世界のAI関連法規制

はじめに

ChatGPTをはじめとする生成AIの広範囲での利用は、AIをめぐる法規制に対しても影響を与えています。

Similarwebによると、同社が独自の方法論で算出している9月のChatGPTの訪問者数(リンクにアクセスすると直近の月の数値が表示されます)は、約15億件に上り、日本でも多くのユーザーが利用しており、2023年9月の数値では、アメリカ、インド、コロンビア、フィリピンに次ぐ世界5位のトラフィック数となっています。

2023年は、ChatGPTなどAIの利活用が進むと同時に、AIの法規制についても大きな動きのある年となりました。

今回のブログでは、EU、アメリカを中心に、各国のAI法規制の現状について紹介したいと思います。

ご参考情報:IAPP Global AI Legislation Trackerでは、世界の法規制について表形式でまとめられています。情報の鮮度は最新ではないものの、世界の法制化の動きを知るのにご利用ください。

EU

EUのAI法は、2023年6月に欧州議会で採択されました。その後、トリローグ(European Commission(欧州委員会)、 Council of the EU (閣僚理事会)、 European Parliament(欧州議会)による三者対話 )を経て、早ければ2023年末か2024年初頭に法案が成立予定とされています。

参考情報:トリローグにおける争点については、一般財団法人 日欧産業協力センター レポート 欧州デジタル政策 EU Policy Insights  Vol.8 2023年8月 「EUのAI規制の進捗と今後の見通し」にまとめられていますので、ご参考ください。

また、本法案が成立した場合、実際の法の施行は、最短で2024年後半とされています。

AI法について

域外適用

このAI法は、Regulationであり、直接EU加盟国に対して適用されます。また、域外適用の要件が含まれています。以下はAI法の第2条のスコープに関する部分について欧州議会が採択した修正案を反映したものです。

a) EU域内でAIシステムを市場に投入、又はサービスを開始するプロバイダ。プロバイダがEU域内に物理的に存在する、又はEU域内に設立されているか,又は第三国に設立されているかを問わない

c) 国際公法により加盟国の法律が適用される場合、もしくは当該システムによって生成されるアウトプットがEU域内で使用されることを意図している場合において、第三国に事業所を有するか又は第三国に所在するAIシステムの提供者及びユーザー等

「ユーザー等」という言葉ですが、もともとの法案では、「User」となっていた部分の表現が「Deployer」と変更されたため、「ユーザー等」と翻訳しています。修正案の定義によると、「Deployer」は、その権限に基づきAIシステムを使用する「自然人または法人、公的機関、代理店、その他の団体」を指し、除外条件として、AIシステムが個人的な非専門的活動の過程で使用される場合は含みません。(Amendment 172)

以下は、欧州議会で採択したAmendment 145-150です。太字は、もともとの欧州委員会の法案からの修正・新規追加部分を表しています。

a) providers placing on the market or putting into service AI systems in the Union, irrespective of whether those providers are physically present or established within the Union or in a third country;

b) deployers of AI systems that have their place of establishment or who are located within the Union;

c) providers and deployers of AI systems that have their place of establishment or who are located in a third country, where either Member State law applies by virtue of a public international law or the output produced by the system is intended to be used in the Union;

(ca)  providers placing on the market or putting into service AI systems referred to in Article 5 outside the Union where the provider or distributor of such systems is located within the Union;

(cb)  importers and distributors of AI systems as well as authorised representatives of providers of AI systems, where such importers, distributors or authorised representatives have their establishment or are located in the Union;

(cc)  affected persons as defined in Article 3(8a) that are located in the Union and whose health, safety or fundamental rights are adversely impacted by the use of an AI system that is placed on the market or put into service within the Union.

