逐条解説 EUのAI規正法(第三者機関等 法30条~33条、規則27条~31条)

こんぷらいん

第4章 通知当局および認証機関 第30条 届出機関の概要

1. 通知機関の指定と設置 各加盟国は、適合性評価機関の評価、指定、通知、および監視を行うために必要な手続きを設定し実施する責任を持つ通知機関を指定または設置する義務があります。この通知機関は、適合性評価機関が法的要求事項を満たしているかどうかを評価し、その結果を通知します。

2. 国家認定機関の指名 加盟国は、規則(EC)No 765/2008に基づき、国家認定機関を届出機関として指名することができます。これは、国家認定機関が適合性評価機関の能力を評価し、認定証明書を発行する役割を果たすためです。

3. 認証機関の設立と運営 認証機関は、適合性評価機関との間に利害の対立が生じないように設立、組織化および運営されなければなりません。また、その活動の客観性と公平性を確保するため、適合性評価機関の評価を行う者とは異なる権限を持つ者が通知に関する決定を行う必要があります。さらに、認証機関は商業ベースや競争ベースで適合性評価活動やコンサルタント業務を提供してはなりません。

4. 機密性の保護 通知当局は、適合性評価機関から得た情報の機密性を保護しなければなりません。これは、情報漏洩を防ぎ、公正な評価プロセスを維持するために重要です。

5. 要員の確保 届出当局は、業務を適切に遂行するために、十分な数の有能な要員を自由に使えるようにしなければなりません。これにより、適合性評価が迅速かつ正確に行われることが期待されます。

6. 事業者への負担軽減 通知当局は、適合性評価が事業者に不必要な負担をかけないようにする必要があります。これには、事業者の規模や事業を行っている部門、構造、AIシステムの複雑さを十分に考慮することが含まれます。

第31条 適合性評価機関の届出申請

1. 申請書の提出 適合性評価機関は、設立された加盟国の届出当局に届出申請書を提出しなければなりません。この申請書には、適合性評価活動やモジュールの説明、能力を有するAI技術の詳細、および第33条に規定する要件を満たしていることを証明する認定証明書を添付する必要があります。

2. 認定証明書の提供 認定証明書を提供できない場合、適合性評価機関は第33条に規定する要件に適合していることを証明するための資料を提出しなければなりません。これには、他のEU整合化法令に基づく既存の指名に関する文書も含まれます。

第32条 届出手続

1. 通知の要件 認証機関は、第33条の要件を満たした適合性評価機関だけを通知することができます。通知機関は、欧州委員会および他の加盟国に対して、電子通知ツールを用いて通知を行う必要があります。

2. 通知内容 通知には、適合性評価活動、適合性評価モジュール、および当該AI技術の詳細を含めなければなりません。届出から1ヶ月以内に異議申し立てがなければ、適合性評価機関は認証活動を開始できます。

3. 変更の通知 届出機関は、届出に対する関連する変更についても、欧州委員会および他の加盟国に通知する義務があります。

第33条 認証機関

1. 高リスクAIシステムの適合性検証 認証機関は、高リスクAIシステムの適合性を第43条の適合性評価手順に従って検証しなければなりません。このためには、必要な組織、品質管理、資源およびプロセスを確保する必要があります。

2. 組織構造の要件 認証機関の組織構造は、適合性評価活動の実施および結果の信頼性を確保するために設計されなければなりません。また、評価されるAIシステムの提供者から独立していなければならず、公平性と客観性を保つための手順を文書化し、実施する必要があります。

3. 情報の機密性 認証機関は、適合性評価活動中に入手した情報の機密性を確保するための手順を文書化し、その職員に対して職業上の秘密を守る義務を課す必要があります。

4. 賠償責任保険 必要に応じて、適合性評価活動に対する賠償責任保険に加入する義務もあります。これは、評価活動中に発生する可能性のあるリスクに対処するためです。

5. 専門的誠実さと能力 認証機関は、最高度の専門的誠実さと特定分野の能力を持って業務を遂行し、外部団体の業務を効果的に評価できる内部能力を備えていなければなりません。

