- シンクタンクならニッセイ基礎研究所 >
- 経営・ビジネス >
- 法務 >
- EUのAI規則(3/4)-適合性審査、汎用モデル
2024年10月30日
1――はじめに
2――前回までのレポートの振り返り
本稿を読んでいただくにあたっては、前回、前々回のレポートをまず読んでいただくことが望ましいが、ここで前回、前々回レポートを簡単に振り返っておく。
まず、AIシステムの定義であるが、これは推論能力が鍵となる。簡単に言えば、本規則では、自律的に稼働する機械のシステムであって入力から出力を推論するものをAIシステムと定義している。これはすなわち人間の頭脳のような働きをするシステムと言い換えられる。本規則の適用対象は主に、提供者と配備者であって、提供者はAIシステムを開発の上(第三者に開発させる場合を含む)、EU域内市場に投入または稼働させる者をいう。配備者は自分でAIシステムを利用する者をいうが、事業として利用する者に限定され、私的に利用する場合を含まない。
本規則のルールの一つ目は「禁止されるAIの行為」である。本規則5条に規定されたAIシステムはEU域内市場への投入や稼働が禁止されている。いくつかあるが、たとえばサブリミナル技術を利用するなどして人間の行動を歪めさせるシステム、こどもや障がい者等を搾取するシステム、ソーシャリングスコアシステムなどが禁止されている。このうち、リアルタイム遠隔生体認証システム(街頭に設置された監視カメラでリアルタイムに個人を識別するシステム)を捜査に使用することは、司法機関の許可を得ることなど厳格な条件のもとでAIシステムの利用が可能である。
本規則のルールの二つ目は高リスクAIシステムに関する規律である。人権や安全性に重大な影響を及ぼす可能性のあるAIシステムは、リスク管理措置の実施、データガバナンスの履行、技術文書の作成・ログの保管、配備者に対する使用説明書の作成、人的監視措置を可能とするシステムの構成、正確性および堅牢性をシステムに備えさせるなどの要件が課せられる。
そして高リスクAIシステムの提供者・配備者・輸入業者・販売業者はそれぞれ本規則の定める所定の義務が課せられる。
まず、AIシステムの定義であるが、これは推論能力が鍵となる。簡単に言えば、本規則では、自律的に稼働する機械のシステムであって入力から出力を推論するものをAIシステムと定義している。これはすなわち人間の頭脳のような働きをするシステムと言い換えられる。本規則の適用対象は主に、提供者と配備者であって、提供者はAIシステムを開発の上(第三者に開発させる場合を含む)、EU域内市場に投入または稼働させる者をいう。配備者は自分でAIシステムを利用する者をいうが、事業として利用する者に限定され、私的に利用する場合を含まない。
本規則のルールの一つ目は「禁止されるAIの行為」である。本規則5条に規定されたAIシステムはEU域内市場への投入や稼働が禁止されている。いくつかあるが、たとえばサブリミナル技術を利用するなどして人間の行動を歪めさせるシステム、こどもや障がい者等を搾取するシステム、ソーシャリングスコアシステムなどが禁止されている。このうち、リアルタイム遠隔生体認証システム(街頭に設置された監視カメラでリアルタイムに個人を識別するシステム)を捜査に使用することは、司法機関の許可を得ることなど厳格な条件のもとでAIシステムの利用が可能である。
本規則のルールの二つ目は高リスクAIシステムに関する規律である。人権や安全性に重大な影響を及ぼす可能性のあるAIシステムは、リスク管理措置の実施、データガバナンスの履行、技術文書の作成・ログの保管、配備者に対する使用説明書の作成、人的監視措置を可能とするシステムの構成、正確性および堅牢性をシステムに備えさせるなどの要件が課せられる。
そして高リスクAIシステムの提供者・配備者・輸入業者・販売業者はそれぞれ本規則の定める所定の義務が課せられる。
1|通知当局と被通知団体とは
本項では通知当局と被通知団体について規定している。これらの定義は以下の通りである。
通知当局(notifying authority)とは、適合性評価機関の審査及び通知(=認定)、並びにその監視に必要な手続の設定及び実施に責任を負う国家当局を意味する(3条(19))。
被通知団体(notified bodies)とは、本規則及び他の関連するEU調和法1に従って通知された適合性評価機関を意味する(3条(22))。適合性評価とは高リスクAIシステムに関するIII章2節(高リスクAIシステムの要件、前回レポートで解説)に規定された要求事項が満たされているかどうかを実証するプロセスを意味し(3条(20))、適合性評価機関とは、試験、認証及び検査を含む第三者適合性評価活動を行う機関をいう(3条(21))。
