「データ保護規制の最前線」第9回目。
EUのAI規制を皮切りに、世界で厳格化しているAI活用の規制動向について解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

EUのAI規制と日本企業への影響

EU(欧州連合)は2021年4月、人工知能(AI)システムを規制する新たな法案を公表した。この法案には域外適用条項があり、日本企業がEU域内で商品やサービスを提供する場合にも適用される。違反した企業には最大で3000万ユーロ(約38億円)または売上高の6%という高額な罰金を科す。施行された場合に想定される影響が大きいことから、8月に経団連が法案に対する意見を公表するなど、日本でも注目を集めている。

これまでも、趣味・嗜好や経済・健康状態といった個人のプライバシーの推定や差別的な取扱いにつながるリスクがあるAIシステムは、各国の個人データ保護法令による規制の対象となる場合があった。
たとえば、EUの一般データ保護規則(GDPR)では、個人データとAIを利用して自動的な意思決定を行うことが規制対象となっており、米国のカリフォルニア州プライバシー権利法(CRPA)や中国の個人情報保護法にも同様の条項が設けられている。

一方、EUの新たなAI規制法案は、さまざまなAIシステムのリスクレベルを具体的に定義した上で、リスクが存在するAIシステムを禁止または管理対象とすることを義務付けており、GDPRよりも規制の範囲や内容を大幅に拡大している。
たとえば、個人データを採用活動や業務評価に利用するもの、産業機械や医療機器などの安全性にかかわるAIシステムは高リスクとみなされる可能性があり、該当する場合は企業にリスク管理義務が課される。

今後、日本企業の海外事業で顧客や子会社などがAIシステムを利用する場合は、すでにGDPRへの対応を進めている企業でも、新たにAIのリスク・コンプライアンス管理体制の整備が必要になる。たとえば、EUの新たなAI規制法案では、AIが学習するデータの品質を管理して判断の偏りを抑えることや、AIによる判断の透明性を確保し利用者に対して情報提供すること、品質管理の手順やAIシステムの技術仕様を文書化して確立することなどを求めている。

日本ではAIに対する直接的な法規制の代わりに、法的拘束力のないガイドラインの整備が進んでいる。たとえば、経済産業省が7月に公表した「AI原則実践のためのガバナンス・ガイドラインver1.0」では、AIの開発や運用に携わる事業者の行動目標などを整理している。しかし、今後、諸外国と同様の法規制が検討される可能性も考えられ、引き続き動向を注視する必要がある。

※・・・執筆時のレートにより換算

<EUのAI規制法案でのAIシステムのリスクレベル>

リスクレベル 該当するAIシステム(一部を例示)
利用禁止 ・犯罪捜査を目的とした公共空間でのリアルタイムの顔認証など
高リスク ・生体認証技術を用いた人の認証や分類を行うAIシステム
・教育機関や職業訓練機関の入学試験や成績を評価するAIシステム
・人の採用や業務の評価を行うAIシステム
・産業機械や医療機器などの安全性にかかわるAIシステムなど
限定的リスク ・人との対話を行うAIシステム(チャットボット)
・本物とよく似たコンテンツ(ディープフェイク)の自動生成など
極小リスク・リスクなし ・迷惑メールの自動分類
・ゲームでの利用など

執筆者

KPMGコンサルティング
マネジャー 佐藤 遼

日刊工業新聞 2021年12月3日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

データ保護規制の最前線

お問合せ