逐条解説 EUのAI規正法(第三者機関等 法59条~63条、規則70条~77条)

第2章 管轄官庁

第59条 国内官庁の指定

  1. 国内管轄当局の設置:

    • 各加盟国は、この規則の適用および実施を確保するために、国内管轄当局を設置または指定しなければならない。これらの当局は、その活動および業務の客観性および公平性を保護するように組織される必要があります。

  2. 国内監督当局の指名:

    • 各加盟国は、国内管轄当局の中から国内監督当局を指名しなければならない。ただし、組織上および管理上の理由がある場合、複数の当局を指定することができます。

  3. 指定理由の通知:

    • 各加盟国は、欧州委員会に対し、指定した当局および複数の当局を指定した理由を通知しなければなりません。

  4. 資源の提供:

    • 加盟国は、国内管轄当局がその任務を遂行するために十分な財政的および人的資源を提供する義務があります。特に、AI技術、データ、基本的権利、安全衛生リスクに関する知識を有する職員を確保する必要があります。

  5. 報告義務:

    • 加盟国は、各国の管轄当局の資源の状況について欧州委員会に毎年報告しなければなりません。委員会は、その情報を理事会に報告し、討議と勧告の可能性を検討します。

  6. 経験交流の促進:

    • 委員会は、各国主管庁間の経験交流を促進する役割を担います。

  7. 指導および助言:

    • 各国所轄庁は、小規模事業者を含む事業者に対し、本規則の実施に関する指導および助言を行うことができます。他の連邦法が適用される分野に関しては、適宜相談する必要があります。

  8. EU機関の監督:

    • 欧州連合の機関が本規則の適用範囲に含まれる場合、欧州データ保護監督機関がその監督権限を有する当局として行動します。

第7条 スタンドアロン高リスクAIシステム用EUデータベース

第60条 スタンドアロンの高リスクAIシステム用EUデータベース

  1. データベースの構築:

    • 欧州委員会は、加盟国と協力し、登録された高リスクAIシステムに関する情報を含むEUデータベースを構築および維持します。

  2. データ入力:

    • 附属書VIIIに記載されたデータは、提供者がEUデータベースに入力します。欧州委員会は、技術的および管理的な支援を提供します。

  3. 公開情報:

    • EUデータベースに含まれる情報は一般に公開されます。

  4. 個人情報の取り扱い:

    • データベースには、システムの登録に責任を持つ自然人の氏名および連絡先を含む個人情報が含まれることがあります。

  5. データベース管理:

    • 欧州委員会はEUデータベースの管理者となり、提供者に対して適切な技術的・管理的支援を保証します。

第8章 市販後モニタリング、情報共有、市場調査

第1章 市販後モニタリング

第61条 市販後モニタリングおよび高リスクAIシステムの市販後モニタリング計画

  1. モニタリングシステムの確立:

    • 事業者は、高リスクAIシステムのリスクに見合った市販後モニタリングシステムを確立し、文書化しなければなりません。

  2. データ収集と分析:

    • モニタリングシステムは、ユーザーから提供されたデータや他の情報源から収集された関連データを積極的かつ体系的に収集、文書化、および分析し、AIシステムが規定の要件に適合していることを評価します。

  3. モニタリング計画:

    • モニタリングシステムは市販後モニタリング計画に基づき、計画は技術文書の一部として確立されます。欧州委員会は、詳細な規定を定める実施法を採択します。

  4. 既存の法律に基づくシステムとの統合:

    • 他の法律に基づく既存の市販後モニタリングシステムがある場合、該当する要素は適宜統合されます。

第2章 事故および故障に関する情報の共有

第62条 重大インシデントおよび故障の報告

  1. 重大インシデントの報告:

    • 高リスクAIシステムの提供者は、重大な事故またはシステムの誤作動を発生から15日以内に加盟国の市場監視当局に報告しなければなりません。

  2. 通知とガイダンス:

    • 市場監視当局は通知を受け取り、関連する国の公的機関に通知します。欧州委員会は、専用ガイダンスを作成し、その遵守を促進します。

  3. 特定の高リスクAIシステムの適用:

    • 特定の高リスクAIシステムについては、重大な事故または故障の通知は基本的権利の保護を意図する連邦法に基づく義務の違反に限定されます。

第3章 執行

第63条 連合市場におけるAIシステムの市場監視および管理

  1. 適用規則:

    • 規則(EU)2019/1020は本規則の対象AIシステムに適用されます。

  2. 市場サーベイランス活動の報告:

    • 各国監督当局は、関連する市場サーベイランス活動の結果を定期的に欧州委員会に報告しなければなりません。

  3. 製品に関連する高リスクAIシステム:

    • 製品に関連する高リスクAIシステムについては、市場監視当局が監視活動を行います。

  4. 金融機関に適用されるAIシステム:

    • 金融機関が使用するAIシステムについては、金融監督に責任を有する当局が市場監視を行います。

  5. 法執行目的で使用されるシステム:

    • 法執行目的で使用される高リスクAIシステムについては、データ保護監督当局や法執行機関が監視を行います。

  6. EU機関の監視:

    • 欧州データ保護監督機関がEU機関の市場監視を行います。

  7. 関連当局との調整:

    • 加盟国は、関連する国内当局との調整を促進し、AIシステムの適用に関する調和を図ります。

これらの規定は、AI規則の適用と実施を確保するための包括的なガバナンスと監視体制を整備することを目的としています。国内管轄当局の設置から、市販後モニタリング、重大インシデントの報告、そして市場監視まで、広範な規制フレームワークを提供し、AI技術の安全で信頼できる利用を促進します。