引用:Amendments adopted by the European Parliament on 14 June 2023 on the proposal for a regulation of the European Parliament and of the Council on laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative actsAmendment 145-150 Proposal for a regulation Article 2 – paragraph 1

また、第2条のスコープについては、これ以外にも追加修正案がありますが、ここでは割愛します。(詳細は、Amendment 160~164をご確認ください。)

リスクベースドアプローチ

EUは、リスクベースドアプローチを採用し、AIシステムをリスク順に4つのカテゴリに分類し、それぞれのリスクに応じて、規制内容を変える仕組みをとっています。

ご参考情報: 総務省「EUのAI規制法案の概要」では、これらの分類を分かりやすくまとめてありますので、ご参考ください。

•「許容できないリスク」のあるAIシステム

•「ハイリスク」のあるAI

•「限定リスク」のあるAI

•「最小リスク」のAI

制裁金

制裁金については、欧州議会で採択された修正案を参考にすると、以下となっています。

1.許容できないAIに関する禁止事項(第5条)への違反:最大で4,000万ユーロまたは全世界売上高の7%のいずれか高い方 (Amendment 647)

2.ハイリスクAIに関する要求事項(第10条、13条)への不遵守:最大で2,000万ユーロまたは全世界売上高の4%のいずれか高い方 (Amendment 650)

3.上記以外の要求事項・義務の不遵守:最大で1,000万ユーロまたは全世界売上高の2%のいずれか高い方 (Amendment 651)

この法律は、害を及ぼす可能性のある能力に基づいてテクノロジーを規制するための法規制です。これは、許容することのできないリスクをもたらす AI アプリケーションを禁止し、高リスクのユースケースに対して厳格な体制を課しています。

3.  Non compliance with the prohibition of the artificial intelligence practices referred to in Article 5 shall be subject to administrative fines of up to 40 000 000 EUR or, if the offender is a company, up to 7 % of its total worldwide annual turnover for the preceding financial year, whichever is higher:

3 a.  Non-compliance of the AI system with the requirements laid down in Article 10 and 13 shall be subject to administrative fines of up to EUR 20 000 000 or, if the offender is a company, up to 4% of its total worldwide annual turnover for the preceding financial year, whichever is the higher.

4.  Non-compliance of the AI system or foundation model with any requirements or obligations under this Regulation, other than those laid down in Articles 5, 10 and 13, shall be subject to administrative fines of up to EUR 10 000 000 or, if the offender is a company, up to 2% of its total worldwide annual turnover for the preceding financial year, whichever is higher;

引用:Amendments adopted by the European Parliament on 14 June 2023 on the proposal for a regulation of the European Parliament and of the Council on laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative actsAmendment 647,650,651 Proposal for a regulation Article 71 – paragraph 3 – introductory part

Foundationモデルへの規制

スタンフォード大学によると「基盤モデル(Foundation Model」)は、「広範なデータで大規模にトレーニングされ、出力の汎用性を考慮して設計され、幅広い特有のタスクに適応できる AI システム モデル」と定義されています。

当初、欧州委員会の原案に、基盤モデルは含まれておりませんでしたが、欧州議会で採択された修正案において、生成AIを含む基盤モデルに係る規定(28条b)が追加されています。

規制が強化された理由

欧州議会の修正案によると、基盤モデルは、多くの下流アプリケーションおよびシステムで活用されるため、ますます重要性を増しています(Recital 60 e)。基盤モデルとそれらを活用し実装された下流の汎用的なAIシステムに至るまでのバリューチェーンの複雑さと基盤モデルのもつ不確実性を考慮し、基盤モデルの提供者の置かれている法的状況を明確にすることが不可欠だとしています。(Recital 60 g)

このため、欧州議会は、特定の目的をもつ AI システムまたは汎用 AI システム基盤モデルを区別する必要性を主張し、修正案にFoundation Modelや生成AIに係る規定(28条b) が追加されました。

ここでは、Foundation Modelに係る規定(28条b) の内容について一部紹介します。 ※欧州議会の修正案(28条 b)はこちら(Amendment 399を参照)で確認可能です。

