AI法

テンプレート:Pathnavbox テンプレート:Law テンプレート:Infobox EU legislation AI法 (エーアイほう、別称: AI規則テンプレート:Sfnテンプレート:Sfn、テンプレート:Lang-en-short)テンプレート:Efn2は、欧州連合（EU）による世界初の人工知能（AI）に関する包括的な規制法であるテンプレート:Sfnテンプレート:Efn2。AI法は信頼性の高いAIの導入を促進しつつ、有害リスク度に応じて (1) 許容できないリスク、(2) 高リスク、(3) 限定的なリスク、(4) 最小限のリスクの4レベルに分類して異なる規制や義務を課すテンプレート:Sfnテンプレート:Sfn。違反時にはレベルごとに異なる制裁金が科されるテンプレート:Sfn。

またリスク分類とは別に、「汎用AIモデル（テンプレート:Lang-en-short、略称: GPAI）」を対象とした特別規定もAI法では追加で設けているテンプレート:Sfn。AI法の立法過程では、汎用AIモデルの代表例としてChatGPTやGemini（旧名: Bard）といった生成AIが欧州議会から名指しされテンプレート:Sfn、差別や偽情報といった有害コンテンツの生成や、個人情報の不適切な取扱などの懸念が呈されているテンプレート:Sfn。

仮に日本や米国などのEU域外で設立された団体や他国民が開発したAIでも、それがEU域内に輸入されて販売・利用されればAI法の規制対象になる (いわゆる域外適用)テンプレート:Sfn。ただし、軍事・防衛や科学研究に特化したAIなど、一部条件に合致するAIは同法の規制対象から除外されているテンプレート:Sfn。

AI法は禁止事項や義務を規制当局からトップダウンで示すだけでなく、AIに従事する事業者が行動規範 (テンプレート:En)テンプレート:Sfnテンプレート:Sfnや実践規範 (テンプレート:En)テンプレート:Sfnテンプレート:Sfnを自律的に定めて運用していくボトムアップのアプローチも併用している。またEU基準に適合したAIには民間非営利団体からCEマークが付与され、安全性が可視化されるテンプレート:Sfn。EUの行政執行機関である欧州委員会内にAIオフィスが設置されており、こうした官民連携の調整・推進役を担っているテンプレート:Sfn。

AI法は2024年8月1日に発効しテンプレート:Sfn、条文ごとに段階的に適用を開始するテンプレート:Rテンプレート:Sfn。(1) 許容できないリスクのAIシステムは2025年2月2日に原則禁止となるテンプレート:Efn2。

以下のとおり、AI法では「何」(システムの種類) および「誰」(AIに携わる者の種類) を規制対象に含めるのかを分類している。

なお、立法過程では当初法案から数千か所に修正が加えられておりテンプレート:R、AI「法案」を解説した文献は古い条文案に基づいていて正確性を欠く可能性があるため、参照時には留意が必要である。

テンプレート:Tree list

• システム全般
  • AIシステム
    • AI法における規制対象内
      • Weak or Narrow AI (ANI)
      • Strong or General AI (AGI)
        • 汎用AIモデル (テンプレート:En、略称: GPAI)
          • システミックリスク (テンプレート:En) を有するGPAI
          • システミックリスクを有さないGPAI
    • AI法における規制対象外
  • AI以外の一般的なソフトウェア

テンプレート:Tree list/end

AI法が想定するAIと一般的なソフトウェアの相違点であるが、自律的な動作や予測・推奨コンテンツの生成といった特徴が挙げられテンプレート:Sfnテンプレート:Sfn、このようなAIの要件定義は国際機関の経済協力開発機構 (OECD) で用いられているものと類似しているテンプレート:Sfn。

AIシステム全般に対し、4段階のリスク度に応じた規制・義務をAI法では規定している。AI法ではこれを「リスクベースアプローチ」と呼んでいるテンプレート:Sfnテンプレート:Sfn。汎用AIモデル (GPAI) は5つ目のリスク分類ではなく、4段階のリスク分類とは別軸で捉えられているテンプレート:Sfn。

テンプレート:Clearleft

汎用AIモデルとは何かについて、AI法の立法者である欧州議会でさえも「確固とした定義はない」とことわりを入れているテンプレート:Sfn。その上で、アルゴリズムやその背景にある理論上の観点から "Weak or Narrow AI" (ANI) と "Strong or General AI" (AGI) にAI全般を二分しているテンプレート:Efn2。特定目的に特化したAIであるANIとは、たとえば画像認識や音声スピーチ認識といった、特定の目的に沿ってデータを処理するAIシステムであるテンプレート:Sfn。一方、多用途で影響力の大きいAGIは、たとえば自然言語 (プログラミング言語ではなく人々が日常的に会話や文書で使用する言語) で記述された大量のデータを読み取るだけでなく、ディープラーニング (深層学習) 技術によって文脈なども理解できる大規模言語モデル (LLM) などを備えており、こうした革新的な技術を用いている点でANIとは異なるテンプレート:Sfn。換言するとAGIとは、人間の知的なタスク処理を代行しうるシステムを指すテンプレート:Sfn。

こうした高度なタスク処理が可能なAGIのうち、特にテキスト文書やイメージ画像、動画などのコンテンツを生成できる能力を持つものを、AI法では「汎用AIモデル」と呼んでいるテンプレート:Sfn。欧州議会では汎用AIモデルの例として、ChatGPT (Microsoft社と提携関係にある団体OpenAIが開発) やGemini (旧称: Bard、Google傘下による開発) の名前を挙げているテンプレート:Sfn。このような汎用AIモデルは、さまざまなシステムやサービスの基礎・基盤としての重要な役割を担う一方でテンプレート:Sfn、倫理的・社会的な問題を引き起こすリスクが懸念されているテンプレート:Sfn。たとえば、人種差別や暴力、レッテル張りするようなコンテンツの生成、個人情報や機微情報の取扱不備、偽情報や詐欺情報の生成といった問題が具体的に挙げられるテンプレート:Sfn。

