EUのAI法が施行されるとどうなる？ GDPR対応を振り返って考える：CIO Dive

EUでAIの規制を定めたAI法が可決された。EU市場でAIを活用する組織を対象としており、今後国際基準にもなると見込まれる。AI法の執行が与える影響はどんなものか。GDPR施行時の世界的な動きを振り返って考察する。

[Lindsey Wilkinson，CIO Dive]

　欧州のAI法は、企業による生成AIの実験や導入、監視の方法に変化をもたらしつつある。

AI法とは？　概要と規制対象

　ライイド・ガニ氏（カーネギーメロン大学機械学習学部とハインツ・カレッジ公共政策学部の名誉キャリア教授）は「CIO Dive」の取材に対し、「EU（欧州連合）のAI法は2024年5〜6月に施行される見込みで、企業はAIの開発と展開について対応せざるを得なくなる。多くの企業が責任を持ってこれを行っているという証拠はほとんど出せるものではないが、今度はそのことを証明する必要がある」と語った。

　2024年3月初めに可決されたAI法は、AIシステムの活用方法とリスクを強調し、容認できない活用方法を「高リスク」「中リスク」「低リスク」に分類している（注1）。

　容認できないケースには「生体認証システム」「職場での感情認識」「人間の行動を操作するAI」などが含まれ、これらは禁止されている。

　国際的な規制の変更により、生成AIの導入を検討している企業はリスクの観点からユースケースを厳格に評価する必要がある。すでにAIを導入している組織はコンプライアンスを保証し、潜在的な罰則を回避するために徹底した監査が必要になる。

　AI法は、EUの機関誌に掲載されてから20日後に発効される。企業は2026年までにほとんどの規則を順守しなければならないが、禁止された慣行や汎用AIモデルのプロバイダーに対する義務を要求する規則は、6カ月後または12カ月後に適用される（注2）。

　本社の所在地に関係なく、EU市場でAIシステムを導入または運用する組織は規則の対象になる。

　米国の組織が海外の技術規制によって混乱するのはこれが初めてではない。2018年に施行されたEUの「一般データ保護規則」（GDPR）は、たとえ欧州外で事業を展開していたとしても、企業の個人データの取扱基準を定めた。

　専門家はAI法が同様の国際的影響力を持つことを期待している。Forrester Researchのエンザ・イアノポロ氏（プリンシパルアナリスト）は、「米国やブラジル、その他の国々の多くの規制当局がGDPRを参考にして独自のバージョンを作ったことが分かっている。当時から規制に対する関心はあったが、現在もAI規制に対する関心は間違いなく高まっている」と話す。

　もし米国の企業がEUのAI法の要件を満たすために努力すれば、技術リーダーは将来的に規制当局の義務と同等か、それに近いコンプライアンスを達成できるだろうと同氏は述べる。

AI規制は果たして期待通りに機能するのか

　GDPRはモデルケースにはなるが、AI法に対する完璧な比較対象ではない（注3）（注4）。

　「個人データの規制は非常に困難だが、AIを規制することはそれよりもはるかに難しいだろう」（イアノポロ氏）（注5）

　GDPRの導入も必ずしもスムーズに進んだわけではなく、多くの企業は監査が始まる前にコンプライアンス目標を達成するのに苦労した。

　基準を満たした企業でさえ準備不足を感じていた。GDPR発効から約2年後に発表されたサイバーセキュリティ企業Taniumの2020年の報告書によると、企業の3分の2以上がコンプライアンスを維持できなくなることを懸念していたという。

　また批評家の中には、資金的余裕のある組織にとって罰金が必ずしも行動を抑制するとは限らないと指摘する者もいる。

　「欧州人はルールを作るのは得意だが、ルールを執行するのは得意ではない。特に罰金の額に関しては、まさにそれがいえるだろう」（イアノポロ氏）

　AI法は違反した組織に対して750万〜3500万ユーロ（12.7億〜59.1億円）の罰金を課すことになる（注6）。「この規則を適切に執行するために、EUはEU全体と各加盟国で異なる組織を設立する必要がある」とイアノポロ氏は話す。

