EU、「許容不能なリスク」のAIシステムを全面禁止

• EU域内で「許容不能なリスク(unacceptable risk)」に分類されるAIシステムの使用が全面的に禁止された
• 2月2日はEU AI Actの最初のコンプライアンス期限であり、この規則はEU域内で提供または使用されるすべてのAI技術に適用される
• これに違反した場合、年間売上高の7%または最大3,500万ユーロ（約3,600万ドル）のいずれか大きい額が罰金として科される可能性がある

EU AI Act の概要

• AIのリスクを4段階に分けて規制する
  • 最小リスク: 例) スパムフィルター
  • 限定的リスク: 例) 顧客対応用チャットボット
  • 高リスク: 例) 医療判断支援システム
  • 許容不能なリスク: 人々に身体的・精神的被害や差別をもたらすおそれが大きいAI
• 許容不能なリスクに指定されたAIは、使用が全面的に禁止される対象となる
• 代表的な例
  • 社会的スコアリング: 個人の行動に基づいてリスクプロファイルを作成するAI
  • 無意識の操作: 人々の意思決定を密かに、または欺く形で操作するAI
  • 脆弱な層の搾取: 年齢、障害、経済的地位などを悪用するAI
  • 外見に基づく犯罪予測: 人の外見に基づいて犯罪の可能性を予測するAI
  • 生体情報に基づく特性分析: 性的指向などの個人特性を推論するAI
  • 公共の場でのリアルタイム生体データ収集: 法執行目的のリアルタイム生体データ収集AI
  • 感情推論AI: 職場や学校で人々の感情を分析するAI
  • 顔認識データベースの構築: オンラインまたは防犯カメラから画像を収集し、顔認識データベースを作成・拡張するAI

事前誓約

• 2月2日の期限前に、2024年9月ごろ約100社が「EU AI Pact」に署名し、AI Act施行前から規範を自主的に順守すると約束した
• Amazon、Google、OpenAIなどが参加した一方、Meta、Apple、Mistralなどは署名しなかった
• Pactに参加していない企業であっても、不適合リスクAIの使用が禁止されるのが原則である

潜在的な例外条項

• 法執行機関が特定の状況（例: 誘拐被害者の捜索、差し迫った脅威）に限って生体認証情報を使用できるよう、限定的な例外を設けている
  • この場合でも、単一のAIシステムの結果だけをもとに個人に不利益な決定を下すことはできないよう規定している
• 学校・職場内での感情把握AIも、「医療目的や安全」の確保など正当な理由があれば、限定的に許可されうる
• 追加のガイドラインは2025年初頭に発表される予定だが、まだ具体的な内容は公開されていない

今後の課題

• 実際の制裁適用と本格施行は8月以降になると見込まれる
  • この時点で各国の「所管当局(competent authorities)」が定められ、罰金や執行措置が効力を持つ見通し
• 他の規制（GDPR、NIS2、DORAなど）との重複適用の可能性があり、企業に混乱を招くおそれがある
  • 複数の規制が同時に求める報告義務やデータ管理方式が衝突しないよう注意が必要
• 企業は今後公表される標準、ガイドライン、行動規範などを参考に、体系的に備える必要がある