なお、AI「システム」とAI「モデル」は別個の概念としてAI法では用語を使い分けている。AIモデルはAIシステムに統合され (組み込まれ) た形で用いられるテンプレート:Sfn。そのためシステム開発プロセスの概念上はモデルが川上、システムが川下 (テンプレート:En) の位置づけになっているテンプレート:Sfn。

以下、AIシステム別の定義や義務、規制行為を解説する。

許容できないリスク (テンプレート:Lang-en-short) のあるAIは重大な危害を与えうるためテンプレート:Sfn、AI法 第5条第1項に基づいて禁止されるテンプレート:Sfn。同条項の (a)号から (h)号で禁止される利用方法が具体的に列記されているテンプレート:Sfnテンプレート:Sfn。うち (e)号から (h)号の4項目は生体データ関連であるテンプレート:Sfn。

• (a)号: サブリミナル技術 - AI法の前文 (29) によると、音声または画像、映像を人間が意識的に知覚できない方法で表示させる、あるいは人の自律的な意思決定を歪める欺瞞的な技術を指すテンプレート:Efn2。
• (b)号: 脆弱性の悪用 - 特定の年齢層、障害の有無、社会経済的地位といった個人ないし集団の特徴を悪用し、重大な損害などを与えうるシステムテンプレート:Sfnテンプレート:Sfn
• (c)号: ソーシャルスコアリング - ソーシャルスコアリングとは、個人の日常生活の言動が監視され、社会全体にとってどの程度有益か社会信用がスコア (数値) で評価される仕組みであるテンプレート:R。AI法では、社会的行動や人格的特徴に基づいて人々を不当にランク付けするAIシステムのうち、特に分析データの元の文脈と乖離している、あるいはスコアリングによって不当・不公平な影響をおよぼすものを禁じるテンプレート:Rテンプレート:Sfnテンプレート:Sfnテンプレート:Efn2。
• (d)号: 犯罪予測 - 犯罪捜査で用いられるプロファイリングなどによって、個々人が犯罪を犯すリスクを評価・予測するシステム (ただし犯罪に直結する客観的事実に基づいた人物評価の場合を除く)テンプレート:Sfnテンプレート:Sfn
• (e)号: 顔画像のスクレイピング (データ収集・抽出) - インターネットあるいは監視カメラ (CCTV) から無差別に顔画像を収集して作成されたデータベーステンプレート:Sfnテンプレート:Sfn
• (f)号: 感情推測 - 職場ないし教育機関で用いる場合は原則禁止 (ただし、治療目的といった医療上ないし安全上の理由を除く)テンプレート:Sfnテンプレート:Sfn
• (g)号: 生体分類 (属性推定システム) - 人種、政治的意見、労働組合への加入、宗教・思想上の信条、性生活・性的指向を推測するシステムテンプレート:Sfnテンプレート:Sfn
• (h)号: リアルタイム・リモート生体識別 (略称: RBI) - 警察などの法執行機関によるAI常時監視システムは原則禁止 (ただし行方不明者の捜索やテロ犯罪組織の容疑者の位置特定といった深刻な状況下は特例として除外するテンプレート:Efn2)テンプレート:Sfnテンプレート:R

(a)号の欺瞞的なサブリミナル技術と (b)号の脆弱性の悪用については、情報法専門家による欺瞞的な (人を欺くような) システムデザインの観点からの論考がある。AI法成立以前にも欺瞞的なデザインは存在し、「ダークパターン」(テンプレート:En) の総称で知られていたテンプレート:Sfn。ダークパターンの身近な具体例を挙げると、航空チケット予約サイトで追加オプションサービスがデフォルトで選択されているようなウェブデザインである。オプションを希望しないユーザーの一部はこれに気付かずに購入してしまうテンプレート:Sfn。こうした表層的なユーザーインターフェース (UI) のテクニックだけでなく、専門家の知見と技術なしでは見破るのが非常に困難なシステムアーキテクチャー (システムの根本的な設計) におよぶ欺瞞的なデザインが問題視されているテンプレート:Sfn。

AI法以前は主に2つの側面からこうした欺瞞的デザインへの対応を試みてきた。まず消費者保護や悪徳商法取締の切り口から、2005年制定のテンプレート:仮リンク (略称: UCPD) をはじめとするテンプレート:仮リンクの改正であるテンプレート:Sfn。もう一つの切り口が、2016年制定のEU一般データ保護規則 (略称: GDPR 、Regulation (EU) 2016/679) による個人データ保護やテンプレート:Sfn、さらにユーザーの保護範囲を広げた2022年制定のテンプレート:仮リンク (略称: DSA、Regulation (EU) 2022/2065) であるテンプレート:Sfn。DSAの第25条(1)項はダークパターン対策が意識されており、ユーザーの自律的な意思決定を歪めるような欺瞞的デザインを禁じているテンプレート:Sfn。しかしDSAは条文の文言に曖昧さがあり、GDPRやUCPDといった他法と部分的に重複しうるテンプレート:Sfn。また日進月歩の欺瞞的デザインに対し、「オンライン・プラットフォーム」にしか適用されないDSAはどこまで有効なのか、疑問も呈されているテンプレート:Sfn。

