EUにおけるAI規制法の現状と展望は?日本企業への影響も解説
AIの発展により業務にChatGPTなどのAIツールが用いられるなど、AI関連ビジネスが盛んになる一方で、国際的なAIの規制に関する問題も注目されています。
日本では、経済産業省が「AI原則実践のためのガバナンス・ガイドライン Ver. 1.1」を公表しています(執筆時点)。2023年6月14日には、世界で初の国際的な「AI規制法」がEU欧州議会で採択され、日本でも注目を集めています。
本記事では、AI規制法の現状と展望を紹介するとともに、日本企業への影響について解説します。
この記事の目次
AI規制法(AI Act)とは?
2023年6月14日、AI全般の活用を対象とした包括的な「AI規則案」がEUの欧州議会で採択されました。EUの統一ルール(二次法)で、85条から成る世界初の国際的な「AI規制法(AI Act)」です。
今後、2023年内の合意を目途に三者(欧州委員会・欧州議会・欧州理事会)による非公式交渉 (トリローグ)が行われ、立法機関である欧州議会と欧州理事会の承認を経て成立し、2024年にも施行される予定です。
EUの法体系
EUの法体系は、一次法(条約)・二次法(共同体立法)・判例の3種類から成っています。
二次法とは一次法(条約)を根拠に制定され、EU域内で直接・間接的に加盟国を規制する法令で、EU法・派生法と呼ばれています。
大きく分けて以下の5種類がありますが、「EU AI規制法」は規則(Regulation)に該当するため、直接EU加盟国を拘束する統一ルールとなります。
EUの法令(二次法)には、以下の5種類があります。
- 規則(Regulation):全ての加盟国に拘束力を持ち、採択されると、直接適用性(加盟国内の批准手続きを経ず国内法体系の一部となる)を有します。
- 指令(Directive):各加盟国は、目標達成のために国内法を新たに法制化したり、改正するなど法的義務を負うものです。
- 決定(Decision):法的拘束力を持つ法の形態の1つで、その対象を一般ではなく特定のものとする法であり、対象には特定の加盟国や企業・個人がなり得ます。
- 勧告(Recommendation):欧州委員会が、加盟国の政府や企業・個人などに、一定の行為や措置を取ることを勧めるものです。法的拘束力・強制力はありませんが、EU加盟国内での法制化・改正などを促すものとされています。
- 意見(Opinion):「見解」と呼ばれることもありますが、欧州委員会が特定のテーマについて意見を表明するもので、法的拘束力や強制力はありません。
「Regulation」は、二次法の中で一番強制力のある法に位置づけられ、例えばGDPR(General Data Protection Regulation)=「一般データ保護規則」などが規則の例として挙げられます。
AI規制法の適用範囲
EUの「AI規制法」は、EU域内に直接適用されるとともに、取引国である第三国にも域外適用され、法的拘束力を持つことになります。規制対象は、欧州市場をターゲットに AIシステム・サービスを投入する事業者で、AIの開発者・デプロイヤー・プロバイダー・輸入者・販売業者・ユーザーが該当します。
AI規制法では、AIの特定のシステムに関する明確な要件と事業者の義務を定めていますが、同時に中小企業(SME)に対する行政的および財政的負担を軽減することを求めています。
同法案は、AIの安全性と基本的な権利を保証し、EU全体でのAIへの取り組み・投資・革新を強化することを目指す広範なAIパッケージの一部です。
欧州規制は、基本思想である欧州連合基本条約に沿っていなければなりません。つまりAI技術においても、EU域内の人権と自由は保障されなければならず、そのためのセーフガードが必要であるという考えです。
法案では、規制の目的について「人間の監督によって信頼できるAIの利用を促進し、AIのリスクから健康・安全・基本的権利・民主主義と法の支配・環境を守ることを保証するため」と説明しています。
具体的には、以下の「全てのAIシステムに適用される一般原則」が記されています。
- 人間による自律性と監視(human agency and oversight)
- 技術的な頑健性(technical robustness and safety)
- プライバシーとデータガバナンス(privacy and data governance)
