EU AI法

EU AI LAW
読み: イーユーエーアイほう

読み: イーユーエーアイほう

EU AI法とは世界初の包括規制

EU AI法(EU AI Act)は、欧州連合が2024年に発効した世界初の包括的AI規制である。AIシステムをリスクレベルに応じて分類し、高リスクなAIには厳格な義務を課す。EU域内でサービスを提供する企業はすべて対象となるため、日本企業も無関係ではいられない。

かんたんに言うと

医薬品の承認制度をAIに当てはめた法律。命に関わる手術ロボットと、ゲームのNPCを同じルールで縛るのは不合理だから、リスクに応じて規制の強さを変える仕組みになっている。

GDPRで世界を揺るがしたEUが次に狙ったAI規制の全体像

EUは個人データ保護のGDPR(2018年)で世界中の企業に衝撃を与えた。あの規制の影響力を目の当たりにした上で、今度はAIそのものにメスを入れてきた。
EU AI法の草案が欧州委員会から提出されたのは2021年4月。3年にわたる修正と交渉を経て2024年8月に発効し、段階的に適用が開始されている。
GDPRと同様、域外適用がある。EU域内のユーザーにAIサービスを提供する企業は、日本企業であれ米国企業であれ規制の対象になる。GDPR施行時に慌てた経験のある企業は多いはずである。同じ轍を踏まないために、早めの情報収集が求められる。

リスクベースの4段階分類

EU AI法の核心はリスク分類にある。AIシステムを4つのカテゴリに仕分ける。
最上位が「禁止されるAI」。社会的スコアリングやリアルタイムの遠隔生体認証など、基本的人権を脅かすとみなされるAIは原則として使用が禁止される。
次が「高リスクAI」。採用選考、信用審査、教育機関の入学判定、司法判断の補助などに使われるAIが該当する。このカテゴリに入ると、リスク管理システムの構築、データガバナンスの確保、人間による監視体制の整備、技術文書の作成と保存が義務づけられる。
「限定リスクAI」はチャットボットなどが該当し、AIが生成したコンテンツであることの明示義務がある。「最小リスクAI」は特段の規制がない。

汎用AIモデルへの規制と透明性義務

2024年の最終版で追加された重要な条項が、汎用AIモデル(GPAI)に対する規制である。GPT-4やGeminiのように幅広い用途に使える基盤モデルが対象になる。
すべてのGPAIプロバイダーに課されるのは、技術文書の作成、EU著作権法の遵守、学習データの概要開示である。さらにシステミックリスクを持つと判断されたGPAI(計算量が10^25 FLOPsを超えるモデルが目安)には、モデル評価やサイバーセキュリティ対策、重大インシデントの報告義務が追加される。
OpenAIやGoogleなど大手AIベンダーが直接の対象だが、これらのモデルを組み込んで自社サービスを構築している企業にも間接的な影響が及ぶ。

日本企業が押さえておくべき対応ポイント

EU向けにAIを活用した製品やサービスを提供している企業は、まず自社のAIシステムがどのリスクカテゴリに該当するかの棚卸しが必要になる。採用や人事評価にAIを使っていれば高リスクに分類される見込みが高い。
適用時期は段階的に設定されている。禁止AIの規定は発効から6か月後の2025年2月、高リスクAIの主要義務は2026年8月からの適用である。
とはいえ、待っていればよいという話ではない。高リスクAIの義務を満たすには、データの品質管理体制、ログの記録と保存の仕組み、人間による監視プロセスの整備が必要で、いずれも一朝一夕には構築できない。GDPRのときと同じように、規制の施行日が近づいてからコンサルタントに駆け込む企業が続出するだろうが、それでは遅い。

罰則と今後の展望

違反時の制裁金は最大3,500万ユーロ、または全世界売上の7%のいずれか高い方。GDPRの最大4%を上回る厳しさである。
EU AI法はGDPRと同じく「ブリュッセル効果」を狙った規制でもある。EUの基準がグローバルスタンダードになる可能性を見据えて、日本でも2024年にAI事業者ガイドラインが策定された。ただしEU AI法のような法的拘束力はなく、あくまでソフトロー(自主的なルール)にとどまっている。
EU市場でビジネスをする企業も、しない企業も、AI規制の潮流を無視し続けることは難しくなっている。自社のAI利用状況を棚卸しし、リスク分類を確認するところから始めてほしい。

当社の見解

当社はAIの安全運用のために3層防御を設計・実装している。万が一インシデントが発生しても数分以内に復旧できるバックアップ体制を持つ。実際にAIが暴走してテスト環境を停止させた経験があり、その教訓から「失敗を防ぐ」だけでなく「失敗しても戻せる」設計が本質だと確信している。加えて、AIは事実でないことを断定する。この前提で事実/推測の強制分離とファクトチェックを実装した。安全性は仕組みで担保するものだ。

関連用語

データガバナンスLLM機械学習AI事業者ガイドラインAIモデルAIシステム生体認証チャットボットCTEU AI Act基盤モデルGDPRGeminiGPT

同じ失敗を二度としないAIエージェント

今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。

当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。

古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。

相談する