公開日:2024年4月8日
寄稿者:Matt Kosinski
EU AI規則は、欧州連合 (EU) における人工知能の開発と使用を規定する法律です。 EU AI規則は、規制に対してリスクベースのアプローチを採用しており、AIシステムが人間の健康、安全、権利にもたらす脅威に応じてさまざまなルールを適用したものです。
AIの応用に対する世界初の包括的な規制フレームワークと考えられているEU AI規則は、一部のAIの使用を完全に禁止し、その他のAIの使用に対して、厳格な安全性と透明性の基準を定めています。
EU AI規則では、ChatGPTやGoogle Geminiの土台となっている基盤モデルなど、汎用人工知能モデルの設計、トレーニング、展開に特化したルールも制定されています。
規則違反に対する罰金は、3,500万ユーロ、または企業の全世界での年間収益の7%のいずれか高い方に達する可能性があります。
EUの一般データ保護規則(GDPR)が各国にデータ・プライバシー法の導入を促したのと同じように、専門家はEU AI規則が世界中でより強力なAIガバナンスおよび倫理基準の開発が促進されると予想しています。
IDCレポートを読む
EU AI規則は、EU圏内のAIシステムおよびモデルのプロバイダー、デプロイヤー、輸入者、および販売者に適用されます。
同規則では、AIシステムを、一定の自律性をもって、入力を処理して、人や環境に影響を与える出力を生成できるシステムと定義しています。 ここで、影響を与える出力には、予測、決定、コンテンツなどが含まれています。
同規則の言葉でAIモデルとは、主に、さまざまなAIシステムを構築するうえで適応可能な汎用AI(GPAI)を指しています。たとえば、GPT-4大規模言語モデルは、AIモデルに該当します。GPT-4上に構築されたChatGPTのチャットボットは、AIシステムになります。
EU AI規則におけるその他の重要な用語:
EU AI規則は、AIツールまたはその出力がEU圏内で使用される場合に、欧州圏外の個人および組織に適用されます。
たとえば、EU圏内の企業が顧客データをEU圏外の第三者に送信し、その第三者がAIを使用して顧客データを処理し、その結果を企業に送り返したとします。 この場合、同社はEU圏内で第三者のAIシステムの出力を使用しているため、この第三者にはEU AI規則が適用されます。
EU圏内でAIサービスを提供するEU圏外のプロバイダーは、自社に代わってコンプライアンス調整を行う、EU圏内の正当な権限が与えられた代理人を指名する必要があります。
EU AI規則は、適用範囲が広いですが、一部のAIの使用には適用されません。その一例を以下に挙げます。
EU AI規則には、AIの責任ある使用と開発を支援することを目的とした多くの規定が含まれています。 最も重要な規定には、危険なAIの禁止、リスクの高いAIの開発と展開に関する基準、透明性に関する義務、汎用モデルの規制などがあります。
EU AI規則の実際の適用に関する詳細なルールの多くはまだ検討中となっています。たとえば、同規則では、欧州委員会が市販後のモニタリング計画やトレーニングデータの概要などの要件に関して、さらなるガイダンスを発表すると述べられています。
EU AI規則では、AIシステムがリスクレベルに応じてさまざまなカテゴリーに分類されています。ここでいうリスクは、AIが健康、安全、人権に対してもたらす可能性のある危害の可能性と重大性を指しています。
同規則は、大きく次の4つのカテゴリーのAIリスクに対応しています。
· 許容できないリスク
· 高リスク
· 限定的なリスク
· 最小限のリスク
許容できないレベルのリスクをもたらすAIの使用は禁止されています。 EU AI規則には、禁止されているすべてのAIの使用が明示的にリストされています。これには次が含まれます。
欧州委員会はこのリストを再検討して、修正する権利を留保しているため、将来的にはさらに多くのAI使用が禁止される可能性があります。