  • 基盤モデルのプロバイダーに対し、適切なデータガバナンス対策の確立(2-b)や独立した専門家によるモデル評価(2-c )、EU データベースへの登録(2-g)などを義務付け
  • 生成AIのプロバイダー(複雑なテキスト、画像、オーディオ、ビデオなどのコンテンツを生成することを特に目的とするAI システムで使用される基盤モデルのプロバイダー )には、同法案52条に記載されている「透明性の義務」を遵守(4-a)、適切な保護措置の確保すること(4-b)、さらに著作権に関する国内法⼜はEU法を害することなく、著作権法で保護されているトレーニングデータの使⽤について、⼗分に詳細な概要を⽂書化し、⼀般に公開すること(4-c)。

基盤モデルは、その汎用性の広さから、ユースケースの観点からのカテゴリ分けが難しいため、先ほど紹介した4つの分類とは別に管理されるようです。

アメリカ

IAPPの「US federal AI governance: Laws, policies and strategies」によるとAI 法と政策立案の世界的なトレンドを背景に、米国でも国レベルのAI ガバナンス政策が具体化してきました。

ホワイトハウス、議会、および連邦取引委員会(FTC)、消費者金融保護局などのさまざまな連邦機関が関与しています。

NIST(米国国立標準技術研究所)は、AI 関連の一連の取り組み、政策を打ち出し、2023年1月には、AI 製品、サービス、システムの設計、開発、使用、評価に信頼性の考慮事項を組み込む能力を向上させるための自主的なガイダンスとして民間企業も利用することのできる「NIST AI RMF(リスクマネジメントフレームワーク)」が公開されています。(※NIST AI RMFについては、今後別のブログで取り上げる予定です。)

アメリカ – 国レベル

2022年10 月、米国では OSTP(Office of Science and Technology Policy)より、AI 権利章典のブループリントが公表されました。(※法的拘束力はありません。)

AI 権利章典のブループリントで触れられている、「AI時代にアメリカ国民を守るための自動化システムの設計、使用、展開を導くための5つの原則」について紹介されています。

日本語で内閣府科学技術・イノベーション推進事務局の資料に5つの原則について日本語訳が掲載されていますので、以下、そちらの内容を紹介します。

①安全で効果的なシステム
ユーザーは安全でないシステムもしくは効果のないシステムから保護されるべきである。
②アルゴリズム由来の差別からの保護
ユーザーはアルゴリズム由来の差別を受けるべきではない。システムは公平に機会を提供する方法で利用および設計されるべきである。
③データのプライバシー
ユーザーは、組込みの保護機能を通じて不正なデータから保護されるべきであり、自身に関するデータがどのように使用されるかを知る権限を持つべきである。
④ユーザーへの通知と説明
ユーザーは自動化システムが使用されていることを知り、それが自身に影響を与える結果にどのようにして、またなぜ寄与するのかを理解するべきである。
⑤人による代替手段、配慮、フォールバック
適切な場合、ユーザーは必要に応じて自動化システムの使用をオプトアウトすることができ、問題が生じたときに、その問題を迅速に検討して解決できる担当者に連絡ができる手段を持つべきである。

出典:内閣府科学技術・イノベーション推進事務局「米国のAI権利章典(AI Bill of Rights)について

FTC(連邦取引委員会)のスタンス

AIに関する法規制という部分では、FTC(連邦取引委員会)についても触れないわけにはいきません。

FTCは、すでに生成AI関連の訴訟をいくつか起こしており、プラットフォーマーを含むAIサービスを提供する事業者やAIサービスを利用しサービスを提供する企業に対してにらみ効かせる存在です。

FTCのブログ記事によると、FTCは、意図的かどうかを問わず、財務、健康、教育、住宅、雇用などの分野で人々を不当または欺瞞的に有害な決定に誘導する方法で生成AI を使用しているかどうかに関する問題は、FTCの管轄であると述べ、企業による生成 AI ツールの使用に焦点を当てています。

