EU AI規正法規則日本語訳(前文削除、校正中)
第1章 総則
第1条対象
1. 本規則の目的は、域内市場の機能を向上させ、人間中心の信頼できる人工知能(AI)の導入を促進することであり、同時に、域内におけるAIシステムの有害な影響に対して、健康、安全、民主主義、法の支配、環境保護など、憲章に謳われている基本的権利の高水準の保護を確保し、イノベーションを支援することである。
2. この規則はこう定めている:
(a) 連邦内におけるAIシステムの上市、使用開始、使用に関する調和された規則;
(b) 特定のAI慣行の禁止
(c) 高リスクのAIシステムに対する特定の要件と、そのようなシステムのオペレーターに対する義務;
(d) 特定のAIシステムに関する透明性規則の調和;
(e) 汎用のAIモデルを市場に出すための調和されたルール;
(f) 市場監視、市場サーベイランス、ガバナンス、執行に関する規則;
(g) 新興企業を含む中小企業に特に焦点を当てた、イノベーションを支援するための措置。
第2条適用範囲
1. 本規定は以下に適用される:
(a) AIシステムを市場に投入し、サービスを開始するプロバイダー、または汎用AIモデルを市場に投入するプロバイダーは、これらのプロバイダーが域内に設立されているか、域内に所在しているか、第三国に所在しているかを問わない;
(b) 当組合内に設立地を持つ、または所在するAIシステムの配備業者;(c) AIシステムのプロバイダーおよび配備業者であって、AIシステムによって生産されたアウトプットが域内で使用される第三国に事業所を置くか、または第三国に所在するもの;
(d) AIシステムの輸入販売業者;
(e) 製品メーカーが、自社の製品とともに、自社の名称または商標の下に、AIシステムを市場に出したり、サービスを開始したりすること;
(f) EUに設立されていないプロバイダーの公認代理人;
(g) EUに所在する被災者。
2. 附属書ⅠのセクションBに列挙されたEU調和法の対象となる製品に関連する、第6条1項に従って高リスクAIシステムに分類されたAIシステムについては、第6条1項、第102条から第109条まで及び第112条のみが適用される。第57条の適用本規則に基づく高リスクAIシステムに関する要求事項が、EU調和法に統合されている限りにおいて。
3. この規則は、EU法の適用範囲外の分野には適用されず、いかなる場合においても、加盟国が国家安全保障に関して有する権限に影響を及ぼすものではない。本規則は、AIシステムが、軍事、防衛、国家安全保障の目的のみに使用され、市場に出回り、使用され、または改造の有無にかかわらず使用される場合、およびその限りにおいて、それらの活動を実施する事業体の種類にかかわらず、適用されない。
本規則は、軍事、防衛または国家安全保障の目的のみに使用される、域内で市販または使用されないAIシステムには適用されない。
4. 本規則は、第 3 国の公的機関または第 1 項に従って本規則の適用範囲に含まれる国際機関には適用されない。ただし、これらの機関または組織が、国際協力または連合もしくは 1 つもしくは複数の加盟国との法執行および司法協力のための協定の枠組みにおいて AI システムを使用する場合は、当該第 3 国または国際機関が個人の基本的権利および自由の保護に関して適切な保護措置を提供することを条件とする。
5. 本規則は、規則(EU)2022/2065の第2章に規定されている仲介サービス提供者の責任に関する規定の適用に影響を及ぼすものではない。
6. 本規則は、科学的研究開発のみを目的として特別に開発され、使用されるAIシステムまたはAIモデル(その出力を含む)には適用されない。
7. 個人データの保護、プライバシーおよび通信の秘密に関する連邦法は、本規則に定める権利および義務に関連して処理される個人データに適用される。本規則は、本規則第10条第5項および第59条を損なうことなく、規則(EU) 2016/679もしくは(EU)2018/1725、または指令2002/58/ECもしくは(EU)2016/680に影響を及ぼさないものとする。
8. 本規則は、AIシステムまたはAIモデルが上市または実用化される前の研究、試験または開発活動には適用されない。当該活動は、適用されるEU法に従って実施されなければならない。実環境におけるテストは、この除外の対象とはならない。
9. 本規則は、消費者保護および製品安全に関連する他のEUの法律が定める規則を妨げるものではない。
10. 本規則は、純粋に個人的な非専門的活動の過程でAIシステムを使用する自然人である配備者の義務には適用されない。
11. 本規則は、労働組合または加盟国が、使用者によるAIシステムの使用に関して、労働者の権利保護の点で労働者により有利な法律、規制、行政規定を維持または導入すること、あるいは労働者により有利な労働協約の適用を奨励または許可することを妨げるものではない。
12. 本規則は、フリーおよびオープンソースのライセンスでリリースされたAIシステムには適用されない。ただし、高リスクのAIシステムとして、または第5条もしくは第50条に該当するAIシステムとして市場に出回ったり、使用されたりする場合を除く。
