EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
2024年8月に、EUにおいて欧州AI法が施行され、2025年2月からは、「禁止されるAIシステム」に関する規制の適用が開始されました。欧州AI法には、域外適用や高額な制裁金の規定が設けられており、日本企業の事業活動に影響を与える可能性があります。施行された欧州AI法の要点をあらためて概説します。
本稿の執筆者
EY弁護士法人 弁護士 小木 惇
EYデジタル法チームメンバー。AIやIoT事業のM&Aサポート、データガバナンス・サイバーセキュリティ体制構築に係る法務サポートを通じて、日系企業や多国籍企業に対し、データ利活用事業の拡大を支援。
要点
- 欧州AI法は、リスク・ベース・アプローチを採用し、リスクの大きさに応じてAIシステムを規制するとともに、汎用(はんよう)目的AIモデルに関する規制を設けている。
- 2025年2月からは、「禁止されるAIシステム」の利用などを禁止する規制の適用が開始されている。
- 欧州AI法には、域外適用の規定が設けられており、EU域内へAI関連のサービスを提供する日本企業などにも適用される可能性がある。
Ⅰ はじめに
2024年7月12日、欧州連合(EU)において、Artificial Intelligence Act(以下、欧州AI法)の最終的な法文※1が公布され、同年8月1日に同法が施行されました。最終的な法文は、前回の関連記事(情報センサー2024年3月「欧州のAI法規制の現状と日本企業への影響」)の時点で公開されていた法案の内容から何点か更新されていますので、以下では、あらためてその内容を概観します。
欧州AI法は、以下の4つの主たる目的を推進するため、立法化されました。
- EU市場におけるAIの安全性を確保し、現行EU法の規律を尊重する
- AIへの投資とイノベーションを促進するための法的確実性を確保する
- 基本的権利や安全に関する現行EU法によるガバナンスと効果的な執行を強化する
- 安全かつ信頼できるAIの、単一のEU市場の発展を促進し、市場の分断を防ぐ
これらの目的を達成するため、欧州AI法においては、AIの利用目的に着眼したリスク・ベース・アプローチにより、AIシステム(AI System)を類型化し、規制しています。さらに、欧州AI法は、生成AIを規制することを念頭において、汎用(はんよう)目的AIモデル(General Purpose AI Models)に関する規制を別途設けています。
欧州AI法は、一般データ保護規則(GDPR)と同様に、域外適用を含む幅広い適用範囲に関する条項を設けています。また、その違反については、厳しい制裁金を設けています。
欧州AI法の各種規制は、以下に説明するとおり、今後、数年間にわたり順次適用が開始されることが予定されています。第1弾として2025年2月からは、「禁止されるAIシステム」の規制の適用が開始されています。
※1 “Regulation - EU - 2024/1689 - EN - EUR-Lex”, European Union, eur-lex.europa.eu/eli/reg/2024/1689/oj/eng, (2025年1月22日アクセス)
Ⅱ 適用スケジュール
欧州AI法は以下のスケジュールで、適用される規制の範囲が順次拡大してくことが予定されています(6条5項、56条9項、72条3項、111条~113条)。同法は、AI関連技術の急速な発展などを考慮し、継続的に見直されることとなっています(112条)。
|
2024年8月1日 |
欧州AI法施行 |
|---|---|
|
2025年2月2日 |
「禁止されるAIシステム」に関する規制の適用開始(一部猶予あり) |
|
2025年5月2日 |
当日までに、当局が実践規範(汎用目的AIモデルの義務の内容をカバーする規範)を公表 |
|
2025年8月2日 |
汎用目的AIモデルに係る規制の適用開始(一部猶予あり) |
|
2026年2月2日 |
同日までに、当局が「高リスクAIシステム」や「低リスクAIシステム」の規制の実施などに関するガイドライン(ユースケースのリストなどを含む)を公表 |
|
2026年8月2日 |
|
|
2027年8月2日 |
|
|
2030年8月2日 |
公的機関による使用を意図した高リスクAIシステムに係る猶予期間終了 |
|
2030年12月31日 |
2027年8月2日までに市場投入された一部の大規模AIシステムに係る猶予期間終了 |
なお、欧州委員会は、2026年8月2日の本格的な適用開始までの期間に各企業に対して欧州AI法の義務への自主的な順守を求めるAI協定(AI Pact)※2への参加を推進しています。
※2 “AI Pact | Shaping Europe's digital future - European Union”, European Commission, digital-strategy.ec.europa.eu/en/policies/ai-pact#ecl-inpage-Signatories-of-the-AI-Pact, (2025年1月22日アクセス)
Ⅲ 規制を受ける法主体
欧州AI法は、幅広くAIのバリューチェーンにおける当事者を対象としています。欧州AI法が適用され得る主たる関係者として、以下の者が定義されています(3条)。
|
提供者(provider) |
