「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
諸外国および日本におけるAI利活用の拡大
AIの産業活用はグローバル規模で進展し、あらゆる国・業界へと広がっています。特に中国および米国におけるAI活用によるGDPへのインパクトは大きく、日本でも今後の実質GDPの押し上げ効果が期待されています。
活用の推進と同時に、AIが原因となったインシデントも世界的に増加傾向にあり、倫理違反、人種や性別などによる差別的バイアスや公平性の欠如、プライバシーやセキュリティの侵害といった、AIリスクに対する懸念も高まっています。
AIがはらむリスク
米国商務省の国立標準技術研究所(NIST)が公開した「Artificial Intelligence Risk Management Framework(AI RMF 1.0)」(以下、AIリスクマネジメントフレームワーク)では、AIにおけるリスクを7つの要素に整理し(図表1)、「信頼できるAIシステム」構築のためには、これらのリスクを軽減することが重要だとしています。
生成AIの台頭と新たなAIリスク
AIリスクを語るうえで外せないのが、近年急速に台頭し普及した生成AI(Generative AI)の存在です。
生成AIとは、画像や、文章、音声、プログラムコードなどさまざまなコンテンツを生成することのできるAI(人工知能)を指します。データの特徴を学習して予測や分類などを行う機械学習は、データの特徴を機械自体が判断する深層学習(ディープラーニング)へと発展し、そこからさらに発展したものが生成AIです。学習したデータをもとに識別をしたり、認識をして推論したりするAIが、指示に従ってオリジナルの画像や文章、音声などを生成するものへと大きく進化したのです。
これまでのAIガバナンスを巡る議論で言及されてきたように、学習データやモデルの説明可能性や透明性、公平性、制御可能性、アカウンタビリティなど、人が留意しなくてはならない範囲は、生成AIが評価対象に加わっても大きく変わらないでしょう。しかし生成AIの大きな特徴として、アクセスがしやすいという点や、人間らしいアウトプットが得られるという点が挙げられます(図表2)。これまでのAIと異なり、技術的なバックグラウンドがないユーザーでもすぐに生成AIを活用することができ、また内容の真偽はともかく、まるで人が回答してくれているような自然な文章を得ることができます。
それゆえに、ひとたびサイバー犯罪や機密情報の漏洩、大衆扇動などのインシデントが発生すると、そのインパクトは大きなものになる可能性があります。また、著作権侵害の問題も確実に複雑なものとなります。2024年7月末現在、著作物の学習は日本では違法ではなく、著作物から生成された生成物の著作権についてはルールもなく、学習データの開示なども求められていません。
企業はこのようなAIリスクや、生成AIの技術的な特性を理解したうえで、安全に運用する必要があります。例えば人事における判断を行う場合や、人のグループにある種の評価(スコアリングなど)を行う場合など、その結果に対する説明が求められるような事象には、従来の統計的手段を用いるなどの考慮が必要です。また、生成物は必ず人が目視で確認し、責任をもって活用しなければなりません。
AIリスクを巡る世界各国の規制動向
AIリスクの顕在化を受け、各国ではAIリスクのコントロール実現に向けたルール整備が急速に進んでいます。
ルールの枠組として主に、
- OECD(経済協力開発機構)やGPAI(Global Partnership on AI)などの国際機関や各国政府が取りまとめた原理原則
- 各国政府が定める中間的ルール
- 企業ごとに自主的に取り組む企業ルール
などがありますが、代表的なルールとして、欧州では初の国際的なAI法案ともいえる「AI法案」が成立しました。また、米国では人工知能(AI)がもたらすメリットを把握し、AIリスクを管理することを目的とした「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」(人工知能の安全・安心・信頼できる開発と利用に関する大統領令)が公表されました。さらに中国では、既存の法令とアルゴリズム規制、AI倫理規制などを組み合わせた独自のAIガバナンスモデルが形成されつつあります。日本企業がこれらの国・地域でAIに関連するビジネスを展開する場合には、これらの法令要件への対応が必要になると見られ、ビジネスへの影響が予想されます。
日本においても、総務省・経産省が「AIガバナンスの統一的な指針を示し、イノベーションの促進と連鎖リスクの緩和を両立する枠組みを共創していくことを目指す」ことを目的に「AI事業者ガイドライン」を公表しました。これはAIを活用する事業者(政府・自治体などの公的機関を含む)がAIを安全安心に活用するための望ましい行動指針となることが期待されています。
このように、各国・地域でルール作りが進んでゆく中で、日本企業はどのようにAIリスクと向き合っていくべきなのでしょうか。
AI事業を担う主体と、留意すべきリスク
日本政府が2024年に公表した「AI事業者ガイドライン」では、AIライフサイクルにおける具体的な役割を考慮し、AIの事業活動を担う立場として、「AI開発者」「AI提供者」「AI利用者」の3つに大別して整理されています。
AIリスクをコントロールし、AIを安心安全に利用していくためには、主体別にどのようなAIリスクがあるのかを把握することが重要です。
