2024年10月30日

EUのAI規則(3/4)-適合性審査、汎用モデル

保険研究部 専務取締役 研究理事 兼 ヘルスケアリサーチセンター長 松澤 登

このレポートの関連カテゴリ

文字サイズ

1――はじめに

EUのAI規則(以下、本規則)は2024年6月13日にEUジャーナル(日本の官報に相当)に掲載され、同年8月1日に発効した。本規則はAIシステムにさまざまな規制を行っており、その概要は図表1の通りである。

前回までのレポートでは、総則・定義、禁止されるAIの行為、高リスクAIシステムの定義・規律、高リスクAIシステムの提供者、配備者等の義務等について述べた。

今回のレポートでは、主にEU基準への適合性の審査および透明義務・汎用AIモデルについて述べる。図表1に色付きで示した項目があるが、ここが今回のレポートで解説する部分である。
【図表1】今回解説する事項

2――前回までのレポートの振り返り

2――前回までのレポートの振り返り

本稿を読んでいただくにあたっては、前回前々回のレポートをまず読んでいただくことが望ましいが、ここで前回、前々回レポートを簡単に振り返っておく。

まず、AIシステムの定義であるが、これは推論能力が鍵となる。簡単に言えば、本規則では、自律的に稼働する機械のシステムであって入力から出力を推論するものをAIシステムと定義している。これはすなわち人間の頭脳のような働きをするシステムと言い換えられる。本規則の適用対象は主に、提供者と配備者であって、提供者はAIシステムを開発の上(第三者に開発させる場合を含む)、EU域内市場に投入または稼働させる者をいう。配備者は自分でAIシステムを利用する者をいうが、事業として利用する者に限定され、私的に利用する場合を含まない。

本規則のルールの一つ目は「禁止されるAIの行為」である。本規則5条に規定されたAIシステムはEU域内市場への投入や稼働が禁止されている。いくつかあるが、たとえばサブリミナル技術を利用するなどして人間の行動を歪めさせるシステム、こどもや障がい者等を搾取するシステム、ソーシャリングスコアシステムなどが禁止されている。このうち、リアルタイム遠隔生体認証システム(街頭に設置された監視カメラでリアルタイムに個人を識別するシステム)を捜査に使用することは、司法機関の許可を得ることなど厳格な条件のもとでAIシステムの利用が可能である。

本規則のルールの二つ目は高リスクAIシステムに関する規律である。人権や安全性に重大な影響を及ぼす可能性のあるAIシステムは、リスク管理措置の実施、データガバナンスの履行、技術文書の作成・ログの保管、配備者に対する使用説明書の作成、人的監視措置を可能とするシステムの構成、正確性および堅牢性をシステムに備えさせるなどの要件が課せられる。

そして高リスクAIシステムの提供者・配備者・輸入業者・販売業者はそれぞれ本規則の定める所定の義務が課せられる。

3――通知当局と被通知団体

3――通知当局と被通知団体

本項3と次項の4は適合性審査に関する解説となる(図表2)。
【図表2】本項3と4で取り扱う部分
1|通知当局と被通知団体とは
本項では通知当局と被通知団体について規定している。これらの定義は以下の通りである。

通知当局(notifying authority)とは、適合性評価機関の審査及び通知(=認定)、並びにその監視に必要な手続の設定及び実施に責任を負う国家当局を意味する(3条(19))。

被通知団体(notified bodies)とは、本規則及び他の関連するEU調和法1に従って通知された適合性評価機関を意味する(3条(22))。適合性評価とは高リスクAIシステムに関するIII章2節(高リスクAIシステムの要件、前回レポートで解説)に規定された要求事項が満たされているかどうかを実証するプロセスを意味し(3条(20))、適合性評価機関とは、試験、認証及び検査を含む第三者適合性評価活動を行う機関をいう(3条(21))。

(注記)通知当局とは国家の行政機関で被通知団体を監視する。被通知団体とは後述の通り、通知当局が適合性審査を行うことを認める通知(=認可)を受けた団体である。通知当局、被通知団体というのはわかりにくいが、適合性審査機関を認可する当局、適合性審査実施の認可を受けた団体と言い換えるとわかりやすいかもしれない(以下、本稿では原文に従って、通知当局、被通知団体という)。

