欧州AI規制法(以下、EU AI Act)の事業への影響を特定し、リスクに応じた効果的な規制への対応を支援します。
期限の迫るAI規制への対応
昨今、AI技術の発達と、産業界における積極的な利活用が急激に進んでいるなか、各国においてAIを規制する動きも欧州をはじめ多く見られます。2024年8月には欧州においてEU AI Actが正式に発効され、世界初の包括的なAI規制として注目を集めています。
EU AI Actは、事業活動におけるAIリスクへの対処およびAIに対する導入・投資を目的としており、その概要は以下のとおりです。特筆すべきは適用対象・範囲が広域であり、罰則も高額に設定されていることから、日本企業としても規制対応の検討は避けられない状況です。
| 適用対象 | AIシステム
|
|---|---|
| 適用範囲 |
|
| 罰則 |
|
EU AI Actは、原則2026年8月から適用開始されますが、一部の規定に関しては適用開始日が早期に設定されています。特に利用禁止AIシステムに関する規定は2025年2月、またGPAI※に関する規定は2025年8月から順次、適用開始になるため、その期限を意識した段階的な対応が望まれます。
※GPAI:画像や音声認識、音声や映像の生成、パターン検出、質問応答、翻訳などの、意図的・非意図的を問わない、幅広い用途が想定される、一般的に適用可能な機能を実行するAIシステム
多岐にわたる要求事項
EU AI Actにおいて、企業はAIシステムとのかかわり方(事業者としての立場)に応じて異なる区分に分類されます。特に提供者と利用者に対しては厳格な義務が課せられています。
| 事業者 | 定義 |
|---|---|
| 提供者(Provider) | AIシステム、または汎用目的AI(GPAI)を開発する、または開発させる者 |
| 輸入業者(Importer) | AIシステムをEU市場に輸入する者 |
| 販売業者(Distributor) | AIシステムをEU市場で利用可能にする者で、提供者および輸入業者に該当しない者 |
| 利用者(Deployer) | 事業にAIシステムを利用する者 |
また、EU AI Actではリスクベースのアプローチを採用しており、対象となるAIシステムのリスクレベルに応じて、企業として果たすべき義務が異なります。
KPMGによる欧州AI規制法(EU AI Act)対応支援
上記で述べたように、EU AI Actへの対応は、事業者としての立場とAIシステムのリスクによって変わるため、企業グループとしては各社における対応の必要性を評価し、対応事項を整理したうえでプロジェクトを進めることが求められます。
KPMGによる欧州AI規制法(EU AI Act)対応支援では、以下の規制対応における各プロセスを通じて伴走的にサポートします。
1.適用対象となるAIシステムの棚卸
規制の適用対象となる「AIシステム」の定義に基づき、企業グループ内の欧州域内におけるAIシステムを含む製品・サービスの提供状況、業務でのAI利活用状況等を洗い出します。
2.事業者としての立場の判断
規制要件に照らして、自社がEU域内におけるAIシステムの提供者や利用者など、どの事業者に該当するかを判断します。
3.リスクレベルの判定
規制で定義されたリスクの基準をベースに、各AIシステムの利活用状況を踏まえ、リスクレベルを判定します。
4.義務への対応
適用事業者としての立場およびAIシステムのリスクレベルに応じて、規制で求められる義務に対して個別に対策を検討し、実装します。
以下では、提供者および利用者の主な義務について記載しております。
| システム | 提供者の義務 | 利用者の義務 | 施行タイミング |
|---|---|---|---|
| 利用禁止AIシステム |
| 2025年2月 | |
| GPAI |
| - | 2025年8月 ※すでにEU市場に投入されている製品・サービス場合は2027年8月 |
| 高リスクAIシステム |
|
| 2026年8月 ※一部2027年8月 |
| 限定的リスクAIシステム |
|
| 2026年8月 |
| 最小限のリスク |
| 2026年8月 | |
5.持続的な運用改善
AIシステムの利活用に伴い上記の義務について運用することに加え、発生したインシデントやユーザーからの問い合わせ等についても、規制に従って対応を行います。
また、持続的な運用改善を図り、企業として整備した規定や導入した管理策の運用状況に対して、定期的にコンプライアンス状況を確認し、見直しを検討します。
