「データ保護規制の最前線」第9回目。
EUのAI規制を皮切りに、世界で厳格化しているAI活用の規制動向について解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
EUのAI規制と日本企業への影響
EU(欧州連合)は2021年4月、人工知能(AI)システムを規制する新たな法案を公表した。この法案には域外適用条項があり、日本企業がEU域内で商品やサービスを提供する場合にも適用される。違反した企業には最大で3000万ユーロ(約38億円※)または売上高の6%という高額な罰金を科す。施行された場合に想定される影響が大きいことから、8月に経団連が法案に対する意見を公表するなど、日本でも注目を集めている。
これまでも、趣味・嗜好や経済・健康状態といった個人のプライバシーの推定や差別的な取扱いにつながるリスクがあるAIシステムは、各国の個人データ保護法令による規制の対象となる場合があった。
たとえば、EUの一般データ保護規則(GDPR)では、個人データとAIを利用して自動的な意思決定を行うことが規制対象となっており、米国のカリフォルニア州プライバシー権利法(CRPA)や中国の個人情報保護法にも同様の条項が設けられている。
一方、EUの新たなAI規制法案は、さまざまなAIシステムのリスクレベルを具体的に定義した上で、リスクが存在するAIシステムを禁止または管理対象とすることを義務付けており、GDPRよりも規制の範囲や内容を大幅に拡大している。
たとえば、個人データを採用活動や業務評価に利用するもの、産業機械や医療機器などの安全性にかかわるAIシステムは高リスクとみなされる可能性があり、該当する場合は企業にリスク管理義務が課される。
今後、日本企業の海外事業で顧客や子会社などがAIシステムを利用する場合は、すでにGDPRへの対応を進めている企業でも、新たにAIのリスク・コンプライアンス管理体制の整備が必要になる。たとえば、EUの新たなAI規制法案では、AIが学習するデータの品質を管理して判断の偏りを抑えることや、AIによる判断の透明性を確保し利用者に対して情報提供すること、品質管理の手順やAIシステムの技術仕様を文書化して確立することなどを求めている。
日本ではAIに対する直接的な法規制の代わりに、法的拘束力のないガイドラインの整備が進んでいる。たとえば、経済産業省が7月に公表した「AI原則実践のためのガバナンス・ガイドラインver1.0」では、AIの開発や運用に携わる事業者の行動目標などを整理している。しかし、今後、諸外国と同様の法規制が検討される可能性も考えられ、引き続き動向を注視する必要がある。
※・・・執筆時のレートにより換算
<EUのAI規制法案でのAIシステムのリスクレベル>
| リスクレベル | 該当するAIシステム(一部を例示) |
|---|---|
| 利用禁止 | ・犯罪捜査を目的とした公共空間でのリアルタイムの顔認証など |
| 高リスク | ・生体認証技術を用いた人の認証や分類を行うAIシステム ・教育機関や職業訓練機関の入学試験や成績を評価するAIシステム ・人の採用や業務の評価を行うAIシステム ・産業機械や医療機器などの安全性にかかわるAIシステムなど |
| 限定的リスク | ・人との対話を行うAIシステム(チャットボット) ・本物とよく似たコンテンツ(ディープフェイク)の自動生成など |
| 極小リスク・リスクなし | ・迷惑メールの自動分類 ・ゲームでの利用など |
執筆者
KPMGコンサルティング
マネジャー 佐藤 遼
日刊工業新聞 2021年12月3日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。
