人工知能(AI)は社会に新たな利益をもたらし、その過程で職場と主要産業の変革を目指しています。AIと自動化の驚くべき進化を受け入れるための競争はすでに始まっていると言えます。
このような流れを受け、欧州連合(以下、EU)は、基本的権利、民主主義、法の支配、および環境の持続可能性を保護するため、リスクベースアプローチによる包括的なAI規制法という画期的な暫定合意に達しました。2024年に施行され、2025年までに適用が開始される見込みの同法案は、この種のものとしては初めてで、AI規制の事実上の新たなグローバルスタンダードになると予想されています。
AI規制法の導入で、EUはAIの導入を促進すること、および倫理的で信頼できるAIの利用に対する個人の権利を確保することのバランスを取ることを目指しています。
本稿では、AI規制法が企業や組織にとってどのような意味を持つかを探り、AI規制法の構造、同法が課す義務、遵守に向けたスケジュール、組織が検討すべき行動計画について検証します。
AIは、実現可能な範囲を広げ、人々の利益のために世界に影響を与えるほどの計り知れない可能性を秘めており、AIのリスクと潜在的な既知、および未知の悪影響を管理することは非常に重要である。AI規制法は2024年に成立する予定で、AIシステムの安全性の確保、基本的権利の尊重、AI投資の促進、ガバナンスの改善、AIのための調和されたEU市場の促進を目的としている。
AI規制法における「AI」の定義は幅広く、さまざまな技術やシステムが含まれると予想される。その結果、組織はAI規制法によって大きな影響を受ける可能性が高く、その義務の大半は2026年初頭に法的効力を持つ予定である。禁止されているAIシステムについては、AI規制法施行後6ヵ月で段階的に廃止しなければならない。汎用的なAIに対する規制は2025年初頭に適用される見込みである。
AI規制法はリスクベースのアプローチを適用し、AIシステムを、許容できないリスク、高いリスク、限定的なリスク、最小限のリスクという4つのリスクレベルに分けている。 |
1.AI規制法の影響と適用範囲の検証
欧州委員会(EC)は2021年4月にAI規制法を提案し、2023年12月、欧州議会と欧州理事会、欧州委員会(EC)はAI規制法を法制化することで暫定合意に達しました。
提案されているAI規制法は、ここ数年、データプライバシーの領域で起きていることと同様に、AIについての考え方や管理方法を一新すると期待されています。AI規制法は、EU内でAI製品、サービス、システムを提供する事業を展開するすべての企業に、直ちに広範な影響を及ぼすと考えられます。AI規制法は、EUにおけるAIの定義を導入し、AIシステムをリスク別に分類し、AIシステムに対する広範な要件と必要な保護メカニズムを定め、透明性の義務を定めています。
(1)AI規制法の狙い
欧州委員会(EC)は、AIの開発促進とイノベーションを後押しすること、および新たなリスクの効果的な管理のバランスを取ることを目指しており、これはAI規制法の提案目的にも反映されています。
|
これらの目的を達成するため、AI規制法はリスクベースのアプローチを適用しています。これにより、AIシステムを市場に投入する際、技術開発を制約したり妨害したりすること、あるいは、コストが過度に増加するようなAIシステムに関連するリスクや問題に対処するための具体的な最低要件を不当に設定することなく定めることが可能になります。
(2)影響を受ける対象者とその範囲
EU内外を問わず、ほとんどの組織がAI規制法の適用範囲となるAIシステムを開発または利用しています。AI規制法が定義するAIシステムに関連するリスクや問題に対処するための実施期間が短いことを考えると、組織は、開発・導入しているAIシステムとAI規制法の要件にどのように適合するかを深く理解する必要があります。
- 対象者
|
- 適用外となる範囲
|
(3)組織内における影響
コンプライアンス、データガバナンス、AI技術の開発・導入・利用を管理する経営幹部は、AI規制法によってその役割と責任により影響を受ける可能性が高いと言えます。上級職だけでなく、取締役会やさまざまなガバナンス委員会も、AI規制法の影響を受ける可能性があり、認識と知識を深めるべきです。AIの幅広い定義と現在の普及ペースを考えると、組織は全体的なアプローチを採る必要があり、上級経営幹部はAI規制法を遵守するために、AIシステムの目的意識を持ったイノベーションと開発、リスク管理、ガバナンスに協力して取り組むべきでしょう。
