EUのAI規制法と日本企業にとって必要な対応とは
2024年7月12日、EUにおいて「AI規制法(EU AI Act)」が公布され、同年8月1日より施行されました。
本法は、EU域内におけるAIシステムの利用および提供を規制するものであり、2025年以降、日本企業に対しても、一定の対応を求めるものとなります。
具体的には、日本国内のECサイト運営者がEUの「一般データ保護規則(GDPR)」に準拠する必要があるケースと同様に、日本企業であっても、EU域内の顧客向けにAI関連の製品やサービスを提供する場合、EU AI規制法の適用を受ける可能性があります。
ここでは、本法の施行に伴い、該当する事業者に求められるAIシステムのリスク分類や適合性評価等、規制への対応について解説します。
この記事の目次
前提:EUにおける「規則」と「指令」の違いとは
AI規制法自体の解説の前に、前提として、EU法における「規則」と「指令」の違いについて理解する必要があります。
まず、「規則」は、EU域内の加盟国、企業等に対して直接適用される法令です。これにより、EU加盟国の国内法よりも優先的に適用され、EU域内全体で統一されたルールが適用されることになります。したがって、規則が発効すれば、EU加盟国では同一の規制内容が適用される状態が実現されます。
一方、「指令」は、EU加盟国間での規制内容の調整や統一を目的とする法令です。ただし、指令は原則として加盟国に直接適用されるものではなく、各国が指令で定められた内容をもとに国内法への置き換えを行う必要があります。通常、指令がEU官報に掲載されてから3年以内に国内法制定・改正をしなければなりません。
「指令」の特徴として、国内法への転換の際に各加盟国に一定の裁量権が認められているため、各国の法令内容には差異が生じるという点があります。つまり、「指令」に基づく法令は、EU域内で完全に統一されているわけではなく、国ごとに若干の違いが生じる可能性があるという点に留意する必要があります。
この区別の上で、AI規制法は「規則」として制定されています。つまり、AI規制法は、EU域内に所在する事業者に対して直接的に適用されるものであるということです。
関連記事:欧州へ事業展開する企業必見 EUの法律・法体系について要点を解説
AI規制法と域外適用
域外適用とは
「域外適用」とは、ある国で制定された法律が、その国の主権が及ぶ領域外で行われた行為にも適用されることを指します。域外適用が認められる背景には、経済のグローバル化や企業活動の国際化があり、世界の経済活動を公平かつ適正に行わせることを目的としています。
この概念が広く認識される契機となった例がGDPR(EU一般データ保護規則)です。GDPRでは、EU域内に拠点がない事業者であっても、以下の要件に該当する場合は適用を受ける可能性があります(域外適用)。
- EU域内の個人に対してサービスや商品を提供する場合
- EU域内の個人の行動を監視する目的で個人情報を処理する場合
例えば、EU域外の企業が従業員をEUに出張させ、その期間に関連する個人情報を処理するケースについて、2020年のガイドラインでは「適用外」と明示されましたが、当初は域外適用が議論された事例です。
AI規制法の域外適用
EU AI規制法においても、EU域外に所在する事業者に対して域外適用が認められています。以下に該当する事業者や活動が対象となります。
- 提供者(Providers):AIシステムまたはGPAIモデルを開発する者、AIシステムまたはGPAIモデルを開発させ、市場に投入する者またはAIシステムを自己の名称または商標で運用開始する者
- 利用者(Users):自らの権限のもとでAIシステムを利用する者(※ただし、個人的かつ非職業的な活動でAIシステムを利用する場合は除かれます。)
- 輸入業者(Importers):EU域外で設立された自然人または法人の名称・商標が付されたAIシステムをEU市場に投入する、EU域内に所在または設立された輸入業者
- 販売業者(distributer):提供者や輸入業者以外で、AIシステムをEU域内市場に提供するサプライチェーンに属する自然人または法人
上記のように、EU域外に所在する事業者であっても、EU域内でAIシステムやGPAIモデルの提供、運用、輸入、利用等を行う場合は、EU AI規制法が直接適用されることになります。
EU AI規制法の特徴:リスク・ベース・アプローチ
リスク・ベース・アプローチとは
EU AI規制法の最大の特徴は、「リスクの内容・程度に応じた規制」(リスク・ベース・アプローチ)を行っているという点です。
「リスク・ベース・アプローチ」とは、リスクの内容や程度に基づいて規制の強さを調整する方法を指します。このアプローチでは、AIシステムが引き起こす可能性のあるリスクの重大さに応じて、そのシステムに対する規制の厳しさを決定します。
具体的には、リスクの高いAIシステムに対してはより厳格な規制が適用され、逆にリスクが低いシステムには比較的緩やかな規制が適用されます。これにより、リスクが低いシステムに対して過度な規制を避け、逆にリスクが高いシステムには適切な監視と管理を行うことができます。