- 透明性(transparency)
- 多様性・無差別・公平性(diversity, non-discrimination and fairness)
- 社会と環境に対する健全性(social and environmental well-being)
本規制法の中で、AI原則の達成には、AI開発者・利用者・提供者のAIリテラシーを確保する措置も不可欠であるという指針が明確に示されています。
違反時には全世界売上ベースでの巨額な制裁金が課され(最大で3,000万ユーロ=約47億円または全世界売上高の6%のうちいずれか高い方が上限)、EU圏内でAIビジネスができなくなるおそれがあります。
したがって、日本を含めEU市場で現在AIビジネスを投入している企業や、今後EU市場への進出を考えている企業も、EUの新たなAI規制に適合した対応が求められます。
AI規制法制定の背景
生成AIは便利なツールである一方、犯罪を助長したり、民主主義を脅かしたりするリスクをはらんでいます。AI技術が進化し普及するにつれ、これらの問題は避けて通れない課題となっています。
2016年以降、欧州連合(EU)・米国・中国が、AIに関する指針と国家戦略案を公表しています。特にEUでは、AIやビッグデータ規制の整備を進めており、2017年から2022年の間に重要な指針・宣言・規制案が作成されました。
例えば、2016年4月に「一般データ保護規則(GDPR)」が制定され、2021年4月21日には「AI規制法案」を発表、2022年5月30日には「欧州データガバナンス法(DGA)」が制定され、2023年9月24日から施行されています。
これらの規制は、AIとビッグデータが社会全体で安全かつ公正に利用されることを確保し、同時にイノベーションと経済成長を促進することを目指しています。
EUは、デジタル戦略として「A Europe fit for the Digital Age(デジタル時代にふさわしいヨーロッパ)」を掲げています。
「AI規制法案」が発表された後も、生成AIの急速な進化と普及を受け、欧州委員会は、2023年6月14日生成AIに関する考え方や要求事項が追加された修正案を採択しました。
| 日 程 | 会 議 |
| 2021年4月21日 | 欧州委員会が「EU AI規制法案」を発表 |
| 2023年5月11日 | 「域内市場・消費者保護委員会」「市民の自由・司法・内務委員会」修正案可決 |
| 2023年6月14日 | 欧州議会修正案採択 |
| 2023年10月24日 | 第四回トリローグ(三者協議)開催 暫定合意 |
| 2023年12月6日 | 最終トリローグ(三者協議)開催予定 欧州議会・EU理事会の承認 「EU AI規制法」制定 |
| 2024年後半 | 施行予定 |
AI規制法の特徴
「AI規制法」の骨子は、大きく分けると3つの特徴である「リスクベースでのAI分類」、「要求事項と義務」、「イノベーション支援」から成り立っています。
本規制は、「リスクベースアプローチ」と呼ばれる方法論であり、AIのリスクレベルを4段階にカテゴライズし、それに応じた規制が適用されることになります。
具体的には以下の表にあるとおり、AIシステムの4類型のリスクレベルに応じた禁止事項と要求事項や義務が定められています。ハイリスクのAIについては、人間の身体及び生命の安全性や自己決定権の確保、民主主義及び適正手続の維持の観点から用途が特定されています。
| リスクレベル | 利用制限 | 対象AIシステム | 要求事項・義務 |
| <禁止リスク> EUの価値観と矛盾するAIの禁止 | 禁止 | ①サブリミナル (潜在意識)技法 ②脆弱性を利用 ③ソーシャルスコアリング ④法執行を目的とした公共エリアにおける「リアルタイム」遠隔生体識別システム(例外を除く) | 禁止 |
| <ハイリスク> ・規制対象製品の安全要素 ・特定分野のAIシステム+健康・安全・基本的権利・環境に重大なリスクを与えるAI | 要件と適合性評価の遵守を条件 | ①生体認証・分類(産業機械・医療機器) ②重要インフラの管理・運営 ③教育・職業訓練 ④雇用、労働者管理、自営業へのアクセス ⑤必須の民間・公共サービスへのアクセス ⑥法執行(全て主体は法執行機関) ⑦移民・亡命・国境管理(全て主体は所管の公的機関) ⑧司法及び民主的プロセスの運営 | リスク管理システム・データガバナンス・技術文書の作成・ログ保存・人的監視措置・適合性評価手続など厳格な規制 |
