【データ法】EU AI Actの発効後、結局、まず何をしないといけないのか？

こんにちは。
お読みいただきありがとうございます。

本日のテーマは、EU AI Act(*1)です。

EU AI Actは、欧州委員会いわく、世界初の包括的なAI規制法であり、2024年3月13日に欧州議会により採択されたことで大変話題になりました。

Artificial Intelligence Act: MEPs adopt landmark law | News | European Parliament

本記事の投稿時点では、EU AI Actは、2024年5月末までにEUの官報に掲載されて、その20日後に発効する予定です。もう、そろそろですね。

そこで、今回は、EU AI Actの発効後、結局、まず何をしないといけないのか？という点について書いていきたいと思います。

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。

今回の趣旨

GDPR施行当時の混乱を振り返る

EUの個人データ保護の一般法であるGDPRは、今やデータ保護法のグローバルスタンダードとして、EU域内の事業者のみならず、日本企業にも多大なコンプライアンスコストを強いています。

GDPRが施行されたのは、2018年5月25日のことです。当時、違反者に高額の制裁金が課され得るよく分からないEUの法律のために東奔西走された担当者の方も少なくなかったのではないかと思います。

EU AI Actは第二のGDPRとなるか？

EU AI Actは、昨今の急速なAIの発展も相まって事業者からの関心も高く、EUも次なるGDPRを狙ってか、世界のAI規制法のグローバルスタンダードの地位を得ようと、鼻息も荒いように感じます。

EU AI Actが、日本の事業者（及びEU域内で事業を行う子会社・拠点）にとって、実際にどれほどのインパクトがあるのか、現時点では確たることは言えません。しかし、昨今の報道を見ても、いち法律という枠を超えて、国際情勢のトピックとしてEU AI Actの採択がニュースとなっており、注目度が高いのは間違いありません。

きっと、EU AI Actの施行に際して、『EU AI Actまもなく施行ー日本の事業者への影響は？』といった見出しでニュース記事が出るはずです。

ニュースを見た上司は何をするのか？

上司は上司で忙しいので、そのような見出しが目に入っても、記事の中身までは読みません。「もうすぐEUでAI Actが施行されて、何か影響があるんだろうな」ということだけを頭に留めながら、仕事を再開するだけです。

そして、ふと思いついたころに訊いてきます。

そういえば、うちって、EU AI Actの対応、大丈夫？

あなたが法務部員であれば部長から、あなたがマネージャークラスであれば執行役員あたりから、急にこんな風に質問が飛んでくるかもしれません。

そんな上司からの無茶ぶりに対する回答への準備をお手伝いするのが、今回の趣旨です。

EU AI Actの概要

「概要の概要」程度の内容ではありますが、以下のとおりまとめます。

最新版の条文は？

EU AI Actで検索すると、色々なテキストが出てきますが、ぼくが知る限り、こちらの4月19日付のテキストが、現時点で最新のものです。

全部で458頁に及ぶ長大な文章で、さすがに全部読んでいては日が暮れてしまいます。この記事の作成にあたっては、リサイタル（前文）と別紙は読まず、本文の主要箇所を流し読みしました。

というわけで、内容に絶対の自信があるわけではありません。もちろん、記事の内容には誤りが無いよう注意を払っていますが、ご指摘・ご意見あれば、遠慮なく（そして、こっそり）お知らせください！

どういう法律なのか？

EUは、EU AI Actについて、AIの開発と利用に関する包括的な法的枠組みであると言っています。もう少し詳しく説明すると、次のように言えるのではないかと思います。

EU AI Actとは：
AIバリューチェーンにおける事業者の、AIの開発・提供・利用などのうち、EU域内の個人に影響を与えるものについて、事業者の4つの属性、及び、AIの4つのリスクレベルに応じて、規制する法律