EU AI規則の大部分は、高リスクのAIシステムを対象としています。同規則の下で、AIシステムが高リスクであるとみなされるのは、2通りあります。規制されている製品で使用されている場合と、高リスクとして明示的に指定されている場合です。
玩具、無線機器、医療機器などの一部の分野の製品は、既存のEU法によってすでに規制されています。 これらの規制対象製品の安全コンポーネントとして機能するAIシステム、または規制対象製品自体として機能するAIシステムは、自動的に高リスクとみなされます。
同規則には、常に高リスクとみなされる特定のAIの使用も挙げられています。その一例を以下に挙げます。
禁止されたAI使用のリストと同様に、欧州委員会は将来的にこのリストを更新する可能性があります。
高リスクシステムのプロバイダーは、次の規則に従う必要があります。
AIシステムが高リスクのカテゴリーの1つに該当するものの、健康、安全、または人権に重大な脅威を及ぼさない場合、プロバイダーはこれらの要件の対象から免除されます。 プロバイダーは、システムがリスクを引き起こさないことを証明する文書を作成する必要があり、規制当局はシステムを誤って分類した組織に罰則を科すことができます。
限定的なリスクのAIシステムは、特定の透明性に関する義務(特定の種類のAIがそのリスクレベルにかかわらず、従わなければならない規制)を満たすシステムを指します。これらの規制には次が含まれます。
最小限のリスクのカテゴリー(「最小限またはリスクなしのカテゴリー」とも呼ばれる)には、人と直接やり取りしないAIツール、もしくは、やり取りをしても実質的な影響がほとんどないAIツールが含まれます。 例としては、EメールのスパムフィルターやビデオゲームのAIなどが挙げられます。 今日の一般的なAI使用の多くは、このカテゴリーに分類されます。
AI規則のほとんどの規制は、リスクが最小限のAIには適用されません(ただし、一部は上記の透明性に関する義務を果たす必要がある場合があります)。
汎用AIモデルは適応性が高いため、リスクレベルに応じて分類することが難しい場合があります。 このため、EU AI規則では、汎用AIに対して明示的に個別の規定を設けています。
汎用AIモデルのすべてのプロバイダーは、次の要件を満たす必要があります。
無料のオープンソース汎用AIモデルのほとんどは、上記の最初の2つの要件が免除されます。 必要とされるのは、著作権法に従い、トレーニングデータの概要を共有することのみです。
EU AI規則では、一部の汎用AIモデルがシステミック・リスクを引き起こすとみなされています。 システミック・リスクとは、あるモデルが、公衆の健康、安全、基本的権利に深刻な損害を広範囲にを与える可能性のことです。
同規則では、モデルが「大きな影響を与える能力」を備えている場合、そのモデルはシステミック・リスクを引き起こすとみなされます。これには、原則として、モデルの能力がその時点で利用可能な最も先進的な汎用AIの機能と同等か、それを上回っている場合が該当します。
同規則では、システミック・リスクを特定するための主な基準として、トレーニング・リソースが用いられます。モデルのトレーニングに使用されるコンピューティング能力の累積量が 1025 FLOP(浮動小数点演算)を超える場合、大きな影響を与える能力があり、システミック・リスクがあると見なされます。
欧州委員会は、FLOPのしきい値に達していない場合でも、モデルが高リスクと同等の影響を与えると判断した場合に、システミック・リスクとして分類することができます。
システミック・リスクがある汎用AIモデル (無料のオープンソース・モデルを含む)は、上記のすべての要件に加えて、いくつかの追加の義務を果たす必要があります。
汎用AIモデルのプロバイダーは、EU AIオフィスが現在策定中の自主的なプラクティス基準を採用することで、コンプライアンス遵守を達成できます。 EU AIオフィスによる基準の策定は、同規則の施行後、9か月以内に完了する見通しです。 これらの基準を採用していないプロバイダーは、他の方法により、コンプライアンス遵守を証明する必要があります。