(4)施行の流れと罰則
欧州委員会(EC)は、人工知能委員会と専門家グループを設置することで、AI提供者の要件を実施する体制を提案しています。両者はEUレベルに位置付けられ、以下の責任を負います。
|
各加盟国は、規制の実施を確保し、その活動の客観性と公平性を守るために、国内所轄庁を設置または指定することが期待されています。
EUが提案している規制は、AIを利用するすべての組織に多大な影響を及ぼします。コンプライアンス違反の影響は、市場アクセスの制限から、コンプライアンス違反のレベルに応じた多額の罰金にまで及ぶ可能性があります。罰金の範囲は3,500万ユーロまたは全世界の売上高の7%から、750万ユーロまたは全世界の売上高の1.5%になります(違反の程度と企業の規模により異なります)。
【AI規制法の立法の過程】
(5)適用時期
AI規制法に概説されている義務のほとんどは、2026年前半までに適用される見込みです。禁止事項は2024年末までに発効し、汎用AI(GPAI)に関する義務は早ければ2025年に適用されると予想されています。GPAIとは、画像や音声認識、音声や映像の生成、パターン検出、質問応答、翻訳などの、意図的・非意図的を問わない、幅広い用途が考えられる、一般的に適用可能な機能を実行するAIシステムを指します。これらのシステムは、リスクの高いAIシステムとして利用されることもあれば、他のリスクの高いAIシステムの構成要素として組み込まれることもあります。
2.AI規制法の主な構成要素
AI規制法は、人工知能を明確に定義し、EU全体の整合性と他のEU法、および規制との一貫性を持つことを目的とした包括的な文書です。同法の第一の目標は、AIシステムの導入を促進するための統一的かつ水平的な法的枠組みを確立するとともに、その有害な影響に対する高水準の保護を提供することにあります。この枠組みは、AI技術に対する信頼を築き、個人と組織がAIを利用することに大きな自信を与えるのに役立ちます。
(1)人工知能の定義
AI規制法は、更新された経済協力開発機構(OECD)の定義に由来し、AIシステムの広範な定義を適用しています。AI規制法の条文はまだ公開されていませんが、OECDの定義は以下のとおりです。
| “AIシステムとは、明示的または暗黙の目的のために、現実的または仮想的な環境に影響を及ぼす可能性のある予測、コンテンツ、推奨事項、意思決定などの出力を生成する方法を受け取った入力から推測する機械ベースのシステムである。AIシステムによって、導入後の自律性と適応性のレベルは異なる。” |
この定義は、シングルユースのケースに焦点を当てた単純な技術やシステムから、ディープラーニングや生成AIの高度なアプリケーションまで全領域をカバーするため、幅広い定義となることを意図されています。その結果、AI規制法の適用範囲は(当初予定されていたよりも)大幅に広がりました。AI規制法に定義された適用範囲は前述のとおりで、軍事や防衛目的で使用されるAIシステムには適用除外があり、フリーウェアでオープンソースのシステムには限定的な適用除外が設けられています。
(2)AIリスクのフレームワークと要件
AI規制法は、AIに関連するリスクを理解するためのフレームワークを定義しています。AI規制法は、AIシステムを潜在的なリスクに基づいて分類し、AIシステムが取得するデータ、およびそのデータを用いて行われる意思決定や行動によって異なるカテゴリーに分類しています。
EUの義務は、使用されるAIのカテゴリーによって異なります。その背景に関する合意は得られているものの、規制の最終文書はまだ得られていません。ここからは、公的に入手可能な情報に基づいて、AI規制法で規定されている義務を要約します。
【AI規制法のリスクベースアプローチ】
A.許容できないリスクのあるAIシステム
- どのAIシステムが対象となるのか?
行動操作や搾取、社会的統制を可能にするAIシステムは、許容できないリスクをもたらすと考えられています。このカテゴリーでは、以下を目的としたAIを禁止しています。
|
- このカテゴリーに関する義務とは?