上記の文章を分解すれば分かるように、ここで論じたい項目は５つあります。以下で、簡潔に述べていきたいと思います。

１．AIバリューチェーンにおける事業者

EU AI Actは、適用対象となる事業者を、主に次のように分類しています。

①　提供者（provider）(*2)：AIシステム若しくはGPAIモデルの開発又はこれらを自己の名前で市場に供給する者
②　デプロイヤー（deployer）：職業活動のためにAIシステムを使用する者
③　販売者（distributor）：EU市場にAIシステムを供給する提供者又は輸入者以外の者
④　輸入者（importer）：EU域内に所在する、EU域外の事業者のAIシステムをEU市場に供給する者

このように、EU AI Actは、提供者側のみならず、ユーザー側（デプロイヤー）も規制の対象としています。そのため、いわゆるIT企業のみならず、ほぼ全ての事業者が対象となりそうです。

なお、AIシステムとGPAIモデル（general-purpose AI model）の定義は気になるところかもしれませんが、ここでは割愛します。AIシステムについてはArt 3(1)に、GPAIモデルについてはArt 51(1)に定義がありますので、気になる方は参照してみてください。また、「者」とは法人のみならず、個人も含まれる点に注意が必要です。

２．AIの開発・提供・利用など

EU AI Actは、GDPRにおける個人データの「取扱い（処理）」のような、規制される行為についての包括的な定義を置いていません。

もっとも、EU AI Actに引っかからない形で各事業者がAIの開発・利用等を行うことは、規定に意図しない穴が無いかぎりおそらく無理です。AIバリューチェーンにおける事業者となる場合には、EU AI Actの規制を受けうると考えた方が良いと思います。

３．地域的適用範囲

上記の「AIの開発・提供・利用などのうち、EU域内の個人に影響を与えるものについて…」というのは、要するに地域的適用範囲の話です。

Art 2に規定があるところ、ざっくりいうと、次のようにまとめられます。

・　EU市場にAIシステム又はGPAIモデルを供給している提供者
・　EU域内に所在するデプロイヤー
・　EU域内に所在しないが、AIシステムのアウトプットをEU域内で使用するデプロイヤー
・　販売者
・　輸入者

４．事業者の属性に応じた義務

提供者、デプロイヤー、販売者、輸入者には、それぞれAIの利用に関して義務が課されています。

ここで細かく見ていくと時間が足りないため控えますが、基本的には、提供者が最も重い義務を負います。EU域内の個人に与える影響の大きさに鑑みれば、提供者の義務が重いことも理解しやすいのではないかと思います。

５．AIシステムの種類

EU AI Actでは、リスクに応じてAIを次の４つに更に分類しています。

①　禁止AI（prohibited AI）
②　ハイリスクAIシステム（high-risk AI system）
③　透明性要件が課されるAIシステム
④　その他のAIシステム

一般的に①→④に行くにつれて規制が弱くなり、④その他のAIシステムについては、規制が課されません。なお、③透明性要件が課されるAIシステムのことを限定リスクAIシステム（limited-risk AI system）と呼ぶ場合もあります。そちらの方が分かりやすい気もしますが、条文上はそのような定義はされていないため、本稿では、便宜的に「透明性要件が課されるAIシステム」としています。

【GPAIモデル（汎用目的型AIモデル）に関する補足】
実は、当初案から本採決までの間に、GPAIモデルに関する規定が追加されています。GPAIモデルは、（GP）AIシステムの構成要素ではあるものの、それ自体はEU AI Actが定義する「AIシステム」に該当しません。しかし、EU市民の権利保護に関する影響に鑑み、新たに追記されたという流れです。

GPAIモデルも、リスクに応じて2段階に分類されており、その提供者は、透明性に関する所定の義務を負うことになります。

施行のタイミング

先述のとおり、EU AI Actは、2024年5月末までにEUの官報に掲載されて、その20日後に発効する予定です。この6月末までには、発効することになりそうですね。

もっとも、Art 113は、発効のタイミングと、実際にEU AI Actが事業者等に適用される時期を分けています。細かい例外がありますが、基本的に、次のように考えることが可能です。