プロバイダー、デプロイヤー、輸入者、および販売者は基本的に、開発、使用、または流通させるAI製品がコンプライアンス遵守していることを確認する責任があります。 遵守の証拠を文書化して、要求に応じて当局と共有する必要があります。 また、AIサプライチェーン内のすべての組織がEU AI規則を遵守できるようにするために、情報を共有し、相互に協力する必要があります。
また、プロバイダーとデプロイヤーは、組織に代わってAIを扱う従業員やその他の関係者が、責任を持ってAIを扱うために必要なAIリテラシーを身につけていることを確認する必要があります。
これらの広範な要件以外にも、すべての当事者に、各自が果たさなければ義務があります。
輸入者および販売者は、流通させるAIシステムおよびモデルが EU AI規則に準拠していることを確認する必要があります。
輸入者または販売者は、製品に独自の名称や商標を付けたり、製品に大幅な変更を加えたりする場合には、AIのプロバイダーとみなされます。 この場合、輸入者または販売者は、規則によってプロバイダーに課せられるすべての責任を負います。
EU Ai規則は、複数の異なる機関によって施行されます。
EUレベルでは、欧州委員会は加盟国全体での同規則の一貫した適用を調整するために、AIオフィスを設立しました。 AIオフィスはまた、汎用AIに関する規制を直接施行し、組織に罰金を課し、是正措置を強制することができます。
個々の加盟国は、汎用AI以外のすべての規制を施行する国内管轄当局を指定します。 同規則は、各州に市場の監視を行う当局と通知を行う当局の2つの異なる当局を設立することを義務付けています。
市場監視当局は、組織がEU AI規則を遵守していることを確認します。 消費者からの苦情を聞き、違反を調査し、組織に罰金を課すことができます。
通知当局は、新しい高リスクAI製品の適合性評価を実施する第三者を監督します。
禁止されているAI慣行を行なった組織には、最大で3,500万ユーロ、もしくは世界中の売上高の7%のいずれか高い方の罰金が科される可能性があります。
汎用AIに関する規制違反を含むその他の違反については、最大で1,500万ユーロ、もしくは世界中の売上高の3%のいずれか高い方の罰金が科せられる可能性があります。
当局に不正確な情報や誤解を招く情報を提供した組織は、最大で750万ユーロ、もしくは売上高の1%のいずれか高い方の罰金が科せられる可能性があります。
注目すべきは、EU AI規則では、スタートアップ企業やその他の小規模組織に対して課せられる罰金が異なります。 これらの企業の場合、罰金はいずれかの金額のうち、低い方となります。 これは、要件があまりに煩わしくなり、中小企業が AI 市場から締め出されないようにするための、法律の一般的な狙いと一致しています。
欧州議会は、2024年3月13日にEU AI規則の法案を承認しました。 欧州理事会が最終審査を完了し、欧州連合官報に掲載されてから20日後に発効します。一部の専門家は、2024年5月ごろになると予想しています。
同規則は2026年までは全面的には発効されず、時間の経過とともにさまざまな規定が段階的に施行されていきます。
最新の電子ブックでは、AIガバナンスの主要な構成要素を概説し、組織に適用できる詳細なAIガバナンスのフレームワークを共有します。
組織にとっての責任あるAIのトランスフォーメーションの可能性を探り、倫理的なAI実践の導入の背後にある重要な推進力について詳細をご覧ください。
責任あるAIをデプロイするために企業がAIガバナンスを重視すべき理由についてのディスカッションにご参加ください。
データ・ガバナンスによって企業がデータ資産を最大限に活用できるようにする方法をご覧ください。
AIモデルを本番環境で稼働する際に、説明可能なAIは組織の信頼と信用の構築に不可欠となります。
AI倫理は、リスクや不利な結果を軽減しながら、AIの有益な影響を最適化する方法を研究する学際的な分野です。AI倫理へのIBMの取り組みを紹介します。