B.高いリスクのAIシステム
- どのAIシステムが対象となるのか?
安全や基本的権利に悪影響を及ぼすAIシステムはリスクが高いとみなされ、次の2つのカテゴリーに分類されます。
|
これらには以下のようなシステムが含まれます。
|
ほとんどの組織は、採用目的のAIなど、リスクの高いAIシステムを利用しています。欧州委員会(EC)は、委託法令を通じ、高リスクのAIシステムのカテゴリーにさらに使途を追加できることにも留意する必要があります。この点については、本稿の「次のステップ 」の項で詳しく述べます。
- このカテゴリーに関する義務とは?
|
リスクの高いAIシステムは、AI規制法の要件に適合しているかを判断する適合性評価手続きの対象となります。提供者が市場に出す前の最終段階として、適合宣言書に署名し、AIシステムにEUの基準適合を満たすことを確認するCEマークを付けなければなりません。このような基準の具体的な内容はこれから明確にされる予定です。AIシステムが市場に出回ると、販売後の監視義務が適用されますが、これには、リスクの高いAIシステムの重大なインシデントや不具合に関連する市場監視当局への報告も含まれます。
【事業者の義務について】
公共機関や、銀行、保険会社、病院、学校など、必要不可欠なサービスを提供する民間団体を含む、リスクの高いAIシステムを導入する事業者は、責任ある利用を確保するための具体的な義務を負います。これらの義務には以下が含まれます。
|
輸入業者と販売業者は、高リスクのAIシステムを市場に導入する前に、遵守状況の検証、関連情報の文書化、提供者や市場監視当局とのコミュニケーションに関与する責任を共有します。
【汎用AI、基盤モデル、生成AIについて】
- どのAIシステムが対象となるのか?
汎用AI(GPAI)と基盤モデルは、当初の提案では定義されていませんでしたが、AIシステムがさまざまな目的を果たしたり、他のリスクの高いシステムに統合されたりする状況に対応するため、現在のバージョンには含まれています。
汎用AI(GPAI)システムは、画像・音声認識、音声・動画生成、パターン検出、その他のアプリケーションなど、一般的に適用可能な機能を実行することを目的としています。よく知られている例としては、ChatGPTやDall-Eなどの生成AIアプリケーションがあります。
AIの基盤モデルは、大規模なデータに基づいて学習され、出力の汎用性を考慮して設計されており、幅広いタスクに適応できます。よく知られている例は、最新のChatGPTの基盤モデルであるGPT-4が挙げられます。
- このカテゴリーに関する義務とは?
このカテゴリーのAIシステムを個別に規制する根拠は、サプライチェーンの力学にあります。基盤モデルは、下流のAI「提供者」や、具体的なアプリケーション用のモデルのためにこれらのモデルを再利用するAI「利用者」にとって重要な供給源であり続ける可能性が高いと言えます。このような川下の関係者は、基盤モデルの提供者に対するコントロールと交渉の立場に欠けているため、これらのモデルの提供者は、規制上の責任の一定割合を担うことが、この法律の下で要求されています。これについては、本稿の「次のステップ」の項で詳しく述べます。
C.限定的なリスクのAIシステム
- どのAIシステムが対象となるのか?
個人との対話やコンテンツの生成を目的としたAIシステムのなかには、必ずしも高リスクに該当しないものもありますが、なりすましやごまかしのリスクを伴うものも存在します。これらには、ほとんどの生成AIシステムの出力が含まれており、以下のAIシステムがこのカテゴリーに含まれます。
|
- このカテゴリーに関する義務とは?
|
D.最小限のリスクのあるAIシステム
- どのAIシステムが対象となるのか?
AI規制法はこのカテゴリーを定義していません。AI対応のビデオゲームやスパムフィルターなど、他のカテゴリーに含まれないAIシステムが含まれます。
- このカテゴリーに関する義務は何か?