(注記)通知当局とは国家の行政機関で被通知団体を監視する。被通知団体とは後述の通り、通知当局が適合性審査を行うことを認める通知(=認可)を受けた団体である。通知当局、被通知団体というのはわかりにくいが、適合性審査機関を認可する当局、適合性審査実施の認可を受けた団体と言い換えるとわかりやすいかもしれない(以下、本稿では原文に従って、通知当局、被通知団体という)。
また、被通知団体の行う適合性評価とは前文によれば「高リスクAIシステムの複雑性とそれに伴うリスクを考慮すると、被通知団体が関与する高リスクAIシステムに対する適切な適合性評価手順、いわゆる第三者適合性評価(third party conformity assessment)を開発することが重要である」(前文125)とされている。すなわち、被通知団体は複雑な高リスクAIシステムについて、重大リスクの発生抑止機能などを確認する第三者機関であり、高リスクAIシステムの市場投入に際しては、提供者と並んで最も重要な機能を果たしている。
1 EUで製品を流通させるにあたり、特定分野の製品が満たすべき要件を調和(ハーモナイゼーション)させることとしているEU 指令や規則(Union harmonization legislation)のことを指す(EU整合化法令と訳されることもある)。
本項では通知当局と被通知団体について規定している。これらの定義は以下の通りである。
通知当局(notifying authority)とは、適合性評価機関の審査及び通知(=認定)、並びにその監視に必要な手続の設定及び実施に責任を負う国家当局を意味する(3条(19))。
被通知団体(notified bodies)とは、本規則及び他の関連するEU調和法1に従って通知された適合性評価機関を意味する(3条(22))。適合性評価とは高リスクAIシステムに関するIII章2節(高リスクAIシステムの要件、前回レポートで解説)に規定された要求事項が満たされているかどうかを実証するプロセスを意味し(3条(20))、適合性評価機関とは、試験、認証及び検査を含む第三者適合性評価活動を行う機関をいう(3条(21))。
(注記)通知当局とは国家の行政機関で被通知団体を監視する。被通知団体とは後述の通り、通知当局が適合性審査を行うことを認める通知(=認可)を受けた団体である。通知当局、被通知団体というのはわかりにくいが、適合性審査機関を認可する当局、適合性審査実施の認可を受けた団体と言い換えるとわかりやすいかもしれない(以下、本稿では原文に従って、通知当局、被通知団体という)。
また、被通知団体の行う適合性評価とは前文によれば「高リスクAIシステムの複雑性とそれに伴うリスクを考慮すると、被通知団体が関与する高リスクAIシステムに対する適切な適合性評価手順、いわゆる第三者適合性評価(third party conformity assessment)を開発することが重要である」(前文125)とされている。すなわち、被通知団体は複雑な高リスクAIシステムについて、重大リスクの発生抑止機能などを確認する第三者機関であり、高リスクAIシステムの市場投入に際しては、提供者と並んで最も重要な機能を果たしている。
1 EUで製品を流通させるにあたり、特定分野の製品が満たすべき要件を調和(ハーモナイゼーション)させることとしているEU 指令や規則(Union harmonization legislation)のことを指す(EU整合化法令と訳されることもある)。
2|被通知団体となるための手続
(1) 各加盟国は、適合性評価機関の評価、指定及び通知並びにその監視のために必要な手続の設定及び実施に責任を負う、少なくとも一つの通知当局を指定又は設置しなければならない。これら手続きは、すべての加盟国の通知当局が協力して策定しなければならない(28条1項)。
(2) 適合性評価機関(被通知団体となろうとする機関)は、その機関が設立されている加盟国の通知当局に通知申請書(application for notification)を提出しなければならない(29条1項)。
(3) 提出を受けた通知当局は、第31条に規定する要件を満たした適合性評価機関(被通知団体)のみを通知することができる(30条1項)。
(4) 被通知団体の要件について、詳細に定められている。要約すると、独立性、中立性、信頼性、専門性を有するものでなくてはならないとしている(31条)。
(5) 被通知団体は、第43条に定める適合性評価手順に従って、高リスクAIシステムの適合性を検証しなければならない(34条)。
(注記)これら条文は被通知団体の要件と、適合性評価手順を遵守すべき旨を定めている。具体的な適合性評価については後述する。なお、32条・33条、35条~39条は技術的なことを定めた条文であり、省略する。
(1) 各加盟国は、適合性評価機関の評価、指定及び通知並びにその監視のために必要な手続の設定及び実施に責任を負う、少なくとも一つの通知当局を指定又は設置しなければならない。これら手続きは、すべての加盟国の通知当局が協力して策定しなければならない(28条1項)。
