欧州(EU)AI規則 (« AI Act »)-施行第2段階の開始
2025年8月2日より、2024年8月1日に発効した欧州連合(EU)の人工知能(AI)規制に関する欧州規則 (通称「AI Act 」) の施行第2段階が始まった。施行第1 段階はEUの基本原則を侵害する「許容できないリスク」があるAIシステムの全面禁止に関する規定で、2025年2月5日よりEU加盟27か国全てで正式に適用されている。
04/08/2025
欧州(EU)AI規則 (« AI Act »)-施行第2段階の開始
人工知能に関する統一規則を定める2024年6月13日の欧州議会及び閣僚理事会規則(EU)2024/1689
2025年8月2日より、2024年8月1日に発効した欧州連合(EU)の人工知能(AI)規制に関する欧州規則 (通称「AI Act 」) の施行第2段階が始まった。
すでに知られているように、人工知能(AI)の開発や運用を包括的に規制する世界初の法的枠組である本欧州規則は、市場に出回るAIシステムがEUが基盤とする人権保護、人間の尊厳、法の支配、自由、民主主義、平等、持続的な発展の原則に適ったものであることを保証することを目的として、AIシステムを4つのリスクカテゴリーに区分し、オペレーターの義務を定めている。
規則発効後の施行第1 段階は、EUの基本原則を侵害する「許容できないリスク」があるAIシステムの全面禁止に関する規定で、2025年2月5日よりEU加盟27か国全てで正式に適用されている。
EUのAI規則の枠組みとその特徴は以下の通りである。
リスクベース アプローチを採用したAIシステムの分類
1. 禁止 AI (AI Act 第5条) :
特に社会的スコアリングや個人・グループの脆弱性を利用するなど、個人の尊厳や平等の原則といった基本的人権の観点から許容できないリスク(Unacceptable risk)があるためその開発、輸入、販売、使用が全面的に禁止されるとされるAIシステムで、規則第5条で以下のように定義されている:
• 人間の潜在意識を操作して行動や意思決定を誘導、マニピュレートするAIシステム
• 高齢者や身体障害者、社会的に困難な状況に置かれている人間、またはグループの脆弱性を利用してその行動を誘導し、重大な損害を与えるAIシステム
• 個人を社会的にスコアリングし、スコアリングの低い人物に差別的な待遇を与えるAIシステム
• ある個人が犯罪を犯すリスクを図るAIシステム
• インターネットや監視カメラから無差別に収集したデータを使った顔認証データベース化AIシステム
• 職場や教育機関における感情認識AIシステム(医療目的、セキュリティー目的以外)
• 人間を人種、支持政党、宗教、組合活動の有無等により分類(プロファイリング)する生体認証AIシステム(犯罪防止目的以外)
• 公的スペースにおける、犯罪防止目的の遠距離リアルタイム生体認証AIシステム、(セキュリティー目的、犯罪の犠牲者捜索目的、テロなど重大な犯罪の防止目的以外)
2. 高リスクAI (AI Act 第6条)
本規則による規制の対象としてで最も重要な、人の安全や基本的人権に重大な影響を与えるリスクが高いAIシステムで、規則付属書第IIIで以下のように定義されている:
• 生体AIシステム (ex. 遠距離生体認証AI、感情認識AI)
• 交通機関、水、電力、ガス、暖房などの重要インフラで使用されるAIシステム
• 教育現場、職業養成で使用されるAIシステム (入試、職業技術、能力評価等)
• 雇用、人事分野で使用されるAIシステム(入社試験、昇進、人事評価等)
• 公的サービスや保険分野で使用されるAIシステム (給付金受給資格審査、リスク評価等)
• 犯罪防止目的で使用されるAIシステム
• 移民管理で使用されるAIシステム
• 司法機関、選挙活動、投票で使用されるAIシステム
高リスクAI を使った製品やサービスを提供する事業者は、市場における製品やサービスの提供に先立ち、リスク管理システムを整備し、システムで使用されるデータの品質を保証、詳細な技術説明文書を作成、作業ログの自動記録、使用者(デプロイヤー)に対する完全な情報提供、人による監視、堅牢性、セキュリティー、精細度を保証する義務を負う(AI Act 第8-15条)。
3. 特定(限定的)リスクAI
リスクが特定されるAIシステムで、オペレーターとデプロイヤーにシステムのユーザーがAIシステムであることを認識できるよう透明性の義務が定められている (AI Act 第4章、第50条以下)。
