EUで「AI Act」が成立　各国レベルでもAI規制の取り組み進む

　欧州連合（EU）が進めるAI規制「AI Act」が5月21日、EU理事会の承認を受けて成立した。2021年の構想発表から3年をかけてつくられたもので、6カ月後から段階的に適用される。EUの法律ではあるが、「EU一般データ保護法」（GDPR）と同様、欧州に顧客を持つ全ての企業が対象となる。

リスクベースの要件と罰則

　「AI Actの採択はEUにとって重要なマイルストーンとなる。この種の法律として世界初であり、世界の技術課題に取り組むと同時に社会と経済の両方で機会を創出する」。ECの声明の中で、ベルギーの連邦政府デジタル化国務長官、Mathieu Michel氏はこうコメントしている。

　AI Actの特徴はリスクベースだ。AIアプリケーション／システムをリスク別に4分類し、最高の「許容不可」のものは禁止。2番目の「高リスク」には事前評価など特定の要件を満たすよう求める。

　さらに3番目に「透明性義務」を伴うもの、4番目に「最小リスク」のものがある。「透明性義務」区分には、チャットボットなど人間との対話型アプリケーションなどが含まれ、AI処理であることを明示しなければならない。「最小リスク」は上記3分類のいずれにも該当しないもので、満たすべき要件はない。

　2021年の草案から変わった点は、汎用AI（GPAI）システムについての特別規定を追加して、基盤モデルについての規制を決めたことだ。AIモデルのプロバイダーは技術面や著作権法をどのように順守しているかなどの文書作成を義務付けられる。

　ほかにも、高リスクシステムの評価基準や手続きが詳細に決められ、違反に対する罰則も強化された。草案で、3000万ユーロ（約42億円）または世界の売上額の6％だった罰金は、3500万ユーロ（約56億円）または世界売上額の7％へと引き上げられている。

　対象となる企業は最大3年で対応しなければならない。