一方AI法の第5条は、不公正取引慣行指令やDSAの第25条だけではカバーしきれないタイプの欺瞞的なデザインにも対応しうると考えられているテンプレート:Sfn。その一つが、アルゴリズムに深く根差した欺瞞的デザイン (テンプレート:En) である。このタイプはたとえば、過去履歴に基づいてユーザーごとにカスタマイズしたコンテンツ表示されるアルゴリズムによって、無意識のうちに偏った情報にばかりユーザーが触れてしまう「エコーチェンバー現象」が問題視されているテンプレート:Sfn。もう一つのタイプが、システム依存を起こす欺瞞的デザイン (テンプレート:En) である。その特徴として「ネットワーク効果」があるテンプレート:Sfn。ネットワーク効果とは、SNSのようなデジタル・プラットフォームがひとたび多くのユーザーを獲得すると、既存ユーザーが新規潜在ユーザーを呼び込む、あるいはオンラインショッピングのように新規出店者を呼び込む現象であるテンプレート:Sfnテンプレート:R。その結果、魅力的な代替サービスが新たに登場しても乗り換えづらくなってさらにユーザー数が増える連鎖現象が確認されているテンプレート:Sfn。

(c)号のソーシャルスコアリングもAIとの親和性が高い。これはAIが人の顔認証や言動分析に長けていることから、スコアリングに必要な監視データの解析に利用できるためであるテンプレート:R。低スコアの評価が下された個人は、利用できる教育機会や医療サービス、公共財に制限がかかるといった使い方が想定されるテンプレート:R。ただし倫理面で問題を抱えていることから、ソーシャルスコアリングの制度を導入しているのは世界的にも中国政府のみの状況であるテンプレート:R。

ところが社会全体ではなく、よりミクロなレベルで見るとたとえば配車サービスの米系企業Uberはトラブルのあった利用客をブラックリスト入りさせる仕組みを運用している。また米国ニューヨークでは、ソーシャルメディア上の言動を元に保険会社が保険加入者の保険料を個別設定する商慣行が認められている。こうしたミクロなレベルでは欧米諸国でもソーシャルスコアリングは行われているのが実態であるテンプレート:R。ソーシャルスコアリングにAIを活用するには、高い精度の監視データと解析能力が前提となるが、実際にはバイアスのかかったデータが混じったり、不当なスコアリング結果を出してしまう技術的な問題が指摘されている。これに対応すべくAI法第5条で不当なソーシャルスコアリングを行うAIが禁止されたテンプレート:R。

高リスク (テンプレート:Lang-en-short) なAIシステムは以下の2カテゴリーに分類されるテンプレート:Sfnテンプレート:Sfn。

• 第1カテゴリー【既存】: 身体などの安全性にかかわるリスク - AI法成立以前のEU諸法で安全面の観点から既に規制を受けていた製品。ここで言う「諸法」はAI法の附則 1 (Annex I) のSection AおよびBで計20本列記されており、玩具や船舶、エレベーターや医療機器などが規制製品対象に含まれる。これら諸法で「第三者による適合性評価義務の対象」と指定されている場合に限るテンプレート:Efn2テンプレート:Efn2。
• 第2カテゴリー【新規】: 基本的人権などにかかわるリスク - AI法成立で新たに規制を受ける領域テンプレート:Sfn。AI法の附則 3 (Annex III) で8領域が列記されているがテンプレート:Sfnテンプレート:Sfn、EU行政機関である欧州委員会による委任法令テンプレート:Efn2で別途、この8領域に追加・修正・削除が可能となっているテンプレート:Sfn。
  • 生体認証
  • 重要インフラの安全部品 (通信、交通、水道、ガス、電力など)
  • 教育・職業訓練 (教育機関などへの入学割当、学習評価、テスト中の監視など)
  • 労務 (人材選考採用、昇進・解雇・給与などの労務管理、職務分掌・役割分担の決定など)
  • 公共性の高いサービスの利用判断 (公的給付金の個人審査、クレジットカードの個人信用調査、生命保険や健康保険の保険料率個別計算、警察・消防・救急車などの対応優先度決定など)
  • 警察などの法執行 (犯罪被害者になるリスク評価、犯罪被疑者・再犯者の予測など)
  • 移民・亡命・国境管理 (不法移民のリスク評価、ポリグラフ (心拍や呼吸測定機) による移民・亡命審査など)
  • 司法手続および民主的手続 (司法当局による事実調査・法律解釈、選挙・住民投票に影響を与える行為など)

これらの領域にAIシステムが用いることは禁じられていない。しかしAIシステムの開発者や提供者にはリスク管理の手法文書化、リスク管理の組織体制構築、AIシステムの技術文書作成、AI学習データの品質管理、自動まかせにしない人的監視、異常検知と重大インシデントの当局報告、利用者がAIによる生成だと判別がつく透明性の担保といった義務が課される。具体的な義務は、AI法 第8条-第15条 (高リスクAIシステムが満たすべき要件)テンプレート:Sfn、第16条-第25条テンプレート:Sfn、第40条-第44条 (高リスクAIシステムの適合性評価手続)テンプレート:Sfn、第48条-第51条テンプレート:Sfn、第62条テンプレート:Sfn、第72条 (市販後モニタリング)テンプレート:Sfn、第73条 (インシデント報告義務)テンプレート:Sfnも参照のこと。EU域外の者が提供する場合はEU域内代理人を指定し、これらの義務遂行を委任する必要があるテンプレート:Sfn。

なお#立法の沿革で後述のとおり、AI法は当初法案から数千か所の修正が加えられており、特に高リスクAIシステム関連の条項は2023年12月9日合意のテンプレート:仮リンク (テンプレート:Lang-en-short、トリローグ) で加筆修正が多数加えられているテンプレート:Rテンプレート:Efn2。