規則の解説

規則第2節 管轄官庁

第70条 国内管轄当局及び一元的連絡窓口の指定

  1. 国内管轄当局の設置・指定:

    • 各加盟国は、この規則の目的のために、少なくとも1つの通知当局および市場監視当局を設置または指定する必要があります。これらの当局は、その活動および業務の客観性、公平性、独立性を保護しなければなりません。

  2. 通知義務:

    • 加盟国は、欧州委員会に対し、指定した通知当局および市場監視当局の情報および変更点を通知する義務があります。これらの情報は電子通信手段を通じて公開され、発効日から12ヶ月以内に実施されます。

  3. 単一窓口の指定:

    • 加盟国は、本規則の単一窓口となる市場監視当局を指定し、欧州委員会にその情報を通知します。欧州委員会は、これらの窓口のリストを公開します。

  4. リソースの提供:

    • 各加盟国は、自国の管轄当局に対し、AI技術、データ保護、サイバーセキュリティ、安全衛生リスク等に関する専門知識を有する職員を常時確保し、十分な技術的、財政的、人的資源を提供する必要があります。これらのリソースの要件は毎年評価され、必要に応じて更新されます。

  5. サイバーセキュリティと秘密保持:

    • 各国所轄庁は、適切なサイバーセキュリティレベルを確保するために適切な措置を講じる義務があり、その職務を遂行する際には秘密保持義務に従って行動する必要があります。

  6. 定期報告:

    • 加盟国は、発効日から1年以内、およびその後2年ごとに、各国所轄当局の財政的および人的資源の状況について欧州委員会に報告します。委員会はその情報を理事会に提出し、審議および勧告を行います。

  7. 経験交流の促進:

    • 委員会は、各国主管庁間の経験交流を促進し、特に新興企業を含む中小企業に対して指導および助言を提供する役割を果たします。

  8. EU機関の監督:

    • 欧州連合の機関が本規則の適用範囲に含まれる場合、欧州データ保護監督機関がその監督権限を有する当局として行動します。

第8章 高リスクAIシステムのためのEUデータベース

第71条 高リスクAIシステムのためのEUデータベース

  1. データベースの構築と維持:

    • 欧州委員会は、加盟国と協力して、登録された高リスクAIシステムに関する情報を含むEUデータベースを構築し、維持します。

  2. データ入力と管理:

    • データベースには、提供者または権限を有する代理人が入力するデータが含まれます。データはユーザーフレンドリーでアクセス可能かつ機械読み取り可能な形式で公開されます。

  3. 個人情報の取り扱い:

    • データベースには、必要な範囲で個人情報が含まれることがあります。その情報には、システムの登録に責任を持つ自然人の氏名および連絡先が含まれます。

  4. データベース管理:

    • 欧州委員会は、データベースの管理者として、提供者に対して適切な技術的・管理的支援を提供します。

第IX章 市販後モニタリング、情報共有、市場サーベイランス

第1節 市販後モニタリング

第72条 市販後モニタリング及び高リスクAIシステムの市販後モニタリング計画

  1. モニタリングシステムの確立:

    • 事業者は、市販後モニタリングシステムを確立し、文書化する必要があります。これには、システムの性能に関するデータの収集、文書化、および分析が含まれます。

  2. データ収集と分析:

    • モニタリングシステムは、高リスクAIシステムが規則の要件に適合していることを継続的に評価するために、関連データを積極的かつ体系的に収集し、分析します。

  3. モニタリング計画:

    • 市販後モニタリングシステムは、市販後モニタリング計画に基づくものであり、計画は技術文書の一部とされます。欧州委員会は、計画のひな形および含めるべき要素を定めた実施法を採択します。

  4. 既存システムとの統合:

    • 他の法律に基づく既存の市販後モニタリングシステムがある場合、必要な要素は適宜統合されます。

第2節 重大インシデントに関する情報の共有

第73条 重大インシデントの報告

  1. 重大インシデントの報告義務:

    • 高リスクAIシステムの提供者は、重大なインシデントを加盟国の市場監視当局に報告する義務があります。

  2. 報告のタイミング:

    • 提供者は、インシデントを認識した後直ちに、遅くとも15日以内に報告しなければなりません。広範な侵害や重大な事故の場合、2日以内に報告する必要があります。

  3. 人命に関わる報告:

    • 人が死亡した場合、直ちに報告し、10日以内に詳細な報告を行います。

  4. 調査と協力:

    • 重大インシデントの報告後、提供者は遅滞なく調査を行い、必要な是正措置を講じます。調査の過程で当局と協力し、インシデントの原因を評価します。

第3節 市場監視および管理

第74条 連合市場におけるAIシステムの市場監視および管理

  1. 適用規則の範囲:

    • 規則(EU)2019/1020は、本規則の対象となるすべてのAIシステムに適用されます。この規則に基づき、経済事業者および製品に対する言及はすべてのAIシステムを含むものと理解されます。

  2. 市場監視活動の報告:

    • 各国監督当局は、関連する市場監視活動の結果を定期的に欧州委員会に報告しなければなりません。監視活動中に確認された競争規則に関するEU法の適用に関心がある情報も、遅滞なく欧州委員会および関連する各国競争当局に報告する必要があります。

  3. 高リスクAIシステムの市場監視:

    • 製品に関連する高リスクAIシステムについては、本規則に基づいて市場監視活動を行う当局が指定されます。金融機関が使用する高リスクAIシステムについては、該当する金融監督当局が市場監視を担当します。

  4. 法執行目的のAIシステム:

    • 法執行目的で使用されるAIシステムについては、関連するデータ保護監督当局または法執行機関が市場監視を行います。これには、法執行、国境管理、司法目的で使用される高リスクAIシステムが含まれます。

  5. EU機関の市場監視:

    • 欧州連合の機関、団体、事務所が本規則の適用範囲に含まれる場合、欧州データ保護監督機関がその市場監視当局として行動します。

  6. 市場監視当局間の調整:

    • 加盟国は、本規則に基づき指定された市場監視当局と、他の関連する国内当局または機関との間の調整を促進する必要があります。これには、附属書Iおよび附属書IIIに記載された高リスクAIシステムに関連する法律が含まれます。

  7. 共同調査と活動:

    • 市場監視当局および欧州委員会は、複数の加盟国にまたがる深刻なリスクをもたらす高リスクAIシステムに関し、共同調査を含む共同活動を提案することができます。これには、遵守の促進、違反の特定、認識の向上、ガイダンスの提供が含まれます。

  8. 技術的手段による情報へのアクセス:

    • 市場監視当局は、必要に応じて、AIシステムの文書およびデータセットへの完全なアクセスを認める技術的手段を使用することができます。合理的な要請があり、必要な条件が満たされる場合には、ハイリスクAIシステムのソースコードへのアクセスも認められます。

  9. 情報の秘密保持:

    • 市場監視当局が入手した情報や文書は、秘密保持義務に従って取り扱われます。

第IX章 市販後モニタリング、情報共有、市場サーベイランス

第3節 市場監視および管理

第75条 相互援助、市場監視、汎用AIシステムの管理

  1. AIシステムの監視および管理:

    • AIシステムが汎用AIモデルに基づき、同一の提供者によって開発されている場合、AI事務局は、そのシステムが規則に基づく義務を遵守していることを監視および監督します。この監視および監督業務を遂行するために、AI事務局は市場監視当局の権限を有します。

  2. 非準拠評価の実施:

    • 関連する市場監視当局が、汎用AIシステムが規則に準拠していないと考える場合、AI事務局と協力して準拠評価を実施し、その結果を理事会および他の市場監視当局に通知します。

  3. 情報へのアクセス:

    • 市場監視当局が調査を終了できない場合、AI事務局に情報へのアクセスを強制するための理由ある要請を提出できます。AI事務局は、関連情報を提供者から取得し、遅滞なく申請官庁に提供します。

  4. ソースコードへのアクセス:

    • 市場監視当局は、合理的な要請があり、必要な条件が満たされる場合に限り、ハイリスクAIシステムのソースコードへのアクセスを認められます。

第76条 市場監視当局による実環境での試験の監督

  1. 実環境での試験の監督:

    • 市場監視当局は、AIシステムが規則に従って実環境での試験を行う際、その試験を監督する権限を有します。これには、AI規制のサンドボックス内での試験が含まれます。

  2. 重大な事故の報告:

    • 市場監視当局が重大な事故の報告を受けた場合、適切な対応を行います。これには試験の一時停止や終了、試験の修正要求が含まれます。

  3. 決定の通知:

    • 市場監視当局が決定を行った場合、その理由を含む通知を提供者に伝達し、他の加盟国の市場監視当局にも通知します。

第77条 基本的権利を保護する当局の権限

  1. 基本的権利の保護:

    • 高リスクAIシステムの使用に関連して、基本的権利を保護する国の公的機関または団体は、その任務を効果的に遂行するために必要な文書へのアクセス権を有します。

  2. 公的機関の特定:

    • 各加盟国は、本規則の発効から3ヶ月以内に、基本的権利を保護する公的機関または団体を特定し、そのリストを公開します。

  3. 技術的手段によるテスト:

    • 文書が不十分な場合、公的機関は市場監視当局に対し、技術的手段による高リスクAIシステムのテストを要求することができます。市場監視当局は合理的な期間内にテストを実施します。

  4. 秘密保持義務:

    • 公的機関または団体が入手した情報や文書は、秘密保持義務に従って取り扱われます。

まとめ

これらの規定は、AIシステムの市場監視と管理を強化し、基本的権利の保護を確保するための具体的な手続きを定めています。相互援助と情報共有を通じて、市場監視当局とAI事務局は連携し、高リスクAIシステムの安全性と信頼性を確保します。また、基本的権利を保護するための公的機関の権限が明確に規定されており、必要な情報へのアクセスと適切な監視が保証されています。


翻訳

第2章
管轄官庁
第59条
国内官庁の指定

  1. 国内管轄当局は、この規則の適用及び実施を確保するために、各加盟国によって設置又は指定される。国内管轄当局は、その活動及び業務の客観性及び公平性を保護するように組織されなければならない。

  2. 各加盟国は、国内管轄当局の中から国内監督当局を指名しなければならない。ただし、加盟国が複数の当局を指定する組織上および管理上の理由がある場合はこの限りではない。

  3. 加盟国は、欧州委員会に対し、指定した当局および場合によっては複数の当局を指定した理由を通知しなければならない。

  4. 加盟国は、各国所轄官庁が本規則に基づく任務を遂行するために十分な財政的および人的資源を提供されるようにしなければならない。特に、各国所轄当局は、人工知能技術、データおよびデータ・コンピューティング、基本的権利、安全衛生リスク、ならびに既存の基準および法的要件に関する知識を深く理解する能力および専門知識を有する、十分な人数の職員を常時確保しなければならない。

  5. 加盟国は欧州委員会に対し、各国の管轄当局の財政的および人的資源の状況について、その妥当性の評価とともに、毎年報告するものとする。委員会は、その情報を理事会に報告し、討議と勧告の可能性を検討するものとする。