例 :
• 人とコミュニケーションするAI システム (チャットボット等) :システムを開発するプロバイダーはシステムのユーザーが、コミュニケーションしている相手がAIであることを認識できるようにする義務がある
• 音楽、画像、動画、文書の生成AI:システムを開発するプロバイダーやシステムを使用するデプロイヤーは、生成された音楽、画像、動画、文書にAI システムにより生成された音楽、画像、動画、文書であることを明記する義務がある。
•感情認識AIや生体認証AIのデプロイヤーは、そうしたシステムの対象者に対し情報を提供し、EU個人情報保護法を順守して情報を処理する義務がある。
4. 最小リスク(システミックリスク)AI
上記3つのカテゴリーに属さない汎用型AI (ゲームAI、スパム対策AI等)については、事業者は特段の義務や制限を負わない。
EU域外適用を含む規制対象 (AI Act 第2条)
EUのAI規則は市場に出回るまたはEU で使用されるAIシステムがEUの基本原則に反しないものであることを保証するという目的から、域外にAI規則による規制対象を及ぼしている:
– プロバイダー:AIシステムまたは汎用型AIを開発してEU市場で販売、または使用可能にするEU市場に提供する者。EU域外のプロバイダーを含む
– デプロイヤー:AIシステムを職業的目的で使用する者。AIシステム使用の効果がEUで使用される場合にはEU域外のデプロイヤーを含む
– インポーター、ディストリビューター:AIシステムの輸入者、販売者
– AIシステムと一緒に市場で販売または使用される製品の製造者
– EU域外プロバイダーの正規代理人
違反の場合の厳しい罰則 (加盟国の国内法で規定される罰則の上限)
AI Actは第99条で、加盟国は本規則の違反の場合に適用される制裁措置、及びその他規則の実施に必要な警告措置や罰金を伴わない罰則措置を、規則の施行日前までに国内法で制定して欧州委員会に通知しなくてはならないと規定し、加盟国が制定すべき罰則措置の上限を以下のように定めている:
| 第5条の禁止 AI を用いた製品やサービスを提供した場合 | 最高3500万ユーロ(約57億円)、または事業者の世界における総売上高の最高7パーセントに相当する罰金 |
| 第5条の禁止規定以外の義務に違反した場合 | 最高1500万ユーロ(約24,5億円)または事業者の世界における総売上高の最高 3パーセントに相当する罰金 |
| システムに関する不正確な情報、不十分または偽りの情報を提供した場合 | 最高750万ユーロ(約13億円)の罰金または事業者の世界における総売上高の最高 1パーセントに相当する罰金 |
いずれも額が高い方が事業者に課される罰金額となる。
EUにおけるイノベーション活動を促進するための「AI規制サンドボックス」
AI Actは第57条で、加盟国は2026年8月2日までに「AI規制サンドボックス」(AI Sandbox) を導入しなければいけないと規定している。
この「規制サンドボックス」とは、AIシステムを開発する企業が、国が定める監督機関の補佐のもとで、その革新的な技術やサービスを通常そうした企業が遵守しなければならないAI規則で定められた義務を全て遵守せずに試験、リスク評価することができる枠組みを指し、EUのAI規則がベンチャー企業のイノベーションの妨げにならないようにすることを目的としている。
フランスでは2025年4月にフランス共和国データ保護機関(CNIL)が、公共サービスの質向上を目的とするAIプロジェクトの「AI規制サンドボックス」に関する報告を行っている:(CNILレポート).
規則の段階的な施行
AI規則の規制対象となるシステムの開発・使用を行うプロバイダーやデプロイヤーが当該システムのリスクを評価し、規則で定められた義務の順守を準備することができるよう、AI Actの施行には以下の段階が定められている:
1. 第5条の禁止AIに関する規定:AI Act 発効6か月後の2025年2月2日
2. 加盟国それぞれのAI規則適合性評価機関指定、汎用型AIに関する規定:AI Act 発効1年後の2025年8月2日
3. AI Act の主要規定、特にハイリスクAIに関する規定: AI Act 発効2年後の2026年8月2日
例外として、付属書Iで規定された高リスクAIシステム(玩具、ラジオ設備、体外診断用医療機器、航空機安全設備、農用車等)に関する規定は、AI Act 発効3年後の2027年8月2日に施行される。