また、被通知団体の行う適合性評価とは前文によれば「高リスクAIシステムの複雑性とそれに伴うリスクを考慮すると、被通知団体が関与する高リスクAIシステムに対する適切な適合性評価手順、いわゆる第三者適合性評価(third party conformity assessment)を開発することが重要である」(前文125)とされている。すなわち、被通知団体は複雑な高リスクAIシステムについて、重大リスクの発生抑止機能などを確認する第三者機関であり、高リスクAIシステムの市場投入に際しては、提供者と並んで最も重要な機能を果たしている。
 
1 EUで製品を流通させるにあたり、特定分野の製品が満たすべき要件を調和(ハーモナイゼーション)させることとしているEU 指令や規則(Union harmonization legislation)のことを指す(EU整合化法令と訳されることもある)。
2|被通知団体となるための手続
(1) 各加盟国は、適合性評価機関の評価、指定及び通知並びにその監視のために必要な手続の設定及び実施に責任を負う、少なくとも一つの通知当局を指定又は設置しなければならない。これら手続きは、すべての加盟国の通知当局が協力して策定しなければならない(28条1項)。

(2) 適合性評価機関(被通知団体となろうとする機関)は、その機関が設立されている加盟国の通知当局に通知申請書(application for notification)を提出しなければならない(29条1項)。

(3) 提出を受けた通知当局は、第31条に規定する要件を満たした適合性評価機関(被通知団体)のみを通知することができる(30条1項)。

(4) 被通知団体の要件について、詳細に定められている。要約すると、独立性、中立性、信頼性、専門性を有するものでなくてはならないとしている(31条)。

(5) 被通知団体は、第43条に定める適合性評価手順に従って、高リスクAIシステムの適合性を検証しなければならない(34条)。

(注記)これら条文は被通知団体の要件と、適合性評価手順を遵守すべき旨を定めている。具体的な適合性評価については後述する。なお、32条・33条、35条~39条は技術的なことを定めた条文であり、省略する。

4――規格、適合性評価、認証、登録

4――規格、適合性評価、認証、登録

1|欧州標準と共通仕様
(1) 欧州標準が存在する場合:欧州ジャーナルに掲載された欧州標準(harmonized standards)であって、III章2節(高リスクAIシステムの要件。前回レポートの4)、Ⅴ章2節・3節(汎用AIモデル提供者の義務等、本レポートの6、7)を満たす欧州標準が存在する場合において、その欧州標準に適合している高リスクAIシステムと汎用AIモデルは、これらの規定(III章2節など)が要求する要件に適合すると推定される(40条1項)。

(2) 欧州標準が存在しない場合:欧州委員会はIII章2節およびⅤ章2節・3節を満たすための共通仕様(common specification)を定める実施法を採択することができる(41条1項)。この場合において、共通仕様に適合する高リスクAIシステムと汎用AIモデルは、本規則の要求する要件に適合すると推定される(同条3項)。

(注記)前文では「欧州標準化を行うことにより、単一市場における競争力と成長だけでなく、技術革新を促進するために、技術水準に沿った本規則への準拠を確保するための技術的解決策を提供者に提供する重要な役割を果たすべきである」とし、欧州標準が存在しない場合「欧州委員会は、実施法を通じ、アドバイザリー・フォーラム(67条、次回レポートで解説)の協議を経て、本規則に基づく特定の要求事項に関する共通仕様を定めることができるものとする」(前文121)とある。高リスクAIシステムおよび汎用AIシステムは、それぞれ独自機能を有しながらも、技術的に共通化が可能な骨格部分では、共通の仕様を有することが目指されている。適度な標準化は公正な競争を促進し、かつAIシステムの発展を促すものと考えられる。
2|適合性評価
(1) 付属書III(前回レポート図表5に掲載)の1.(生体に関するもの)2に列挙された高リスクAIシステムについて、III章2節(高リスクAIシステムの要件)に規定された高リスクAIシステムの適合性を実証するにあたっては、提供者が第40条に言及された欧州標準、又は第41条に言及された共通仕様を適用している場合、提供者は、付属書VI(下記図表3)または付属書VII3に規定される適合性評価手続を実施しなければならない(43条1項)。

(2) 付属書IIIの2.~8.4に該当する高リスクAIシステムについては、提供者は付属書VI下記図表3)に従って適合性評価手続きを実施しなければならない(同条2項)。
【図表3】付属書VI
 
