【EU】AI法施行。今後4段階で規制発動。欧州委は任意規範「AI協定」の早期署名促す

　EUのAI法が8月1日、施行された。AI法は、EU規則として制定されており、EU加盟国の国内法化を伴わず、EU個人・法人に適用される。だが、施行段階で適用されるルールはない。今後、同法が規定したリスク・アプローチ分類により、4段階で規制が発動していく。また、欧州委員会は同日、同EU規則による法定義務の適用前の任意規範として「AI協定（AI Pact）」も施行し、同協定への早期署名も促している。

【参考】【EU】AI法成立。リスクアプローチに基づく義務確立。課徴金は最大グローバル売上7%（2024年5月22日）

　AI法の適用対象は、EU域内企業だけでなく、EU域外企業のうち、EUに子会社や支社等がある企業、及びEU市場にサービスやシステムを販売する企業にも適用される。適用企業としては、生成AI等の汎用AI（GPAI）モデルの提供、AIシステムの導入、AIシステムの輸入・販売、AIシステムを自社製品とともに自社のブランドで市場に投入またはサービス開始を行う企業は全て対象となる。

　同法では、リスク・アプローチに基づき、AIがもたらすリスクを4つに分類。具体的には、「許容できないリスク」「高リスク」「限定的なリスク」「最小のリスク」の4つに分類されている。

　規制導入の第1弾は、2025年2月2日。重度な人権リスク等に関わる「許容できないリスク」に関わるAIの禁止が発動する。該当するのは、ソーシャルスコアリング、サブリミナル技術等によって集団行動を扇動するもの、警察等の法執行目的での顔認証等による遠隔生体認証、プロファイリングに基づく犯罪リスク評価・予測、職場・教育現場での感情推定等で、原則禁止となる。それに先立ち、EU加盟国政府は、11月2日までに、AI法の取締りを担当する当局を確定、公表しなければならない。

　規制導入の第2弾は、2025年8月2日。生成AI等の汎用AIモデルに適用される規制が発動する。汎用AIとは、「大規模な自己監視を用いて大量のデータで訓練された場合を含め、著しい一般性を示し、モデルが市場に投入される方法にかかわらず、幅広い異なるタスクを適切に実行することができ、かつ、様々な下流のシステム又はアプリケーションに統合することができるAIモデル」と定義されている。汎用AIに対しては、一律に上記のリスク分類が適用できないと判断されており、汎用AI全般に対する規制と、システミックリスクをはらむ汎用AIに対する特別規制の2つで構成されている。システミックリスクをはらむ汎用AIの特定については、浮動小数点演算で測定される訓練に使用された累積計算量が10の25乗を超えるものの他、パラメーター量やデータサイズ等に基づき欧州委員会の科学パネルが定めるルールに基づき決定される。

　汎用AI全般に対する規制では、当局に提出する技術文書の作成、AI提供者に対する文書の作成、著作権等の保護に関する方針の策定、EUのAI室が提供するテンプレートに則った形式での訓練コンテンツに関する要約作成及び公表の義務が課される。但し、モデルへのアクセス、使用、修正及び頒布を認める無償のオープンソース・ライセンスの下でリリースされ、重み付けモデル構造に関する情報及びモデルの使用に関する情報を含むパラメーターが一般に公開されているAIモデルの提供者には当該義務は適用されない。

　システミックリスク汎用AIに対する規制では、さらに、システミック・リスクの特定及び軽減を目的としたモデルの敵対的テストの実施及び文書化を含むモデル評価の実施、リスク軽減措置の実施、重大インシデントに対処する耐えの是正措置情報の当局への報告、サイバーセキュリティの高度化の義務が課される。詳細内容については、2025年5月2日までに欧州委員会が「実践規範（Code of Practice）」を定め、その中に記載することになっている。

