【CSIJコラム22(2024,7,18)】
「進む欧州のAI規制とサービスへの影響」
ニューリジェンセキュリティ株式会社
仲上 竜太
コロナ禍からの回復の兆しが見え始めた2022年、Stable DiffusionやDall-Eといった数百ピクセル程度の画像生成から始まった生成AIブームは、ChatGPTの登場によるサービス化競争の激化により、今なお続々とAIサービスが登場し続けています。
最近では動画生成AIのサービスが注目を集めるなど、生成AIの新たなニュースに触れない日はありません。
サイバーセキュリティの観点では、生成AIの悪用によるサイバー犯罪の高度化や、セキュリティツールへの適用が気になるところですが、AIシステムそのものが「人」に対して侵すリスクにも注目する必要があります。
欧州連合(EU)は、進歩し続けるAIにまつわる課題に対応するため、包括的なAI規制の枠組みを構築する先駆者となりました。
2024年4月にEUで成立した「AI法(Artficial Intelligence Act)」は、AIの革新と発展を促進しつつ、基本的人権、民主主義的価値観、法の支配を守るための新たなデジタル規制です。リスクベースアプローチによって4つのレベルで定義されたリスクとその対応により、禁止されるべきAIの実装と罰則が明確化されました。
AIの4つのリスクレベル
・UNACCEPTABLE RISK:許容できないリスク(禁止)
・HIGH RISK:ハイリスク(規制)
・LIMITED RISK:限定的なリスク(透明性の確保)
・MINIMAL RISK:最小のリスク(規制なし)
例えば、サブリミナル技術を用いて人の行動を操作するAIや、社会的スコアリングシステムはAI法の中では禁止されています。これらは人権や個人の自由を侵害する可能性が高いと判断されたためです。
高リスクAIシステムに対しては、厳格な要件が設けられており、データの品質管理、システムの堅牢性と精度の確保、人間による監視、詳細な文書化などが含まれます。また、これらのシステムはEU市場に導入される前に適合性評価を受ける必要があります。
一般市民の日常生活に影響を与える可能性のあるAIシステム(例:チャットボット)に対しては、透明性の確保が求められます。ユーザーは、AIと対話していることを明確に認識できなければなりません。
これらの規制は、AIの開発と利用に関わる全ての関係者に影響を与えます。
企業は規制遵守のためのコストを負担する必要がありますが、同時にEUの規制に準拠したAIシステムは世界的に信頼性の高い製品として認識される可能性があります。
また、これらの運用が適切になされることで、市民にとってはAIシステムがより安全で信頼できるものになることが期待されます。
AI法では罰則規定も設けられ、GDPRと同様にEU外の企業にも域外適用されるため、日本の企業や組織も対象となります。
EU自身も「この種の法律は世界初であり、AI規制のグローバル・スタンダードとなる可能性がある。」としており、今後GDPR同様に世界中にシステムやサービスがAI法への準拠を実質的に求められる形になりました。
注意したい点としては、AI法が対象とするのはChatGPTやLumaのような生成AIサービスだけでなく、機械学習も含め様々な場面でAIを活用しているサービスが幅広く対象なるため、自分たちの提供するサービスがどのようにAIを使用しているか、規制に触れる機能を提供していないかなどに、常に気を配る必要があります。
AI法の説明では、AIの監視は自動化ではなく人がやるべきであると、人がAIをしっかりとコントロールすることを求めています。まずは「AIシステムを開発提供する人間」を対象に、罰則を伴う法律が制定されましたが、生成AI技術の進歩を見るに、AIが自分の考えに基づいてAIシステムを作りはじめかねないことへの人類全体の自制心ともいえるかもしれません。