限定的なリスク (テンプレート:Lang-en-short) のAIシステムの例として生成AI (ディープフェイク含むテンプレート:Sfn)、対話型AI (チャットボット)、感情認識システムなどが挙げられるテンプレート:Sfn。上述の (2) 高リスクではさまざまな義務が課されている一方、(3) 限定的なリスクでは利用者への透明化義務が課されているのみであるテンプレート:Sfn。ここでの「透明化義務」は第50条にて規定されており、チャットボットであればユーザーがAIとやりとりしていることが分かるようにするテンプレート:Sfnテンプレート:Sfn。コンテンツ生成型のAIであれば、生成された画像や動画に電子透かしを入れる、ニュース記事内で明記するなどの方法で、AIの使用有無がコンテンツ閲覧者に判別がつくようにするテンプレート:Sfnテンプレート:Sfn。

第50条の透明化義務以外では、第95条で自主的な「行動規範」(テンプレート:En) に基づく開発・運用を求めているテンプレート:Sfnテンプレート:Sfn(#行動規範で詳述)。

最小限のリスク (テンプレート:Lang-en-short) しかないAIは、具体例としてスパムフィルタが挙げられるテンプレート:Sfn。EUの行政機関である欧州委員会によると、大半のAIは (4) 最小限リスクに分類されるテンプレート:Sfn。このリスクレベルに該当するAIシステムは、原則として自由に利用が可能である。しかし (3) 限定的なリスクと同様、第95条の「行動規範」に基づく自主性が推奨されているテンプレート:Sfn(#行動規範で詳述)。

AI法の草案作成当初は「汎用AIモデル」(テンプレート:En、略称: GPAI) のリスクが十分に認識されていなかったことから、特別規定は盛り込まれていなかったがテンプレート:Sfn、法案提出から1年あまりが経過した後に欧州連合理事会が追加修正案を提出しテンプレート:R、その後も修正を重ねてテンプレート:R特別規定を設けることとなったテンプレート:Sfnテンプレート:Sfn。さらに汎用AIモデルのなかでも、「システミックリスク」(テンプレート:En) を有するものについては追加の特別規定があるテンプレート:Sfnテンプレート:Sfn。汎用AI「モデル」はAI「システム」とは異なるため、上述の4つのリスクレベルで分類されない。ただし汎用AI「モデル」が他のAI「システム」に組み込まれ、(2) 高リスクと判定された場合は、上述のリスクレベル別の義務も併せて負うことになるテンプレート:Sfn。

汎用AIモデル全般

汎用AIモデル全般に課される義務は第53条・第54条で規定されており、以下のとおりであるテンプレート:Sfnテンプレート:Sfnテンプレート:Sfn。

• 技術文書を作成し、最新の状態に更新 (文書に折り込むべき情報項目は附則11参照)
• 汎用AIモデルを組み込むAIシステムの提供者に対し、当該汎用AIモデルの能力と限界を周知する文書を提供 (文書に折り込むべき情報項目は附則12参照)
• EU著作権法、特にDSM著作権指令で定められたテキストおよびデータマイニング (略称: TDM) の適法要件を遵守
• 汎用AIモデルが学習に使用したデータについて、包括的な概要を文書化・公開 (AIオフィスが提供する記入テンプレートを用いる)
• EU域外が汎用AIモデルを提供する場合、域内代理人を指定

システミックリスク

システミックリスクを有する汎用AIモデルとは、学習に使用される計算能力が相当に高いことからテンプレート:Sfn、公衆衛生・安全・治安・基本的人権といった重要な領域に対してEU広域に影響をおよぼしうるもの (テンプレート:En) を指すテンプレート:Sfn。第53条第1項に基づき、以下の措置を「追加」で講じる義務を負うテンプレート:Sfn。

• モデル評価の実施
• リスク評価と軽減対策
• 重大インシデント発生時の当局報告と是正対応
• サイバーセキュリティ対策

何をシステミックリスクを有する汎用AIモデルに指定すべきかについては、第51条で「高い影響力」の基準が示されているテンプレート:Sfnテンプレート:Sfn。

• 第51条第1項の基準: 指標やベンチマークといった適切な技術ツール・方法論で評価
• 第51条第2項の基準: 学習に使用された累積計算量が浮動小数点演算 (FLOPS) で計測して${\displaystyle 10^{25}}$ (10の25乗) を超える場合

第1項については、EUの行政機関である欧州委員会が有識者などからの助言を受け、かつAI法の附則13 (Annex XIII) で定められた基準に基づいて、対象となる汎用AIモデルを指定できるテンプレート:Sfnテンプレート:Sfn。附則13にはモデルのパラメータ数、学習コストや学習時間の推定値といった技術的な定量指標のほか、登録ユーザー数といった社会的な影響度を測る指標などが挙げられているテンプレート:Sfn。また、AI提供者側 (事業者側) が上述の基準に該当すると自己認識した際には、2週間以内に欧州委員会に通知する義務を負うテンプレート:Sfn。

第2条ではAI法の適用対象から除外される要件を定めているが、そのうちAI法全般の義務・規制から除外されるものは以下のとおりである。

• 軍事、防衛または国家安全保障目的に特化したAI (これ以外の目的も兼ねるAIは含まない)テンプレート:Sfnテンプレート:Sfn
• 科学研究開発目的に特化したAIテンプレート:Sfnテンプレート:Sfn
• 研究・開発段階にあって、市場未投入・未稼働の状態にあるAIシステムまたはAIモデルテンプレート:Sfnテンプレート:Sfn
• フリー・オープンソース・ライセンスでリリースされているAIシステムのうち、リスクレベルが (3) 限定的ないし (4) 最小限に分類されるものテンプレート:Sfn。