  6. 委員会は、各国主管庁間の経験交流を促進するものとする。

  7. 各国所轄庁は、小規模事業者を含め、本規則の実施に関する指導及び助言を行うことができる。各国所轄官庁が、他の連邦法が適用される分野におけるAI制度に関して指導および助言を提供しようとする場合には、適宜、当該連邦法に基づく所轄の各国所轄官庁に相談するものとする。また、加盟国は、事業者との連絡のための一元的な窓口を設置することができる。

  8. 欧州連合の機関、機関および団体が本規則の適用範囲に含まれる場合、欧州データ保護監督機関がその監督権限を有する当局として行動するものとする。
    第7条
    スタンドアロン高リスクAIシステム用EUデータベース
    第60条
    スタンドアローンの高リスクAIシステム用EUデータベース

  9. 欧州委員会は、加盟国と協力し、第51条に従って登録された第6条第2項の高リスクAIシステムに関する第2項の情報を含むEUデータベースを構築し、維持する。

  10. 附属書VIIIに記載されたデータは、提供者がEUデータベースに入力するものとする。欧州委員会は、技術的および管理的な支援を提供する。

  11. EUデータベースに含まれる情報は、一般に公開されるものとする。4. 4.EUデータベースには、この規則に従って情報を収集し、処理するために必要な範囲においてのみ、個人情報が含まれるものとする。その情報には、システムの登録に責任を持ち、提供者を代表する法的権限を有する自然人の氏名および連絡先が含まれるものとする。

  12. 欧州委員会は、EUデータベースの管理者となる。また、提供者に対して、適切な技術的・管理的支援を保証するものとする。
    第8章
    市販後モニタリング、情報共有、市場調査
    調査
    第1章
    市販後モニタリング
    第61条
    事業者による市販後モニタリング及び高リスクAIシステムの市販後モニタリング計画

  13. 事業者は、人工知能技術の性質及び高リスクAIシステムのリスクに見合った方法で、市販後モニタリングシステムを確立し、文書化しなければならない。

  14. 市販後モニタリングシステムは、その耐用期間を通じて、高リスクAIシステムの性能について、ユーザーから提供された、又は他の情報源を通じて収集された関連データを積極的かつ体系的に収集、文書化及び分析し、かつ、提供者が、AIシステムがタイトルIII第2章に定める要件に継続的に適合していることを評価できるようにしなければならない。

  15. 市販後モニタリングシステムは、市販後モニタリング計画に基づくものとする。
    市販後モニタリング計画は、附属書IVで言及されている技術文書の一部でなければならない。欧州委員会は、市販後モニタリング計画のひな形および計画に含めるべき要素のリストを定める詳細な規定を定めた実施法を採択するものとする。

  16. 附属書IIで言及されている法律が対象とする高リスクのAIシステムについては、その法律の下で市販後モニタリングシステム及び計画が既に確立されている場合、第1項、第2項及び第3項に記載されている要素は、適宜、そのシステム及び計画に統合されるものとする。
    第1号は、指令2013/36/EUによって規制される信用機関によって上市又は使用開始される附属書IIIの5(b)に言及される高リスクAIシステムにも適用されるものとする。
    第2章
    事故及び故障に関する情報の共有
    第62条
    重大インシデントおよび故障の報告

  17. 連邦市場に投入された高リスクのAIシステムの提供者は、基本的権利の保護を目的とする連邦法に基づく義務の違反を構成する重大な事故又はシステムの誤作動を、当該事故又は違反が発生した加盟国の市場監視当局に報告しなければならない。
    このような通報は、プロバイダが、AIシステムとインシデントもしくは誤動作との因果関係、またはそのような因果関係の合理的な可能性を立証した後直ちに、また、いかなる場合であっても、プロバイダが重大なインシデントまたは誤動作を認識してから15日以内に行わなければならない。

  18. 基本的権利の保護を目的とする連邦法に基づく義務の違反に関連する通知を受け取った場合、市場監視当局は、第64条(3)に言及されている国の公的機関または団体に通知しなければならない。欧州委員会は、第1項に定める義務の遵守を促進するための専用ガイダンスを作成する。そのガイダンスは、遅くともこの規則の発効から12ヵ月後に発行されるものとする。

  19. 指令2013/36/EUにより規制される信用機関であるプロバイダーにより市場に投入され、またはサービスに供される付属書IIIの5(b)に言及される高リスクのAIシステム、および規則(EU)2017/745および規則(EU)2017/746の対象となる機器の安全コンポーネントであるか、またはそれ自体が機器である高リスクのAIシステムについては、重大な事故または故障の通知は、基本的権利の保護を意図する連邦法に基づく義務の違反を構成するものに限定されるものとする。

第3章
執行
第63条
連合市場におけるAIシステムの市場監視および管理

  1. 規則(EU)2019/1020は、本規則の対象となるAIシステムに適用される。
    ただし、本規則の効果的な施行を目的として、以下のことを行う:
    (a) 規則(EU) 2019/1020に基づく経済事業者への言及は、本規則のタイトルIII、第3章で特定されるすべての事業者を含むものと理解する;
    (b) 規則(EU) 2019/1020に基づく製品への言及は,本規則の適用範囲に含まれるすべてのAIシステムを含むものと理解されるものとする。

  2. 各国監督当局は、関連する市場サーベイランス活動の結果を定期的に欧州委員会に報告しなければならない。各国監督当局は、市場監視活動の過程で確認された、競争規則に関するEU法の適用に潜在的な関心を持ちうる情報を、遅滞なく欧州委員会および関連する各国競争当局に報告しなければならない。

