ＥＵ委員会で、世界に先駆けて「AI規制法」が成立しました。
最も重い違反の場合、企業に「3500万ユーロ（約60億円）」か「年間世界売上高の7%」のいずれか高い方を制裁金として科すとともに、ＡＩシステムの市場からの取下げやリコールなどの是正措置が公的機関から義務付けられることもあり、欧州域内で活動する日本企業にも大きな影響が及ぶことになります。

今回の「ＥＵのＡＩ規制法」のポイントは、以下の通りです。

今回の「ＥＵのＡＩ規制法」では、ＡＩのリスクに応じて規制内容を変える「リスクベースアプローチ」が採用されています。
なお、生成ＡＩは、原則として「限定リスク」のあるＡＩに分類され、「透明性義務」のみが課されています。

種類	規制の内容	ＡＩシステムの例
「許容できないリスク」のあるＡＩシステム	禁止	行動操作 特定の人物や集団の脆弱性の利用 公的機関による社会的スコアリング 法執行機関のためのリアルタイムでの遠隔生体認証
「ハイリスク」のあるＡＩシステム	規制	クレジット、健康保険、生命保険、公的給付の受給資格の評価 応募書類の分析または候補者の評価 製品のセーフティコンポーネント
「限定リスク」のあるＡＩシステム	透明性義務のみ	消費者と対話するＡＩシステム 生成ＡＩコンテンツ（画像、音声、動画）を生成または操作するＡＩシステム
「最小リスク」のあるＡＩシステム	規制なし	スパムフィルター ＡＩ対応のビデオゲーム

ちなみに、ＡＩ規制法における「透明性義務」について、以下のように説明されています。
このようなＥＵ発の新しい規制が日本企業の活動に影響を与えた例としては、近年では2018年5月18日適用の「EU一般データ保護規則（GDPR）」がありますが、GDPRの制裁金が「最大2000万ユーロと全世界年間売上の4％までのいずれか高い方」だったことに比べても制裁金の額が大きく、GDPR成立時以上に十分な準備を進める必要があります。

また、GDPR適用当時は個人情報保護法対応の延長線上での見直し中心だったところ、ＡＩの業務利用は始まったばかりで、今後どのような形でＡＩが活用されていくのか予想が難しく、より包括的な社内ルール作りが求められることになります。


※ アメリカでは、2023年に大統領令、コロラド州は5月8日に州議会でＡＩ規制法を可決されています。

企業における実務対応としては、その会社の事業の性質、類型、規模、範囲、現状でのＡＩの利用状況等を踏まえ、ケースバイケースで対応することになります。

ちなみに、今回の「ＥＵのＡＩ規制法」への対応は、企業の事業内容やAIの利用状況によって異なりますが、リスクマネジメントの一般的なプロセスに基づくと、以下のステップを踏むことになります。

Step1	自社のＡＩシステムを分類する	規制法に基づき、自社のＡＩシステムを許容できないリスク、ハイリスク、限定リスク、最小リスクのいずれかに分類します。
Step2	リスク評価を行う	各ＡＩシステムについて、発生頻度や影響度などを考慮したリスク評価を行います。
Step3	リスク対策を策定する	リスク評価に基づき、適切なリスク対策を策定します。具体的には、技術的な対策、運用上の対策、組織的な対策などが考えられます。
Step4	コンプライアンス体制を整備する	規制法を遵守するためのコンプライアンス体制を整備します。具体的には、社内ルールや規程の策定、担当者の教育訓練、監査体制の構築などが考えられます。 新しいＡＩシステムを業務に活用する場合の申請フローなども準備が必要でしょう。
Step5	継続的な見直しを行う	法規制や技術の進歩に合わせて、リスク対策やコンプライアンス体制を継続的に見直します。