1――はじめに
EUにおいてはAI規制法が2024年に発効している。また、保険会社等に対するAI関係のガバナンスとリスク管理のあり方については、2025年2月10日、EIOPA(欧州保険・企業年金監督機構)によって、提案文書
1が公表されたところであるが、これに対して、欧州保険協会(Insurance Europe)が5月12日に意見
2を公表した。
2――意見書の内容
2――意見書の内容
欧州保険協会の意見は以下の通りであるが、この10項目は、EIOPAの提案文書のなかにある10個の質問にそれぞれ対応したものとなっている。
1|提案の背景と目的について
EIOPAの提案では、AIガバナンスの目的を、「AI規制法の中では禁止されていないもの、または、高いリスクとはみなされていないような事象のうち、保険分野等のAIシステムに関しては考慮すべき主要な要件と原則について、より明確な説明を提供すること」としており、それには賛同する。しかし考慮する範囲が広すぎることや、規制が多すぎる事態は適切ではないと考える。
EIOPAの考えるAI関係の監督の適用分野が、「顧客対応なのか社内利用なのか」、「AIシステムの導入者なのか提供者なのか」、「生成AIなのか単純な機械学習なのか」、といったことを考慮して、プロポーショナリティを詳細に規定することが重要である。
また既存の規制、例えば、保険販売指令(Insurance Distribution Directive :IDD)、ソルベンシーII、デジタルオペレーショナルレジリエンス法(Digital Operational Resilience Act :DORA)などとの関連を明確にすべきである。現時点においても既に、保険会社は厳格かつ専門的なリスク管理や内部統制システムを導入しつつある。これに追加して新たな義務や要件を導入することは、必ずしも消費者保護の強化にはつながらない。なお、提案文書には「この提案は、新たな要件を追加しようとするものではなく」という記述があるが、今回の提案全体を通じて、実際にはそうなっておらず、新たな要件を追加しようとするものになっているように思われる。
また、AI規制法においては、金融セクターの監督当局がAI規制を行うものと想定されているが、同じ国の別の公的機関が、金融機関も含むより広い分野でAIの規制を行うことになるとすれば、二重の監督となってしまうが、これには賛同できない。
2|提案の適用範囲について
適用範囲が不明である。すなわち、AI法の中のAIシステム管理方法を、保険会社が採用する全てのAI利用に適用するのか、IDD、ソルベンシーII、DORAなどによる規制対象に含まれるAI利用に限定されるのか、があいまいである。
いずれにせよ、コストと導入労力が大きい点で保険会社への影響は大きいことが懸念される。
3|リスクベースアプローチとプロポーショナリティについて
先に述べた通り、AI関係の監督の適用分野が、「顧客対応なのか社内利用なのか」、「AIシステムの導入者なのか提供者なのか」、「生成AIなのか単純な機械学習なのか」、といったことを考慮して、プロポーショナリティを詳細に規定することが重要である。
しかし、現段階ではプロポーショナリティの基準すら定義されていないようである。また適用措置に関する用語の定義があいまいであるか、あるいはAI法には定義されていないものである。「大規模データ」「データのセンシティビティ」「AIシステムが差別禁止事項に及ぼす悪影響」などがそうである。用語の定義を明確にして、他の規制(IDD、ソルベンシーII、DORA)との整合性が保たれるべきである。
4|AIを利用したリスク管理システムについて
前項で触れたように、定義があいまいなために他の規制との関連が明確でない。規制をするならその適用範囲をはっきりさせる必要がある。また、推奨事項に留まるなら、その旨明記すべきである。
5|AI利用の公平性と倫理面について
これも適用範囲があいまいである。DORAの対象であるのか、ソルベンシーIIに対応したものかなどを、はっきり提示するべきである。
それに加えて公平性の評価において、最初からバイアスがないデータを要求するのは、現実的ではない。なぜなら、バイアスの有無などは、データを利用してモデルを実行した結果として、初めて発見できる可能性があるからだ。
6|データガバナンスについて
これも適用範囲があいまいである。
7|文書化と記録保管について
AIの導入保険会社とAIプロバイダーの役割は区別すべきである。AIプロバイダーは、別途、自社商品の透明性に関する文書の共有を法的に義務付けられているので、保険会社がAIシステムを導入する際には、関連情報を入手する合理的な措置を講じれば十分だと思われる。
8|透明性と説明可能性について
透明性と説明可能性は、AIの活用に関する消費者の理解や信頼を高めるためには重要であり、AIの利用目的を明確にすることによって、AI技術への信頼やAIの全産業への普及の促進につながる。
しかし、保険会社がどのような説明をするかについては、それが不正確であったり誤りであったりした結果の重要性を考慮する必要がある。例えば、不正操作検出を目的とするケースであれば、モデルの悪用を懸念する観点から、情報の共有や説明をしないことにするなどの対応が必要である。
一方で、会計監査人などへの説明においては、責任や安全性に関して説明が必要なケースがあると考えられるし、公平性についても同様である。
さらに、生成AIの利用においては、説明可能性に関して柔軟な対応が必要になる。例えば、生成AIモデルによる出力結果を人間が簡単に説明できないことはよくあるが、こうした状況下でモデルの詳細な説明を義務付けたりすれば、生成AIの導入は阻害されるだろう。
9|人間による監視について
欧州保険協会は、人間によるAIの監視が重要であることは理解しているが、EIOPAの提案にもあるように、自動化されたシステム実行プロセスすべてを人間が監視する仕組みを作る必要はないことに賛同する。
少なくともリスクが小さいと評価できるアプリケーションについては、自動化された監視システムの働きを容認し、人間が介入するのは、重要な決定や異常発生時に限定すべきである。
EIOPAは、「組織内におけるAIに関するビジョンとポリシーの定義と社内への伝達に、管理・経営・監督機関が責任を負う」ことを提唱しているが、これらは保険会社経営陣の責任であり、監督機関は通常は監視機能のみを有し、社内への伝達の監視までも担う責任はないと考える。またプロポーショナリティは監督者の関与レベルにも適用されるべきである。
10|
精度・堅牢性、サイバーセキュリティについて
生成AIモデルの場合、同じ質問に対してすら場面毎に回答が異なることが想定されるので、精度の測定は意味をなさない。従来のAIのような、テストデータやサンプルを用いた精度の測定ができない。またソルベンシーIIなのかDORAなのかなど、AIの精度やサイバーセキュリティについても根拠規定を明確にしてほしい。
3――おわりに
3――おわりに
以上が欧州保険協会の意見であるが、AIの利用などはまだこれから導入され発展するという段階で、全てを規則化するのにはまだ無理があるように思われる。随所で、「定義がはっきりしないこと」と「適用範囲が明示されていないこと」につき懸念されている。ある程度AIの利用実態が把握できることや、残念ながら何らかの問題が発生することによって、課題がはっきりしてくるのではないか。
またこのテーマは、様々な業界や公的機関で検討されていることから、重複した規制ができて、規制が繁雑になりそうなことも危惧されているようだ。今後も関係分野の動向を追っていくこととしたい。
レポートについてお問い合わせ
(取材・講演依頼)