3.次のステップ
組織は積極的にコンプライアンスの準備を始めることができます。
第1のステップは、組織内の適切な人材が、来るべき規制要件に向けた準備をできるだけ早く開始することです。早期の取組みにより、AIのライフサイクル全体における要件とその影響を理解するための時間が確保できます。AI規制法は、法務、プライバシー、データサイエンス、リスク管理、調達専門家など、さまざまな役割を定めているため、AI規制法の遵守を担当する多くの専門分野にわたるタスクフォースは、あらゆる専門知識を網羅する必要があります。
第2のステップは、組織内で開発または利用されているAIシステムを包括的に理解し、AI規制法で定義されたリスクレベルに基づいて分類することです。AIシステムのいずれかが、最小限のリスク、高いリスク、許容できないリスクに分類される場合、2026年までに、許容できないリスクのあるAIシステムについては、より早期にプロセスや業務に大幅な変更を求められる可能性があります。必要な組織改革を実施し、新しい法的枠組みが施行されたタイミングでのタイムリーな遵守のためには、できるだけ早く何をすべきかを明確に計画することが極めて重要です。
以下に、現在の規制への持続的なコンプライアンスとAI規制の展望における将来の展開を確実にするため、組織が直ちに、そして長期的に実施できる主要なアクションリストを提示します。
(1)短期的な主要行動
A.適切なガバナンスを定義する
- AIシステムのリスクレベルを特定するためのポリシーを定める
AI規制法に概説されているリスクカテゴリーに基づき、AIシステムをどのように分類するかを決定します。AI規制法で禁止されているAIシステムや高いリスクのAIシステムのリストが拡大される可能性があることは注目に値します。コストのかかる是正を避けるために、ポリシーはこれらのカテゴリーの背景にある法的根拠を考慮する必要があります。
|
- ステークホルダーの期待値を管理する
各利害関係者グループのために継続的なコンプライアンスを管理するうえで、企業がAI規制法の要件にどのように取り組み、どのように期待と要件を述べるかについて、顧客やパートナーを含むすべてのステークホルダーと透明性を持ってコミュニケーションを行う必要があります。
- AIガバナンスの枠組みを導入(または改善)する
一貫性と拡張性を確保するために、AI規制法の要件、およびその他の新たな規制と整合させ、AIシステムの開発、導入、および保守のための標準とベストプラクティスを導入します。ここでもコンプライアンスマッピング、義務の追跡、ワークフローなど、さまざまな側面を管理する自動化ソリューションの活用が役立ちます。
- 持続可能なデータ管理の確立
長期的なデータ品質、セキュリティ、プライバシーを保証する強固なデータガバナンスフレームワークを導入し、維持します。これにより、将来の技術、および規制の変化に迅速に対応することができます。
B.リスクを知る
- AIリスクの優先順位付けと適切な管理
AIシステムが社内外の人々、一般市民、組織、利害関係者、エコシステム全体に対して内外にもたらすリスクを理解します。これには、基本的権利の影響評価とシステムリスク評価の対象範囲への理解が含まれます。適用される法律、規制、およびデータプライバシーやセキュリティを含む業界のグッドプラクティスに準拠するよう、データの取扱方法を見直し、必要に応じて更新します。
- 現在のAIの状況を把握し、分類する
既存のAIシステムとユースケースをレビューし、AI規制法への準拠が必要な高リスクのシステムを特定するための分類を行います。アンケートの自動収集やワークフロープラットフォームのような、自動検出や自動識別ソリューションを活用することは、遵守義務のサポートとマッピングに必要な検出、一覧表、クラス分けの作業を迅速化するのに役立ちます。
- ギャップ分析の実施
コンプライアンス違反の領域を特定するために徹底的なギャップ分析を実施し、これらのギャップに対処するための行動計画を策定します。この分析は、確立されたガバナンスフレームワークやAI規制法の遵守義務に対して、自動化、または迅速なAI評価アプローチを用いて促進させることができます。
- AIシステムを徹底的にテストする
AIシステムが意図したとおりに作動することを確認します。AI規制法は、テストに使用できる規制上のサンドボックスを設けています。自動化された脅威検知、分析、インテリジェンスソリューションを活用することで、AI規制法で概説されているテスト、および技術文書の要件をサポートするために必要な作業を大幅に削減できます。
