしく生成してしまう)、動画の中の人物の顔などを入れ替える技術であるディープフェイクによる偽情報の拡散やオンライン詐欺、医療や選挙などに大きな影響を与える偽情報の拡散といった問題に対応することを念頭に法整備が進められてきた。
このうちEU内での利用が完全に禁止されているのが、「容認できないリスク」に分類されたAIだ。このカテゴリには、「人々の安全、生活、基本的権利を脅かすアプリケーション」が含まれており、例えば、社会的な信用の評価に用いるAIシステム、職場や教育現場における感情認識システム、犯罪を犯す可能性の予測のための特性分析などがここに含まれる。
企業に厳格なコンプライアンス対策義務が課される「高リスク」カテゴリには、交通機関、水道、電気などのインフラ、保険、銀行など生活に必要不可欠なサービス、教育、医療、採用などバイアスの可能性が高い分野で使用されるAIが含まれる。
AIの使用用途などによりリスク分類がなされている
UnsplashのEmiliano VittoriosiよりチャットボットやAIを活用したマーケティングツールなど、「限定的なリスク」に分類されたAIに関しては、ユーザーが人間ではなくAIと対話していることを通知する透明化の義務にとどまり、その他の「最小限のリスク」に分類されるAIについては、原則として規制は課されていない。
このような規制に企業が違反した場合には、高額の罰金が課される。罰金額は、侵害の重大度に応じて、750万ユーロから3,500万ユーロ、または年間売上高の1%から7%のうち、より高額な罰金額が適用される。ただし、暫定協定では、中小企業やスタートアップには、支払額に上限を設けることとなっている。消費者は苦情の申し立てを行い、十分な説明を企業から受ける権利を有している。
米国の主要テック企業などEU域外の企業にも大きな影響を与える
UnsplashのFirmbee.comより前述したように、このEU規制AI法はEU域内の企業だけでなく、世界全体に影響を及ぼすものだ。AIによって生成された出力がEU内で使用される場合、EU域外のAIサービスプロバイダーやそのユーザーにもこの法律は適用される。
ChatGPTを開発するOpenAIやGeminiを発表したGoogleなど、世界的にサービスが使われているAI企業には米国企業が多いが、これらの企業もEUのAI法による規制を遵守し、課された責任に対して適切に対応する必要がある。
この企業に課される責任には、EUデータベースへのAIサービスの登録、リスク分類、リスク管理、データガバナンス、技術文書の保管、人間による監視、サイバーセキュリティの保証、インシデント報告などが含まれる。
IBMのヴァイス・プレジデントであるクリスティーナ・モンゴメリー氏は、「リスク・ベースのアプローチは、倫理的なAIの実践に対するIBMのコミットメントに合致したものであり、オープンで信頼できるAIエコシステムの構築に貢献するだろう」とEUを称賛。
また、セールスフォースのグローバルガバメントアフェアーズ担当エグゼクティブバイスプレジデントであるエリック・ローブ氏は、「EUのAI規制法のようにリスクベースの枠組みを構築し、倫理的で信頼できるAIへのコミットメントを推進し、複数の利害関係者を招集することで、規制当局は実質的にポジティブな影響を与えることができると信じている。セールスフォースは、この領域でリーダーシップを発揮しているEU機関に賞賛を送る」と述べている。
個人情報保護、違法コンテンツの取り締まりなどEU発のデジタルサービス規制は厳格
UnsplashのJonas LeupeよりEUのデジタルサービス規制が、日本企業を含むEU域外の企業に影響を及ぼした前例としては、「EU一般データ保護規則(GDPR)」が記憶に新しい。
EUとEEA(欧州経済地域)域内の個人データの処理と移転に関するルールを定めた法律であるGDPRは、世界で最も厳しい基準で個人情報保護を行うものであり、世界中のEU・EER領域内に支店を置く企業、顧客を持つ企業が対応を迫られた。
MetaやGoogleは、ウェブサイトの閲覧履歴を保存するクッキーに関して違反、約270億円の高額の制裁金を科された。また、2022年には、ヤフージャパンが突然欧州におけるサービスを停止、理由は明言されていないが、GDPR、そして、やはり欧州発の違法コンテンツの取り締まりを目的とする「デジタルサービス法案」順守に発生するコストの採算が取れないと判断したことが原因ではないかと言われている。
重い制裁金が課される欧州AI法。自社ビジネスへの適用の有無やリスクの評価、サービス内容の見直しなど、世界中の企業が迅速な対応を迫られているといえるだろう。
文:大津陽子
編集:岡徳之(Livit)
法案が提案されてから約3年、EU議会が採決を1カ月前倒しし、可決へと歩みを進めたのは、ChatGPTに代表されるAIの急速な普及と、その潜在的なリスクが重く受けとめられている結果だとの指摘もある。欧州のみならず、世界の多くの企業がこのAI法への迅速な対応を迫られている。
世界初の包括的なAI規制となるEUのAI法
EU発、世界で初めての包括的なAI規制法UnsplashのGuillaume PérigoisよりこのAI規制法は、高リスクAIシステム、人間と対話するAIの透明性、規制対象製品のAIシステムに関する世界で初めての包括的な規制だ。
ChatGPTや画像生成AIなどの急速な普及で、生活を便利にする印象が強いAIだが、その濫用は様々な問題をもたらすとの指摘も多い。
このAI規制法も、ハルシネーション(AIが事実と異なる情報をもっともらしく生成してしまう)、動画の中の人物の顔などを入れ替える技術であるディープフェイクによる偽情報の拡散やオンライン詐欺、医療や選挙などに大きな影響を与える偽情報の拡散といった問題に対応することを念頭に法整備が進められてきた。
