見出し画像

欧州在住エンジニアがEU AI法(EU AI Act)について概要と対策をまとめた

ダイブツ

EU AI法はAIのリスクに対処するための世界初の法的枠組みです。ここ数年のAI技術の進化はめざましい反面、人類への警笛を鳴らす人が止まないのも事実です。

私は技術者なのでどのような技術に対しても原則的には楽観的です。なぜならAIだろうが包丁だろうが技術は「使う側の意図」によって良い結果も悪い結果ももたらす、と考えているからです。

個人的な意見としてはそれで良いのですが、国として、世界としてAIの活用または規制の議論となると話は別です。技術の進歩と普及は多くの人に利益を豊かさをもたらすと信じています。

しかし欧州でエンジニアとして働いる状況で、すでにEU AI法の悪影響を受けています。例えばメタ社のオープンソースモデルの Llama 3.2 Vision (画像入力モデル)がダウンロードできない、 OpenAI 社の動画生成モデル sora が利用できない、ChatGPT スマホアプリのライブカメラ入力も使えません。どれも規制に引っかかったのではなく、プロバイダー側が罰則怖さにEUに忖度している自粛行動です。

このような規制が日本では起きてほしくない。失われた30年をAIやその先のロボットなどで盛り返して欲しい。その為には欧州で実際に不便な状況にいる私が情報発信することには意味がある。またマスメディアによるミスリードやネガティブキャンペーンに備える必要もある。

そこでこの記事では私が EU AI法を勉強したのでその内容をシェアします。EU AI法の概要と、調べた結果から個人的な意見・感想をまとめました。

なお正式名称は EU AI法 (EU AI Act) です。AI規制法は厳密には正しくない訳なのでこの記事では採用していません。タイトルには Regulation と書かれているのは認めますが通称は違います。マスメディアによるミスリードを防ぐためにこの点も強調しておきます。


欧州AI法の概要

この記事の末尾に挙げた参考リンクの内容を日本語に訳して私の判断で要約します。

日本発でもAIシステムをEU圏内に提供していれば規制対象

EU AI法はAIシステムの開発者と導入者 (developers and deployers) に対して、AIの特定の使用に関する明確な要件と義務を提供します。同時にこの規則は企業、特に中小企業(SME)の管理および財務上の負担を軽減することを目指しています。

ポイントは下記のようになっています。

  • AIシステムを4レベルに分けて、禁止・情報提供など対応が異なる

  • 高リスクシステムについてはリスクアセスメントを行い市場投入後も継続的なチェックが必要

  • 一部 CE マークの取得が必要(?)

  • 従わない会社には罰金等の罰則あり

  • 欧州にAIサービスを提供する日本企業も規制対象、つまり個人アプリ開発者も厳密には含まれる

4つのリスクレベル

The Regulatory Framework defines 4 levels of risk for AI systems. (引用元 https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai )

AI法ではAIシステムを下記の4レベルに分けて法的対応します。

  1. Unacceptable Risk: 許容できないリスク(禁止)

  2. High Risk: 高リスク(行政手続き義務)

  3. Limited Risk: 限定的なリスク(AI利用の明示)

  4. Minimal or No Risk: 最小またはノーリスク(規制なし)

EUの解説ではほとんどのAIシステムはノーリスクであるとしています。しかし法整備中にも新たなAIが出てきておりアウトプットが多様化・高度化・高品質化しました。そのため我々が利用・開発しているサービスは「限定的なリスク」と想定して対応しましょう。後ほど解説します。

ノーリスクのサービスにはAI対応のビデオゲームやスパムフィルターなどのが含まれます。AI法はリスクが最小限の AI の自由な使用を許可していますがこれも際どい所です。ノーリスクについてはこれ以上解説しません。