つづいてAIシステムやAIモデルに従事する者のうち、「誰」がAI法の規制を受けるのかを述べる。第2条で対象者が列記されテンプレート:Sfn、各用語は第3条で定義されているテンプレート:Sfnテンプレート:Sfn。 テンプレート:Tree list

• AI従事者全般 (テンプレート:En、オペレーター)テンプレート:Sfn
  • AI提供者 (テンプレート:En、プロバイダー) - 法人・個人を問わずAIシステムやAIモデルの「開発」者。あるいは自らの名前・商標で市場に「投入」する、あるいは「稼働」させる者。有償・無償も不問テンプレート:Sfnテンプレート:Sfn。
    • AI提供者の代理人 (テンプレート:En) - AI提供者から書面で委任を受け、義務を代行する者テンプレート:Sfn。EU域外の者が高いリスクAIシステムないし汎用AIモデルを提供する場合、EU域内代理人の指定が必須テンプレート:Sfn。
  • AI導入者 (テンプレート:En、ディプロイヤー) - 自らの権限の下でのAIシステムの「利用」者。法人・個人は問わないが、あくまで個人的な目的であり職務以外の目的で利用する者は除くテンプレート:Sfnテンプレート:Sfn。
  • AI輸入者 (テンプレート:En) - EU域外のAIシステムをEU域内の市場に投入・提供する者で、EU域内に拠点を置く法人・個人テンプレート:Sfn。
  • AI販売者 (テンプレート:En、頒布者、ディストリビューター) - AIシステムの特性に影響を与えず、EU域内利用を可能にする者のうち、上述の提供者や輸入者以外の法人・個人テンプレート:Sfn。
  • AIシステムを組み込んだ製品製造者 (テンプレート:En) - その製品が製造者の名前・商標で上市しており、その製品の中にAIシステムが組み込まれている場合テンプレート:Sfn。

テンプレート:Tree list/end

「提供者」と「導入者」には十分な「AIリテラシー」が求められる (第4条)。ここでのAIリテラシーとは技術的知識や経験を有しており、適切な教育・訓練を受けており、AIシステムが使用される文脈に即した操作や使用ができる能力を指す。提供者や導入者はAIリテラシーを有する人員を確保しなければならないテンプレート:Sfnテンプレート:Sfn。ただし違反時の制裁金などは定められていないテンプレート:Sfn。

(3) 高リスクAIシステムを取り扱う場合、「提供者」は第16条から第25条などでテンプレート:Sfnテンプレート:Sfn、「導入者」は第26条・第27条でテンプレート:Sfnテンプレート:Sfnそれぞれ異なる義務が個別詳細に規定されている。高リスクAIシステムの提供者はたとえば、技術文書の作成やデータ管理の手順整備、ログの記録と重大インシデント発生時の報告体制の整備といった義務が課されるテンプレート:Sfn。上市前にはEU適合性評価手続を受け、CEマークを取得する必要があるテンプレート:Sfn(#適合性評価で詳細後述)。(3) 高リスクAIシステムの「提供者」に課される義務のうち、第23条と第24条は「輸入者」と「販売者」にも関係する。CEマーク、EU適合性宣言および使用説明書関連が第23条と第24条であるテンプレート:Sfn。一方、高リスクAIシステムの導入者は、たとえば自動まかせにしない人的監視体制の構築や、使用説明書に沿った利用などが義務として規定されているテンプレート:Sfn。

汎用AI「モデル」については、AI「システム」ではないことから、主に提供者の義務が定められているテンプレート:Sfn。

以下の者がAIシステムを利用する場合は、AI法で定められた規制や義務が適用されない。

• EU域外の公的機関や国際機関が、EUないしEU加盟国に対して法執行や司法の国際協力の目的で利用する場合テンプレート:Sfn
• 職務に関連しない、ごく個人的な目的でAIシステムを利用する個人テンプレート:Sfnテンプレート:Sfn

(2) 高リスクAIシステムおよび汎用目的AIモデルの一部は、AI法が定める「適合性評価手続」(テンプレート:En) を踏まなければならないテンプレート:Sfnテンプレート:Sfn。ここでの「適合性」とは欧州基準のサイバーセキュリティ対策などが適切にとられていることを表す (AI法前文 (78) 参照)。

EUの行政機関である欧州委員会は、欧州標準化委員会 (略称: CEN) や欧州電気標準化委員会 (略称: CENELEC) といった非営利の欧州標準化団体に適合性の基準 (つまりAI業界規格) を定めるよう要請する権限を有するテンプレート:Sfnテンプレート:Sfn。CENやCENELECが定めた規格に適合した場合、CEマーク (CE適合性マーク) がAIシステムに付与されるテンプレート:Sfn。CEマークはAI以外にも幅広く用いられている認証マークの仕組みであり、玩具や医療機器の安全性担保やエコデザインなどの環境負荷軽減対策など、さまざまなEUの法令に対応しているテンプレート:R。AIシステムの特性に応じ、自己評価で適合性評価を行ってもよいケースと、適合性評価機関による第三者認証を求めるケースがあるテンプレート:Sfnテンプレート:Sfn。

AI法では2つの「規範」が規定されている。

1つ目が汎用AIモデルを対象とした実践規範 (テンプレート:En) である (第56条)テンプレート:Sfnテンプレート:Sfn。AI法では実践規範の内容は規定されておらず、欧州委員会内に設置されたAIオフィスの指揮の下、汎用AIモデルの提供者とEU加盟各国の所轄機関を招待して実践規範を策定することが奨励されているのみであるテンプレート:Sfnテンプレート:Sfn。また市民社会組織、産業界、学界並びに川下提供者や独立専門家などから実践規範策定の支援を仰ぐことができるテンプレート:Sfnテンプレート:Sfn。欧州委員会はAI法の発効から3か月後の2024年11月、30ページ以上にわたる実践規範の草案初版を公開したテンプレート:R。

