人工知能(AI)は急速に普及を遂げ、AI活用により素晴らしい機会や画期的な進歩がもたらされていますが、その一方で、AIが悪用される可能性に対して、依然として世界中が懸念を示しています。これに対し最近、欧州連合(EU)において、AIに関する世界初の法的枠組みであるAI法が成立しました。この法律は、AIのリスクに世界規模で対処し、AI使用に関する規則、要件、義務、権利、安全規制、倫理を規定するものです。
AI法は、EUにおけるAI開発を支援する3つの政策措置のうちの1つであり、残りの2つ、「AIイノベーションパッケージ」と「AIに関する調整計画」は、責任あるAIの開発を実現するものです。この法規制の中心はリスク管理になります。
図1に示すように、この新たな法的枠組みでは、AIシステムのリスクレベルを、「許容できないリスク」、「高いリスク」、「限定的なリスク」、「最小限のリスク」、という4段階に分類しています。[1]
図1:欧州委員会が定義する4つのリスクレベル(出典:欧州連合、ライセンス:CC BY 4.0)
リスクチェーンモデルの最上レベルにあるのは、基本的権利を侵害するような許容できないリスクです。これには、社会的なスコアリング、個人に対する予測的取り締まり、サブリミナル技術の使用、インターネットや防犯・監視カメラからの無差別なスクレイピングによる顔画像データベースの作成・拡大などの行為が含まれます。その他、法執行目的で公共の場で使用されるリアルタイムでの遠隔生体認証や、生体認証プロファイリングなどは、厳密に定義され規制された狭い例外を除き、ほとんどが禁止されています。
高いリスクのカテゴリーには、水道、電気、道路交通などの重要インフラ、試験の採点、遠隔生体認証、雇用・採用に使用される履歴書管理ソフトウェアなどが含まれます。また、このカテゴリーには移民、亡命、国境管理も含まれ、法執行機関が個人の権利を侵害する可能性が指摘されています。これらのシステムは、リリースされる前に厳格な義務が課せられます。
限定的なリスクとは、AIの使用における透明性の欠如に関連する危険性を指します。AI法には、必要なときに人が情報を受け取るための透明性義務が規定されています。このカテゴリーには、チャットボット、AIが生成したコンテンツやテキスト、ディープフェイクを構成する音声・動画コンテンツなどが含まれます。これらは、ユーザーがAIとやり取りしていることがわかるよう明示的に表示されなければなりません。なお、AI法では、AI対応のビデオゲームやスパムフィルターなど、最小限のリスクのAIに関しては、自由な使用を認めています。
フリーおよびオープンソースAIモデルの開発者は、システミックリスクのある汎用AIモデルの提供者を除き、ほとんどの義務の適用が除外されます。また、技術を市場に投入するために必要な研究、開発、プロトタイピングや、軍事、防衛、国家安全保障のみを目的とした利用も適用除外となっています。究極的には、AI法は潜在的な違反者を抑止し、ノベーションを促進する AI 技術への信頼を築くために制定されています。
EU AI法は、企業や政府がAIをより活用できるよう、信頼性を高め、法的確実性を提供することを目的としています。そのために、同法は法的確実性を確立し、一貫性があり、強制力のある規則を定めることで、AI提供者がより大きな市場に参入し、ユーザーや消費者が求める製品を開発できるようにします。
AI法はまた、法規制のサンドボックス(特別措置)を設け、法規制環境にまだ完全に適合していない技術や製品の実用試験を可能にします。これにより、企業は規制当局の監督下で製品やサービスを開発することができます。このカテゴリーの主要な例には、医療機器とサービスがあります。
さらに、AI法の背後には、欧州を人間中心で信頼できるAIのグローバルハブにするという戦略があります。欧州委員会は、欧州におけるAIの開発と普及を促進する包括的な戦略を掲げており、影響力の大きい分野で戦略的リーダーシップを築きながら、成長と活用のための条件を整えています。この目的に向けて、EU AI法は、包括的な規則、違反に対する罰則、AIの将来性を確保するための構想を定めています。
罰則を定める責任は加盟国に委ねられており、加盟国は罰金を含む効果的かつ適切な罰則を設け、違反については委員会に報告しなければなりません。[2] 罰金は、例えば次のとおり、高額になる可能性があります。
禁止行為またはデータ要件に関連する不遵守に対しては、最大3,500万ユーロまたは前会計年度の全世界年間売上高の7%。
汎用AIモデルに関する規則を含む、その他の要件または規制義務の不遵守に対しては、最大1,500万ユーロまたは前会計年度の全世界年間売上高の3 %。
要請に対して不正確、不完全、または虚偽の報告があった場合は、最大750万ユーロまたは前会計年度の全世界年間売上高の1.5%。
上記の各違反カテゴリーについて、中小企業は低い方の金額、その他の企業は高い方の金額が課せられる基準額となります。この法律によれば、EU機関、政府機関、団体は規則と罰則の対象となり、違反した場合は欧州データ保護監督官が罰金を課すことになります。
EU のAI法は、AIの進化に対して将来を見据えたアプローチを取っています。例えば、毎秒1025 浮動小数点演算(FLOPS)を超える総計算能力を使用して学習した汎用AIモデルは、システミックリスクを有するモデルとして特定されています。[3] 欧州委員会のAI事務局はいずれ、技術の進歩に合わせてこの基準値を更新する決定をするかもしれません。2025年第2四半期までに、AI事務局とAI理事会は、汎用AIに関する義務、および人工的に生成されたコンテンツが識別できる電子透かし技術に関する実践規範の策定を促進することになっています。この実践規範には、様々なAI提供者の規模や能力の違いに基づく主要業績評価指標など、具体的で測定可能な目標が必要です。またAI事務局はベストプラクティスの開発を目的として、オープンソースコミュニティと協力するためのフォーラムを設置する予定です。
今後、2030年末までに、自由、安全、司法に関するEU法で定められた大規模なITシステムを構成するAIシステムに対して、AI法で定められた義務が施行されていきます。
この作業は長期にわたって続き、変化し続けることが予想されます。AIが静的なものではないことを考えると、リスク規制は一歩進めるのにも多くの困難が伴うことになるでしょう。
[1]https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
[2]https://artificialintelligenceact.eu/article/99/
[3]https://ec.europa.eu/commission/presscorner/detail/en/QANDA_21_1683