許容できないリスクのあるAIシステム
まず、許容できないリスクとされるAIシステムは、人々への脅威と見なされ、原則として禁止されます。
例えば、子どもの危険な行動を助長する音声作動式の玩具のように、特定の脆弱なグループのユーザーの認知や行動を操作するAIシステムがこれに該当します。また、行動や社会経済的地位、個人的特徴に基づいて人々を分類するソーシャルスコアリングも禁止対象です。さらに、顔認識技術などを利用し、人間の生体データを参照データベースと比較して個人を遠隔で識別する「リアルタイムおよびリモート生体認証システム」も原則禁止されています。
ただし、例外としてこれらのシステムの利用が認められる場合も定められています。具体的には、リアルタイムのリモート生体認証システムは、限られた一部の重大事件においてのみ利用が許可されます。一方、事後のリモート生体認証システムについては、重大な犯罪を起訴する目的で、裁判所の承認を得た場合に限り許可されます。
さらに、例外的に実施できる場合として、行方不明の子どもなど犯罪被害者の可能性がある人物を捜索する場合、人間の生命や身体の安全に対する具体的かつ差し迫った脅威やテロ攻撃を防止する場合、そして重大犯罪の加害者や容疑者の検出や居場所の特定を行う場合などが挙げられます。これらの例外には、裁判所の事前許可を原則とする厳格な制限が設けられており、AIシステムの利用に対して慎重な運用が求められています。
ハイリスクAIシステム
次に、ハイリスクAIシステムに分類されるものは、安全性や基本的人権に悪影響を及ぼす可能性があるAIシステムです。これらは、要件や義務(適合性評価)を満たすことで利用が認められています。
ハイリスクAIシステムは、大きく2つのカテゴリーに分類されます。第一に、EUの製品安全法に該当する製品に使用されるAIシステムであり、具体例としては玩具、航空、自動車、医療機器、リフトなどが含まれます。第二に、EUのデータベースに登録が義務付けられている特定分野に分類されるAIシステムです。この分野には、重要インフラの管理や運用、教育と職業訓練、雇用や労働者管理、不可欠な公共サービスや便益へのアクセス、法執行、移民や亡命、国境管理、法の解釈と適用支援が含まれます。
ハイリスクAIシステムは、市場投入前やライフサイクルを通じて評価が求められます。さらに、指定された国家当局にAIシステムに関する苦情を申し立てる権利が認められています。
大まかに言えば、人間の生命や身体の安全確保が前提となる機械類や乗り物がハイリスクAIの対象であると言えます。例えば、自動運転AIもこれに該当し得るため、日本企業が自動運転AIを開発し海外展開する場合には、ハイリスクAIとしての要件を満たすかどうかを慎重に検討し、適切に対応することが求められます。
限定的なリスクのあるAIシステム
そして、限定的なリスクのあるAIシステムについては、透明性リスクや、なりすまし・操作・詐欺のリスクが想定されています。具体的には、チャットボット、ディープフェイク、生成AIがこれに該当し、EU議会の見解によると、現在使用されているAIシステムの大部分がこのカテゴリーに分類されるとされています。例えば、自動翻訳システム、ゲーム機、反復的な製造プロセスを実行するロボット、さらには「エウレカマシン」のようなAIシステムもここに含まれます。
生成AIについては、ハイリスクには分類されませんが、透明性の要件およびEU著作権法への準拠が求められます。具体的には以下の対応が必要です。
- コンテンツがAIによって生成されたことを明確に開示すること
- 違法なコンテンツを生成しないようにモデルを設計すること
- AIのトレーニングに使用した著作権保護データの概要を公開すること
さらに、「GPT-4」のような高度で影響力の大きい汎用AIモデル(GPAIモデル)については、システミックリスクをもたらす可能性があるため、徹底的な評価を受ける必要があります。また、重大なインシデントが発生した場合には、欧州委員会への報告義務が課されます。加えて、AIを用いて生成・変更されたコンテンツ(画像、音声、動画ファイル、ディープフェイクなど)については、AIによって生成されたものであることを明確に表示し、ユーザーがそのコンテンツを認識できるようにしなければなりません。
最小限のリスクのあるAIシステム
最後に、最小限のリスクのあるAIシステムについては、特段の規制は設けられていません。具体例としては、スパムフィルターやレコメンドシステムなどが挙げられます。このカテゴリーにおいては、規制ではなく、行動規範の策定およびその遵守が奨励されるのみとなっています。
ハイリスクAIシステムに対する要件と義務
提供者・利用者・輸入業者・販売業者の義務
上記のような区別の上で、特にハイリスクAIシステムは、そのリスクの重大性から特に厳格な規制が課されており、提供者や利用者にはそれぞれ具体的な義務が求められます。
まず、提供者、利用者、輸入業者、販売業者には、リスク管理システムの構築が求められます(第9条)。これはハイリスクAIシステムに内在するリスクを特定し、適切に管理するためのシステムを構築、導入し、さらに文書化して維持することが義務付けられています。また、データガバナンスに関しては(第10条)、品質基準を満たす学習用、検証用、試験用データセットの利用が求められます。AIシステムの開発段階においても、データの品質や信頼性が厳格に管理される必要があるためです。