| <限定リスク> 透明性義務が適用されるAIシステム | 透明性の義務を条件 | ①チャットボットなど自然人と相互作用するAIシステム ②感情認識システム・生体分類システム ③ディープフェイク生成AIシステム | 違法なコンテンツが生成されないようモデル設計 • トレーニングに使用された著作権で保護されたデータの公表・AI使用の事前告知など限定的な義務 |
| <最小リスク> 上記以外のシステム | 制限なし | 上記以外のシステム | 行動規範の推奨 |
AI規制法の日本への影響
EUは、人権保障や個人情報保護・環境保全等の領域において、国際的にも先駆的に規制を導入し、その後の各国の制度設計の「ゴールデンスタンダード」となってきました。
日本における個人情報保護法改正も、分権的規制を統一する目的のほか、EUのGDPR(データ保護法)への対応が大きな課題となって推進されました。また、「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」(2021年2月1日施行)のように、EUの法規制を参考に制度設計された法規制も存在します。
現在日本では、AIについてハードローによる規制はされておらず、ソフトローによる自主規制で対応する方針を採っています。
上述したとおりEUの「AI規制法」は、EU加盟国に直接適用されるとともに、EU域内で事業を展開する場合も越境適用となり、海外に所在する事業者にも適用されます。
後述しますが、EU域内におけるAI製品の出荷には、異なる観点から定められた複数の法律が適用される可能性があり、それらへの対策が欠かせません。日本企業も今後の動向を注視し、適法な対応策を講じる必要があります。
生成AIを含む修正案の採択
AI規制法は、EUの三者(欧州理事会・欧州議会・欧州委員会)による修正案が適用された法律です。
2023年5月11日、IMCO(Committee on Internal Market and Consumer Protection)=「域内市場・消費者保護委員会」とLIBE(Committee on Civil Liberties, Justice and Home Affairs)=「市民の自由・司法・内務委員会」は、AI規制法に関する修正案を可決しました。
これらの修正案は、2023年6月14日に欧州議会で採択されました。
このレポートには、予測ポリシングの禁止・高リスクに分類されたスタンドアロンAIのリストへの多数の追加・新しいAIオフィス(EAIB=欧州人工知能委員会に代わる機関を設置)の強力で包括的な役割など、立法提案の重要な修正が含まれています。
さらにGDPR(データ保護法)とのより強力な連携が提案されており、ある分野でステークホルダーの関与が増加していること、および生成AI・汎用AIに関連する特定の規定が導入されています。
その後、2023年10月24日に、AI規制法に関する4回目のトリローグ(三者協議)が開催され、政治的にデリケートな問題について多くの進展が見られました。特に、議論の余地の多い高リスクAIシステムのフィルターメカニズム(Art. 6)について暫定合意が得られました。
さらに基盤モデル/汎用AIシステム・ガバナンス・禁止事項・法執行機関に関する今後の方向性に関する政治的ガイダンスが行われ、技術チームは、上記の問題に関する具体的なテキスト提案に取り組むことを義務付けられました。
関連する法律のAI規制について
AI規制法には、異なる観点から定められた複数の法律が関連しています。これら3つの法律は、デジタル空間での個人情報の保護と公正な競争を確保するために、欧州連合(EU)によって制定されました。
DSA(The Digital Services Act)
EUの「デジタルサービス法」(DSA=Digital Services Act )とは、2022年11月16日に施行された、EUにおける電子商取引に関する包括的な規則です(2024年2月17日全面施行予定)。
EUでは2000年に電子商取引指令が制定されていますが、インターネットやオンラインプラットフォームなどデジタル環境の進化に適用させることが難しくなってきたため、当該指令を改正する形でEU統一ルールのDSA(デジタルサービス法)が施行されました。