潜在的なリスクに基づいてAIシステムを分類
このAI規制法が定める企業のコンプライアンス義務は、リスクレベルによってAIを数段階に分類し、そのカテゴリに応じて定められている。このうちEU内での利用が完全に禁止されているのが、「容認できないリスク」に分類されたAIだ。このカテゴリには、「人々の安全、生活、基本的権利を脅かすアプリケーション」が含まれており、例えば、社会的な信用の評価に用いるAIシステム、職場や教育現場における感情認識システム、犯罪を犯す可能性の予測のための特性分析などがここに含まれる。
企業に厳格なコンプライアンス対策義務が課される「高リスク」カテゴリには、交通機関、水道、電気などのインフラ、保険、銀行など生活に必要不可欠なサービス、教育、医療、採用などバイアスの可能性が高い分野で使用されるAIが含まれる。
高リスクAIに対する規制違反の罰則は重大
UnsplashのEmiliano VittoriosiよりチャットボットやAIを活用したマーケティングツールなど、「限定的なリスク」に分類されたAIに関しては、ユーザーが人間ではなくAIと対話していることを通知する透明化の義務にとどまり、その他の「最小限のリスク」に分類されるAIについては、原則として規制は課されていない。
このような規制に企業が違反した場合には、高額の罰金が課される。罰金額は、侵害の重大度に応じて、750万ユーロから3,500万ユーロ、または年間売上高の1%から7%のうち、より高額な罰金額が適用される。ただし、暫定協定では、中小企業やスタートアップには、支払額に上限を設けることとなっている。消費者は苦情の申し立てを行い、十分な説明を企業から受ける権利を有している。
EU域内だけでなく全世界の企業に影響
UnsplashのFirmbee.comより前述したように、このEU規制AI法はEU域内の企業だけでなく、世界全体に影響を及ぼすものだ。AIによって生成された出力がEU内で使用される場合、EU域外のAIサービスプロバイダーやそのユーザーにもこの法律は適用される。
ChatGPTを開発するOpenAIやGeminiを発表したGoogleなど、世界的にサービスが使われているAI企業には米国企業が多いが、これらの企業もEUのAI法による規制を遵守し、課された責任に対して適切に対応する必要がある。
この企業に課される責任には、EUデータベースへのAIサービスの登録、リスク分類、リスク管理、データガバナンス、技術文書の保管、人間による監視、サイバーセキュリティの保証、インシデント報告などが含まれる。
リスクベースのアプローチに肯定的な反応
高リスクAIは全面禁止、非常に低いリスクのAIには原則規制なしという、階層的なリスクに基づいたこのAI規制法のアプローチに対しては、IBMやセールスフォースといった米国の大手テック企業から肯定的な反応が寄せられている。IBMのヴァイス・プレジデントであるクリスティーナ・モンゴメリー氏は、「リスク・ベースのアプローチは、倫理的なAIの実践に対するIBMのコミットメントに合致したものであり、オープンで信頼できるAIエコシステムの構築に貢献するだろう」とEUを称賛。
また、セールスフォースのグローバルガバメントアフェアーズ担当エグゼクティブバイスプレジデントであるエリック・ローブ氏は、「EUのAI規制法のようにリスクベースの枠組みを構築し、倫理的で信頼できるAIへのコミットメントを推進し、複数の利害関係者を招集することで、規制当局は実質的にポジティブな影響を与えることができると信じている。セールスフォースは、この領域でリーダーシップを発揮しているEU機関に賞賛を送る」と述べている。
EUの規制はこれまでも世界的に影響
UnsplashのJonas LeupeよりEUのデジタルサービス規制が、日本企業を含むEU域外の企業に影響を及ぼした前例としては、「EU一般データ保護規則(GDPR)」が記憶に新しい。
EUとEEA(欧州経済地域)域内の個人データの処理と移転に関するルールを定めた法律であるGDPRは、世界で最も厳しい基準で個人情報保護を行うものであり、世界中のEU・EER領域内に支店を置く企業、顧客を持つ企業が対応を迫られた。
MetaやGoogleは、ウェブサイトの閲覧履歴を保存するクッキーに関して違反、約270億円の高額の制裁金を科された。また、2022年には、ヤフージャパンが突然欧州におけるサービスを停止、理由は明言されていないが、GDPR、そして、やはり欧州発の違法コンテンツの取り締まりを目的とする「デジタルサービス法案」順守に発生するコストの採算が取れないと判断したことが原因ではないかと言われている。
重い制裁金が課される欧州AI法。自社ビジネスへの適用の有無やリスクの評価、サービス内容の見直しなど、世界中の企業が迅速な対応を迫られているといえるだろう。
文:大津陽子
編集:岡徳之(Livit)
![[医食同源ドットコム] iSDG 立体型スパンレース不織布カラーマスク SPUN MASK 個包装 ホワイト 30枚入](https://m.media-amazon.com/images/I/51m0nKLQ+rL._SL500_.jpg)
![[医食同源ドットコム] iSDG KUCHIRAKU MASK (クチラクマスク) ホワイト 30枚入 ダイヤモンド型 くちばし型 メイクが付きにくい](https://m.media-amazon.com/images/I/51S5YMnLMNL._SL500_.jpg)
![[医食同源ドットコム] iSDG 不織布マスクPREMIUM 50枚入り (個包装) (ふつう)](https://m.media-amazon.com/images/I/51XlQaY1QuL._SL500_.jpg)