自らの名称や商標で上市し、またはサービスに供する目的で、AIシステムを開発し、または開発させる自然人、法人、公的機関、専門機関その他の団体 |
|---|---|
|
導入者(deployer) |
権限に基づいてAIシステムを使用(個人的な非専門的活動の過程での使用を除く)する自然人、法人、公的機関、専門機関その他の団体 |
|
輸入者(importer) |
EU内に所在し、EU外の自然人や法人の名称・商標で、AIシステムを上市し、またはサービスに供する自然人及び法人 |
|
流通者(distributor) |
AIシステムのサプライチェーン上の自然人及び法人であって、AIシステムを、その特性に影響を与えることなくEU市場で入手可能にする者(提供者や輸入者を除く) |
そして、以下の者に対し、欧州AI法が適用される旨を規定しています(2条1項)。
|
(a) |
EU域内において、AIシステムを上市し若しくはAIシステムのサービスを提供し、または、一般目的AIモデルを上市する提供者 |
|---|---|
|
(b) |
EU域内に拠点を有し、または、所在する、AIシステムの導入者 |
|
(c) |
第三国に拠点を有し、または、所在するAIシステムの提供者および導入者で、AIシステムで生成されるアウトプットがEU域内で利用される場合 |
|
(d) |
AIシステムの輸入者および流通者 |
|
(e) |
自社の商号または商標を付して、自社製品とともにAIシステムを上市し、または、AIシステムのサービスを提供する、製品の製造業者 |
|
(f) |
EU域内に拠点を有していない提供者の代理人 |
|
(g) |
EU域内に所在する、影響を受ける者 |
(c)にあるとおり、AIシステム自体をEU市場に投入しなくとも(AIシステムの提供者でなくとも)、AIシステムで生成されたアウトプットがEU域内で利用される場合にも同法が適用され得ることに留意が必要です。
なお、欧州AI法は、同法が適用されない場合についても規定しています。例えば、上市またはサービス開始前のAIシステムに関する研究、試験、開発活動には、同法の適用はないとされています(2条8項)。
Ⅳ AIシステムに対する規制
1. 定義
AIシステムは、最終的な法文においては、機械ベースのシステムで、さまざまなレベルで自律的に運用されるように設計されており、導入後も順応性を示し、明示的または黙示的な目的のために、受領した入力から、物理的または仮想的環境に影響を与え得る予測、内容、推奨または決定といった出力を生成する方法を推測するものをいうと定義されています(3条)。
2. 規制の区分
欧州AI法は、AIシステムがもたらし得るリスクの高さに応じて、規制の強さを4つのランクに分けています(リスク・ベース・アプローチ)。すなわち、AIシステムは「禁止されるAIシステム」「高リスクAIシステム」「低リスクAIシステム」「最小リスクAIシステム」に分けられます。
|
分類 |
概要 |
規制レベル |
例 |
|---|---|---|---|
|
禁止されるAIシステム |
安全、セキュリティ、基本的権利の観点で容認できないリスクをもたらすため禁止される |
禁止 |
ソーシャルスコアリング、職場における感情認識、センシティブデータに基づく生体分類、犯罪行動予測や法執行を目的とする生体認証などへのAIの使用(一部例外あり) |
|
高リスクAIシステム |
上市前の適合性評価など、厳格な法の要件を順守することが条件となる |
厳格 |
採用、生体認証による監視、医療機器などの安全部品、重要な民間・公的サービスの給付(健康保険や生命保険など)、重要インフラに係る安全部品などへのAIの利用 |
|
低リスクAIシステム |
透明性確保など限定的な条件がある |
限定的 |
自然人と直接対話するAIシステム(チャットボットなど)、ディープフェイクに関するAIシステム |
|
最小リスクAIシステム |
強制される措置はない |
最小限 |
上記に分類されないその他のすべてのAIシステム(写真編集、商品の推薦、スパムフィルタリング、スケジュール管理のソフトなど) |
3. 禁止されるAIシステムに関する規制
欧州AI法は、受容できないリスクを生じさせ、個人の基本的権利を侵害し、または、個人に物理的または精神的な障害を与える可能性のあるAIシステムの利用を禁止しています(8条)。
そのような「禁止されるAIシステム」には、例えば、以下のようなAIシステムが含まれています。
- サブリミナル技術を用いるAIシステム
- 年齢などの脆弱(ぜいじゃく)性を悪用するAIシステム
- ソーシャルスコアリングを行うAIシステム
- 職場や教育機関における感情認識を行うAIシステム
すでに述べたとおり、この「禁止されるAIシステム」に対する規制は、2025年2月2日より適用が開始されています。
4. 高リスクAIシステムに関する規制
欧州AI法は、高リスクAIシステムに対する規制として、高リスクAIシステムに対する要求事項(8条~15条)と、高リスクAIシステムの提供者、導入者およびその他の関係者の義務(16条~27条)を規定しています。
高リスクAIシステムに対する要求事項には、①リスク管理システムの構築(9条)、②データガバナンスの実施(10条)、③上市前の適切な技術文書の作成と更新(11条)、④システム作動期間中のログの保存(12条)、⑤システムの透明性確保と情報提供(13条)、⑥人間による監督の確保(14条)、⑦利用目的に応じた適切な水準の正確性、頑健性、サイバーセキュリティの確保(15条)が含まれています。