EU AI Actの適用開始時期：
・　原則として、発効から２年後
・・　禁止AIに関する規定は、発効から６か月後
・・　GPAIモデルに関する提供者の義務は、発効から１２か月後
・・　罰則は、発効から１２か月後
・・　Art 6(1)とこれに係る義務（ハイリスクAIシステムに関するもの）は、発効から１２か月後

ここから分かるように、基本的に、EU AI Actの発効から2年間の猶予がありますが、禁止AIに関する規定については、６か月以内に対応が必要です。

禁止AIに関する規制

では、禁止AIに関する規定とはどのようなものなのでしょうか。EU AI Actは、次のようなAIシステムの利用を禁止しています(*3)。

禁止されるAI：
①　サブリミナル的、操作的、または欺瞞的な技術を用いて、重大な危害を引き起こす可能性が合理的に高い方法で、十分な情報に基づく意思決定や自律性を損なうことにより、人の行動を著しく歪めるもの
②　社会的弱者（子供や宗教的少数者）を搾取し、重大な危害を惹き起こす可能性が合理的に高い方法で、彼らの行動を著しく歪めるもの
③　社会的行動や性格的特徴に基づいて人々を評価または分類し、不利益な又は望ましくない扱いを定義することにつながるソーシャルスコアを作成するもの
④　プロファイリングや性格的特徴や特質の評価のみに基づいて、個人が犯罪を犯すリスクを評価または予測するもの
⑤　インターネットやCCTV映像から顔画像を対象を特定せずにでスクレイピングし、顔認識データベースを作成するもの
⑥　職場や教育機関における感情認識を可能にするもの
⑦　人種、政治的意見、労働組合員、宗教的・哲学的信条、性生活や性指向を推測するために、バイオメトリクスデータに基づいて人々を分類するもの
⑧　法執行の目的で、公にアクセス可能な空間においてリアルタイムの生体識別を使用するもの

これらは、全面的に禁止されます。つまり、提供者がこのようなAIを開発したり市場に投入することは許されず、デプロイヤーがビジネスのためにこのようなAIを利用することもできません。

ただし、④、⑥及び⑧については、ここでは割愛しますが、例外があります。気になる方は原文を読まれてみてください。

結局、まず何をしないといけないのか？

ようやく、今回のタイトルの話に戻ります。

結論として、次のアクションが求められるのではないかと思います。

①　現在、利用又は提供中のAIシステムの把握（禁止AIの該当性を中心に）
②　EU AI Actが適用される事業者であるか否かの確認

万が一、禁止AIの利用又は提供が認められ、かつ、EU AI Actが適用される事業者であることが判明した場合には、予定通りのスケジュールで公布されれば、遅くとも年内には、その利用及び提供を取りやめなければなりません。

もちろん、ハイリスクAIシステムを利用又は提供している場合やGPAIモデルを提供している場合には、引き続き利用を続けるために所定のアクションが必要となりますが、こちらは少しまだ余裕があります。

まとめ

いかがだったでしょうか。
本日は、いま話題のEU AI Actについて取り上げました。

次のようにまとめます。

EU AI Actの発効に当たって、まず必要なことは：
・　現在、利用又は提供中のAIシステムの把握
・　もし、禁止AIを利用又は提供しており、EU AI Actが適用される事業者である場合は、（このままのスケジュールで行けば）遅くとも年内には、その利用及び提供を中止する

自社がEU AI Actの適用対象か否かについては、「３．地域的適用範囲」の項目を確認されてみてください。

ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。

---

【注釈】
*1　EU法に付けられる異様に長い正式名称ですが、EU AI Actについては、ちょっと確信の持てるものを見つけられていません。分かり次第、修正しようと思います。
*2　製品製造者（product manufacturer）というカテゴリーもあり、一定のデプロイヤーが、提供者として扱われる場合があります。Art 25(3)に規定があります。
*3　Art 5, EU AI Act　

---

免責事項：
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

---

X（Twitter）もやっています。
こちらから、フォローお願いします！

このほかにも、データ法に関する解説を書いています。
よければご覧ください。

データ法を解説します｜弁護士 古田 俊文 (toshful)｜note