いよいよ発効した「EU AI規制法」 ビジネスへの影響と適用タイムラインを紹介CIO Dive

EU AI規制法が発効した。同法はGDPR(EU一般データ保護規則)と同様にビジネスに影響をもたらす可能性がある。今後、どのタイミングで何が起こるのかを時系列で紹介する。

» 2024年09月30日 17時00分 公開
[Lindsey WilkinsonCIO Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

CIO Dive

 2024年8月にEU(欧州連合)で発効したAI規制法は、今後2〜3年かけて段階的に施行される。

 生成AIを包括的に規制する同法は、GDPR(EU一般データ保護規則)と同じく世界的にビジネスに影響を及ぼす可能性がある。違反した企業に高額の罰金が科される可能性もあり、欧州でビジネスを展開する企業を中心に、日本企業もリスク管理の視点から注目している。

違反企業には高額な罰金も 取るべき対策は?

 EU(欧州連合)は、AI規制法が2024年8月1日(現地時間、以下同)に発効したことを受けて、AIのガバナンスやセキュリティ、リスク管理の水準を引き上げた(注1)。

 AI規制法はAIアプリケーションを次の3つのリスクカテゴリーに分類している。

  1. 禁止されるもの: ソーシャルスコアリング(個人や団体の行動や特徴に基づく社会的な信用格付け)や音声アシスタント付きのおもちゃ、Webスクレイピングによる顔認識データベース、職場における感情推定などの「許容できないリスク」を持つもの
  2. さまざまな義務が課されるもの: 禁止されていない生体認証や重要インフラ、採用および雇用における使用などの「高リスクのユースケース」に該当するもの
  3. 軽度の透明性義務が課されるもの: チャットbotなどの「限定的リスク」を持つもの

 なお、スパムフィルターやビデオゲームなどは「最小限のリスク」を持つものと見なされ、ほとんど規制されない。

 AI規制法に違反した場合は、最大で3780万ドルの罰金が科される可能性がある(注2)。規制当局は違反の性質や重大性、継続期間を考慮して判断するとしている。不完全または誤解を招くような情報を規制当局に提供した場合は、最大で810万ドルの罰金が科される可能性がある。

 ただし、AIサービスを提供するベンダーなどの企業が、罰金や規制当局による調査に備えてコンプライアンスを順守するために費やせる時間は限られている。アナリストは「EU AI規制法が企業のAIサービスの取り扱いに関する世界標準になる。その影響の大きさはGDPRに匹敵する」と予測している。

 こうした動きを受けて、企業のITリーダーはどうすべきか。多くの企業は、AI導入の優先順位が高くなるにつれて、コンプライアンスやプライバシー、法務部門の経営幹部との連携を強化している。企業が最善の方法を見いだそうとする中で、こうした連携は重要になるだろう。

 日用品大手のUnileverは、2024年7月30日に公開した同社公式ブログ記事で、EUのAI規制法や、2023年10月に発令されたAIの安全性に関する米国の大統領令といった最近の枠組みに対応するため、「AI資産を完全に可視化する必要性」を強調した(注3)(注4)。

 同社のアンディ・ヒルCDO(最高データ責任者)とクリスティン・リーCPO(最高プライバシー責任者)はブログ記事の中で、「規制に適応できる監視体制と柔軟なプロセスが重要だ」と述べた。

EU AI規制法は今後何がいつ適用される? タイムラインで紹介

 AI規制法自体は2024年8月1日に発効したが、包括的なAI規制の一部は2025年2月まで施行されない。

 ビジネスや証券に特化した米国の他国製法律事務所Wilson Sonsini Goodrich & Rosatiの報告書によると、欧州委員会のAI事務局が汎用AIモデルに関する規則を施行する。その他のAIシステムに関する規制については、EUに加盟する各国の執行機関に委ねられるようだ(注5)(注6)。EU各国はAI規制法の成立から1年以内に執行機関を決めなければならない。執行機関は2年間の移行期間を通じて段階的なアプローチを取ることになる。

今後の予定をタイムラインで整理

 「CIO Dive」は、EU AI規制法の施行に伴って、今後起こり得ることを以下のように整理した。

日 付      出来事
2024年 8月 AI規制法が発効
2025年 2月 「許容できないAIのユースケース」への禁止が適用(注7)
2025年 5月 AI事務局とAI委員会は、AI規制法に基づく実践的なガイドラインの要約に含めるべき詳細を、透明性やコンプライアンスの観点から共有する(注8)
2025年 8月 EU圏内の汎用AIモデルのプロバイダーは、AIモデルのトレーニングに使用された内容の要約を公表する必要がある(注9)。欧州委員会は、期限前に開示のためのテンプレートを公表する予定で、テストのプロセスや評価に関する技術文書も求められる。汎用AIモデルを提供するベンダーは、著作権やその他の関連する権利を順守するためのポリシーを策定する必要がある。金融システムにおいて、個々の金融機関や市場、決済システムの機能不全などが他の金融機関や市場、金融システム全体に波及するリスクに該当する汎用AIモデルのベンダーには、追加の義務が課される(注10)
2026年 2月 欧州委員会は、リスクの高いユースケースとそうでないユースケースの包括的な事例に加え、実務的な実施方法を明記したガイドラインを提供する(注11)(注12)
2026年 8月 ここまで施行されていない部分も含めてEU AI規制法が全面的に適用される
2027年 8月 2025年8月までに市場に流通している汎用AIモデルは、2027年までに法令に適合する必要がある

(注1)A look at how the EU AI Act will impact US generative AI deployments(CIO Dive)
(注2)Article 99: Penalties(Future of Life Institute)
(注3)The EU AI Act has arrived: how Unilever is preparing(Unilever)
(注4)White House AI executive order adds safety requirements for next generation tech(CIO Dive)
(注5)The AI Office: What is it, and how does it work?(Future of Life Institute)
(注6)EU AI Act to Enter into Force in August(Wilson Sonsini Goodrich & Rosati)
(注7)Article 5: Prohibited AI Practices(Future of Life Institute)
(注8)Article 56: Codes of Practice(Future of Life Institute)
(注9)Article 53: Obligations for Providers of General-Purpose AI Models(Future of Life Institute)
(注10)Article 55: Obligations for Providers of General-Purpose AI Models with Systemic Risk(Future of Life Institute)
(注11)Article 6: Classification Rules for High-Risk AI Systems(Future of Life Institute)
(注12)Article 96: Guidelines from the Commission on the Implementation of this Regulation(Future of Life Institute)

(初出) 

© Industry Dive. All rights reserved.

メールマガジンのお知らせ

メールマガジン

企業を変革するビジネス視点のメールマガジンを毎朝配信中!!

あなたにおすすめの記事PR