EUは2024年3月13日、世界初となる包括的なAI規制法「EU AI Act」を採択しました。EU AI Actは2030年12月31日までの段階的施行が予定されており、グローバルに事業を展開するAIサービス提供企業にとって重要な対応課題となっています。
本記事では、EU AI Actの施行に向けた足元の最新動向について解説します。
Contents
EU AI Actの概要
EU AI Actは2021年4月に欧州委員会が当初の法案を提出して以来、加盟国間での議論と修正を経て、2024年3月13日に採択に至りました。この過程では、特に顔認識技術の使用制限や生成AI規制の範囲について、プライバシー保護派と産業振興派との間で綿密な調整が行われました。法案の最終版では、基本的人権の保護とイノベーションの促進の両立を図ることを目指した規制体系が構築されています。
EU AI Actの本文は The AI Act Explorer で参照可能です。各Article毎に適用開始日(Date of entry into force)が明記されています。なお、EU AI Actや関連法令に関する情報提供のために、スイスの非営利団体がClairkというプラットフォームを公開しています。EU AI Actの条文検索をAIで行う機能が備わっているなど、先進的な取組みが注目を集めています。
(出所:EC)
リスクベースアプローチ
EU AI Actの中核を成すリスクベースアプローチとは、AIシステムを4段階のリスクカテゴリーに分類し、それぞれに応じた規制要件を設定するものです。最も厳格な「受容できないリスク」(Unaccepatable Risk) カテゴリーには、「政府による社会的スコアリングシステム」や「公共スペースでの無差別の顔認識システム」などの極めて限定的なシステムが含まれており、これらのシステムは原則として禁止されます。「高リスク」(High Risk) カテゴリーには、重要インフラの運営や採用選考、与信審査などに使用されるAIシステムが該当し、厳格な適合性評価と継続的なモニタリングが要求されます。
このようなリスクベースアプローチの考え方は、我が国におけるAI事業者ガイドラインの記載にも大きな影響を与えています。
参考記事:AI事業者ガイドライン(第1.0版)の公表
欧州AI法案におけるリスクベースアプローチ概念図(出所:EC)
EU AI Office
EU AI Actの実務への導入は、EC(欧州委員会)内に設置されたAI Officeが担っています。EU AI Actにおける規制内容の記載はハイレベルで抽象的なものに留まっており、具体的な規制内容や報告プロセスを把握するためにはAI Officeの動向をキャッチアップすることが不可欠です。
EU AI Office組織図(出所:EC)
EU AI Act 施行に向けた動き
EU AI Actは段階的に施行される予定です。まず、禁止事項が2024年末から適用開始となり、その後、高リスクAIシステムに対する規制が2025年から段階的に導入され、2026年8月2日にはほぼ全ての条項が適用となります。EU圏内でサービス提供するAIサービス企業には、それぞれの期限に応じた対応が求められます。
以下では、特に注目度が高まっている、汎用目的型AIモデル(General-purpose AI Models)に関する規制(第5章(51-56条)、2025年8月2日適用開始)について概説します。
トレーニングデータに関する情報公開 (第53条第1項(d))
EU AI Act 第53条第1項(d)は、汎用目的型AIモデルのベンダーに対し、トレーニングデータに関する情報公開を求めています。トレーニングデータの情報公開は、自らの著作物を学習データとして利用された者に対する知る権利の保障につながるとともに、AIモデルの利用者のガバナンス構築上も重要な情報となると考えられ、極めて重要な条項といえます。
Providers of general-purpose AI models shall:
(a) draw up and keep up-to-date the technical documentation of the model, including its training and testing process and the results of its evaluation, which shall contain, at a minimum, the information set out in Annex XI for the purpose of providing it, upon request, to the AI Office and the national competent authorities;
(b) draw up, keep up-to-date and make available information and documentation to providers of AI systems who intend to integrate the general-purpose AI model into their AI systems. Without prejudice to the need to observe and protect intellectual property rights and confidential business information or trade secrets in accordance with Union and national law, the information and documentation shall:
(i) enable providers of AI systems to have a good understanding of the capabilities and limitations of the general-purpose AI model and to comply with their obligations pursuant to this Regulation; and
(ii) contain, at a minimum, the elements set out in Annex XII;
(c) put in place a policy to comply with Union law on copyright and related rights, and in particular to identify and comply with, including through state-of-the-art technologies, a reservation of rights expressed pursuant to Article 4(3) of Directive (EU) 2019/790;
(d) draw up and make publicly available a sufficiently detailed summary about the content used for training of the general-purpose AI model, according to a template provided by the AI Office.
EU AI Act - Article 53
現在(2025年1月)、EU AI Officeのワーキンググループが本情報公開に使用するテンプレートの開発を進めています(template for the summary of training data )。2025年2月末には最終ドラフトが提出され、Code of Practice(後述)とともに承認される予定です。
著作権や個人情報保護の観点から、OpenAIをはじめとする生成AIベンダーに対するトレーニングデータ情報の公開圧力は世界的に高まっており、本テンプレートの内容や粒度について注目が集まっています。同様の規制は米カリフォルニア州などでも導入予定となっており(AB-2013 Generative artificial intelligence: training data transparency)、本テンプレートがリーディングケースとなることが期待されます。
汎用目的型AI実践規範(Code of Practice)
EU AI Officeでは、汎用目的型AIにかかる実践規範 (Code of Practice)の策定を進めています。これは2025年8月2日の施行にむけて、汎用AIプロバイダーに対して具体的な行為規範を提供することを目的としたものであり、規制当局のみならず利害関係者約1,000人が策定プロセスに参画しています。現在(2025年1月)では第2版ドラフトが公開済であり、第3版が2025年2月に、最終版が4月に公開される予定です。
今後の展望
今後は2025年8月2日の第5章全面施行に向けて、規制内容の具体化に向けた議論が急速に進むと見込まれます。EU内でのサービス提供を予定しているAIサービスベンダーは、EU AI Officeの最新動向をフォローし、具体的な規制内容の理解と対応をタイムリーに行う必要があると考えられます。
ロジットパートナーズ法律会計事務所のサービス
AIに精通したエンジニア出身の弁護士
当事務所では、現役のAIエンジニアでもありAIの技術的背景と活用に高度な知見を有する弁護士が、クライアントのAIガバナンス構築をサポートしています。AI活用に対する基本方針の策定から始まり、リスクの識別・評価と対応方針の検討、サービス導入、利用規程・手順書の作成、運用面の担保、教育・研修に至るまで、AI活用とAIガバナンス構築における全てのフェーズで支援が可能です。
リスクベースアプローチの知見
EU AI Actの基本的な考え方となっているリスクベースアプローチは、会計監査の世界ではスタンダードとなっているアプローチです。当事務所は大手監査法人で会計監査の経験を積んだ公認会計士が所属しており、リスクベースアプローチを活用したガバナンス態勢の構築に強みを有しています。
お気軽にお問合せください。