EU域内市場の仲介サービスを適切に機能させることにより、ユーザーの基本的権利を保護し、より安全なデジタル環境を維持することを目的として制定されました。規制対象事業者は、オンライン仲介サービス・ホスティングサービス・オンラインプラットフォーム(VLOP・VLOSE含む)です。
違法なコンテンツが掲載された場合における責任のあり方、および紛争が発生した場合の取扱いを定めた、BtoBとBtoCの両面について包括的に規制する法律です。
具体的には、違法コンテンツや製品・サービスを排除する措置を義務付け、ユーザーの基本的な権利の保護を強化し、透明性確保と説明責任を求める包括的な規則となっています。
さらにEU域内の利用者が月間平均4,500万人以上のVLOP(Very Large Online Platform)=「巨大オンラインプラットフォーム」と、VLOSE(Very Large Online Search Engine)=「巨大オンライン検索エンジン」については、より厳格なルールが義務付けられています。
指定されたVLOP・VLOSEは、決定の通知から4ヶ月以内に、自社のシステムやリソース・プロセスをDSAに適応させ、緩和措置の導入と法令遵守のための独立したシステムを立ち上げなければなりません。その上で、監査と最初の年次リスク評価を実施し、欧州委員会に報告する必要があります。
DSA(デジタルサービス法)は2024年2月17日から全面的に適用される予定で、VLOP・VLOSE以外の事業者のDSAの履行状況は今後、欧州委員会と加盟国の当局によって監視されます。
加盟国は、2024年2月17日までにDSAの遵守状況を監督する独立した権限を持つ「デジタルサービス調整官」を設置することになっており、義務に違反した場合の制裁金を含む罰則の執行権限などが付与されています。
一方VLOP・VLOSEについては、欧州委員会が直接監督し、罰則の執行権限を有します。
法に違反した場合の制裁金は、当該事業者の前年度の全世界年間売上高の6%が上限とされています。
本法律は、「A Europe fit for the Digital Age」として知られるEUのデジタル戦略の一環として適用され、進化するデジタル時代の新たな課題やリスクに対応しようとするものです。
DMA(The Digital Markets Act)
EUの「デジタル市場法」(DMA=Digital Markets Act)とは、2023年5月2日から大方施行され、デジタル市場を公正で競争力のあるものとし、特定のデジタルプラットフォームが市場を支配するのを防ぐことを目的としています。
規制の対象となるのは指定されたゲートキーパーで、その義務を定め、違反した場合には全世界売上高の10%を上限とする罰金などの制裁措置が講じられます。
「ゲートキーパー」とは、欧州連合域内で運営されている最大規模のデジタルプラットフォームで、一部のデジタル分野において市場で持続的な地位を占めていることや、ユーザー数・売上高・資本金などに関する一定の基準を満たしていることからそう呼ばれます。
欧州委員会は、2023年9月6日までに最新のゲートキーパーを指定し、それらの企業はデジタルマーケット法の新たな義務を遵守するために最大6ヶ月(2024年3月まで)の猶予期間が与えられています。このとき「ゲートキーパー」に指定されたのは、アルファベット・アマゾン・アップル・バイトダンス・メタおよびマイクロソフトの6社で、これらのゲートキーパーが提供する計22の主要プラットフォーム・サービスが法の対象に指定されました。
この法律は、大規模なデジタルプラットフォームが市場力を乱用することを防ぎ、新規参入者が市場に参入しやすくすることを目指しています。
GDPR(General Data Protection Regulation)
GDPR(General Data Protection Regulation)とは、2018年5月25日に施行されたEUの新しい「データ保護法」です。
EU内外の個人からの個人情報の収集と処理についてのガイドラインを設定する法的枠組みです。この規制は、EUを対象とするか、またはEU内の人々に関連するデータを収集する組織に義務を課します。
関連記事:GDPRに対応したプライバシーポリシーを作成する際のポイントを解説
今後予想されるAI規制の動向
上述したAIのリスク分類表のうち、企業が注視すべきAIシステムについて解説します。
社会的信用スコアの利用禁止