6. 調整活動への参加 認証機関は、第38条に基づく調整活動に参加し、欧州の標準化団体に参加するか、関連する規格について最新の知識を持つ必要があります。

7. 文書の提出 届出機関が評価、指定、監視およびサーベイランス活動を実施できるように、すべての関連文書を利用可能にし、要求に応じて提出する義務があります。

このように、通知当局および認証機関の役割と手続きは厳格に規定されており、公正かつ透明な適合性評価プロセスを確保するための枠組みが整備されています。



翻訳

第4章
通知当局および認証機関
第30条
届出機関

  1. 各加盟国は、適合性評価機関の評価、指定及び通知並びにそれらの監視のために必要な手続の設定及び実施に責任を負う通知機関を指定又は設置しなければならない。

  2. 加盟国は、規則(EC)No 765/2008にいう国家認定機関を届出機関として指名することができる。

  3. 認証機関は,適合性評価機関との間に利害の対立が生じず,その活動の客観性及び公平性が保 護されるような方法で設立,組織化及び運営されなければならない。

  4. 認証機関は,適合性評価機関の通知に関する決定が,その機関の評価を実施した者とは異なる権限 を有する者によって行われるように組織されなければならない。

  5. 認証機関は,適合性評価機関が行う活動又はコンサルタント業務を商業ベース又は競争ベースで提供し てはならない。

  6. 通知当局は、入手した情報の機密性を保護しなければならない。

  7. 届出当局は,その業務を適切に遂行するために,十分な数の有能な要員を自由に使えるようにしなけ ればならない。

    1. 通知当局は,適合性評価が,事業者に不必要な負担をかけないように,また,認証機関が,事業者の規模,事業を行っている部門,その構造及び問題となっているAIシステムの複雑さの程度を十分に考慮してその活動を行うように,適切な方法で実施されるようにしなければならない。
      第31条
      適合性評価機関の届出申請

  9. 適合性評価機関は,その機関が設立された加盟国の届出当局に届出申請書を提出しなければならない。

  10. 届出申請書には、適合性評価活動、適合性評価モジュール又はモジュール及び適合性評価機関が能力を有すると主張する人工知能技術の説明並びに適合性評価機関が第33条に規定する要件を満たしていることを証明する国家認定機関が発行した認定証明書(認定証明書が存在する場合)を添付しなければならない。他のEU整合化法令に基づく申請者認証機関の既存の指名に関する有効な文書も追加しなければならない。

  11. 当該適合性評価機関が認定証明書を提供できない場合,当該適合性評価機関は,第 33 条に規定する要件に適合していることの検証,承認及び定期的な監視に必要な証拠書類を届出機関に提供しなければならない。EUの他の整合化法令に基づいて指名された認証機関については,それらの指名に関連するすべての文書及び証明書を,必要に応じて,この規則に基づく指名手続を支援するために使用することができる。
    第32条
    届出手続

  12. 認証機関は,第33条の要件を満たした適合性評価機関だけに通知することができる。

  13. 通知機関は、欧州委員会が開発・管理する電子通知ツールを用いて、欧州委員会及び他の加盟国に通知しなければならない。

    1. 通知には、適合性評価活動、適合性評価モジュールおよび当該人工知能技術の全詳細を含めなければならない。

  15. 当該適合性評価機関は、届出から1ヶ月以内に欧州委員会または他の加盟国から異議申し立てがない場合に限り、認証機関の活動を行うことができる。

  16. 届出機関は、届出に対するその後の関連する変更について、欧州委員会および他の加盟国に通知しなければならない。
    第33条
    認証機関

  17. 認証機関は、第43条の適合性評価手順に従って、高リスクAIシステムの適合性を検証しなければならない。

  18. 認証機関は,その業務を遂行するために必要な組織,品質管理,資源及びプロセスの要件を満たさなければならない。

  19. 認証機関の組織構造,責任の分担,報告ライン及び運営は,認証機関が行う適合性評価活動 の実施及びその結果に対する信頼が確保されるようなものでなければならない。