(2) 適合性評価機関(被通知団体となろうとする機関)は、その機関が設立されている加盟国の通知当局に通知申請書(application for notification)を提出しなければならない(29条1項)。
(3) 提出を受けた通知当局は、第31条に規定する要件を満たした適合性評価機関(被通知団体)のみを通知することができる(30条1項)。
(4) 被通知団体の要件について、詳細に定められている。要約すると、独立性、中立性、信頼性、専門性を有するものでなくてはならないとしている(31条)。
(5) 被通知団体は、第43条に定める適合性評価手順に従って、高リスクAIシステムの適合性を検証しなければならない(34条)。
(注記)これら条文は被通知団体の要件と、適合性評価手順を遵守すべき旨を定めている。具体的な適合性評価については後述する。なお、32条・33条、35条~39条は技術的なことを定めた条文であり、省略する。
4――規格、適合性評価、認証、登録
1|欧州標準と共通仕様
(1) 欧州標準が存在する場合:欧州ジャーナルに掲載された欧州標準(harmonized standards)であって、III章2節(高リスクAIシステムの要件。前回レポートの4)、Ⅴ章2節・3節(汎用AIモデル提供者の義務等、本レポートの6、7)を満たす欧州標準が存在する場合において、その欧州標準に適合している高リスクAIシステムと汎用AIモデルは、これらの規定(III章2節など)が要求する要件に適合すると推定される(40条1項)。
(2) 欧州標準が存在しない場合:欧州委員会はIII章2節およびⅤ章2節・3節を満たすための共通仕様(common specification)を定める実施法を採択することができる(41条1項)。この場合において、共通仕様に適合する高リスクAIシステムと汎用AIモデルは、本規則の要求する要件に適合すると推定される(同条3項)。
(注記)前文では「欧州標準化を行うことにより、単一市場における競争力と成長だけでなく、技術革新を促進するために、技術水準に沿った本規則への準拠を確保するための技術的解決策を提供者に提供する重要な役割を果たすべきである」とし、欧州標準が存在しない場合「欧州委員会は、実施法を通じ、アドバイザリー・フォーラム(67条、次回レポートで解説)の協議を経て、本規則に基づく特定の要求事項に関する共通仕様を定めることができるものとする」(前文121)とある。高リスクAIシステムおよび汎用AIシステムは、それぞれ独自機能を有しながらも、技術的に共通化が可能な骨格部分では、共通の仕様を有することが目指されている。適度な標準化は公正な競争を促進し、かつAIシステムの発展を促すものと考えられる。
(1) 欧州標準が存在する場合:欧州ジャーナルに掲載された欧州標準(harmonized standards)であって、III章2節(高リスクAIシステムの要件。前回レポートの4)、Ⅴ章2節・3節(汎用AIモデル提供者の義務等、本レポートの6、7)を満たす欧州標準が存在する場合において、その欧州標準に適合している高リスクAIシステムと汎用AIモデルは、これらの規定(III章2節など)が要求する要件に適合すると推定される(40条1項)。
(2) 欧州標準が存在しない場合:欧州委員会はIII章2節およびⅤ章2節・3節を満たすための共通仕様(common specification)を定める実施法を採択することができる(41条1項)。この場合において、共通仕様に適合する高リスクAIシステムと汎用AIモデルは、本規則の要求する要件に適合すると推定される(同条3項)。
(注記)前文では「欧州標準化を行うことにより、単一市場における競争力と成長だけでなく、技術革新を促進するために、技術水準に沿った本規則への準拠を確保するための技術的解決策を提供者に提供する重要な役割を果たすべきである」とし、欧州標準が存在しない場合「欧州委員会は、実施法を通じ、アドバイザリー・フォーラム(67条、次回レポートで解説)の協議を経て、本規則に基づく特定の要求事項に関する共通仕様を定めることができるものとする」(前文121)とある。高リスクAIシステムおよび汎用AIシステムは、それぞれ独自機能を有しながらも、技術的に共通化が可能な骨格部分では、共通の仕様を有することが目指されている。適度な標準化は公正な競争を促進し、かつAIシステムの発展を促すものと考えられる。
2|適合性評価
(1) 付属書III(前回レポート図表5に掲載)の1.(生体に関するもの)2に列挙された高リスクAIシステムについて、III章2節(高リスクAIシステムの要件)に規定された高リスクAIシステムの適合性を実証するにあたっては、提供者が第40条に言及された欧州標準、又は第41条に言及された共通仕様を適用している場合、提供者は、付属書VI(下記図表3)または付属書VII3に規定される適合性評価手続を実施しなければならない(43条1項)。