高リスクAIシステムの提供者は、上市前に、適合性評価を実施した上で、所定のデータベースに当該AIシステムを登録することが求められます(43条、49条)。適合性評価は自己評価で足りる場合もありますが、AIが所定の安全部品に利用される場合など、第三者による評価を要求される場合もあります。また、上市後も、文書やログの保管義務など(18条、19条)、一定の義務を負うものとされています。
高リスクAIシステムの提供者の代理人(22条)、輸入者(23条)、流通者(24条)および導入者(26条)については、各関係者が順守すべき義務が、個別の条項で規定されています。
5. その他のAIシステムに関する規制
その他のAIシステムのうち、欧州AI法が特定する一定の低リスクAIシステムに関しては、提供者および導入者に透明化の義務が課せられています(50条)。例えばチャットボットなど、自然人と直接対話するAIシステムの提供者は、例外的な場合を除き、当該自然人にAIシステムと直接対話することを知らせるように当該AIシステムを設計し、開発することを求めています(50条1項)。
禁止されるAIシステム、高リスクAIシステム、低リスクAIシステムのいずれにも該当しないAIシステムに関しては、法的に強制力のある義務は課せられていません。
Ⅴ 汎用目的AIモデルに対する規制
汎用目的AIモデルは、概要、顕著な一般性を有し、モデルが市場に提供された方法にかかわらず広範囲の異なるタスクを適切に実行でき、さまざまな下流のシステムやアプリケーションに組み込むことができるAIモデルと定義されています(3条)。
汎用目的AIモデルの中でも特に計算能力(浮動小数点演算の能力。なお、モデルのパラメータ数や登録されたエンドユーザーの数指標となることもあります)が高いものは、システミック・リスクを伴う汎用目的AIモデルとして定義されています。
汎用目的AIモデルの提供者には、技術文書の作成や情報開示(当局やAIシステムの提供者への情報提供、学習データに関する情報公開)といった透明化の義務が課せられます(53条)。下流のAIシステム提供者などにその機能を十分に理解させるためです。
さらに、システミック・リスクを伴う汎用目的AIモデルの提供者には、一定のモデル評価やシステムリスクの評価、敵対的テストの実施、サイバーセキュリティの確保といった、追加の義務が課せられています(55条)。これは、システミック・リスクを伴う汎用目的AIモデルは、特にCBRN(化学、生物、放射性物質、核兵器)やサイバー攻撃などの脅威が大きいと考えられていることによります。
Ⅵ 制裁金
欧州AI法の違反者は、以下の制裁金の対象となります(99条)。
|
違反事由 |
制裁金額の上限 |
|---|---|
|
禁止されるAIシステムに対する規制への違反 |
3,500万ユーロまたは前年度の全世界年間売上高の7%のいずれか高い金額 |
|
高リスクAIシステムの提供者としての義務など、欧州AI法に定めるその他の義務への違反 |
1,500万ユーロまたは前年度の全世界年間売上高の3%のいずれか高い金額 |
|
当局への不正確な情報提供 |
750万ユーロまたは前年度の全世界年間売上高の1%のいずれか高い金額 |
Ⅶ 日本企業への影響
欧州AI法には域外適用の規定が設けられており、日本企業であっても、EU域内グループ会社がある場合、EU域内向けにAI関連のサービスを提供しようとする場合、EU域内でAIのアウトプットがEU域内で使用される場合などには、欧州AI法が適用される可能性があります。欧州AI法違反について重い制裁金の対象となり得ることを考えますと、自社またはグループ企業に対して欧州AI法が適用される可能性がある日本企業については、自社が開発し、または導入しているAIシステムの棚卸しを行い、欧州AI法の適用の有無を確認することにより、リスクの洗い出しを行うことが考えられます。
サマリー
2024年8月に、欧州AI法が施行されました。欧州AI法の規制内容の概要について解説しました。
EYの関連サービス
-
EYのデジタル法務チームは、データやサイバー空間、デジタル知的財産、デジタル規制法、電子商取引法といった領域のリスク特定と問題の対処をサポートします。詳しい内容を知る
続きを読む -
昨今生成AIの急速な普及により、AIが身近に感じられ、業務において幅広く活用されるようになってきています。AIの利用により業務品質や生産性の向上が期待される一方、AIの利用には、正確性・公平性・知的財産権・セキュリティ・プライバシーなど、さまざまなリスクが存在します。 EYでは、組織においてAI活用を進めていくにあたり、そうした多様なリスクに対応したガバナンスの構築を支援します。
続きを読む -
EYのチームは監査、検証、認証、評価する各種業務の提供により、企業のテクノロジー導入と利用から生じるリスクを特定し、その理解、評価、管理、軽減を支援しています。
続きを読む
関連コンテンツのご紹介
EUでは、世界初の包括的なAI規制法案が、間もなく成立しようとしています。本法はEU外の企業にも適用され得るもので、日本企業も早めの準備が必要です。本法の対象となるAIの定義や、適用対象となる当事者、義務の内容など、本法で留意すべき事項と、今後の展望について概観します。
情報センサー
EYのプロフェッショナルが、国内外の会計、税務、アドバイザリーなど企業の経営や実務に役立つトピックを解説します。
