
「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
AIの産業活用はグローバル規模で進展し、あらゆる国・業界へと広がっています。特に中国および米国におけるAI活用によるGDPへのインパクトは大きく、日本でも今後の実質GDPの押し上げ効果が期待されています。
活用の推進と同時に、AIが原因となったインシデントも世界的に増加傾向にあり、倫理違反、人種や性別などによる差別的バイアスや公平性の欠如、プライバシーやセキュリティの侵害といった、AIリスクに対する懸念も高まっています。
米国商務省の国立標準技術研究所(NIST)が公開した「Artificial Intelligence Risk Management Framework(AI RMF 1.0)」(以下、AIリスクマネジメントフレームワーク)では、AIにおけるリスクを7つの要素に整理し(図表1)、「信頼できるAIシステム」構築のためには、これらのリスクを軽減することが重要だとしています。
AIリスクを語るうえで外せないのが、近年急速に台頭し普及した生成AI(Generative AI)の存在です。
生成AIとは、画像や、文章、音声、プログラムコードなどさまざまなコンテンツを生成することのできるAI(人工知能)を指します。データの特徴を学習して予測や分類などを行う機械学習は、データの特徴を機械自体が判断する深層学習(ディープラーニング)へと発展し、そこからさらに発展したものが生成AIです。学習したデータをもとに識別をしたり、認識をして推論したりするAIが、指示に従ってオリジナルの画像や文章、音声などを生成するものへと大きく進化したのです。
これまでのAIガバナンスを巡る議論で言及されてきたように、学習データやモデルの説明可能性や透明性、公平性、制御可能性、アカウンタビリティなど、人が留意しなくてはならない範囲は、生成AIが評価対象に加わっても大きく変わらないでしょう。しかし生成AIの大きな特徴として、アクセスがしやすいという点や、人間らしいアウトプットが得られるという点が挙げられます(図表2)。これまでのAIと異なり、技術的なバックグラウンドがないユーザーでもすぐに生成AIを活用することができ、また内容の真偽はともかく、まるで人が回答してくれているような自然な文章を得ることができます。
それゆえに、ひとたびサイバー犯罪や機密情報の漏洩、大衆扇動などのインシデントが発生すると、そのインパクトは大きなものになる可能性があります。また、著作権侵害の問題も確実に複雑なものとなります。2024年7月末現在、著作物の学習は日本では違法ではなく、著作物から生成された生成物の著作権についてはルールもなく、学習データの開示なども求められていません。
企業はこのようなAIリスクや、生成AIの技術的な特性を理解したうえで、安全に運用する必要があります。例えば人事における判断を行う場合や、人のグループにある種の評価(スコアリングなど)を行う場合など、その結果に対する説明が求められるような事象には、従来の統計的手段を用いるなどの考慮が必要です。また、生成物は必ず人が目視で確認し、責任をもって活用しなければなりません。
AIリスクの顕在化を受け、各国ではAIリスクのコントロール実現に向けたルール整備が急速に進んでいます。
ルールの枠組として主に、
などがありますが、代表的なルールとして、欧州では初の国際的なAI法案ともいえる「AI法案」が成立しました。また、米国では人工知能(AI)がもたらすメリットを把握し、AIリスクを管理することを目的とした「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」(人工知能の安全・安心・信頼できる開発と利用に関する大統領令)が公表されました。さらに中国では、既存の法令とアルゴリズム規制、AI倫理規制などを組み合わせた独自のAIガバナンスモデルが形成されつつあります。日本企業がこれらの国・地域でAIに関連するビジネスを展開する場合には、これらの法令要件への対応が必要になると見られ、ビジネスへの影響が予想されます。
日本においても、総務省・経産省が「AIガバナンスの統一的な指針を示し、イノベーションの促進と連鎖リスクの緩和を両立する枠組みを共創していくことを目指す」ことを目的に「AI事業者ガイドライン」を公表しました。これはAIを活用する事業者(政府・自治体などの公的機関を含む)がAIを安全安心に活用するための望ましい行動指針となることが期待されています。
このように、各国・地域でルール作りが進んでゆく中で、日本企業はどのようにAIリスクと向き合っていくべきなのでしょうか。
日本政府が2024年に公表した「AI事業者ガイドライン」では、AIライフサイクルにおける具体的な役割を考慮し、AIの事業活動を担う立場として、「AI開発者」「AI提供者」「AI利用者」の3つに大別して整理されています。
AIリスクをコントロールし、AIを安心安全に利用していくためには、主体別にどのようなAIリスクがあるのかを把握することが重要です。
AIを開発するにあたっては、正確性を重視するためにプライバシーや公平性が損なわれたり、プライバシーを重んじすぎて透明性が損なわれたりするなど、リスク同士や倫理観が衝突する場面が想定されます。その際には、経営リスクや社会的な影響力を踏まえ、適宜判断・修正することが求められます。
(例)
AIを活用したシステムやサービスを、開発者の意図・想定とは異なる範囲で実装してしまうと、社会やステークホルダーに対して権利侵害や意図しない不利益などを生じさせてしまうことがあります。
(例)
AIを商用利用する場合、業務外利用者からAIの能力や出力結果の説明を求められることがありますが、その要望に応えることができないと、社会やステークホルダーからの理解を得られず、事業活動に悪影響が及ぶ可能性があります。
(例)
AIリスクに関する統一的な基準が示されたことで、今後これをもとに日本でも法令化の検討や業種ごとの基準策定など、さまざまなルールの検討が進むことが予想されます。企業においては、その流れと連動し、AIリスクマネジメントを整備することで、自社のAI利活用を加速させ、競争力を高めることが重要です。
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
第2次トランプ政権発足に伴う「ブリュッセル効果」への影響や変化の時代における日本への示唆を、コロンビア大学ロースクール 教授・PwC Japanグループ顧問 Anu Bradfordに聞きました。
2024年は不安定な地政学的情勢やAI技術の進化などが影響し、サイバー脅威アクターの活動が全体的に増加しました。本年次レポートではサイバー脅威を取り巻く主なアクター、トレンド、ツール、目的についての考察や、インシデント事例を掲載しています。
金融分野におけるサイバーセキュリティの課題に対応できるガイドラインとして、CRI Profileの有用性とグローバルトレンドなどについて活用事例を挙げて解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層には、これをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第2回となる本稿では、主要国・地域における営業秘密の定義や保護制度を比較し、日本企業が注目すべきポイントを解説します。
米国法規制の重要な指標であり、プライバシーやサイバーセキュリティ、AIといった分野で先進的な取り組みを続けるカリフォルニア州とニューヨーク州の法整備の現状を取り上げ、具体的な制度内容とその背景を解説します。
自動車業界が対応すべき主要なサイバーセキュリティ規制・認証制度を概観します。さらに、これらの法規制対応に必要な組織体制の構築方法や、サプライチェーン全体での安全性確保の実践、そして効果的なセキュリティマネジメントを実現するポイントについても詳説します。
2025年のトランプ政権再発足後、世界経済が大きく変動するなか、GDPRやAI規制法といった先進的な法規制で知られる欧州がどのように対応しようとしているのか、コロンビア大学ロースクール 教授・PwC Japanグループ顧問 Anu Bradfordにインタビューしました。
FAIRは、グローバル各国・地域から関心を集めているサイバーリスク定量化の手法です。FAIRを活用することで、サイバーリスクを定量的に把握できるようになり、分析、測定、理解が可能になります。難解なサイバーリスクを直感的にわかりやすく説明するのに有益な FAIRモデルの概要について解説します。