  20. 認証機関は,適合性評価活動を行う高リスク AI システムの提供者から独立していなければならない。認証機関は,また,評価される高リスクAIシステムに経済的利害を有する他の事業者及びその提供者の競争者からも独立していなければならない。

  21. 認証機関は,その活動の独立性,客観性及び公平性を保護するように組織され,運営されなけ ればならない。認証機関は,その組織,要員及び審査活動全体を通じて,公平性を保護し,公平性の原則 を促進し,適用するための組織及び手順を文書化し,実施しなければならない。

  22. 認証機関は,その職員,委員会,子会社,下請業者及び関連機関又は外部機関の職員が,適合性 評価活動の実施中に入手した情報の機密性を尊重することを確保するための手順を文書化しなければなら ない。認証機関の職員は、その活動が実施される加盟国の届出当局との関係を除き、この規則に基づいて業務を遂行する際に得たすべての情報について、職業上の秘密を守る義務を負うものとする。

  23. 認証機関は、事業の規模、事業を営む部門、その構造、問題のAIシステムの複雑さの程度を十分に考慮した活動の実施手順を有するものとする。

  24. 認証機関は,国内法に従って当該加盟国が責任を負う場合又は当該加盟国が適合性評価に直接責任を負う場合を除き,適合性評価活動のために適切な賠償責任保険に加入しなければならない。

  25. 認証機関は、最高度の専門的誠実さ及び特定分野において必要な能力をもって、この規則に基づいて認証機関に課されるすべての業務を、これらの業務が認証機関自身によって実施されるか、又は認証機関に代わってその責任の下で実施されるかにかかわらず、実施することができなければならない。

  26. 認証機関は,そのために外部団体が実施する業務を効果的に評価できるよう,十分な内部能力を 備えなければならない。そのために,認証機関は,常に,また,指定された各適合性評価手順及び各タイプの高リスクAIシステムに関して,関連する人工知能技術,データ及びデータコンピューティング並びに本タイトルの第2章に規定する要件に関する経験及び知識を有する十分な管理的,技術的及び科学的要員を常時確保しなければならない。

  27. 認証機関は、第38条にいう調整活動に参加しなければならない。
    また、欧州の標準化団体に直接参加するか、代表として参加するか、または、関連する規格について認識し、最新であることを保証しなければならない。

  28. 認証機関は,第 30 条にいう届出機関が評価,指定,届出,監視及びサーベイランス活動を実施できるよう,また,本章に概説される評価を容易にするために,事業者の文書を含むすべての関連文書を利用できるようにし,要求に応じて提出しなければならない。


規則
第27条
高リスクAIシステムの基本的権利影響評価
1. 附属書IIIのポイント2に掲げる分野における使用を意図する高リスクのAIシステムを除く、第6条2項にいう高リスクのAIシステムの配備に先立ち、公法に準拠する機関である配備者、又は公共サービスを提供する民間事業体である配備者、並びに附属書IIIのポイント5(b)及び(c)にいう高リスクのAIシステムの配備者は、当該システムの使用が生じ得る基本的権利に対する影響の評価を実施しなければならない。そのために、配備者は、次の事項から成る評価を行わなければならない:
(a) 高リスクAIシステムがその意図された目的に沿って使用される導入者のプロセスの説明;
(b) 各高リスクAIシステムが使用される予定の期間及び頻度の記述;

(c) 特定の文脈におけるその使用によって影響を受ける可能性のある自然人及び集団のカテゴリー;
(d) 第 13 条に従って提供者から提供された情報を考慮に入れた、本項(c)に従って特定された自然人又は集団のカテゴリーに影響を及ぼす可能性のある具体的な危害のリスク;
(e) 使用説明書に従った人体監視措置の実施に関する記述;
(f) それらのリスクが顕在化した場合に講じられる措置(内部ガバナンス及び苦情処理機構の取り決めを含む)。
2. 第1項に定める義務は、高リスクAIシステムの最初の使用に適用される。
配備者は、同様の場合、以前に実施された基本的権利の影響評価又は提供者が実施した既存の影響評価に依拠することができる。高リスクAIシステムの使用中に、第1項に列挙された要素のいずれかが変更されたか、又はもはや最新でないと配備者が考える場合、配備者は、情報を更新するために必要な措置を講じなければならない。
3. 本条第1項の評価が実施された場合、導入者はその結果を市場監視当局に通知し、通知の一部として本条第5項の記入済みテンプレートを提出しなければならない。第 46 条(1)に言及する場合、配備者は通知義務を免除されることがある。