2つ目は限定的リスクおよび最小限リスクのAIシステムを対象とした行動規範 (テンプレート:En) である (第95条)テンプレート:Sfnテンプレート:Sfn。これはAI法 第3章第2節 (第8条から第15条) で具体的に定められた高リスクAIシステムに求められる義務を、それ未満のリスクシステムにも事業者が自主的に守るよう促す目的で策定されるものであるテンプレート:Sfnテンプレート:Sfn。AIオフィスと欧州AI委員会 (テンプレート:En、略称: EAIB) の指揮の下、行動規範の策定参加者は提供者だけでなく導入者も加わり、外部専門家や利害関係者からも助言支援を仰ぐことができるテンプレート:Sfnテンプレート:Sfn。欧州AI委員会はEU加盟各国から1名代表を出して構成される会議体であり、テンプレート:仮リンク (テンプレート:En、略称: EDPS) もオブザーバー参加するテンプレート:Sfnテンプレート:Sfn。

AIを積極活用するデジタル・プラットフォームは複数のプレイヤーが複雑に連携しあって構築・運営されていることから、政府がルールを設定し、事業者がそれを遵守し、ユーザー個人はその恩恵を受け身の姿勢で待つという従来型のトップダウン的なガバナンス構造では、対応スピード面で限界に達しているとの識者見解もあるテンプレート:R。AI法の実践規範や行動規範のように事業者が自主的に策定に関与して、安全なAIの普及をボトムアップ的に促進するアプローチの必要性は、先進7か国首脳会議 (G7) でも2023年の広島サミットで議論されておりテンプレート:R、後に具体化されて「広島AIプロセス国際行動規範」の名称で文書化がなされているテンプレート:R。

AI法の第12章 (第99条から第101条) が罰則規定になっている。違反の場合はレベルごとに異なる罰則を設けており、最大で3,500万ユーロ (2024年時点で約56億円相当テンプレート:Sfn)、あるいは年間世界売上高の7％相当のいずれか高い方の金額が制裁金として科される (大企業の場合)テンプレート:Sfnテンプレート:Sfn。ただしAI法が定めるのは制裁金の上限であり、実際の金額はEU加盟各国が決定するテンプレート:Sfn。

#段階適用で後述のとおり、AI法は条文ごとに段階的に適用開始となる。汎用AIモデルに関しては、義務の適用が開始されてもしばらくは罰則規定が未適用となる。

EU官報の原文に基づきテンプレート:R、日本語の仮訳と英語の条名を以下に併記する。

• 前文 (Recital) - (1) から (180) まで。立法の目的や、各条文で用いられる用語の定義などを含む。
• 第1章 (Chapter 1): 一般規定 (General Provisions) - 第1条から第4条まで。第1条が規制の対象となるAI (Subject matter)、第2条が規制の対象者 (Scope)、第3条が用語の定義 (Definitions)、第4条がAIリテラシー (AI literacy)。
• 第2章 (Chapter 2): 禁止されるAIの利用・運用方法 (Prohibited AI Practices) - 第5条のみ。第5条には (a) から (h) まで8項があり、欺瞞的なデザインや差別的なコンテンツの生成など、具体的な禁止事項が列記されている。
• 第3章 (Chapter 3): 高リスクAIシステム (High-risk AI Systems) - 第6条から第49条まで。第9条でリスク管理体制の整備を、第10条でデータ・ガバナンス方針を、第11条で技術設計などの文書化を、第12条でログの記録義務をそれぞれ定めている。
• 第4章 (Chapter 4): 特定のAIシステムの提供者および導入者に対する透明性の義務 (Transparency Obligations for Provider and Deployers of Certain AI Systems) - 第50条のみ。
• 第5章 (Chapter 5): 汎用AIモデル (General-purpose AI Models) - 第51条から第56条まで。第51条がGPAIの定義、第53条から第55条がGPAIに課される義務、第56条がGPAIの実践規範 (Codes of Practice)。
• 第6章 (Chapter 6): イノベーション支援措置 (Measures in Support of Innovation) - 第57条から第63条まで。第57条から第61条までがAI規則サンドボックス (AI regulatory sandboxes) に関する規定。第62条が中小企業・スタートアップ支援措置。
• 第7章 (Chapter 7): ガバナンス (Governance) - 第64条から第70条。EU全体レベルおよびEU加盟国レベルのガバナンス。
• 第8章 (Chapter 8): 高リスクAIシステムのEUデータベース (EU database for high-risk AI systems) - 第71条のみ。附則 3 (Annex III) で列記される高リスクAIシステムを一覧公表。
• 第9章 (Chapter 9): 市場導入後の動向観察、情報共有と市場調査 (Post-market Monitoring, Information Sharing and Market Surveillance) - 第72条から第94条。テンプレート:仮リンク (Regulation (EU) 2019/1020) をAI法にも適用。
• 第10章 (Chapter 10): 行動規範とガイドライン (Codes of Conduct and Guidelines) - 第95条・第96条。
• 第11章 (Chapter 11): 権限の委任および委員会の手続 (Delegation of Power and Committee Procedure) - 第97条・第98条。Regulation (EU) No 182/2011 (欧州委員会の実施権限行使に関する規則) に基づくテンプレート:Efn2。
• 第12章 (Chapter 12): 罰則 (Penalties) - 第99条から第101条。
• 第13章 (Chapter 13): 最終規定 (Final Provisions) - 第102条から第113条。第102条から第110条は、他のEU規則やEU指令の改正情報テンプレート:Efn2。第111条・第113条にて、段階的な適用日を設定。
• 附則 (Annex) - 附則1 (Annex I) から 附則13 (Annex XIII) まで。禁止されるAIのうち、リアルタイム・リモート生体識別の例外を附則2で規定。高リスクAIシステムに対し、AI法以外で多重に規制をかけるEU諸法令を附則1にて、AI法で新たに規制がかかる8領域を附則3にてそれぞれ列記。AI提供者の技術文書化義務関連が附則4。適合性評価関連が附則5から附則7。透明化義務関連が附則11・附則12。汎用AIモデルのシステミックリスクに関して附則13で基準列記。