  3. 附属書IIのA項に記載された法律が適用される製品に関連する高リスクのAIシステムについては、本規則における市場監視当局は、当該法律に基づいて指定された市場監視活動に責任を有する当局とする。

  4. 金融サービスに関する欧州連合の法令により規制される金融機関が市場に投入、使用開始又は使用するAIシステムについては、本規則における市場監視当局は、当該法令に基づき当該金融機関の金融監督に責任を有する関連当局とする。

  5. システムが法執行目的で使用される限りにおいて、1(a)に列挙されたAIシステムについては、附属書IIIの6および7において、加盟国は、指令(EU)2016/680もしくは規則2016/679に基づく所轄のデータ保護監督当局、または当該システムを運用もしくは使用する法執行、出入国もしくは亡命当局の活動を監督する国内所轄当局のいずれかを、本規則における市場監視当局として指定するものとする。

  6. 欧州連合の機関、機関および団体が本規則の適用範囲に含まれる場合、欧州データ保護監督機関はその市場監視当局として行動するものとする。

  7. 加盟国は、本規則に基づき指定された市場監視当局と、附属書IIに記載されたEU調和法または附属書IIIに記載された高リスクAIシステムに関連する可能性のあるその他のEU法の適用を監督するその他の関連する国内当局または機関との間の調整を促進するものとする。



規則
第2節
管轄官庁
第70条
国内管轄当局及び一元的連絡窓口の指定

  1. 各加盟国は、この規則の目的のために、少なくとも1つの届出当局および少なくとも1つの市場監視当局を、国内管轄当局として設置または指定しなければならない。これらの国内管轄当局は、その活動および業務の客観性を保護し、本規則の適用および実施を確保するため、独立、公平かつ偏見なくその権限を行使しなければならない。
    これらの当局の構成員は、その職務と両立しないいかなる行動も慎まなければならない。これらの原則が遵守されることを前提に,かかる活動及び任務は,加盟国の組織上の必要性に 応じて,一つ又は複数の指定当局が行うことができる。

  2. 加盟国は、欧州委員会に対し、通知当局および市場監視当局の身元、これらの当局の任務、およびその後の変更を通知しなければならない。加盟国は、[本規則の発効日から12ヶ月]までに、管轄当局および単一の連絡窓口への連絡方法に関する情報を、電子通信手段を通じて公開するものとする。加盟国は、本規則の単一窓口となる市場監視当局を指定し、欧州委員会にその身元を通知しなければならない。欧州委員会は、単一窓口のリストを公開するものとする。

  3. 加盟国は、自国の管轄当局に、本規則に基づく業務を効果的に遂行するための十分な技術的、財政的、人的資源、およびインフラストラクチャーが提供されるようにしなければならない。特に、各国所轄当局は、AI技術、データおよびデータコンピューティング、個人データ保護、サイバーセキュリティ、基本的権利、安全衛生リスク、および既存の基準および法的要件に関する知識を深く理解する能力および専門知識を有する、十分な人数の職員を常時確保するものとする。加盟国は、本項で言及される能力およびリソースの要件を毎年評価し、必要に応じて更新するものとする。

  4. 各国所轄庁は、適切なサイバーセキュリティレベルを確保するために適切な措置を講じるものとする。

  5. 各国所轄当局は、その職務を遂行する際、第78条に定める秘密保持義務に従って行動するものとする。

  6. 加盟国は、[この規則の発効日から1年]までに、およびその後2年ごとに1回、欧州委員会に対し、各国所轄当局の財政的および人的資源の状況について、その妥当性の評価とともに報告するものとする。欧州委員会は、その情報を理事会に提出し、審議および勧告の可能性を検討するものとする。

  7. 委員会は、各国主管庁間の経験交流を促進するものとする。

  8. 各国所轄官庁は、特に新興企業を含む中小企業に対し、理事会および欧州委員会の指導および助言を適宜考慮しつつ、本規則の実施に関する指導および助言を行うことができる。各国所轄官庁が、他の同盟法が適用される分野におけるAI制度に関して指導及び助言を提供しようとする場合には、適宜、当該同盟法に基づく各国所轄官庁に相談するものとする。

  9. 欧州連合の機関、団体、事務所または機関が本規則の適用範囲に含まれる場合、欧州データ保護監督機関がその監督権限を有する当局として行動するものとする。
    第8章
    高リスクAIシステムのためのEUデータベース
    第71条
    附属書IIIに記載された高リスクAIシステムのためのEUデータベース

  10. 欧州委員会は、加盟国と協力して、第49条及び第60条に従って登録された第6条第2項にいう高リスクのAIシステム並びに第6条第3項に従って高リスクとはみなされず、第6条第4項及び第49条に従って登録されたAIシステムに関する本条第2項及び第3項にいう情報を含むEUデータベースを構築し、維持しなければならない。当該データベースの機能仕様を設定する場合、委員会は関係する専門家に諮問するものとし、当該データベースの機能仕様を更新する場合、委員会は審査会に諮問するものとする。

  11. 附属書VIIIのセクションAおよびBに記載されたデータは、提供者または該当する場合、権限を有する代理人がEUデータベースに入力するものとする。

  12. 附属書VIIIのセクションCに記載されたデータは、第49条(3)および(4)に従い、公的機関、代理店または団体である、またはその代理を務める配備者がEUデータベースに入力するものとする。