4. 本条に定める義務のいずれかが、規則(EU)2016/679の第35条又は指令(EU)2016/680の第27条に従って実施されるデータ保護影響評価を通じて既に満たされている場合、本条第1項に言及する基本的権利影響評価は、当該データ保護影響評価を補完するものとする。
5. AI事務局は、配備者が本条に基づく義務を簡易な方法で遵守することを容易にするため、自動化ツールによるものを含め、質問票のひな型を作成するものとする。
第4項
第28条
通知先

  1. 各加盟国は、適合性評価機関の評価、指定及び通知並びにそれらの監視のために必要な手続の設定及び実施に責任を負う少なくとも一つの認証機関を指名又は設置しなければならない。これらの手続きは、全加盟国の通知当局が協力して策定しなければならない。

  2. 加盟国は,規則(EC)No 765/2008 の意味する範囲内で,かつ,規則(EC)No 765/2008 に従って,第 1 項にいう審査及び監視を国家認定機関が実施することを決定することができる。

  3. 認証機関は,適合性評価機関との間に利害の対立が生じず,かつ,その活動の客観性及び公平 性が保護されるような方法で設立,組織化及び運営されなければならない。

  4. 認証機関は,適合性評価機関の通知に関する決定が,その機関の審査を実施した者とは異なる権限 を有する者によって行われるように組織されなければならない。

  5. 認証機関は,適合性評価機関が行ういかなる活動も,またいかなるコンサルタント業務も,商業ベース又は競争ベースで提供してはならない。

  6. 通知当局は,第 78 条に従って,入手した情報の秘密を保護しなければならない。

  7. 届出当局は、その職務を適切に遂行するために、適切な人数の有能な要員を自由に利用できるようにしなけれ ばならない。有能な職員は、情報技術、AI、基本的権利の監督を含む法律などの分野において、該当する場合には、その職務に必要な専門知識を有していなければならない。
    第29条
    適合性評価機関の届出申請

  8. 適合性評価機関は、その機関が設立された加盟国の届出機関に届出申請書を提出しなければならない。

  9. 届出申請書には,適合性評価活動,適合性評価モジュール及び適合性評価機関が能力を有すると主張するAIシステムの種類の説明並びに適合性評価機関が第31条に規定する要件を満たしていることを証明する国家認定機関が発行した認定証明書(認定証明書が存在する場合)を添付しなければならない。
    他のEU整合化法令に基づく申請者認証機関の既存の指名に関する有効な文書も追加しなければならない。

  10. 当該適合性評価機関が認定証明書を提供できない場合,当該適合性評価機関は,第 31 条に規定する要求事項への適合性の検証,承認及び定期的な監視に必要なすべての証拠書類を認証機関に提供しなければならない。

  11. 他のEU整合化法令に基づいて指定されている認証機関については,それらの指定に関連するすべての文書及び証明書を,必要に応じて,この規則に基づく指定手続を支援するために使用することができる。認証機関は,認証機関担当当局が第31条に規定するすべての要件への継続的な遵守を監視及び検証できるよう,関連する変更が生じた場合はいつでも,本条第2項及び第3項に規定する文書を更新しなければならない。

第30条
届出手続

  1. 認証機関は,第31条に規定する要件を満たした適合性評価機関だけに通知することができる。

  2. 認証機関は、欧州委員会が開発・管理する電子通知ツールを用いて、第1項に規定する各適合性評価機関を欧州委員会及び他の加盟国に通知しなければならない。

  3. 本条第2項の届出には、適合性評価活動、適合性評価モジュール又はモジュール、関係するAIシステムの種類、及び関連する能力の証明の全詳細を含まなければならない。届出が第29条(2)に規定する認定証明書に基づいていない場合、認証機関は、適合性評価機関の能力及び当該機関が定期的に監視され、第31条に規定する要件を引き続き満たすことを確保するための取決めを証明する証拠書類を欧州委員会及び他の加盟国に提出しなければならない。