また、同ブログでは、生成AI の新たな用途を検討している企業への忠告として、「人々をだまして有害な選択をさせるデザイン要素」が、FTCの訴訟でよくみられる点であることに留意する必要があると同時に、リスクアセスメントとリスク軽減策として、予見可能な下流(Foundationモデルを使用したAIアプリケーションやサービスなど)での使用、スタッフや請負業者のトレーニングの必要性、そして最終的に導入されるツールの実際の使用と影響を監視し、対処することを考慮に入れるべきであると述べています。

また、Forbesの記事によるとAIプラットフォーマーに対しても、以下の点について懸念を表明しています。

  1. 労働力の囲い込み

企業が生成AI製品を開発・展開のためにエンジニアと専門家の両方の人材を囲い込むような反競争的な慣行につながる可能性があることを懸念している。

  • アンフェアな取引

既存企業が市場における優位性を維持するために、バンドルや抱き合わせ商法、独占的取引、その他の不公正な方法を用いる可能性があること。

生成AIシステムは膨大なコンピュータパワーを必要とするため、高価になり、少数の企業によってコントロールされる可能性があり、潜在的な反競争的行為につながる可能性があること。(Open AIと出資者であるマイクロソフトによる価格や性能面での優位性)

  • オープンソースモデルについて

テクノロジーが悪用されたり、競争を締め出すために使われたりする可能性があること。

アメリカ – 州レベル

アメリカでは、国レベルの法制化より州レベルでの法制化が先行して進んでいます。

EPIC.orgの記事「The State of State AI Laws: 2023」によると、2023年に施行されたAI関連法のほとんどは、包括的な消費者プライバシー法の一部として施行されています。消費者がプロファイリングをオプトアウトできる、影響評価を義務付ける、AIと自動化された意思決定を規制するといった内容になっています。

州・市名称通過日施行日
カリフォルニア州カリフォルニア州プライバシー権利法 ( CPRA )2020年 11月3日2023年 1月1日CPRA はCCPA(カリフォルニア州消費者プライバシー法)を改正し、データ保持、データ共有、機密個人情報の使用に対する追加の制限など、AI に影響を与える規定を導入します。 
コロラド州コロラド州プライバシー法 ( CPA )2021年 7月7日2023年
7月1日
CPA は、自動化された意思決定に関して、消費者にプロファイリングをオプトアウトする権利を与えます。また、ターゲットを絞った広告やある種のプロファイリングなど、「危害のリスクが高い」活動に対するデータ保護評価が求められます
コネチカット州コネチカット州データプライバシー法 ( CTDPA )2022年 5月10日2023年
7月1日
CTPA は、自動化された意思決定に関する、消費者にプロファイリングをオプトアウトする権利を与えます。また、ターゲットを絞った広告やある種のプロファイリングなど、「危害のリスクが高い」活動に対するデータ保護評価が求められます
ニューヨーク市自動化された雇用決定ツール2021年12月11日2023年
1月1日
AEDT法(自動雇用決定ツールに関する法)は、雇用における AI の使用を規制しています。雇用主はそのようなツールの使用について候補者に通知することを義務付けており、候補者はどのようなデータが使用されているかを要求することができ、ツールにバイアスがないか評価するための年次監査が義務付けられています。
バージニア州Virginia Consumer Data Privacy Act (VCDPA)2023年
3月2日
2023 年
1月1日
VCDPAは消費者に対し、自動化された意思決定を促進するためのプロファイリングをオプトアウトする権利を与えます。また、ターゲットを絞った広告やある種のプロファイリングなど、「危害のリスクが高い」活動については、データ保護評価が求められます
ユタ州ユタ州消費者プライバシー法 ( UCPA )2022年 3月24日2023年12月31日UCPA により、消費者は個人データを使用したプロファイリングをオプトアウトすることができます。特に、データ管理者のプライバシー影響評価は必要なし。
出典:EPIC.org The State of State AI Laws: 2023