  13. 第49条(4)および第60条(4)項(c)を除き、第49条に従って登録されたEUデータベースに含まれる情報は、ユーザーフレンドリーな方法でアクセスでき、一般に利用可能でなければならない。その情報は、容易に閲覧でき、機械で読み取り可能でなければならない。第60条に従って登録された情報には、市場監視当局と欧州委員会のみがアクセスできるものとする。ただし、情報提供予定者または提供者が、一般市民もアクセスできるようにすることに同意した場合はこの限りではない。

  14. 5.EUのデータベースには、本規則に従った情報の収集および処理に必要な限りにおいてのみ、個人情報が含まれるものとする。その情報には、該当する場合、システムの登録に責任を持ち、提供者または配備者を代表する法的権限を有する自然人の氏名および連絡先が含まれるものとする。

  15. 欧州委員会は、EUデータベースの管理者となる。欧州委員会は、EUデータベースの提供者、提供予定者、導入者に対して、適切な技術的・管理的支援を提供する。EUデータベースは、適用されるアクセシビリティ要件に適合するものとする。

第IX章
市販後モニタリング、情報共有、市場サーベイランス
第1節
市販後モニタリング
第72条
事業者による市販後モニタリング及び高リスクAIシステムの市販後モニタリング計画

  1. 事業者は,AI技術の性質及び高リスクAIシステムのリスクに見合った方法で,市販後モニタリングシステムを確立し,文書化しなければならない。

  2. 市販後モニタリングシステムは,配備者から提供され得るか又は他の情報源を通じて収集され得る高リスクAIシステムの性能に関する関連データを,その耐用期間を通じて,積極的かつ体系的に収集,文書化及び分析するものとし,これにより,提供者は,AIシステムが第III章第2節に定める要件に継続的に適合していることを評価することができる。関連する場合、市販後のモニタリングは、他のAIシステムとの相互作用の分析を含むものとする。
    この義務は、法執行機関である配備者の機微な運用データには適用されないものとする。

  3. 市販後モニタリングシステムは、市販後モニタリング計画に基づくものとする。市販後モニタリング計画は、附属書IVで言及されている技術文書の一部とする。欧州委員会は、市販後モニタリング計画のひな形および計画に含めるべき要素のリストを定める詳細な規定を定めた実施法を、...[本規則の発効から18ヵ月後]までに採択しなければならない。当該実施法は、第98条(2)にいう審査手続に従って採択されるものとする。

  4. 附属書ⅠのセクションAに列挙されたEUの整合化法令が適用される高リスクのAIシステムであって、当該法令に基づき市販後モニタリングシステム及び計画が既に確立されているものについては、一貫性を確保し、重複を回避し、追加的な負担を最小限にするため、提供者は、同等の保護レベルを達成することを条件として、適宜、当該法令に基づき既に確立されているシステム及び計画に、第3項で言及されたテンプレートを用いて、第1項、第2項及び第3項に記載された必要な要素を統合する選択肢を有するものとする。
    本項第1号は、内部ガバナンス、取決め又はプロセスに関してEU金融サービス法に基づく要求事項の対象となる金融機関が市場に投入又は運用を開始する、附属書IIIの第5項にいう高リスクAIシステムにも適用されるものとする。

セクション 2
重大インシデントに関する情報の共有
第73条
重大インシデントの報告

  1. 連合市場に置かれた高リスクAIシステムの提供者は,重大なインシデントが発生した加盟国の市場監視当局に報告しなければならない。

  2. 第1項にいう報告は、提供者がAIシステムと重大インシデントとの間の因果関係又はそのような因果関係の合理的な可能性を立証した後直ちに行うものとし、いかなる場合においても、提供者又は該当する場合には配置者が重大インシデントを認識した後15日以内に行うものとする。
    第1号にいう報告の期間は、重大インシデントの重大性を考慮しなければならない。

  3. 本条第 2 項にかかわらず、広範な侵害又は第 3 条第(49)項(b)に規定する重大な事 故が発生した場合には、本条第 1 項に規定する報告は、プロバイダ又は配備者が当該事 故を認識した後直ちに、遅くとも 2 日以内に行わなければならない。

  4. 第2項にかかわらず、人が死亡した場合、その報告は、提供者又は配備者が、高リスクAIシステムと重大な事故との因果関係を立証した後直ちに、又は、その因果関係が疑われる場合には直ちに、提供者又は配備者が重大な事故を知った日から10日以内に行わなければならない。

  5. 適時の報告を確保するために必要な場合、提供者又は該当する場合、配備者は、不完全な最初の報告を提出し、その後、完全な報告を提出することができる。

  6. 第 1 項に従った重大インシデントの報告後、提供者は、遅滞なく、当該重大インシデント 及び当該 AI システムに関連して必要な調査を行わなければならない。これには、インシデントのリスクアセスメント及び是正措置が含まれるものとする。
    提供者は,第1号に掲げる調査の間,所轄当局及び関連する場合には当該認証機関と協力しなければならず,所轄当局にそのような措置を通知する前に,事故の原因のその後の評価に影響を及ぼす可能性のある方法で当該AIシステムの改変を伴ういかなる調査も行ってはならない。

  7. 第3条第(49)項(c)に言及する重大インシデントに関する通知を受領した場合、当該市場監視当局は、第77条第1項に言及する国家公的機関または団体に通知するものとする。欧州委員会は、本条第1項に定める義務の遵守を促進するための専用ガイダンスを作成する。
    当該ガイダンスは、... [本規則の発効から12ヶ月後]までに発行され、定期的に評価されるものとする。

  8. 市場監視当局は、本条第1項の通知を受領した日から7日以内に、規則(EU)2019/1020の第19条に規定される適切な措置を講じなければならず、同規則に規定される通知手続きに従わなければならない。

