EU AI法(EU AI Act)の概要と特徴の解説~日本企業が備えるべきこととは?~
2025年2月、EU AI法(EU AI Act)の一部が施行されます。欧州連合におけるAI(人工知能)に関する法律ですが、一部の日本企業も無縁ではいられません。同法の概要や特徴、日本企業は何から着手すればよいのかを解説します。
EU AI法(EU AI Act)とは?
EU AI法の目的
EU AI法の第1条に、目的として以下の内容が記載されています。
The purpose of this Regulation is to improve the functioning of the internal market and promote the uptake of human-centric and trustworthy artificial intelligence (AI), while ensuring a high level of protection of health, safety, fundamental rights enshrined in the Charter, including democracy, the rule of law and environmental protection, against the harmful effects of AI systems in the Union and supporting innovation.
(EU Artificial Intelligence Act, Article 1)
健康や安全、基本的権利などに対して有害な影響を及ぼすAIの利用を規制し、人間中心で信頼できるAIの導入を促進してイノベーションを支援するという趣旨の法律であると考えられます。
EU AI法の規制対象
EU AI法の規制対象は、AIシステムと汎用目的AIモデル(GPAI: General-purpose AI model)であり、第3条に定義が記載されています。
| AIシステム | 様々なレベルの自律性で動作するように設計され、導入後に適応性を示すことがあり、明示的または暗黙的な目的のために、受け取った入力から、物理環境または仮想環境に影響を与える出力(予測、コンテンツ、推奨、決定など)を生成する方法を推論する機械ベースのシステム。 |
|---|---|
| 汎用目的AIモデル | 大量のデータを使用して自己監督で大規模に訓練されたAIモデルを含み、モデルが市場に投入される方法に関係なく、大きな汎用性を示し、広範囲の異なるタスクを適切に実行することができ、さまざまな下流システムまたはアプリケーションに統合できるAIモデル。 ただし、市場投入前の研究、開発、またはプロトタイピング活動に使用されるAIモデルは除外。 |
EU AI法の適用対象者
また、第2条にはEU AI法の適用対象者が下記のとおり定められています。
| (a) | EU域内でAIシステムを市場に投入、サービス提供する、または汎用目的AIモデルを市場に投入するプロバイダー(プロバイダーはEU域内に設立または所在しているか否かにかかわらず対象) |
|---|---|
| (b) | EU域内に設立または所在しているデプロイヤー |
| (c) | EU域外に設立または所在しているが、AIシステムのアウトプットがEU域内で使用されるプロバイダーおよびデプロイヤー |
| (d) | AIシステムのインポーターおよびディストリビューター |
| (e) | 自社製品および自社の名称や商標とともにAIシステムをEU域内の市場に投入する、またはサービス提供する製品製造者 |
| (f) | EU域内に設立されていないプロバイダーの正規代理人 |
| (g) | EU域内に所在する影響を受ける者 |
このEU AI法で使用されている適用対象者のタイプに関する言葉は、日本のIT分野で使用されている言葉(カタカナ語)と一致するわけではなく、注意が必要ですので簡単にまとめておきます。
ここでいう、「プロバイダー」は、AIシステムや汎用目的AIモデルの開発者または提供者です。
また、(b)と(c)に記載されている「デプロイヤー」の意味が分かりにくいですが、第3条の(4)を見ると、デプロイヤーはAIシステムの利用者であると定義されています。
