EU AI規正法の概要(リスク分類と対応事項)

こんぷらいん

リスク分類と対応

AI規制法は、AIシステムをリスクに基づいて4つのカテゴリーに分類します:禁止リスク、高リスク、限定リスク、最低リスク。それぞれのリスク分類に対する事業者の対応を具体的な条文とともに説明します。

1. 禁止リスク(Prohibited AI practices)

条文: 第5条

禁止されるAIプラクティスのカテゴリは、以下の通りです。

  • 第5条(1) 特定のAIプラクティスの禁止

    • 人間の行動や選好に対するサブリミナルな技術を用いた操作的な手法。

    • 特定の弱いグループを対象としたAIシステムの使用。

    • 法執行機関によるリアルタイムのリモートバイオメトリック識別システムの公共空間での使用(特定の例外を除く)。

2. 高リスク(High-risk AI systems)

条文: 第6条、第8条〜第15条

高リスクのAIシステムに対する規定は、特に付属書IIIに記載された分野に関連しています。高リスクAIシステムに対する主な対応要件は以下の通りです。

  • 第8条 リスク管理システムの確立と維持

  • 第9条 データガバナンスとデータの品質要件

  • 第10条 技術文書の作成

  • 第11条 記録の保持

  • 第12条 透明性と情報提供の義務

  • 第13条 人間による監視

  • 第14条 正確性、堅牢性、安全性

  • 第15条 適合評価手続

3. 限定リスク(Limited-risk AI systems)

条文: 第52条

限定リスクのAIシステムに対する主な要件は、透明性の義務に関するものです。

  • 第52条 透明性義務

    • ユーザーがAIシステムと相互作用する際に、そのシステムがAIによって運営されていることを明示すること。

4. 最低リスク(Minimal or no risk AI systems)

最低リスクのAIシステムには特別な義務はありませんが、事業者は自主的にコードオブコンダクトを採用することが奨励されています。

  • 第69条 コードオブコンダクトの自主的採用

条文の翻訳と説明

第5条 - 禁止されるAIプラクティス

  1. 次のAIプラクティスは、特に危険と見なされ、禁止される:

    • 人間の行動や選好に対するサブリミナルな技術を用いた操作。

    • 特定の弱いグループを対象としたAIシステムの使用。

    • リアルタイムのリモートバイオメトリック識別システムの公共空間での使用(例外あり)。

第8条 - リスク管理システム 事業者は、リスク管理システムを確立し、維持する義務があります。これにはリスク評価とリスク低減の手法が含まれます。

第9条 - データガバナンス データの品質とガバナンスに関する要件を満たすために、事業者は適切なデータ管理プロセスを確立しなければなりません。

第10条 - 技術文書 事業者は、AIシステムの技術文書を作成し、維持する必要があります。これにはシステムの設計、開発、運用に関する情報が含まれます。

第11条 - 記録の保持 事業者は、AIシステムの記録を保持し、規制当局が要求した場合に提供できるようにしなければなりません。

第12条 - 透明性と情報提供の義務 事業者は、AIシステムがどのように機能するかについての透明性を確保し、ユーザーに対して適切な情報を提供する義務があります。

第13条 - 人間による監視 AIシステムの使用には、人間による適切な監視が必要です。

第14条 - 正確性、堅牢性、安全性 事業者は、AIシステムが正確であり、堅牢であり、安全であることを確保する義務があります。

第15条 - 適合評価手続 事業者は、AIシステムが規制に適合しているかを評価するための手続きを実施する必要があります。

第52条 - 透明性義務 限定リスクのAIシステムは、ユーザーがそのシステムがAIによって運営されていることを認識できるようにする義務があります。

第69条 - コードオブコンダクトの自主的採用 事業者は、自主的に倫理的なガイドラインやコードオブコンダクトを採用することが奨励されています。

リスクベースのアプローチ

AI法は、リスクベースのアプローチを採用しており、AIシステムのリスクレベルに応じて異なる規制要件を適用します。具体的には、以下のようなリスクカテゴリーが設けられています:

  • 禁止されるAIシステム:人間の尊厳や基本的権利に重大なリスクをもたらすAIシステムは、使用が禁止されます。例えば、社会的スコアリングシステムや一部の生体認証システムが含まれます。

  • 高リスクAIシステム:重大なリスクを伴うAIシステムには、厳格な要件が課されます。これには、安全性、データガバナンス、説明可能性、監視義務などが含まれます。具体例として、医療機器、交通管理システム、教育用AIなどが挙げられます。

  • 限定リスクAIシステム:特定の透明性要件が適用されます。例えば、ユーザーがAIシステムと対話していることを明確にする必要があります。

  • 最低リスクAIシステム:リスクが低いと見なされるAIシステムには、特に規制は課されませんが、任意の行動規範が推奨されます​ (Artificial Intelligence Act EU)​​ (EUR-Lex)​。

リスクごとの対応の違い

EUのAI法(AI Act)は、リスクベースのアプローチを採用しており、AIシステムのリスクレベルに応じて異なる義務を課しています。以下に、リスクごとの具体的な義務をまとめます。

1. 禁止されるAIシステム

禁止される行為には、次のようなAIシステムの使用が含まれます:

  • 個人の社会的スコアリング:政府または公共機関による、社会的行動に基づいた個人の評価。

  • 操作的技術:人間の意思決定に重大な影響を及ぼす、サブリミナル技術を用いた操作。

  • 特定の生体認証システム:リアルタイムの遠隔生体認証(例:顔認識)を公共の場で使用することは、非常に限定的な状況を除いて禁止されます。

2. 高リスクAIシステム

高リスクに分類されるAIシステムは、厳格な規制要件を満たす必要があります。これらのシステムには以下のような義務が課されます:

  • リスク管理システムの導入:AIシステムのリスクを評価し、軽減するためのリスク管理システムを導入する。

  • データガバナンス要件:データの質と完全性を確保するためのガバナンス手続きを実施。

  • 技術文書の作成:AIシステムの設計、開発、テスト、評価に関する詳細な技術文書を作成し、保持する。

  • 透明性の確保:システムの機能や意図についてユーザーに対する透明性を確保する。

  • 人間の監視:AIシステムの結果を人間が監視し、必要に応じて介入できる仕組みを整備する。

  • サイバーセキュリティ:AIシステムがサイバー攻撃に対して十分な耐性を持つようにする​ (EUR-Lex)​​ (AIACT Info EU)​。

3. 限定リスクAIシステム

限定リスクに分類されるAIシステムには、主に透明性に関する要件が課されます:

  • ユーザー通知:ユーザーがAIシステムと対話していることを明確に通知する必要があります(例:チャットボット、ディープフェイクなど)。

  • 基本的な情報提供:AIシステムの提供者は、システムの基本的な情報をユーザーに提供し、その使用目的を明示する義務があります​ (Artificial Intelligence Act EU)​​ (AIACT Info EU)​。

4. 最低リスクAIシステム

最低リスクに分類されるAIシステムについては、特に法的な義務は課されません。ただし、ベストプラクティスや倫理的ガイドラインに従うことが推奨されています。

この記事が気に入ったらサポートをしてみませんか?