限定的なリスクに我々は注意しよう

「限定的なリスク」とはAIの使用における不透明さにより生じるリスクを指します。

AI法は必要なときに情報を提供し、信頼を育むことを保証するための特定の透明性義務を導入しています。このような例が該当します。

  • チャットボットなどでは人と機械が対話していることを認識し、情報に基づいた判断で続行するか、後退するかを決定できるようにする必要がある。

  • プロバイダーはAI生成コンテンツが識別可能であることを保証する必要がある。

  • 公共の利益に関する事項を一般に知らせる目的で公開された生成AIコンテンツには、人工的に生成されたというラベルを付ける必要がある。

つまり生成AIを使ったサービスでは「AIで生み出したコンテンツであることの明示」や「勝手にアプリを動かすな」ということが求められています。この点をベンダーや我々のような個人開発者は注意する必要があるでしょう。

高リスクの場合は行政手続きが必要

下記の用途のAIシステムは高リスクAIシステムとなり規制の対象です。

  • 国民の生命と健康を危険にさらす可能性のある重要なインフラ(例:交通機関)

  • 人生を左右する学歴や職業選択を決定する可能性のある教育または職業訓練(例:試験の採点)

  • 製品の安全部品(例:ロボット支援手術のAI適用)

  • 雇用、労働者の管理、自営業での利用(例:採用手続きで履歴書を仕分けするソフトウェア)

  • エッセンシャルな民間および公共サービス(例:ローンの審査拒否をする信用スコアリング)

  • 人々の基本的権利を侵害する可能性のある法執行(例:証拠の信頼性評価)

  • 移民、亡命、国境管理の管理(例:ビザ申請の自動審査)

  • 司法および民主的プロセスの運営(例:判決のAI検索)

上記に該当する高リスクAIシステムは下記の義務を負います。

  • 適切なリスクアセスメントとリスク軽減のしくみ

  • 差別的な出力とリスクを最小限に抑えるための高品質な学習データ

  • 結果の追跡可能性を確保するためのアクティビティ記録

  • 当局がコンプライアンスを評価するために必要なすべての情報と目的の詳細資料

  • 導入者への明確で適切な情報提供

  • リスクを最小限に抑えるための適切な人的監視措置

  • 高いレベルの堅牢性、セキュリティ、および精度の確保

許容不可能なリスクは「禁止」

下記のAIシステムは禁止です。主に悪意の持った活用やその疑いをもたれる活用が該当します。

  • 潜在意識への働きかけ、操作、または欺瞞的な使い方により行動を歪め、情報に基づいた意思決定を阻害し、重大な危害を引き起こすこと。

  • 脆弱性の悪用、例えば年齢、障害、または社会経済的状況を利用して行動を歪め、重大な危害を引き起こすこと。

  • 生体認証分類システムによる機密属性の推測(人種、政治的意見、労働組合への加入、宗教的または哲学的信念、性生活または性的指向)、ただし合法的に取得した生体認証データセットのラベル付けやフィルタリング、または法執行機関が実施する場合を除く。

  • 信用スコア、例えば社会的行動または人物特性によって個人またはグループを評価または分類し、人々に有害または不利な扱いを引き起こす。

  • プロファイリングまたは性格特性のみに基づいて個人が犯罪を犯すリスクを評価する(ただし客観的・検証可能な事実に基づく、犯罪に直接関係する人物の評価を補強する場合を除く)。

  • インターネットや監視カメラの映像から顔画像を無差別に収集して顔認識データベースを作成する。

  • 職場や教育機関で感情を推測する(ただし医療上または安全上の理由を除く)。

  • 法執行機関が公的にアクセス可能なスペースで「リアルタイム」の遠隔生体認証 (RBI) を行う。ただし次の場合は除く:

    • 行方不明者、誘拐被害者、人身売買または性的搾取の被害者を捜索する場合。

    • 生命に対する重大かつ差し迫った脅威、または予見可能なテロ攻撃を防ぐ場合。

    • 重大犯罪 (殺人、強姦、武装強盗、麻薬および違法武器の密売、組織犯罪、環境犯罪など) の容疑者を特定する場合。

施行時期

本法律は2024年5月に欧州理事会で正式に採択され、2024年8月1日から段階的に施行開始しています。大まかには以下のタイムラインですが、変わる可能性があるので必ず原文にて確認してください。