  9. 附属書IIIにいう高リスクのAIシステムであって、本規則に規定するものと同等の報告義務を規定するEUの法律文書の適用を受けるプロバイダによって市場に投入され又はサービスに供されるものについては、重大インシデントの通知は、第3条第(49)項(c)にいうものに限定されるものとする。

  10. 規則(EU)2017/745及び(EU)2017/746の対象となる、機器の安全コンポーネントである、又はそれ自体が機器である高リスクAIシステムについては、重大インシデントの通知は、本規則の第3条(49)(c)に言及されるものに限定されるものとし、インシデントが発生した加盟国がその目的のために選択した国家所轄庁に対して行われるものとする。

  11. 各国所轄当局は、規則(EU)2019/1020の第20条に従い、重大インシデントが発生した場合、それに対する措置の有無にかかわらず、直ちに欧州委員会に通知するものとする。

第3項
施行
第74条
連合市場におけるAIシステムの市場監視および管理

  1. 規則(EU)2019/1020は、本規則の対象となるAIシステムに適用される。本規則の効果的な執行のために、以下のことを行う:
    (a) 規則(EU) 2019/1020に基づく経済事業者への言及は、本規則第2条(1)で特定されるすべての事業者を含むものと理解する;
    (b) 規則(EU) 2019/1020に基づく製品への言及は、本規則の適用範囲に含まれるすべてのAIシステムを含むものと理解する。

  2. 規則(EU)2019/1020の第34条(4)に基づく報告義務の一環として、市場監視当局は、市場監視活動の過程で特定された情報のうち、競争規則に関するEU法の適用に潜在的な関心がある可能性があるものを、欧州委員会および関連する各国の競争当局に毎年報告しなければならない。また、毎年、その年に発生した禁止された慣行の使用とその措置についても欧州委員会に報告しなければならない。

  3. 附属書IのセクションAに列挙されているEU調和法の対象となる製品に関連する高リスクのAIシステムについては、本規則における市場監視当局は、これらの法律に基づいて指定された市場監視活動に責任を負う当局とする。

ただし、加盟国は、附属書 I に列挙された連邦整合化法の施行に責任を有する関連セクターの市場監視当局との連携を確保することを条件とする。
4. 本規則第79条から第83条までに言及される手続は、附属書ⅠのセクションAに列挙されたEU整合化法令の対象となる製品に関連するAIシステムには適用されない。この場合、関連する分野別手続が代わりに適用されるものとする。
5. 規則(EU) 2019/1020の第14条に基づく市場監視当局の権限を損なうことなく、本規則の効果的な執行を確保する目的で、市場監視当局は、同規則の第14条(4)、ポイント(d)および(j)に言及される権限を、適宜、遠隔的に行使することができる。
6. 組合金融サービス法によって規制される金融機関によって市場に置かれ、供用され、又は使用される高リスクの AI システムについては、AI システムの市場への置かれ、供用され、又は使用が当該金融サービスの提供に直接関連している限りにおいて、本規則における市場監視当局は、当該法令に基づく当該金融機関の金融監督に責任を負う関連国家当局とする。

  1. 第6項の適用除外により、適切な状況において、かつ、協調が確保されることを条件として、加盟国は、本規則の目的上、別の関連当局を市場監視当局として特定することができる。
    指令2013/36/EUに基づき規制される信用機関を監督する各国の市場監視当局で、規則(EU)No.1024/2013により設立された単一監督メカニズムに参加しているものは、その市場監視活動の過程で特定された情報のうち、同規則に規定される欧州中央銀行のプルデンシャル監督業務に潜在的な関心がある可能性があるものを、遅滞なく欧州中央銀行に報告しなければならない。

  2. 本規則の附属書IIIのポイント1に記載された高リスクのAIシステムについては、当該システムが法執行、国境管理、司法および民主主義のために使用される限りにおいて、また、本規則の附属書IIIのポイント6、7および8に記載された高リスクのAIシステムについては、加盟国は、規則(EU)2016/679または指令(EU)2016/680に基づく所轄のデータ保護監督当局、または指令(EU)2016/680の第41条から第44条に規定された同一の条件に従って指定されたその他の当局のいずれかを、本規則の目的のための市場監視当局として指定するものとする。市場監視活動は、司法当局の独立性に影響を与えるものであってはならず、また、司法上の資格において行動する際の活動を妨げるものであってはならない。

  3. 欧州連合の機関、団体、事務所または機関が本規則の適用範囲に含まれる場合、欧州データ保護監督機関は、司法上の資格において行動する欧州連合司法裁判所との関係を除き、その市場監視当局として行動するものとする。

  4. 加盟国は、本規則に基づき指定された市場監視当局と、附属書Iに記載されたEU調和法または他のEU法の適用を監督する他の関連する国内当局または機関であって、附属書IIIに記載された高リスクのAIシステムに関連する可能性のあるものとの間の調整を促進するものとする。

  5. 市場監視当局及び欧州委員会は、規則(EU)2019/1020の第9条に基づき、2つ以上の加盟国にまたがって深刻なリスクをもたらすことが判明した特定のカテゴリの高リスクAIシステムに関し、本規則に関連して、遵守の促進、違反の特定、認識の向上又はガイダンスの提供を目的とする、市場監視当局又は市場監視当局が欧州委員会と共同で実施する共同調査を含む共同活動を提案することができるものとする。AI事務局は、共同調査のための調整支援を提供する。