　規制導入の第3弾は、2026年8月2日。リスク分類の残りの「高リスク」「限定的なリスク」「最小のリスク」に関する規制が発動する。

　製品の安全性や社会の公平性に関わる「高リスク」に該当するのは、社会の公平性を損なうと認識された一般的な生体認証や感情認識、生教育・職場訓練現場での受講・試験中の監視、求人フィルタリングや行動監視、基礎的な民間サービスや公共サービスでの優先順位付け、法執行における犯罪行為の評価や証拠の評価、移民・難民・国境管理、司法及び民主的プロセスの管理等に用いられるAI。

　「高リスク」に分類されたAIに関しては、リスクマネジメントシステム、データガバナンス、技術文書、記録保持、透明性及び導入者への情報提供、人による監視、正確性・堅牢性・サイバーセキュリティに関する実施義務が適用される。特に、AIの提供者は、自社開発だけでなく、他社に開発を委託する場合でも、全ての項目の遵守が必須。輸入事業者と販売事業者には、技術文書の確認が必須となる。導入者に関しては、基礎的権利（人権）への影響評価義務が課される。

　偽情報・誤情報のリスクを抱える「限定的なリスク」に対しては、透明性義務が課される。まずAI提供者に関し、音声、画像、動画、テキストの合成コンテンツを生成するAIシステムの提供者は、AIシステムの出力が機械可読形式で表示され、人為的に生成または操作されたものであることを検知できることを保証しなければならない。自然人と直接対話することを意図したAIの提供者は、AIシステムと対話することを知らされるように設計及び開発されることを確保しなければならない。

　次にAI導入者に対し、ディープフェイクを構成する画像、音声または映像コンテンツを生成または操作するAIの導入は、当該コンテンツが人為的に生成または操作されたものであることを開示しなければならない。開示手法については、欧州委員会がガイダンスを作成することになっている。感情認識システムまたはバイオメトリクス分類システムの導入者は、相手にシステムの運用を通知し、合法的に個人データを処理しなければならない。

　また「限定的なリスク」と「最小のリスク」の双方に対しては、欧州委員会が定める「行動規範（Code of Conduct）」の遵守が推奨される。行動規範には、過環境サステナビリティの観点からの消費エネルギーの最小化、AIリテラシーの促進、開発チームのダイバーシティ&インクルージョン、社会的弱者への悪影響の評価・防止の4つが盛り込まれることになっている。

　規制導入の第4段階は、2027年8月2日。「高リスク」に該当する分野の適用範囲が拡大され、機械や医療機器等で「適合性」評価義務が課されている安全性部品（セーフティコンポーネント）に導入するAIに対しても、規制が導入される。

　同EU規則では、3つの諮問機関が設置されることになっている。「欧州AI委員会」は、EU加盟国間でのAI法の均一な適用を確保し、欧州委員会と加盟国間の協力のための主要機関として機能する。独立した専門家からなる「科学委員会」は、施行に関する技術的な助言と意見を提供し、特に、汎用AIモデルに関連するリスクについてAI事務局に警告を発することができる。多様なステークホルダーで構成される「諮問フォーラム」も欧州委員会に助言することができる。

　同EU規則に違反した企業には、禁止されているAIアプリケーションの違反に対しては年間グローバル売上の最大7%（最低でも3,500万ユーロ）、その他の義務違反に対しては最大3%（最低でも1,500万ユーロ）、不正確な情報の提供に対しては最大1%（最低でも750万ユーロ）となる可能性がある。

　早期署名を促している任意の「AI協定」は、AI法遵守に向け、署名機関相互で学び合っていく手法を採っている。AI協定の活動は、「AI協定ネットワークの募集・強化」「企業誓約の促進・伝達」の2つの柱で構成されている。「AI協定ネットワークの募集・強化」ではセミナー等を開催。「企業誓約の促進・伝達」では、AI法が定める規定の自主的なコミットメントを、具体的な行動に関する明確なスケジュールを定めた形で開示することを求めている。

【参照ページ】European Artificial Intelligence Act comes into force
【参照ページ】Implementation Timeline
【参照ページ】AI Pact

株式会社ニューラル サステナビリティ研究所