(1) 法的拘束力の有無
ガイドラインには事業者に対して法的拘束力がないのに対して、EU規則には法的拘束力がある。したがって、規定違反についてガイドラインでは何らペナルティがないが、EU規則では巨額の制裁金が科せられるおそれがある。そのため、ガイドラインでは各事業者によって遵守していない項目があってもおかしくはない。また是正措置を講ずるかどうかは当該事業者が自主的に決めることであり、外部より求めることは想定されていない。AIシステムによる社会や人権に与える悪影響がどの程度であるかを想定するかにもよるが、
AIの利用範囲の急速な拡大を踏まえると、たとえば違反行為に当局が是正命令を出すことができるようにすべきであり、日本でもAI監督法の立法を必要とする事実は十分あると考えられる。
(2) 監督当局や審議機関の存在
EUレベルの監督機関として、欧州委員会の一機能であるAIオフィスがある。AIオフィスは全体の調整を行うと同時に、汎用AIモデルの監督を行う。また、各加盟国代表による構成される欧州人工知能理事会(規制執行について助言を行う会議体)、産業界・市民社会などからの代表者で構成されるアドバイザリー・フォーラム(欧州人工知能理事会及び欧州委員会に助言を行う会議体)、独立した専門家による構成される科学パネル(規則施行を支援する会議体)、および各国の市場監視当局(各国でAIシステムを監視・監督する行政機関)が存在する。
AIのガバナンスという場合にはガイドラインでは、事業者(開発者など)が自社内で行うガバナンスのことを意味するが、EU規則では、事業者の行うモニタリングだけではなく、EUレベル、国家レベルで高リスクAIシステムを監視することを意味する。
そのほか適合性を審査する制度があるが、それは次項(3)で述べる。
(3) 適合性審査制度
EU規則では、高リスクAIシステムの満たすべき要件(リスク管理システムの導入、データガバナンスの実施、技術文書作成および記録保存、使用説明書作成、人的監視措置導入、正確性および堅牢性など)
を、当該高リスクAIシステムが満たしているかを審査する制度が存在する。EU規則上、通知当局(notifying authority)と呼ばれる加盟国の行政機関が、適合性を審査する団体である被通知団体(notified bodies)を通知(=認定)する。被通知団体は高リスクAIシステムが規則上の要件を満たしているかどうか審査し、満たしている場合は証明書を発行する。証明書の発行を受けた提供者は、EU適合宣言書を作成し、高リスクAIシステムにCEマーキングを付するという一連の手続がある。
上記(2)(3)で述べた通り、EU規則ではAIシステムに関するガバナンスを国家レベル、EUレベルで実現することを定めている。上記(1)でも述べた通り、AI監督法を立法するのであれば、AIのリスクを継続的に監視・監督するという視点から、国レベルで行うべき監督体制の構築、あるいは国レベルのガバナンス体制をどうするかを決める必要がある。また特に、
EU規制の柱となっている適合性審査制度を設けるかどうか検討すべきである。
(4) 禁止されるAIの行為
ガイドラインでは、人の意思決定や感情を不当に操作することを目的としたAIシステム・サービスを行わないという記載がある。
他方、EU規則では、ガイドラインと同様の規定のほか、こどもや障がい者等を搾取するAIシステム、ソーシャルスコアリング、予測取締システム、生体データの無差別収集、感情認識システム、機微な特徴を利用した生体分類システム、リアルタイム遠隔生体識別システムが禁止されている。
日本でもEU規則を参考としつつ、リスクが高すぎて社会的に認容できないAIシステムがガイドラインに定めるもの以外がないのか検討を行う必要があろう。
(5) 高リスクAIシステム
EU規則では、主にAIシステムを高リスクかどうかに分け、高リスクAIシステムには必要な要件(リスク管理システムの導入、データガバナンスの実施、技術文書作成および記録保存、使用説明書作成、人的監視措置導入、正確性および堅牢性など)
を満たすことを求めている。逆に、高リスクでないAIシステムにはディープフェイク禁止など一部の規定が適用されるに過ぎない。
ガイドラインは適用されるAIシステムがどの程度およびどのようなリスクを有するものかを規定していない。単純な機器(例-炊飯ジャー)にもAIが使われていることから、どこから規制対象となるかは日本で法制化するときに論点となるところであろう。
なお、規制対象となるAIシステムが満たすべき要件については、本文で見てきた通り、EU規制とガイドラインで大きく異ならないと考えられる。
(6) 登録制度
EU規則では高リスクAIシステムおよびその他の一部AIシステムへデータベースに登録することを求めている。これは、AIの提供者(特に開発者)とステークホルダーの間に接点がないことから、一般の人でも参照できる登録制度として構築されている。
この点は日本でも法制化にあたって同様の取組を行うことが考えられる。
(7) 汎用AIモデル
欧州委員会が起案したEU規制の当初案にはなかったが、最終案に盛り込まれ立法されたのが汎用AIモデルへの規制である。これは加速度的に進化する生成AIなどが大規模な悪影響を及ぼすことへの危惧からAIモデルの提供者(開発者含む)に、たとえば敵対的テストの実施や最新鋭技術の適用などの義務が加重したものである。
ガイドラインではこのような汎用AIモデルを想定した規定はない(ただし、高度なAIシステムに関する指針は存在する)ので、EU規制を踏まえて導入の要否を検討するべきであろう。
8――おわりに