(2) 付属書IIIの2.~8.4に該当する高リスクAIシステムについては、提供者は付属書VI下記図表3)に従って適合性評価手続きを実施しなければならない(同条2項)。
(1) 付属書III(前回レポート図表5に掲載)の1.(生体に関するもの)2に列挙された高リスクAIシステムについて、III章2節(高リスクAIシステムの要件)に規定された高リスクAIシステムの適合性を実証するにあたっては、提供者が第40条に言及された欧州標準、又は第41条に言及された共通仕様を適用している場合、提供者は、付属書VI(下記図表3)または付属書VII3に規定される適合性評価手続を実施しなければならない(43条1項)。
(2) 付属書IIIの2.~8.4に該当する高リスクAIシステムについては、提供者は付属書VI下記図表3)に従って適合性評価手続きを実施しなければならない(同条2項)。
2 該当するのはa)遠隔生体認証システム(本人確認のためのものを含まない)、b)生体のカテゴライズのために用いられるAIシステム、c)感情認識を目的としたAIシステムである。
3 付属書VIIは品質管理システムや技術文書の評価に基づく適合性を審査する(詳細は省略)。
4 該当するAIシステムとしては、重要なインフラにかかわるもの、教育と職業訓練にかかわるもの、雇用・労働者管理・自営業の自己評価にかかわるもの、必要不可欠な民間サービス・公共サービスおよび給付を受けるためのアクセスにかかわるもの、法の執行にかかわるもの、移民・難民保護・国境管理にかかわるもの、司法行政と民主的プロセスにかかわるものである。
(3) 付属書IのセクションA(前回レポート図表3)に列挙された EU の調和法が適用される高リスク AI システムについては、その提供者は、それらの法令で要求される適合性評価手順に従わなければならない(同条3項)。
(注記)前文では「高リスクAIシステムの複雑性とそれに伴うリスクを考慮すると、被通知団体が関与する高リスクAIシステムに対する適切な適合性評価手順、いわゆる第三者適合性評価(third party conformity assessment)を開発することが重要である。しかし、製品安全分野における専門の市販前認証機関の現在の経験が、審査するリスクの内容をカバーできていないことを考慮すると、少なくとも本規則の適用初期段階においては、製品に関連するもの以外の高リスクAIシステムに対する第三者適合性評価の適用範囲を制限することが適切である。したがって、このようなシステムの適合性評価は、生体に使用されることを意図したAIシステムを唯一の例外として、原則として、提供者が自らの責任において適合性評価を実施すべきである」(前文125)とする。適合性評価は、適合性評価機関に経験がないことを踏まえ、少なくとも規則制定後早期の段階では一部例外を除き、提供者自身が行うこととされている。したがって、本規則制定後しばらくは、被通知団体(適合性評価機関)の審査範囲は限定されている。
(注記)前文では「高リスクAIシステムの複雑性とそれに伴うリスクを考慮すると、被通知団体が関与する高リスクAIシステムに対する適切な適合性評価手順、いわゆる第三者適合性評価(third party conformity assessment)を開発することが重要である。しかし、製品安全分野における専門の市販前認証機関の現在の経験が、審査するリスクの内容をカバーできていないことを考慮すると、少なくとも本規則の適用初期段階においては、製品に関連するもの以外の高リスクAIシステムに対する第三者適合性評価の適用範囲を制限することが適切である。したがって、このようなシステムの適合性評価は、生体に使用されることを意図したAIシステムを唯一の例外として、原則として、提供者が自らの責任において適合性評価を実施すべきである」(前文125)とする。適合性評価は、適合性評価機関に経験がないことを踏まえ、少なくとも規則制定後早期の段階では一部例外を除き、提供者自身が行うこととされている。したがって、本規則制定後しばらくは、被通知団体(適合性評価機関)の審査範囲は限定されている。
3|EU適合宣言書
提供者は、高リスクAIシステムごとに、機械可読、かつ物理的または電子的に署名されたEU適合宣言書を作成し、高リスクAIシステムが市場投入または使用開始された後10年間、各国の所轄当局が自由に利用できるよう保管しなければならない。EU適合宣言書では、作成された高リスクAIシステムを特定しなければならない。EU適合宣言書の写しは、要請に応じて関連する国家所管庁に提出しなければならない(47条1項)。
EU適合宣言書は本規則III章2節(高リスクAIシステムの要件)に定められた要件に合致していることを記載するものとする(同条2項)。EU宣言書を作成した提供者はIII章2節を遵守していることについて責任を負う(同条4項)。