「インポーター」は、EU域外からEU市場にAIシステムを輸入するEU域内に設立または所在する輸入業者、「ディストリビューター」はEU市場で活動する販売代理店ととらえておけば良いでしょう。
ここでは、特に(a)と(c)は注意が必要なポイントと言えます。
(a)は、例えば、EU域内に拠点が無い日本企業が、AIシステムをEU市場に投入するケースが該当します。
また、(c)はAIシステムのアウトプットがEU域内で使用される場合、そのAIシステムを提供または利用しているEU域内に拠点が無い日本企業が該当するということになります。
各リスクレベルの対象となるAIシステムの詳細は、EU AI法の第5条、6条、50条をご確認ください。
「ハイリスク」と「限定的なリスク」に該当するAIシステムのプロバイダーとデプロイヤーには、以下の義務が課されています。(第16条、26条、50条)
| リスクレベル | プロバイダーの主要な義務 | デプロイヤーの主要な義務 |
|---|---|---|
| ハイリスク | ●第8条~15条のシステム要件の遵守 |
●使用説明書に従った技術的・組織的措置 |
| 限定的なリスク | ●AIシステムと対話していることが通知される方法での設計および開発を保証 ●AIシステムの出力が機械可読形式でマークされ、人工的に生成または操作されたものとして検出可能であることを保証 |
●感情認識システムまたは生体認証分類システムの影響を受ける自然人への通知 ●画像、音声、動画コンテンツおよび文章が人工的に生成されたことを開示 |
汎用目的AIモデルの規制
テキスト、音声、画像などを作ることができる生成AIモデルが、汎用目的AIモデルの典型例として挙げられます。
AIシステムの4つのリスクレベルに応じた規制とは別に、汎用目的AIモデルに対する規制が設定されています。
さらに、汎用目的AIモデルがシステミックリスク(Systemic Risk)※を有する場合は規制が追加されています。
※影響力の大きい汎用目的AIモデルの特有のリスクであり、その範囲によりEU市場に重大な影響を及ぼすか、または公衆衛生、安全、公共の安全、基本的権利、または社会全体に実際にまたは合理的に予見可能な悪影響を及ぼし、バリューチェーン全体に大規模に伝播する可能性があるリスク(第3条)
汎用目的AIモデルのプロバイダーに課されている義務は下記のとおりです。(第53条、54条、55条)
| 汎用目的AIモデル一般 | システミックリスクを有する汎用目的AIモデル |
|---|---|
| ●技術文書の作成と更新 ●汎用目的AIモデルを自社のAIシステムに組み込むプロバイダーへの情報提供 ●著作権および関連する権利に関するEU法の遵守 ●学習に使用したコンテンツの情報公開 ●EU域外のプロバイダーはEU域内に正規代理人を任命 |
●モデル評価の実施 ●EUレベルでシステミックリスクの評価および軽減 ●是正措置に関する情報の記録と当局への報告 ●適切なレベルのサイバーセキュリティ保護 |
なお、第51条にシステミックリスクを有する汎用目的AIモデルの条件が定義されています。
(a)適切な技術的ツールや方法論、指標やベンチマークに基づいて評価された高い影響力※を持っていること。
※モデルの学習に使用した累積計算量が浮動小数点演算(FLOPs(Floating Point Operations))で10の25乗を超える場合、高い影響力を持つと推定されるとしています。AI研究の推進団体である「EPOCH AI」が公表している研究によると、GoogleのGemini Ultra、Open AIのGPT-4をはじめ、ほとんど著名なAIモデルは10の25乗以上の演算力を持ちます。
(b)科学パネルからの適格な警告に基づくか、または職権で、附属書XIIIに定められた基準を考慮して、(a)に示されたものと同等の能力または影響力を有するとの委員会の決定に基づくこと。
罰則
EU AI法が定める規制に違反した場合、非常に高額な制裁金が科されることになります。(第99条)
| 違反内容 | 制裁金 |
|---|---|
| 禁止されるAIの規程違反 | 3,500万ユーロまたは全世界総売上高の7%のいずれか高い方 |