中国

中国は、AI法規制についてすでに施行しているものがいくつかあります。

欧米が利用者保護の側面を重視しているのに対し、中国では、国家安全保障の脅威として規制することに焦点を当てています。

アルゴリズムベースのオンライン推奨技術に関する規制 Algorithmic Recommendation Management Provisions (2022年3月1日施行)

インターネットサービス事業者が利用者に商品やサービスを推奨する際に使うアルゴリズムの規制およびガイドラインです。

「深層合成」技術を使用したインターネット情報サービスに関する規制 Deep Synthesis Management Provisions (2023年1月10日施行)

ディープラーニングによる合成技術を利用して、中国の法で禁じられている情報を生成したり拡散したりしないよう義務付けているほか、サービス事業者がユーザーの実際の身元に関するデータ認証システムや、ユーザー登録、アルゴリズムのメカニズム評価、データセキュリティ、緊急対応、倫理審査のような他の管理システムを実装する必要性についても規定されています。また、安全技術対策を取ることも義務付けられます。

生成的人工知能サービス管理暫定対策  Interim Measures for the Management of Generative AI Services (2023年8月15日施行)

2023年4月11日、中国サイバースペース局は、生成AIによって作成されたコンテンツが「社会秩序と社会道徳」と一致し、差別を回避し、正確で知的財産を尊重することを保証することを目的とした生成人工知能サービスに対する管理措置草案を発表し、その年の8月には施行されたことから、法案から施行までが非常に速かった法案です。政府の公式発表とは異なる見解を生成AIが発信することに対する政府の警戒感が強く反映され、言論統制の色彩が濃い。生成AIが一般公開される際には、事前に政府に対して安全保障評価を提出する必要があります。

その他の国

イギリス

2023年3月29日、ミシェル・ドネラン科学・イノベーション・技術担当国務長官が最近、英国を「AI大国」として確立することを目的としたホワイトペーパー「A pro-innovation approach to AI regulation」を発表しました。

ホワイトペーパーには、すべての規制機関がその範囲内で AI の使用について評価する際に考慮すべき 5 つの重要な原則についてそれぞれ定義と根拠(背景)が含まれています。

  • 安全性、セキュリティ、堅牢性(Safety, security, robustness)
  • 透明性と説明可能性(Appropriate transparency and explainability)
  • 公平性(Fairness)
  • 説明責任とガバナンス(Accountability and governance)
  • 異議申し立てと救済(Contestability and redress)

各原則の説明については、このブログでは割愛しますので、興味のある方は「3.2.3 A principles-based approach 項52」を参照ください。

上記のホワイトペーパーにも書かれている通り、民間のAI分野のイノベーションを阻害するような規制や新たな規制当局の設置を避け、各分野の既存の規制当局による規制および運用を目指すスタンスをとっています。

日本

AIに特化した包括的な規制はなく、経済産業省よりホワイトペーパーが提供され、法的拘束力のないガイダンスとして民間部門の自主的な取り組みに依存する形を採用しています。

一方、先日当ブログ「G7データ保護・プライバシー機関ラウンドテーブルについて」で取り上げた6月20日(火曜日)から21日(水曜日)にかけて開催された、G7データ保護・プライバシー機関ラウンドテーブルでは、Emerging Technologies(先端技術)のテーマにおいて、生成AIを含むAIテクノロジーに関する内容として以下が共同声明で採択され、その中でAIの製品やサービス開発、またはそのサービスを利用する側の組織に対して法的義務の遵守とリスク軽減策を担保する必要性が強調されています。

また、9月8日、内閣府が実施したAI戦略会議(第5回)では、先だって行われた9月7日のG7広島AIプロセスG7デジタル・技術閣僚声明で言及されたAI統合ガイドラインについて、現在、議論・検討中であるガイドラインの項目立て及び記載内容案の概要を示した「新AI事業者ガイドライン スケルトン(案)」が公開されました。今後、政府は、AI開発者を対象とする指針と行動規範のG7首脳への提示を目指し、年内をめどに、開発者を含む全てのAI関係者向けの国際的な指針を策定するようです。