(注記)EU適合宣言書は、III章2節(高リスクAIシステムの要件)を満たすことを提供者が表明する書類であるが、前文にEU適合宣言書の位置づけ等についての特段の説明はない。提供者は、高リスクAIシステムを市場投入し、サービスを開始する前に被通知団体の適合性審査を受け、これに合格したことを自ら表明することとされている。
提供者は、高リスクAIシステムごとに、機械可読、かつ物理的または電子的に署名されたEU適合宣言書を作成し、高リスクAIシステムが市場投入または使用開始された後10年間、各国の所轄当局が自由に利用できるよう保管しなければならない。EU適合宣言書では、作成された高リスクAIシステムを特定しなければならない。EU適合宣言書の写しは、要請に応じて関連する国家所管庁に提出しなければならない(47条1項)。
EU適合宣言書は本規則III章2節(高リスクAIシステムの要件)に定められた要件に合致していることを記載するものとする(同条2項)。EU宣言書を作成した提供者はIII章2節を遵守していることについて責任を負う(同条4項)。
(注記)EU適合宣言書は、III章2節(高リスクAIシステムの要件)を満たすことを提供者が表明する書類であるが、前文にEU適合宣言書の位置づけ等についての特段の説明はない。提供者は、高リスクAIシステムを市場投入し、サービスを開始する前に被通知団体の適合性審査を受け、これに合格したことを自ら表明することとされている。
(2024年10月30日「基礎研レポート」)
03-3512-1866
経歴
- 【職歴】
1985年 日本生命保険相互会社入社
2014年 ニッセイ基礎研究所 内部監査室長兼システム部長
2015年4月 生活研究部部長兼システム部長
2018年4月 取締役保険研究部研究理事
2021年4月 常務取締役保険研究部研究理事
2024年4月より現職
【加入団体等】
東京大学法学部(学士)、ハーバードロースクール(LLM:修士)
東京大学経済学部非常勤講師(2022年度・2023年度)
大阪経済大学非常勤講師(2018年度~2022年度)
金融審議会専門委員(2004年7月~2008年7月)
日本保険学会理事、生命保険経営学会常務理事 等
【著書】
『はじめて学ぶ少額短期保険』
出版社:保険毎日新聞社
発行年月:2024年02月
『Q&Aで読み解く保険業法』
出版社:保険毎日新聞社
発行年月:2022年07月
『はじめて学ぶ生命保険』
出版社:保険毎日新聞社
発行年月:2021年05月
松澤 登のレポート
日付 | タイトル | 執筆者 | 媒体 |
---|---|---|---|
2024/12/03 | AI事業者ガイドライン-総務省・経済産業省のガイドライン | 松澤 登 | 基礎研レポート |
2024/11/22 | TemuのEU消費者保護法制違反被疑事案-CPCネットワークの指示・調査 | 松澤 登 | 研究員の眼 |
2024/11/19 | 欧州委員会によるTemuの調査-デジタルサービス法違反被疑事案 | 松澤 登 | 研究員の眼 |
2024/11/06 | 情報伝達・取引推奨による内部者取引-東証職員によるインサイダー取引疑惑 | 松澤 登 | 研究員の眼 |
公式SNSアカウント
新着レポートを随時お届け!日々の情報収集にぜひご活用ください。
新着記事
-
2024年12月11日
貸出・マネタリー統計(24年11月)~企業の定期預金シフトが顕著に、個人の動きはまだ鈍い -
2024年12月11日
Investors Trading Trends in Japanese Stock Market:An Analysis for November 2024 -
2024年12月11日
ノンメディカルな卵子凍結-東京都では計4千5百人が卵子凍結を実施済、現在パートナーがいない健康な30歳~40歳代が将来に備える傾向- -
2024年12月10日
投資部門別売買動向(24年11月)~事業法人が大幅買い越し~ -
2024年12月10日
2025年はどんな年? 金融市場のテーマと展望
レポート紹介
-
研究領域
-
経済
-
金融・為替
-
資産運用・資産形成
-
年金
-
社会保障制度
-
保険
-
不動産
-
経営・ビジネス
-
暮らし
-
ジェロントロジー(高齢社会総合研究)
-
医療・介護・健康・ヘルスケア
-
政策提言
-
-
注目テーマ・キーワード
-
統計・指標・重要イベント
-
媒体
- アクセスランキング
お知らせ
-
2024年11月27日
News Release
-
2024年07月01日
News Release
-
2024年04月02日
News Release
【EUのAI規則(3/4)-適合性審査、汎用モデル】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。
EUのAI規則(3/4)-適合性審査、汎用モデルのレポート Topへ