１　はじめに

　2024年5月21日、EUでは、AIに対する包括的な規制法案が成立しました。同年6月には発効します。この法は、EU外の企業にも適用される場合があるため、日本企業もその動向を把握しておく必要があります。このため、この法案について概観しておきたいと思います（この記事は2024年5月24日時点のものとなります）。

２　AI規制法の概要

　AIは、人間の経済的・社会的活動に大きな利益をもたらす一方で、使い方を間違えれば生命・身体の安全や基本的人権に深刻な影響をあたえる危険性を含んでいます。AI規制法は、このような認識のもと、EU市場におけるAIの安全性を確保し、基本的人権を保障するため、ガバナンスと効果的な法執行を可能にし、AIに対する包括的・統一的な法的枠組みの構築をめざすものです。
　欧州委員会は、2021年にAI規制法案を発表し、2023年6月には欧州議会により採択され、2023年12月9日、EU理事会と欧州議会は、暫定的に合意しました。2024年3月13日には欧州議会が最終案を可決し、同年5月21日、成立しました。同年6月には発効します。

３　AI規制法の域外適用

　AI規制法は、全てのEU加盟国を拘束し、直接適用されます。さらに、このAI規制法は、幅広く域外適用されます。例えば、日本企業であっても、EU域内でAIシステムを市場に置き又は提供する場合や、AIシステムのアウトプットがEU域内で使用される場合などに、AI規制法が適用される可能性があります。

４　対象となるAIシステム

　適用の対象となるAIシステムは、①付属書Ⅰの技法及びアプローチ（機械学習によるアプローチ、論理ベース及び知識ベースのアプローチ、統計的アプローチなど）で開発されたソフトウェアであって、②人間が定めた一定の一連の目的のために、当該ソフトウェアが相互作用する環境に影響を与えるコンテンツ、予測、推奨又は決定などのアウトプットを生成することができるものとされています。
　これらのアプローチは複合的に用いられることが多いため、適用範囲はかなり広いものと思われます。

５　規制の概要

(1) リスクベースアプローチ

　AI規制法案は、AIに存在するリスクを、「許容できないリスク」、「ハイリスク」、「限定リスク」、「最小リスク」の４つに分類し、リスクごとに適用する規制内容を変えています。これをリスクベースアプローチと言います。

(2) 許容できないリスク→禁止

　以下のAIは、開発・運用が禁止されます。

ア　サブリミナルな技法

　精神的又は身体的な害を生じさせ又は生じさせる恐れのある態様で対象者の行動を実質的に歪めるために、対象者の意識を超えたサブリミナルな技法を展開するAIシステム

イ　利用者の脆弱性を利用

　精神的又は身体的な害を生じさせ又は生じさせる恐れのある態様で、年齢、身体的障害又は精神的障害による脆弱性のあるグループの行動を実質的に歪めるために、グループの脆弱性を利用するAIシステム

ウ　公的機関のソーシャルスコアリング

　自然人の信頼性を評価し又は分類して、自然人に害や不利な取り扱いなどが発生するソーシャルスコアリングを伴う、公的機関のためのAIシステム

エ　法執行を目的とした公にアクセスできる場所における「リアルタイム」遠隔生体識別システム

(3) ハイリスク→規制

ア　ハイリスクAIは、以下の二つの類型です。

(ｱ) 付属書IIの法令の対象製品（機械、玩具、娯楽用船舶等）のセーフティコンポーネントとしての使用が意図されている又はそれ自体が付属書IIの法令の対象となり、かつ、同法令によって第三者による適合性評価が必要となるAIシステム

(ｲ) 以下の用途で使用されるAIシステム
　ⅰ 自然人の生体識別及び分類
　ⅱ 重要なインフラの管理及び運営
　ⅲ 教育及び職業訓練へのアクセスの可否の決定
　ⅳ 雇用、労働者の管理、自営業へのアクセスの可否の決定
　ⅴ 必須の民間及び公共サービスへのアクセスの可否の決定
　ⅵ 人々の基本的権利を妨害する可能性のある法執行機関
　ⅶ 移住、亡命、国境の管理
　ⅷ 司法及び民主的プロセスの管理

イ　規制

(ｱ) 適合性評価
　提供者は事前に適合性評価手続を受ける義務が課されます。

(ｲ) 要件
　以下のような措置が求められます。
　・リスクマネジメントシステム
　・データとデータガバナンス
　・技術文書の作成
　・記録の保持
　・透明性・情報提供
　・人間による監視
　・正確性、頑健性及びサイバーセキュリティ

(ｳ) 義務
　上記の要件遵守のほか、以下の義務があります。
　・品質管理システムの導入
　・適合性評価を受ける義務
　・自動生成ログの維持義務
　・是正措置・情報提供義務
　・EU代理人選任義務 など
　・販売者、輸入者、利用者

(4) 限定リスク→透明性
　透明性確保など限定的な義務があります。
　例えば、人と直接対話するチャットボットは、AIシステムと相互作用していると自然人に知らせる義務、ディープフェイクに関するシステムは、コンテンツが人工的に生成・操作されたものであることを明らかにする義務があります。

(5) 最小リスク→規制なし
　上記に分類されない他の全てのAIシステムに規制はありません。

６　罰則

　EU規制法に違反した場合、以下のように、大きなリスクを負います。

(1) 巨額の制裁金

　最大で3,500万ユーロか全世界売上高の7%のうちどちらか高い金額の制裁金を課せられます。

(2) EUでビジネスができなくなるおそれ

　違反の際、適切な対応をしないと、AIシステムの市場からの取下げやリコールなどの是正措置を公的機関から義務付けられる可能性があります。

７　まとめ

　前述のとおり、日本企業であっても、EU内にグループ会社がある場合やEU向けにAIのサービスを提供しようとする場合などには、EUのAI規制法が適用されるため、AI規制法の動向を注視しておくことが重要です。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

弁護士法人法律事務所瀬合パートナーズ

顧問弁護士とは、企業の「強力な参謀役」です。お悩みのことがあれば、どのようなことでもまずはご相談いただき、もし当事務所が解決するのに適さない案件であれば、解決するのに適切な専門家をご紹介させていただきたいと考えております。経営者の方々のお悩みを少しでも軽くし、経営に集中していただくことで、会社を成功させていっていただきたいと思います。

最新記事 by 弁護士法人法律事務所瀬合パートナーズ (全て見る)

• 医療機関向け法務相談サイトがオープンしました - 2024年10月2日
• R6.7.26「第７回　企業不祥事に関する定期情報交換会」の開催 - 2024年7月27日
• “働きがいも経済成長も“を目指す企業さまを対象に「SDGs労務コンサルティングプラン」をリリース！ - 2022年10月28日