  • 6か月後(2025年2月)許容できないリスクのAIシステムへの適用開始

  • 12か月後(2025年8月)ガバナンスと罰則適用等開始

  • 24か月後(2026年8月)Article 6 (1) 以外のAI法(下記)を適用開始

  • 36か月後(2027年8月)高リスクAIシステムの分類と付随義務の適用開始

罰金

AI法に抵触したとされる場合、最大 3500 万ユーロまたはグローバル売り上げの7%が科せられます。今のところ刑事罰はなさそうです。

EU一般データ保護規則 (GDPR), いわゆるEU版個人情報保護法と同じように制裁金を科すのは欧州の一般的なやり方です。アメリカのビッグテック企業がたびたび支払っているのがニュースになっていますね。

高リスクAIシステムがやるべき手続きは?

How does it all work in practice for providers of high risk AI systems? (引用元 https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai )

こちらも概要からの引用です。現時点でまだ施行されていないので準備中だと思います。欧州では行政がグダグダなところがあるので言われたことをすぐに対応できるように準備できる体制にしておきましょう。

概要によるとこれらのステップが必要とのことです。

  1. 高リスクAIシステムを(ベンダーが)開発

  2. 適合性評価をやり要求事項を満足している必要がある、いくつかのシステムでは第三者機関(認証機関)もかかわる

  3. 独立型AIシステムをEUデータベースに登録

  4. 適合宣言書に署名してCEマークを得るべき

これで初めてAIシステムを市場に導入できます。

AIシステムが市場に出ると当局が市場監視を担当します。導入者は人間による監督 (oversight) と監視 (monitor) を行い、プロバイダーは市場導入後の経過観察システムを導入します。

プロバイダーと導入者は、重大なインシデントや機能不全も報告します。

AI法について感想をあれこれ書き残す

民間だけでなく司法・行政システムも規制対象

規制はイノベーションを阻害するというイメージがどうしても先行しますが、規制範囲が民間サービスだけではない点は評価できるのではないでしょうか。

判決の検索禁止はよくわかりませんが、司法をAIに乗っ取られないようにするための規制はまだ理解できます。EU加盟国がAIを使って他のEU組織を超えた動きをしないための規制とも考えられます。

しかしビザ申請の自動化は高リスクでしょうか?ビザの審査に半年もかかる欧州の現行のしくみの方がよっぽど遅れている気がします。直接審査しなくても判断材料を迅速に与えて、審査作業の負担を軽減できるシステムは良いのではないでしょうか。

私が2014年にシンガポールの就労許可を申請した時は、転職エージェント経由で申請2日後に結果をもらいましたよ。電子申請だし審査基準は決まっているからシステムでさっさと処理、人が最終チェックするだけですよね。

高リスクAIシステムは大企業じゃないと開発厳しいか?

私はシンガポールで働いていた時、工場向けの生産設備のCEマーキング対応で第三者機関 (TUV) とやり取りしたことがあります。高リスクAI製品の認証ステップを見る限り似たようなことをやるのかな?と思っています。

もしそうだとすると相当面倒です。AI法は中小企業の管理および財務上の負担を軽減するのが目的とのことですが、明らかに大企業のように専門部署を設置できる規模じゃないと高リスクAIシステムは提供できません。

このようなところに欧州のダブルスタンダードを感じます。

現職場で起きていること

私は現在ベルギーの製造業(自動車産業)で勤務しています。すでに部署内で打ち合わせしました。内容は、許容できないリスクのAIシステムが工場内で使われているかどうかを調査・報告することでした。

これまでの私の業務のメインは IoT 系、生産設備にセンサーなどを取り付けて設備が壊れる前の不調状態を見つける(そして壊れる前にメンテナンスして生産停止を防ぐ)ことが仕事でした。そのためAIシステム自体使っていません。

しかし今年度からAI関係の業務を任されるようになり「職場で感情を推測する(禁止になるやつ)」機能を持つライブラリのベンチマークテストをやりました。テストプログラムを書きましたが工場では使用せず閉じられたオフィス空間で試しました。そのためEU法に抵触しないと報告しました。

今後もこのような調査や議論はさらに起こることでしょう。

仕事のマッチングはAIの方が良いのに規制すべき?