さらに、技術文書の作成が義務付けられています(第11条)。この技術文書は、ハイリスクAIシステムが規制要件を遵守していることを証明するために必要な情報を記載し、加盟国の所管機関や第三者認証機関に提供できるよう準備することが求められます。また、AIシステムが動作中に出来事を自動的に記録するログ機能の設計と開発も必要です(第12条)。また、ハイリスクAIシステムは市場投入前にEUの管理下にあるデータベースへ登録することが義務付けられており、提供者には品質管理システムを整備し、文書化して維持する責任があります。
提供者の義務
提供者は市場投入または運用開始後10年間、技術文書や品質管理システムに関する文書、第三者認証機関による承認や決定書などの関連文書を保存し、国内管轄当局の要請に応じて提出する義務があります。このように、提供者はAIシステムの品質と安全性を長期にわたり維持し、透明性を確保する責任があるのです。
利用者の義務
一方、利用者にもハイリスクAIシステムの利用に伴う具体的な義務が課されています。利用者はハイリスクAIシステムによって自動的に生成されるログを、EU法または加盟国法に特別の規定がない限り、そのAIシステムの意図された目的に照らして適切な期間保存する必要があります。具体的には、少なくとも6ヶ月間の保存が義務付けられています。
また、職場においてハイリスクAIシステムを運用開始または利用する場合、雇用者である利用者は、事前に従業員代表者および影響を受ける従業員に対して、そのシステムが利用される旨を通知する義務があります。これは労働者の権利保護と透明性確保の観点から定められているものです。
このように、ハイリスクAIシステムは、提供者と利用者の双方に対して厳格な要件と義務が設けられています。特に、医療機器や自動運転システムのような高度なAI技術を取り扱う場合は、既存の規制枠組みとの整合性も考慮しつつ、適合性評価の実施や第三者認証機関の審査が求められるケースもあるため、事業者は慎重かつ計画的に対応する必要があります。
AI規制法の段階的な施行スケジュール
EU AI規制法は、公布から適用に至るまで段階的に施行されるスケジュールが定められています。これにより、事業者は各段階に応じた準備と対応が求められます。
2024年7月12日にAI規制法が官報掲載され、同年8月1日に施行されました。この段階では、事業者はまず規制内容の確認と検討を行うことが求められるにとどまります。
2025年2月2日には、「総則」と「許容できないリスクのあるAIシステム」に関する条項が適用されます。万が一、事業者が許容できないリスクのあるAIシステムを取り扱っている場合には、速やかにその取り扱いを停止する必要があります。
続いて、2025年5月2日には、汎用AI(GPAI)モデル提供者向けの実践規範(Codes of Practice)が公表されます。事業者は、この実践規範を踏まえた対応を行わなければなりません。
その後、2025年8月2日には、「GPAIモデル」と「罰則」に関する条項が適用され、加盟国ごとに管轄当局の任命が行われます。この段階では、GPAIモデルを提供する事業者が関連規律を遵守する必要があります。
2026年2月2日には、AI規制法に基づくAIシステムの実装方法等に関するガイドラインが公表されます。同時に、ハイリスクAIシステムに対する市販後モニタリングが義務付けられ、これに対応する体制が求められます。
さらに、2026年8月2日には、付属書Ⅲに記載された「ハイリスクAIシステム」に関する条項が適用されます。この時点で、加盟国はAI規制サンドボックスの設置を行い、対象となるハイリスクAIシステムの規律遵守が必須となります。
最後に、2027年8月2日には、付属書Ⅰに記載された「ハイリスクAIシステム」に関する条項が適用されます。これにより、付属書Ⅰに定められた対象AIシステムについても、その規律を遵守することが義務付けられます。
このように、AI規制法は数年にわたって段階的に施行され、リスクの重大性に応じた規制が順次適用されていきます。事業者は各適用時期を正確に把握し、対象となるAIシステムに応じた対応を進める必要があります。
関連記事:EUにおけるAI規制法の現状と展望は?日本企業への影響も解説
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。
AIビジネスには多くの法的リスクが伴い、AIに関する法的問題に精通した弁護士のサポートが必要不可欠です。当事務所は、AIに精通した弁護士とエンジニア等のチームで、ChatGPTを含むAIビジネスに対して、契約書作成、ビジネスモデルの適法性検討、知的財産権の保護、プライバシー対応など、高度な法的サポートを提供しています。下記記事にて詳細を記載しております。
モノリス法律事務所の取扱分野:AI(ChatGPT等)法務
カテゴリー: IT・ベンチャーの企業法務
