執筆:弁護士 森川 そのか (AI・データ(個人情報等)チーム)
前回は、「EU AI規制法制定の経緯とスケジュール」及び「EU AI規制法の日本への影響」について見ていきました。第2回では「EU AI規制法の規制範囲と対象」について検討していきます。
第1章 EU AI規制法制定の経緯とスケジュール (第1回についてはこちらから)
第2章 EU AI規制法の日本への影響 (第1回についてはこちらから)
第4章 リスクベースアプローチによる規制内容 (第3回についてはこちらから)
本稿が皆様の今後の事業の発展の一助になれば幸いです。
(※本記事は2023年6月8日現在の情報をもとに作成しています。)
第3章 EU AI規制法の規制範囲と対象
a.「範囲」
(第Ⅰ編 一般規定 第2条 範囲)(※1)
本規則は、次の者に適用される。
(a) 設立されたのがEU域内であるか第三国であるかにかかわらず、EUにおいてAIシステムを市場に置き又はサービスを提供する提供者
(b) EU域内に所在するAIシステムの利用者
(c) AIシステムが生み出すアウトプットがEU域内で利用される場合における、第三国に所在する当該システムの提供者及び利用者
日本企業の場合、特に(a)(c)に該当する余地があります。
例えば日本でAIシステムを用いたサービスを提供する事業者がEU域内に海外展開する場合は(a)の「提供者」に該当します。
また、海外でAIサービスを対外的に展開していなくとも、例えば日本の企業の海外支店が日本の本店との間で社内の情報共有や業務効率化のためにAIシステムが搭載されたツールを利用している場合は、かかる日本の本社は(c)の「提供者」に該当する可能性があります。
もっとも、上記(a)(b)(c)該当者全てについてEU AI規制法で規定された要件・義務が課されるかについては一部曖昧のようです。
例えば、(a)に該当する企業等に課される義務は規定されていますが、他方で(c)に該当するAIシステムのプロバイダー・ユーザーに課される義務は現状明確に規定されておらず、経団連もこの点について指摘(※2)しています。仮に(c)に該当するプロバイダーについても(a)の「提供者」と同様の義務が課されるとなるとEU AI規制法はかなりの広範囲に渡って適用されることとなります。
上記をふまえると、(c)の文言解釈及び該当時に課される義務内容については今後も注視が必要です。
b.「対象」
AIの定義はどうなっているでしょうか。条文には、
(第Ⅰ編 一般規定 第3条 定義)(※3)
「人工知能システム」(AIシステム)とは、付属書Iに列挙された技法及びアプローチの一つ又は複数をもって開発されたソフトウェアであって、人間が定めた一定の一連の目的のために、これらが相互作用する環境に影響を与えるコンテンツ、予測、推奨又は決定などのアウトプットを生成することができるものをいう。
と記載されています。本条が引用する付属書を参照すると、
(付属書I 第3条第1号に定めるAIの技法及びアプローチ)(※4)
(a) ディープラーニングを含む様々な方法を用いた教師あり、教師なし及び強化学習を含む機械学習によるアプローチ
(b) 知識表現、帰納(論理)プログラミング、知識ベース、推論及び演繹エンジン、(記号)推論及びエキスパートシステムを含む論理ベース及び知識ベースのアプローチ
(c) 統計的アプローチ、ベイズ推定、検索及び最適化手法
とあります。
上記をまとめると、EU AI規制法でいう「AIシステム」とは
「人間の脳における思考プロセスと同じような形で動作するプログラム」(※5)
であり、
その開発過程において付属書Ⅰが定める技法及びアプローチがなされているもの。
になります。
(a)の機械学習とは機械が膨大なデータを学習することで自らその規則性を作り出して、それに則ったアウトプットを行わせるものになります。機械学習のうち教師なし学習によって開発されたAIの例としては大規模言語モデルであるChatGPT(OpenAI)が代表的です。
また、例えば(b)に含まれる知識ベースとは専門家の知識を、演繹エンジンとは人間が定めたルールをそれぞれコンピュータに教え込み、それに従って現実の問題についてAIに分析処理をさせるものになります。これらは1980年代の第2次AIブーム(※6)に出てきたものも多く含みます。
(c)に含まれる統計学的アプローチとは、機械学習が膨大なデータから一定の規則性を割り出すのに対して、統計学的理論に基づいて蓄積されたデータに対して分析をかけるものになります。また、最適化手法は対象となる問題に対して最良な選択肢を見つけるアルゴリズムを用いる手法になります。
これらのアプローチは複合的に用いられることが多いため、「AIシステム」とはかなり広範囲に渡って定義されることがわかります。
もっとも、EU AI規制法はリスクベースアプローチを採用しており、「AIシステム」をリスクの程度に応じて4つの段階に分類しています。そして、特にEU AI規制法の適用を受けて禁止され、又は様々な義務が生じるのは、「許容できないリスク」があるAI及び「ハイリスク」のあるAIに限られます。そこで、「許容できないリスク」AI及び「ハイリスク」AIの定義・範囲の明確化が重要となってきます。
次回は開発が禁止されている「許容できないリスク」のAI及び、提供者に重大な要件・義務が課される「ハイリスク」AIについて解説していきます。
(※1)「人工知能に関する調和の取れたルールを定める規則の提案」(欧州委員会(2021年4月21日))本文・付属書(仮訳)
(※2)欧州 AI規制法案に対する意見(一般社団法人日本経済団体連合会(2021年8月6日))
(※3)「人工知能に関する調和の取れたルールを定める規則の提案」(欧州委員会(2021年4月21日))本文・付属書(仮訳)
(※4)「人工知能に関する調和の取れたルールを定める規則の提案」(欧州委員会(2021年4月21日))本文・付属書(仮訳)
(※5)情報通信白書 for Kids:インターネットの活用:人工知能(AI:エーアイ)のしくみ
(※6)総務省|平成28年版 情報通信白書|人工知能(AI)研究の歴史
監修
弁護士 阿久津 透
(個人情報保護法、電気通信事業法といったデータ・通信に関する分野を中心に担当。 データ分析やマーケティング施策実施における法規制の対応、情報漏えい対応などデータの利活用に関する実務対応を行っている。 その他、スタートアップファイナンス、企業間紛争も対応。)