AI法の立法は、欧州委員会委員長のジャン＝クロード・ユンケル主導の下、2015年に提唱されたデジタル単一市場戦略 (DSM戦略) の一環であるテンプレート:R。時に強固な「フェデラリスト」(欧州中央集権派) と批判的に評されたユンケルはテンプレート:R、その任期中 (-2019年) にDSM関連法案を28本成立させ、AI法を含む2法案はユンケルから委員長職を受け継いだウルズラ・フォン・デア・ライエン体制下で実現しているテンプレート:R。DSM戦略とは、デジタル・プラットフォーム全般に消費者や事業者が安全、公正かつ効率的にアクセスできるよう、EU各国の法制度や技術規格が統一化されたデジタル経済圏を指すデジタル政策であるテンプレート:R。

AI法の審議過程は、欧州連合の通常立法手続を踏んでいるテンプレート:R。すなわち、行政機関の欧州委員会 (Commission) が法案を提出し、立法機関の欧州議会 (Parliament) と欧州連合理事会 (Council) がそれぞれで共同採択されて初めて成立するテンプレート:Sfn。以下のとおり審議中に複数回、原案への修正意見が提出されているためテンプレート:R、メディア報道や学術文献によっては執筆当時の古い条文を基に論評・解説している可能性があり、注意が必要である。

• 2021年4月22日 - EUの行政機関である欧州委員会が法案を提出テンプレート:Rテンプレート:Sfn
  • 2021年11月29日 - ソーシャルスコアリング、生体認証、および高リスクAI全般に関する大幅修正案を欧州連合理事会が提出テンプレート:R
  • 2022年2月3日 - 高リスクAIシステムに対する義務、および透明性の義務に関する修正テンプレート:R
  • 2022年3月2日 - 欧州議会のテンプレート:仮リンク (JURI) による149頁にわたる修正意見書の提出テンプレート:R
  • 2022年3月3日 - 欧州議会のテンプレート:仮リンク (ITRE) による67頁にわたる修正意見書の提出テンプレート:R
  • 2022年4月20日 - 欧州議会のテンプレート:仮リンク (IMCO) とテンプレート:仮リンク (LIBE) による161頁にわたる共同修正意見書提出テンプレート:R
  • 2022年5月13日 - 汎用AIモデル (GPAI) に関する追加規定案を欧州連合理事会が提出テンプレート:R
  • 2022年6月1日 - 欧州議会の各委員会などが数千箇所におよぶ修正案を提出テンプレート:R
  • 2022年6月15日 - 欧州連合理事会が136頁にわたる最終修正案を提出テンプレート:R
• 2022年12月6日 - 欧州連合理事会が修正案を採択しテンプレート:Sfnテンプレート:Efn2、欧州議会との交渉合意決議 (テンプレート:Lang-en-shortテンプレート:Efn2) を可決テンプレート:R
• 2023年6月14日 - 欧州議会が賛成499票、反対28票、棄権93票で修正案を採択しテンプレート:Rテンプレート:Rテンプレート:Sfnテンプレート:Efn2、欧州連合理事会との交渉合意決議を可決テンプレート:R
• 2023年12月9日 - 両立法府による共同採択の迅速化を目的とする「テンプレート:仮リンク」(テンプレート:Lang-en-short、トリローグ) の場が設けられて、欧州委員会、欧州議会、欧州連合理事会のそれぞれから成る代表者によって交渉が行われテンプレート:Sfn、修正案が合意テンプレート:Sfnテンプレート:Rテンプレート:Efn2
• 2024年3月13日 - 欧州議会で三者対話の修正案が審議され、賛成523票、反対46票、棄権49票で可決テンプレート:R
• 2024年5月21日 - 欧州連合理事会で三者対話の修正案が審議され、賛成27票の満場一致で可決テンプレート:R
• 2024年6月13日 - 欧州議会議長および欧州連合理事会議長が署名し、AI法が成立テンプレート:Rテンプレート:Sfn。
• 2024年7月12日 - EU官報上で公布 (EU官報番号: L, 2024/1689)テンプレート:R。

第113条の規定に基づき、AI法は以下のとおり段階的に適用が開始されるがテンプレート:Sfnテンプレート:R、発効から2年後の2026年8月2日が「本格適用」と位置づけられているテンプレート:Sfn。