11. We note growing concerns at the global level about increased risks to privacy and other human rights posed by the development, application, and use of AI technologies, including Generative AI. These emerging technologies can involve the automated collection and processing of large quantities of personal information in ways that, in the absence of appropriate safeguards, may undermine compliance with key international principles of data protection and privacy. In that context, we stress the need for developers and users of these technologies to demonstrate compliance with legal obligations, and ensure the implementation of risk mitigating measures, in consultation with relevant DPAs where necessary or appropriate. We reiterate that ensuring the “trust” of individuals, regulatory authorities, and our society is fundamental to the expansion and continued use of such technologies.

出典:G7 DPAs’ Communiqué , 2023年6月21日

シンガポール

シンガポールについてもCNBCの記事(「現時点ではAIを規制することは考えていない」とのシンガポール政府の情報通信メディア開発庁:IMDAのDirectorの発言を紹介)にもある通り、、日本同様にガイドラインやフレームワークなどで自主的な取り組みに依存する形をとっています。

シンガポールの国家としてのAI 戦略は、2019 年に発表されたモデル AI ガバナンス フレームワーク、その付属文書である組織向けの実装および自己評価ガイド、および組織レベルの AI ガバナンスの実践例に焦点を当てたユースケースの概要で構成されています。

モデル AI ガバナンス フレームワーク

2019 年 1 月 23 日、PDPC(シンガポールの個人データ保護委員会) は、広範な協議、導入、フィードバックを目的として、「モデル AI ガバナンスフレームワーク 」の初版をリリースしました。( 2020 年 1 月 21 日、第 2 版リリース)

民間部門の組織が AI ソリューションを導入する際の重要な倫理およびガバナンスの問題に対処するための、詳細かつ容易に実装可能なガイダンスを提供しています。

組織向けの実装および自己評価ガイドISAGO Implementation and Self-Assessment Guide for Organizations

組織が AI ガバナンスの実践とモデル フレームワークとの整合性を評価できるように支援する自己評価ガイドを提供。

組織レベルの AI ガバナンスの実践例に焦点を当てたユースケースの概要

国内および国際組織が AI ガバナンスの実践をどのように実装またはモデル フレームワークのすべてのセクションと連携させたかを示すユースケースの概要とそれによりどういった恩恵を受けているかを説明。他の企業にも同様の取り組みを促進。

さいごに

AIの法規制については、EU GDPRのようなプライバシー法規制同様に、EUのAI法が各国の法規制にベンチマークとして影響を与えるとの見方もありますが、現時点では各国のAI戦略などの政策方針により、EUのようにAIへの包括的な法規制については、否定的もしくはまだ考慮に入れていない国もあり、各国のスタンスは、それぞれ異なっているように見えます。

しかしながら、AI製品やサービスの開発、提供、利用する組織にとって、「AIガバナンス」の必要性は、どの国や地域の組織にであっても重要なテーマとなっており、AIの開発や利用に伴うリスクやガバナンスの問題と向き合うことが求められています。

ほとんどの組織では、法整備が追い付いていない状況下で、行政機関や業界団体の提示しているガイドラインに沿って、コンプライアンスやリスクへの対応について難しい判断が求められるケースも多いのではないでしょうか?

OneTrustのようなプライバシーマネジメントを中心としたプラットフォームを提供しているベンダーは、こうしたAIのガバナンスにおける課題を解決するために「AI Governance」機能の開発を進めています。(現在プレビュー機能として一部の限定ユーザー企業に公開)

まだ、一般リリースされていない機能ではありますが、OneTrustのAI Governance機能について興味のある方は、こちらのブログもご覧ください。

責任あるAIをサポートする OneTrust AI Governance

先日(2023年5月)OneTrustの「AI Governance」モジュールが「Early Access Program (EAP)」という条件付きで先行公開されたことで、「OneTrust導入の専門家集団」と謳っ…

この記事をシェアする