2 該当するのはa)遠隔生体認証システム(本人確認のためのものを含まない)、b)生体のカテゴライズのために用いられるAIシステム、c)感情認識を目的としたAIシステムである。
3 付属書VIIは品質管理システムや技術文書の評価に基づく適合性を審査する(詳細は省略)。
4 該当するAIシステムとしては、重要なインフラにかかわるもの、教育と職業訓練にかかわるもの、雇用・労働者管理・自営業の自己評価にかかわるもの、必要不可欠な民間サービス・公共サービスおよび給付を受けるためのアクセスにかかわるもの、法の執行にかかわるもの、移民・難民保護・国境管理にかかわるもの、司法行政と民主的プロセスにかかわるものである。
(3) 付属書IのセクションA(前回レポート図表3)に列挙された EU の調和法が適用される高リスク AI システムについては、その提供者は、それらの法令で要求される適合性評価手順に従わなければならない(同条3項)。

(注記)前文では「高リスクAIシステムの複雑性とそれに伴うリスクを考慮すると、被通知団体が関与する高リスクAIシステムに対する適切な適合性評価手順、いわゆる第三者適合性評価(third party conformity assessment)を開発することが重要である。しかし、製品安全分野における専門の市販前認証機関の現在の経験が、審査するリスクの内容をカバーできていないことを考慮すると、少なくとも本規則の適用初期段階においては、製品に関連するもの以外の高リスクAIシステムに対する第三者適合性評価の適用範囲を制限することが適切である。したがって、このようなシステムの適合性評価は、生体に使用されることを意図したAIシステムを唯一の例外として、原則として、提供者が自らの責任において適合性評価を実施すべきである」(前文125)とする。適合性評価は、適合性評価機関に経験がないことを踏まえ、少なくとも規則制定後早期の段階では一部例外を除き、提供者自身が行うこととされている。したがって、本規則制定後しばらくは、被通知団体(適合性評価機関)の審査範囲は限定されている。
3|EU適合宣言書
提供者は、高リスクAIシステムごとに、機械可読、かつ物理的または電子的に署名されたEU適合宣言書を作成し、高リスクAIシステムが市場投入または使用開始された後10年間、各国の所轄当局が自由に利用できるよう保管しなければならない。EU適合宣言書では、作成された高リスクAIシステムを特定しなければならない。EU適合宣言書の写しは、要請に応じて関連する国家所管庁に提出しなければならない(47条1項)。

EU適合宣言書は本規則III章2節(高リスクAIシステムの要件)に定められた要件に合致していることを記載するものとする(同条2項)。EU宣言書を作成した提供者はIII章2節を遵守していることについて責任を負う(同条4項)。

(注記)EU適合宣言書は、III章2節(高リスクAIシステムの要件)を満たすことを提供者が表明する書類であるが、前文にEU適合宣言書の位置づけ等についての特段の説明はない。提供者は、高リスクAIシステムを市場投入し、サービスを開始する前に被通知団体の適合性審査を受け、これに合格したことを自ら表明することとされている。

(2024年10月30日「基礎研レポート」)

このレポートの関連カテゴリ

Xでシェアする Facebookでシェアする

保険研究部   専務取締役 研究理事 兼 ヘルスケアリサーチセンター長

松澤 登 (まつざわ のぼる)

研究・専門分野
保険業法・保険法|企業法務

経歴
  • 【職歴】
     1985年 日本生命保険相互会社入社
     2014年 ニッセイ基礎研究所 内部監査室長兼システム部長
     2015年4月 生活研究部部長兼システム部長
     2018年4月 取締役保険研究部研究理事
     2021年4月 常務取締役保険研究部研究理事
     2024年4月より現職

    【加入団体等】
     東京大学法学部(学士)、ハーバードロースクール(LLM:修士)
     東京大学経済学部非常勤講師(2022年度・2023年度)
     大阪経済大学非常勤講師(2018年度~2022年度)
     金融審議会専門委員(2004年7月~2008年7月)
     日本保険学会理事、生命保険経営学会常務理事 等

    【著書】
     『はじめて学ぶ少額短期保険』
      出版社:保険毎日新聞社
      発行年月:2024年02月

     『Q&Aで読み解く保険業法』
      出版社:保険毎日新聞社
      発行年月:2022年07月

     『はじめて学ぶ生命保険』
      出版社:保険毎日新聞社
      発行年月:2021年05月

公式SNSアカウント

新着レポートを随時お届け!
日々の情報収集にぜひご活用ください。

週間アクセスランキング

ピックアップ

レポート紹介

【EUのAI規則(3/4)-適合性審査、汎用モデル】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。

EUのAI規則(3/4)-適合性審査、汎用モデルのレポート Topへ