  4. 当該適合性評価機関は、第29条(2)にいう認定証明書を含む場合は届出機関による届出から2週間以内に、第29条(3)にいう証拠書類を含む場合は届出機関による届出から2か月以内に、欧州委員会又は他の加盟国から異議が提起されない場合に限り、認証機関の活動を行うことができる。

第31条
認証機関に関する要件

  1. 認証機関は,加盟国の国内法に基づいて設立され,法人格を有する。

  2. 認証機関は、その業務を遂行するために必要な組織、品質管理、資源及びプロセスの要件、並びに適切なサイバーセキュリティの要件を満たさなければならない。

  3. 認証機関の組織構造、責任の分担、報告系統及び運営は、認証機関の業績及び認証機関が実施する適合性評価活動の結果に対する信頼を確保するものでなければならない。

  4. 認証機関は,適合性評価活動を行う高リスク AI システムの提供者から独立していなければならない。認証機関は,また,評価された高リスク AI システムに経済的利害を有する他の事業者及びその提供者の競争相手からも独立していなければならない。これは,適合性評価機関の業務に必要な評価済み高リスク AI システムの使用又は当該高リスク AI システムの個人的目的での使用を妨げるものではない。

  5. 適合性評価機関,そのトップレベルの管理者及び適合性評価業務の遂行に責任を負う要員は,高リスク AI システムの設計,開発,マーケティング又は使用に直接関与してはならず,また,これらの活動に従事する当事者を代表してはならない。また,そのような活動に従事する当事者の代理人であってはならない。これらの要員は,通 告を受けた適合性評価活動に関し,その判断の独立性又は誠実さに抵触する可能性のある活動に 従事してはならない。これは,特に,コンサルタント業務に適用される。

  6. 認証機関は,その活動の独立性,客観性及び公平性を保護するように組織され,運営されなけれ ばならない。認証機関は、その組織、要員及び審査活動全体を通じて、公平性を保護し、公平性の原則を推進し適用するための組織及び手順を文書化し、実施しなければならない。

  7. 認証機関は,その職員,委員会,子会社,下請業者及びあらゆる関連機関又は外部機関の職員が,第 78 条に従って,適合性評価活動の実施中に入手した情報の秘密を保持することを確保するための手順を文書化しなければならない。認証機関の職員は、その活動が実施される加盟国の届出当局との関係を除き、この規則に基づいて業務を遂行する際に入手したすべての情報について、職業上の秘密を守る義務を負う。

  8. 認証機関は,事業者の規模,事業を行っている部門,事業者の構造及び当該AIシステムの複雑さの程度を十分に考慮した活動の実施手順を有するものとする。

  9. 認証機関は,その適合性評価活動のために適切な賠償責任保険に加入しなければならない。ただし,国内法に従って認証機関が設立された加盟国が賠償責任を負う場合,又はその加盟国自身が適合性評価に直接責任を負う場合はこの限りでない。

  10. 認証機関は、最高度の専門的誠実さ及び特定分野における必要な能力をもって、この規則に基づくすべての業務を遂行することができなければならず、これらの業務が認証機関自身によって行われる場合であっても、認証機関に代わってその責任の下で行われる場合であっても同様とする。

  11. 認証機関は,そのために外部団体が実施する業務を効果的に評価できるよう,十分な内部能力を 備えなければならない。認証機関は,関連する種類のAIシステム,データ及びデータコンピューティングに関する経験及び知識を有し,かつ,第2項に規定する要件に関連する十分な管理,技術,法律及び科学的要員を常時確保しなければならない。

  12. 認証機関は,第 38 条にいう調整活動に参加しなければならない。また,欧州の標準化団体に直接参加し,又は代表として参加し,又は関連する規格について認識し,最新であることを保証しなければならない。

この記事が気に入ったらサポートをしてみませんか?