AI開発者としてのリスク
AIを開発するにあたっては、正確性を重視するためにプライバシーや公平性が損なわれたり、プライバシーを重んじすぎて透明性が損なわれたりするなど、リスク同士や倫理観が衝突する場面が想定されます。その際には、経営リスクや社会的な影響力を踏まえ、適宜判断・修正することが求められます。
(例)
- 学習データへ個人情報、機密情報、第三者に権利が帰属する著作物が混入し、権利侵害が発生する
- 学習データ、モデルの学習過程において、人種差別などのバイアスが混入する
- AIが何らかの誤判定をしたとき「なぜそのような推論をしたのか」についての根拠を示すことができない
AI提供者としてのリスク
AIを活用したシステムやサービスを、開発者の意図・想定とは異なる範囲で実装してしまうと、社会やステークホルダーに対して権利侵害や意図しない不利益などを生じさせてしまうことがあります。
(例)
- 開発者が想定しない環境下や用途でAIを提供することで関係者に危害が発生する
- 提供したAIが経年や環境変化によって精度劣化や挙動の変化を招き、利用者に意図せず不利益をもたらす
- 最新の攻撃手法に対応できず、セキュリティ上の脆弱性を突かれてしまう
AI利用者としてのリスク
AIを商用利用する場合、業務外利用者からAIの能力や出力結果の説明を求められることがありますが、その要望に応えることができないと、社会やステークホルダーからの理解を得られず、事業活動に悪影響が及ぶ可能性があります。
(例)
- AIから出力された内容や結果が他者の商標と類似し、著作権などの権利を侵害する
- AIから出力された内容や結果に誤りがあり、それを参照した業務外利用者(エンドユーザー)から責任を問われてしまう
- ステークホルダーからAIの能力や出力結果に関する説明を求められた際にそれが果たせず、レピュテーションの失墜を招く
今後に向けて
AIリスクに関する統一的な基準が示されたことで、今後これをもとに日本でも法令化の検討や業種ごとの基準策定など、さまざまなルールの検討が進むことが予想されます。企業においては、その流れと連動し、AIリスクマネジメントを整備することで、自社のAI利活用を加速させ、競争力を高めることが重要です。
生成AIを巡る米欧中の規制動向最前線
10 results
Loading...
米国における「人工知能の安全・安心・信頼できる開発と利用に関する大統領令」の解説
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
世界初のAI包括的ルール「広島AIプロセス」関連文書の解説
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
プライバシー法規制のトレンドと企業に求められる対応 生成AIと個人情報―法的論点と実務上の対策の概説
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
Loading...
最新のインサイト
100 results
Loading...
EU DORAにおける脅威ベースのペネトレーションテスト(TLPT)義務化の動向
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
特定卸供給制度におけるサイバーセキュリティ対策届出の対応
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
米国SECサイバーセキュリティ開示規則適用後の5つの傾向
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用しました。新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。
「営業秘密」の保護と利活用 第3回:無形資産の戦略的保護―営業秘密管理体制の要諦―
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第3回となる本稿では、「営業秘密保護の組織体制」に焦点を当て、どのように最適な管理体制を構築すべきかについて解説します。
カスタマーID・アクセス管理の重要性:事業成長とセキュリティの両立
カスタマーIDの管理は、単なるセキュリティ対策にとどまらず、顧客体験の向上、事業の成長、そして顧客からの信頼を獲得するための重要な投資です。適切なアクセスマネジメントを実現することで、企業は顧客からの信頼を獲得し、持続的な成長を実現できるでしょう。
企業におけるID・アクセス管理の重要性
企業におけるID・アクセス管理には、全体像を理解した上で、組織固有のシステム構成や規制、コストの分析が必要であり、また情報システム部門以外の他部署との連携も不可欠です。
サイバーレジリエンス法の要件実装と認証制度―製造業に求められる対応
欧州サイバーレジリエンス法(CRA)への適合を行う上での選択肢である認証制度EUCCについて概観した上で、製造業がCRA適合に向けて取りうるアクションとEUCCの活用について紹介します。
「運命の出会い」に潜むリスク―増加するSNSロマンス詐欺の実態―
デジタルアイデンティティを悪用した詐欺、なりすましなどの被害拡大を受け、政府もマッチングアプリやSNS事業者に対して本人確認の厳格化を働きかけています。本稿では、ロマンス詐欺の実態を解説します。
Loading...