EU規制法の「禁止されるリスク」に該当するAIシステムの1つに、社会的信用スコア(ソーシャルクレジットスコア)が挙げられています。これは、修正案により、公的機関に限らず全面的に禁止されます。
「ソーシャルクレジットスコア」とは、個々の市民の社会的ステータスや行動に基づいてスコアリングするシステムのことを指します。
中国では、監視社会のツールとして機能しており、国策として「公務」「商業」「社会」「司法」の4つの分野で社会信用システムを構築しています。
具体的な制限としては、航空機や高速鉄道の利用禁止・私立学校からの排除・NPOなどの組織の設立禁止・名声の高い仕事からの排除・ホテルからの排除・インターネット回線速度の低下・ウェブサイトやメディアでの個人情報公開などがあります.。一方で、スコアが高ければ、さまざまな「特典」が受けられます。
しかし、このようなシステムは個人のプライバシーと自由に対する懸念を引き起こしており、その運用については議論が続いています。
EU域内での社会的信用スコアの利用禁止は、AI技術の利用が公正で透明であることを確保するためのものです。
生成AIの制限強化
EU規制法の「限定リスク」に該当するAIシステムの1つに、生成AIがあります。
生成AI(ジェネレーティブAI)とは、学習データをもとに新しいコンテンツやソリューションを生成するAIの一種で、Chat GPTなど近年注目を集めています。しかし、生成AIにはさまざまな課題があり、そのために規制が必要とされています。
AI規制法では、生成AIの急速な進化や普及を受け、生成AIに関する考え方や要求事項が追加されています。
具体的には、OpenAI社をはじめとする生成AIベンダーに対し、LLM(Large Language Mode=大規模言語モデル)の学習に使用された著作権データの開示を義務付けることなどが課されます。
この目的は、生成AIの透明性確保とリスク管理の規制強化を図ることにあります。
EUの立法においてはGDPR(データ保護法)をはじめ、伝統的に「透明性(Transparency)」原則が重視され、保護措置やAIの用途・目的を対象者にあらかじめ開示義務が課され、この原則が国際的な「ゴールデンスタンダード」となっています。
感情認識AIの使用制限
EU規制法の「限定リスク」に該当する感情認識AIも、透明性義務が適用されるAIシステムで、AI使用の事前告知など限定的な義務が課されます。
「感情認識AI」とは、人間の感情の変化を読み取ることができるAIのことです。
具体的には以下の4つの種類があり、マイクやカメラ・センサーなどを通して、喜怒哀楽や関心のレベルを分析します。
- テキストの感情認識AI:人間が入力した文章、あるいは音声データをテキストに変換した情報を解析して感情を判断します。
- 音声の感情認識AI:人間が発する音声から感情を分析します。
- 表情の感情認識AI:カメラを通して顔の表情から感情を読み取ります。
- 生体情報の感情認識AI:脳波や脈拍などの生体情報から感情を認識します。
これらの技術は、接客業やコールセンター、営業職などさまざまな場面で活用されています。今後さらに技術が発展すれば、医療分野への活用も期待されています。
ただし、生体情報や取得した個人情報によるプライバシーの保護や、それに伴う法律の整備が必要となります。
まとめ:AI規制法の現状と今後の展望
以上、EUの「AI規制法」の現状と今後の展望、日本企業への影響について解説しました。世界初の「EU AI規制法」は、国際的な「ゴールデンスタンダード」となる可能性が高いといえます。
今後EU市場へ進出する日本の企業にとっても、このAI規制法の動向について注視することは重要になるでしょう。EU圏におけるAI規制法については、国際法務とAI技術に詳しい弁護士へ相談することをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。AIビジネスには多くの法的リスクが伴い、AIに関する法的問題に精通した弁護士のサポートが必要不可欠です。当事務所は、AIに精通した弁護士とエンジニア等のチームで、ChatGPTを含むAIビジネスに対して、契約書作成、ビジネスモデルの適法性検討、知的財産権の保護、プライバシー対応など、高度な法的サポートを提供しています。下記記事にて詳細を記載しております。
モノリス法律事務所の取扱分野:AI(ChatGPT等)法務
カテゴリー: IT・ベンチャーの企業法務