高リスクのAIシステムに「雇用、労働者の管理、自営業での利用(例:採用手続きで履歴書を仕分けするソフトウェア)」が含まれています。採用側が応募者をAIで差別的な採用をしてはいけないということでしょうか。

採用の差別はすでにありますよね。例えば海外の履歴書では顔写真も性別も載せません。これは人種や性別による偏った採用をなくす意図があります。しかし現実には名前だけでもどこの国の人か、男性の名前か女性の名前かわかってしまいます。AIシステム化しなくても今ならChatGPTに訊けばすぐにわかります。

ということは人間の方が差別をしており、むしろAIにやらせた方が中立的だと考えます。

また就職や転職のマッチングもAIにやらせるべきが持論です。私の LinkedIn にて求人のDMが来ますが的外れな内容ばかり来ます。転職エージェントは成功報酬のために数を打っていると疑わざるを得ません。

2018年時点で論文が出てます。AIの方が統計手法よりもマッチング率が30%良いという内容です。記憶をたどって論文を探したら出てきました。参考まで共有します。

外部リンク: Lee et. al, Artificial intelligence based career matching, Journal of Intelligent & Fuzzy Systems 35(6):6061-6070

日本の中小企業やスタートアップがすべき対応は「透明性確保、細かい説明、ダイアログ型アプリ化」

GDPRのせいで欧州からYahoo! Japanにアクセスできない、これも日本企業側の自粛行動

既に述べたように大企業の場合は専用部署があるので CE マーキングと同じ対応ができるでしょう。しかし中小企業、中でもスタートアップ系はそうはいきません。どうすべきでしょうか?

今回私が調べた結果からこれらの3点を提案します。

  1. 透明性確保:できるだけソフトをオープンソースにする、開発記録やテスト記録などを残して説明が求められたときにすぐ対応できるようにする。

  2. 細かい説明:「このサービスはAIを利用します」や「このコンテンツはAIで生成しました」という文言をできるだけ入れるようにする。

  3. ダイアログ型アプリ化:「AI検索を開始していいですか?」などクリックして初めて動かせるシステムにする。AIエージェントが勝手に動き続けるのはまずい。

具体的な対策については法律の専門家との相談をお願いします。これはあくまでも技術者の観点での提案です。

開発文脈では Cline のようなAIエージェントがAI法に求められているシステムに近いです。なぜならコマンドを実行する前に確認作業があり先に進めないようになっているからです。他のサービスでは複数ファイルの生成を一気にやるので抵触するかもしれません。

しかし Cline も完ぺきではありません。コード生成の部分は「保存しますか?」という確認はあっても「生成しますか?」という確認ではないです。ここは指摘される可能性があります。

欧州のこれらの法律は基本的に米国ビッグテック企業を狙い撃ちするのが常です。そのため日本のベンダー系には関係ないと思いたいです。

しかしAIパワーによりソロプレナー(個人開発のアプリ等で大金を稼ぐ起業家)などが目立つと当局に目を付けられる可能性があります。ぜひ転ばぬ先の杖としてこの記事がお役に立てれば嬉しいです。

参考リンク

EU Artificial Intelligence Act (REGULATION (EU) 2024/1689) 全文。正式名称はRegulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act) (Text with EEA relevance) 

EUによるAI法概要説明 (AI Act)

Future of Life Institute による概要。この団体は「安全性が確保されるまで6か月間AI開発を停止せよ」という公開書簡を出した米国NPOです。この団体は好きではないが内容はきれいにまとめられています(英語)。


いいなと思ったら応援しよう!