• 2024年8月1日 - AI法が発効テンプレート:Rテンプレート:Sfn
• 2025年2月2日 - 第1章および第2章 (第1条から第5条) が適用開始し、(1) 許容されないリスクのあるAIが全面禁止テンプレート:Rテンプレート:Sfn
• 2025年8月2日 - 第3章のセクション4 (第28条から第39条; 適合性評価機関)、第5章すべて (第51条から第56条; 汎用AIモデル)、第7章すべて (第64条から第70条; ガバナンス)、第9章の第78条のみ (規制当局の守秘義務)、第12章 (第99条から第100条; 罰則のうち汎用AIモデルを対象とした第101条のみ除外)テンプレート:Rテンプレート:Sfn
• 2026年8月2日 - 第6条第1項を除く全条項が適用開始テンプレート:Rテンプレート:Sfn
• 2027年8月2日 - 第6条第1項 (高リスクAIシステムのうち、他EU法令と多重規制となるものに対する規制) が適用開始テンプレート:Rテンプレート:Sfn

テンプレート:For2

上述のとおり、仮に日本や米国などのEU域外で設立された団体や他国民であっても、EU域内にAIを導入したり、AIを稼働・提供したりする場合はAI法の規制対象となる (いわゆるEU域外適用)テンプレート:Sfn。特に生成AI (つまり汎用AIモデル) にとってはAI法が厳しすぎるとの声も挙がっているテンプレート:R。

AI法発効以前でも既に、個人データ保護を規定するEU一般データ保護規則 (GDPR) などが求める保護水準を遵守するのが困難との理由から、一部AIがEU市場へのサービス提供を断念する、あるいは機能を制限する対応をとっているテンプレート:R。たとえば米国Meta社 (旧Facebook社) は開発中のテンプレート:仮リンク (テンプレート:En) をEU市場向けに提供しない方針を2024年7月 (AI法の発効前月) に明かしているテンプレート:R。マルチモーダル (テンプレート:Enは様式・手法の意) とはテキスト、音声、画像、動画といったデータの種類を複数統合して処理するため、単一モーダルと比較してより複雑な処理が可能とされるテンプレート:R。Meta社には既に単一モーダルAIの「Llama 3」があるが、マルチモーダルAIにはより多くの学習データ収集が必要とされるため、GDPRなどの規制下では十分なデータ取得が困難と判断したためであるテンプレート:R。Appleも同様に、プライバシー保護やデータセキュリティ上の懸念から、同社AIの一部機能をEU市場向けに提供しない旨がAI法発効2か月前に発表されているテンプレート:R。

AI法はGDPRなどの既存法の遵守も同時に求めていることからテンプレート:R、EU域外の事業者にとってはEUへの展開の障壁となりうるとの指摘もあるテンプレート:R。

日本語ではAI「法」と呼称されることも多いがテンプレート:Sfnテンプレート:R、EU法における法体系上は「規則」(テンプレート:Lang-en-short) に分類されるテンプレート:R。(AI法に限らず)「EU規則」はEU加盟国の個人や企業・団体などを直接拘束するほかテンプレート:Sfn、違反時には欧州司法裁判所 (CJEU) などのEU各裁判所への提訴対象となるテンプレート:R。

クネシュケ対LAION事件テンプレート:Main 当事件は世界初の本格的なAI訴訟判決と言われ、欧州だけでなく世界的にも注目されているテンプレート:R。写真画像が無断でAI学習データとして収集 (スクレイピング) されたことから、著作権侵害が問われた事件であるテンプレート:R。汎用AIモデルはDSM著作権指令で定められたオプトアウト (著作物の権利者が無断収集を拒否する権利) の尊重が求められ、その遵守にあたってはAI法 第53条第1項(c)号で「最先端の技術を用いるなどの手段」を用いると規定されているテンプレート:R。写真掲載サイトの一般的な利用規約で表示されているオプトアウトの意思表明は、AIが「最先端の技術」をもって読み取り、収集対象から除外すべきものだったのか、その文言解釈も問われることとなったテンプレート:R。2024年9月に原告敗訴の判決が一審のドイツ・テンプレート:仮リンクで下されているがテンプレート:R、2024年11月時点で控訴中でありテンプレート:R、欧州司法裁判所への付託の可能性が専門家から言及されているテンプレート:Rテンプレート:Efn2。

• 人工知能の倫理
• テンプレート:仮リンク - EU以外の各国の規制状況も記述
• アルゴリズムバイアス
• デジタル・プラットフォーマー#法制度 - AIを含むデジタル・プラットフォームサービスに対する各国の規制状況

テンプレート:脚注ヘルプ

テンプレート:Notelist2

テンプレート:Reflist

• テンプレート:Cite report

• テンプレート:Cite report

• テンプレート:Cite book

• テンプレート:Cite report

• テンプレート:Cite report

• テンプレート:Cite report

• テンプレート:Cite report

• テンプレート:Cite journal
• テンプレート:Cite report

• 欧州委員会 AIオフィス公式ページ (英語) - AI法関連の最新文書などのリンク多数
• 欧州議会による公式解説日本語訳 - 欧州議会の説明資料の2024年6月18日最終更新版ベースの翻訳のため、可決後の内容を反映済。
• AI法案の日本語仮訳 - 2022年7月時点の「法案」ベースのため、可決発効された最終版と大きく異なる点に留意。総務省「AIネットワーク社会推進会議」審議資料の一環で作成 (背景説明)
• AI法の前文条項別ページ (英語) - 180の前文 (Recital) を条項ごとにページ分割して検索・閲覧できるサイト
• 広島AIプロセス (日本語) - 2023年広島開催のG7議論に基づき発足した、AIガバナンスの国際連携枠組
• AI権利章典ブループリント (英語) - アメリカ合衆国科学技術政策局 (OSTP) 作成、2022年10月公表。法的拘束力はない。原題: "Blueprint for an AI Bill of Rights"
• AI権利章典ブループリント概要まとめ (日本語) - OSTP公表原文のうち要点を5つにまとめた資料。日本の内閣府 科学技術・イノベーション推進事務局が2022年12月公表。

テンプレート:Normdaten