- サードパーティのリスク管理プロセスを定義する
サードパーティのリスク評価を強化し、AI特有の考慮事項をカバーします。組織がより具体的なアプリケーションを開発するために基盤モデルを使用している場合、それらの提供者がAI規制法をどのように遵守するつもりであるかを継続的に監視する必要があります。自社のリスクとその下流への影響を管理できるようにするために、どのような技術文書を提供するかを決定します。そのような提供者は、GPAIモデルが評価したリスク以外の目的での使用を避けるため、「利用規約」のポリシーをより厳格にする可能性が高いでしょう。
C.スケールの大きなアプローチを必要とする行動を開始する
- システム管理と評価の自動化
AIシステム管理プロセスを最適化、自動化、合理化し、モデルの透明性、説明可能性、信頼性を確保します。自動化を活用して、AIシステムとアプリケーションのメタデータから技術的メトリクスとデータを抽出し、ガバナンスフレームワークにマッピングすることで、自動化されたコンプライアンスと管理プロセスを実現します。
- 文書化と記録
AIシステムが文書化され、AI規制法に準拠していることを確実にするため、適切な文書化プロセスが実施されていることを確認する文書の保管・管理システムを確立します。
- AIの倫理とコンプライアンスについて従業員を教育する
AIシステムの法的・倫理的意味合いと使用目的について従業員を教育し、新たな責任とコンプライアンスに対応できるようにします。
- 消費者利用規約
AIシステムを消費者に使用させる場合、以下の点を考慮する必要があります。
|
(2)中長期的な主要行動
A.規制がビジネスに与える影響を予測する
- 透明性を通じて消費者との信頼を構築
AI運用における透明性を確保し、社会的信頼を構築・維持することで、AIソリューションの長期的な実行可能性と受容を確保します。
- 規制の変化に戦略的に対応する
将来のAI規制法の改正を見越しつつ、進化するAIの規制状況にビジネス戦略を合わせます。
- 協働とオープンな対話を続ける
将来の規制動向に影響を与え、その先を行くために、AI規制に関する業界の議論や政策決定プロセスに参加します。
B.倫理とガバナンスを発展させる
- AI倫理とガバナンスへの長期投資を優先する
規制の要件に従ってAIの実行を継続的に監視・指導するために、AI倫理とガバナンスの専門チーム、または部署を設置します。
- 継続的なAIリテラシーと研修プログラムを持続させる
組織全体のAIリテラシーを向上させ、倫理的なAI利用とコンプライアンスといった文化を醸成するための長期的な研修プログラムを開発します。
C.イノベーション、デザイン、コントロールの領域に信頼できるAIを組み込む
- 倫理的境界のなかでイノベーションを起こす
倫理的な境界線と規制要件を尊重し、技術的進歩と社会的責任のバランスを保ちながら、イノベーションを起こす環境を醸成します。
- 信頼できるAIとセキュリティを設計によって実装する
設計段階で信頼されたAIとAIセキュリティを含むように、AIシステムの構築を適応させます。
- AIシステムを定期的に監査し、更新する
継続的なコンプライアンスの確保と、AIの透明性と説明可能性の進化を統合するために、AIシステムの定期的な見直しと更新を実施します。
KPMGの支援
KPMGは、AIが持つ変革の力を信じ、それが人間の専門知識、創意工夫、効果的なリスク管理と組み合わされて初めてその可能性を最大限に発揮できると信じています。
AI規制法の多くの側面は、特にAIアプリケーションのテスト、透明性、説明可能性のための技術文書という点において、組織自らが実施し対処することは困難であると言えます。この課題にさらに拍車をかけるのは、すべてのAIアプリケーションには独自のビジネスプロセス、影響、リスクが伴うということです。
KPMGのプロフェッショナルは、クライアントのコンプライアンスジャーニーを合理化し、AI規制法の課題に適応できるよう支援します。KPMGのチームは、クライアントのAIガバナンス、マネジメント、モニタリングプログラムを運用し、規模を拡大することができます。また、過去のエンゲージメントから得た重要な学びや、KPMG自身のAI自動化の道のりを共有することで、プロセスやポリシーの改善に役立てることができます。
本稿は、KPMGインターナショナルが2024年2月に発表した「Decoding the EU Artificial Intelligence Act」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