  6. 規則(EU)2019/1020に規定される権限を損なうことなく、かつ、関連性があり、その任務を遂行するために必要なものに限定される場合、市場監視当局は、適切な場合、かつ、セキュリティ保護措置の対象となる場合、アプリケーション・プログラミング・インターフェース(API)又は遠隔アクセスを可能にするその他の関連する技術的手段及びツールによるものを含め、高リスクAIシステムの開発に使用される文書並びに訓練、検証及び試験のデータセットへのプロバイダーによる完全なアクセスを認められるものとする。

  7. 市場監視当局は、合理的な要請があり、かつ、以下の両方の条件が満たされる場合に限り、ハイリスクAIシステムのソースコードへのアクセスを認められるものとする:
    (a) ソースコードへのアクセスが、第III章第2節に定める要件への高リスクAIシステムの適合性を評価するために必要であること、
    (b) 提供者から提供されたデータ及び文書に基づく試験又は監査手続及び検証が尽くされ た又は不十分であることが判明した場合。

  8. 市場監視当局が入手した情報又は文書は、第 78 条に定める守秘義務に従って取り扱われるものとする。

第75条
相互援助、市場監視、汎用AIシステムの管理

  1. AIシステムが汎用AIモデルに基づいており,当該モデルとシステムが同一の提供者によって開発されている場合,AI事務局は,当該AIシステムが本規則に基づく義務を遵守していることを監視及び監督する権限を有する。監視・監督業務を遂行するために、AI室は、本条項及び規則(EU)2019/1020に規定される市場監視当局の全ての権限を有するものとする。

  2. 関連する市場監視当局が、本規則に従って高リスクに分類される少なくとも1つの目的のために配備者が直接使用することができる汎用AIシステムを、本規則に定める要件に準拠していないとみなす十分な理由がある場合、AI室と協力して準拠評価を実施し、理事会及び他の市場監視当局に適宜通知するものとする。

  3. 市場監視当局が、汎用AIモデルに関連する特定の情報を入手するためにあらゆる適切な努力を払ったにもかかわらず、その情報にアクセスできないために、高リスクAIシステムの調査を終了できない場合、その情報へのアクセスを強制するために、AI事務局に理由ある要請を提出することができる。この場合,AI事務局は,申請官庁に対し,遅滞なく,いかなる場合であっても30日以内に,AI
    AI局は,高リスクのAIシステムが非準拠であるか否かを確認するために関連すると考えられる情報を,遅滞なく,いかなる場合にも30日以内に,申請官庁に提供しなければならない。市場監視当局は、本規則第78条に従って入手した情報の秘密を保護しなければならない。規則(EU)2019/1020の第6章に規定される手続が準用される。
    第76条
    市場監視当局による実環境での試験の監督

  4. 市場監視当局は、実環境における試験が本規則に従っていることを確認する権限と権限を有するものとする。

  5. 第58条に基づくAI規制のサンドボックス内で監督されるAIシステムに対して実世界条件下でのテストが実施される場合、市場監視当局は、AI規制のサンドボックスに対する監督役割の一環として、第60条への準拠を検証しなければならない。これらの当局は、適切な場合には、第60条(4)の(f)及び(g)に定める条件から逸脱して、提供者又は提供予定者による実環境での試験の実施を認めることができる。

  6. 市場監視当局が、提供予定者、提供者又は第三者から重大な事故の報告を受けた場合、又は第 60 条及び第 61 条に定める条件が満たされていないと考えるその他の根拠を有する場合、市場監視当局は、その領域内において、適切な場合、以下のいずれかの決定を行うことができる:
    (a) 実環境における試験を一時停止又は終了すること;
    (b) 提供者又は提供予定者並びに配備者又は配備予定者に対し、実世界条件下での試 験のいずれかの局面を修正するよう要求すること。

  7. 市場監視当局が第 60 条第(4)項第(b)号にいう決定を行った場合又は異議申立を行った場合、その決定又は異議申立には、その根拠及び提供者又は提供予定者が決定又は異議申立に異議を申し立てる方法を示さなければならない。

  8. 該当する場合,市場監視当局は,第3項に規定する決定を行った場合,その理由を,試験計画に従ってAIシステムが試験された他の加盟国の市場監視当局に伝達しなければならない。

第77条
基本的権利を保護する当局の権限

  1. 附属書IIIで言及される高リスクのAIシステムの使用に関連して、非差別の権利を含む基本的権利を保護する連邦法に基づく義務の尊重を監督又は執行する国の公的機関又は団体は、管轄権の範囲内でその任務を効果的に遂行するために文書へのアクセスが必要な場合、本規則に基づいて作成又は維持される文書にアクセス可能な言語及び形式でアクセスすることを要求し、アクセスする権限を有する。当該公的機関または団体は、そのような要請があった場合、当該加盟国の市場監視当局に通知しなければならない。

  2. 各加盟国は、...[本規則の発効から3ヶ月後]までに、第1項で言及された公的機関または団体を特定し、そのリストを公開するものとする。加盟国は、そのリストを欧州委員会および他の加盟国に通知し、常に最新の状態に保つものとする。

  3. 第1項で言及された文書が、基本的権利を保護する連邦法に基づく義務の侵害が生じたかどうかを確認するには不十分である場合、第1項で言及された公的機関または団体は、市場監視当局に対し、技術的手段によるハイリスクAIシステムのテストを組織するよう、理由を付して要請することができる。市場監視当局は、要請後合理的な期間内に、要請した公的機関または団体の緊密な関与の下に試験を実施しなければならない。

  4. 本条に基づき本条第 1 項の国家公的機関又は団体が入手した情報又は文書は,第 78 条に定める秘密保持義務に従って取り扱われるものとする。


この記事が気に入ったらサポートをしてみませんか?