| その他の義務に関する規定への違反 | 1,500万ユーロまたは全世界総売上高の3%のいずれか高い方 |
| 当局に対して不完全または誤解を招く情報の提供 | 750万ユーロまたは全世界総売上高の1%のいずれか高い方 |
汎用目的AIモデルのプロバイダーが下記の行為を行った場合、1,500万ユーロまたは全世界総売上高の3%のいずれか高い方の制裁金が科されます。(第101条)
(a)規制に違反した場合
(b)文書、情報提供の要求に応じなかった場合、または不正確、不完全もしくは誤解を招く情報を提供した場合
(c)要請された措置に応じなかった場合
(d)汎用目的AIモデルへのアクセスを欧州委員会に提供しなかった場合
図:EU AI法の適用スケジュール(「EU Artificial Intelligence Act」のImplementation TimelineおよびEU官報を基にトレンドマイクロで作成)
EU AI法の各章と適用開始日の関係は下記のとおりです。
| EU AI法 | 2025年2月2日 | 2025年8月2日 | 2026年8月2日 | 2027年8月2日 |
|---|---|---|---|---|
| 第1章 総則 | ✓ | |||
| 第2章 禁止されるAI | ✓ | |||
| 第3章 ハイリスクAIシステム | ✓ (4節のみ) |
✓ (第6条1項を除く) |
✓ | |
| 第4章 透明性の義務 | ✓ | |||
| 第5章 汎用目的AIモデル | ✓ | ✓ | ||
| 第6章 イノベーション支援の措置 | ✓ | |||
| 第7章 ガバナンス | ✓ | ✓ | ||
| 第8章 ハイリスクAIシステムに関するEUデータベース | ✓ (第78条のみ) |
✓ | ||
| 第9章 市販後モニタリング、情報共有、市場監視 | ✓ | |||
| 第10章 行動規範とガイドライン | ✓ | |||
| 第11章 権限移譲と委員会の手続き | ✓ | |||
| 第12章 罰則 | ✓ (第99条、100条のみ) |
✓ | ||
| 第13章 最終規定 | ✓ |
まとめ
EU AI法に違反すると、非常に高額な制裁金が科され、企業経営に影響を及ぼす可能性があるため、適切な対応が必要になります。
しかし、EU AI法の内容は多岐に渡っているため、どこから着手すれば良いのか分かりにくいと思います。
そこで、次のようなステップで対応を進めるのが良いと考えられます。
(1)自社が同法の適用対象者に該当するかどうかを把握する
(2)開発・提供・利用しているAIシステムやサービスが規制対象に該当するかどうかを把握する
(3)自社のAIシステムやサービスがどのリスクレベルに該当するのか、システム要件や課されている義務に対して現状の運用でカバーできているのかを調査する
(4)現状の運用とのギャップがあった場合、EU AI法の適用スケジュールや対応コスト等を勘案し、優先順位を付けて対応する
<参考文献>
・AI Act(欧州委員会の同法についてのウェブサイト)
・EU Artificial Intelligence Act(Future of Life Instituteによる最新動向と分析のサイト)
<関連記事>
・AIガバナンスの動向は?各国のAI法規制を概観
・EUサイバーレジリエンス法とは~日本企業も無関係ではない?その影響を考察する
・AI TRiSM(エーアイトリズム)とは何か?~AI時代に必要なフレームワーク~
執筆
サイバーセキュリティ・イノベーション研究所
トランスペアレンシー・センター
トレンドマイクロのサイバーセキュリティ・イノベーション研究所の中核センターの一つ。トレンドマイクロの製品・サービスの品質、安全性、透明性の向上に取り組む。また、その取り組みを顧客や一般に広く発信するほか、「ソフトウェア管理に向けたSBOMの導入に関する手引」を策定した経済産業省のタスクフォースにて、ソフトウェア分野のSBOM実証に協力するなど、国内におけるソフトウェアのセキュリティ向上に向けた社外活動も推進している。
Security GO新着記事
EU AI法(EU AI Act)の概要と特徴の解説~日本企業が備えるべきこととは?~
(2025年1月31日)
サイバー攻撃の被害額から考えるセキュリティ
(2025年1月29日)