　「これらのネットワークが出来上がり機能するようになるまでにどれだけの時間がかかるかは現実的に考えられる課題だ」（イアノポロ氏）

　EUのコンプライアンス担当者がAIスキルを習得するまでには時間が必要であり、これが導入を遅らせる要因になる。

　AIの人材不足は加速しており、生成AIに関連する求人は急増している（注7）。

　米国の規制当局はすでに、新技術のルールを作るためのスキルアップの必要性を認識している。議会の指導者たちは、AIの潜在的な影響について学び、利害関係者やテック企業のCEOから政策提言を探るために、インサイトフォーラムや小委員会の公聴会を開催した（注8）（注9）。

CIOがAI法に向けて取り組むべき準備

　米国は的を絞った行政命令や規制の枠組み、AIに関する過大な約束と実行不足からビジネスを抑止する努力を通じてAIの急速な普及に対処しようとしているが、AI法の執行を開始するのは欧州だ（注10）（注11）（注12）。

　「CIO（最高情報責任者）は、従業員がどのようなツールをどのような目的で使用しているかを明確に把握することで、AI法の施行に向けて組織の準備を始められる」（ガニ氏）

　ツールの在庫を把握し、具体的な使用方法を特定することで、組織はリスクを分類しやすくなる。

　イアノポロ氏によると、技術リーダーが実際にどれだけの個人データが関連しているかを考慮し始めると、一見リスクの低い使用方法でも高度に複雑になる可能性があるという。

　一部の組織では、すでに汎用性の高い戦略ではなく、各ユースケースに焦点を当ててAIや生成AIを導入する方向性で考えている。

　TransUnionのベンカ・アカンタ氏（EVP、最高技術責任者、Chief Data and Analytics Officer）は、AIがビジネスにもたらす可能性に強気だ。

　TransUnionは4月初頭に、AIと機械学習のプラットフォーム「OneTru」を発表した。ビジネスの中核に位置するこのプラットフォームは、従業員が複雑なデータ問題を解決し、IDデータ検証を改善し、チーム間のコラボレーションを強化するための単一の環境を提供する。

　しかし、同社が全てのビジネス機能や部門、ソリューションに生成型AIを組み込んでいるわけではない。活用法を慎重に検討することが不可欠だ。

　アカンタ氏は次のように述べている。「信用評価においては説明可能性が非常に重要なので、説明可能な機械学習は使えるが、ブラックボックスな生成AIには抵抗がある。一方、不正防止においては説明可能性が低くても目的関数を追求できる」

（注1）EU passes AI Act, places first binding rules on generative AI（CIO Dive）
（注2）EU AI Act: Next Steps for Implementation（International Association of Privacy Professionals）
（注3）5 GDPR pains that won’t go away（CIO Dive）
（注4）58% of companies fail to meet GDPR’s data request deadlines（CIO Dive）
（注5）Why 67% of companies fear they can’t sustain privacy compliance（CIO Dive）
（注6）Interinstitutional File:2021/0106(COD)（European Council）
（注7）Generative AI jobs, though rare, are on the rise: Indeed（CIO Dive）
（注8）Schumer calls for ‘new process’ to regulate AI, urging speed in Congress（CIO Dive）
（注9）OpenAI CEO asks Congress for AI regulation and a new agency（CIO Dive）
（注10）White House AI executive order adds safety requirements for next generation tech（CIO Dive）
（注11）Schumer calls for ‘new process’ to regulate AI, urging speed in Congress（CIO Dive）
（注12）SEC Charges Two Investment Advisers with Making False and Misleading Statements About Their Use of Artificial Intelligence（U.S. SECURITIES AND EXCHANGE COMMISSION）

原文へのリンク