第3条定義
本規定においては、以下の定義が適用される:
(1) AIシステム」とは、さまざまなレベルの自律性で動作するように設計され、配備後に適応性を示す可能性があり、明示的または暗黙的な目的のために、物理的または仮想的な環境に影響を与えることができる予測、コンテンツ、推奨、または決定などの出力を生成する方法を、受け取った入力から推測する機械ベースのシステムを意味する;
(2) リスク」とは、危害が発生する確率とその危害の重大性の組み合わせを意味する;
(3) 提供者」とは、AIシステムもしくは汎用AIモデルを開発する、またはAIシステムもしくは汎用AIモデルを開発させ、有償•無償を問わず、自己の名称もしくは商標の下に、AIシステムを市場に投入し、もしくはサービスを開始する自然人もしくは法人、公的機関、代理店、その他の団体を意味する;
(4) 利用者」とは、AIシステムが個人的な非専門的活動の過程で使用される場合を除き、自然人または法人、公的機関、代理店またはその他の機関が、その権限の下でAIシステムを使用することを意味する;
(5) 権限のある代理人」とは、AIシステム又は汎用AIモデルの提供者から、それぞれ、本規則が定める義務及び手続をその代理として履行し、実施することを書面で委任され、これを受諾した、域内に所在するか、域内に設立された自然人又は法人を意味する;
(6) 輸入者」とは、第三国に設立された自然人または法人の名称または商標が付されたAIシステムを市場に出す、域内に所在または設立された自然人または法人を意味する;
(7) 販売業者」とは、供給者または輸入業者以外のサプライチェーンにおける自然人または法人であって、AIシステムを連邦市場で入手できるようにするものをいう
;
(8) 事業者」とは、プロバイダー、製品メーカー、配備業者、認定代理店を意味する、輸入業者または販売業者;
(9) 市場投入」とは、AIシステムまたは汎用AIモデルを、連邦市場で初めて利用可能にすることを意味する;
(10) 市場で入手できるようにする」とは、商業活動の過程において、有償であるか無償であるかを問わず、連合市場において頒布または使用するためにAIシステムまたは汎用AIモデルを供給することを意味する;
(11) 使用開始」とは、最初に使用するためのAIシステムを配備者に直接供給することを意味する。
または、意図された目的のために当組合で使用するため;
(12) 意図された目的」とは、使用説明書、販売促進資料、販売声明、及び技術文書において提供者から提供された情報に明記されている、特定の使用状況及び使用条件を含む、提供者によって意図されたAIシステムの使用を意味する
;
(13) 合理的に予見可能な誤用」とは、意図された目的に沿わない方法でのAIシステムの使用を意味するが、合理的に予見可能な人間の行動や、他のAIシステムを含む他のシステムとの相互作用によって生じる可能性がある;
(14) 安全コンポーネント」とは、製品またはAIシステムのコンポーネントであって、その製品またはAIシステムの安全機能を果たすもの、またはその故障もしくは誤動作が人または財産の健康および安全を危険にさらすものをいう;
(15) 使用説明書」とは、特にAIシステムの意図された目的と適切な使用方法に
ついて、配備者に通知するために提供者が提供する情報をいう;
(16) AIシステムのリコール」とは、プロバイダーへの利益還元を達成することを目的としたあらゆる措置を意味する。
配備者が利用可能なAIシステムを使用停止にしたり、使用不能にしたりすること;
(17) AIシステムの撤退」とは、以下のようなAIシステムを阻止することを目的とした措置を意味する。
サプライチェーンが市場に出回っている;
(18) AIシステムの性能」とは、AIシステムがその意図する目的を達成する能力を意味する;
(19) 通知当局」とは,適合性評価機関の審査,指定及び通知並びにその監視に必要な手続の設定及び実施に責任を負う国家当局を意味する;
(20) 適合性評価」とは、次のような要件を満たすかどうかを実証するプロセスを意味する。
第III章第2節のハイリスクAIシステムに関連する項目は満たされている;
(21) 適合性評価機関」とは、試験、認証及び検査を含む第三者適合性評価活動を行う機関をいう;
(22) ノーティファイド•ボディ」とは、本規定に従って通知された適合性評価機関を意味する。
規則およびその他の関連するEU調和法;
(23) 大幅な変更」とは,AI システムの上市又は使用開始後の変更であって,提供者が実施した 最初の適合性評価では予見又は計画されておらず,その結果,AI システムの第 III 章,第 2 節に規定する要件への適合性が影響を受けるか,又は AI シス
テムが評価された意図された目的の変更をもたらすものをいう;
(24) CEマーキング」とは、提供者が、AIシステムが第III章第2節に規定された要件及びその貼付を規定する他の適用可能なEU調和法令に適合していることを示すマーキングをいう;
(25) 市販後モニタリングシステム」とは、必要な是正措置または予防措置を直ちに適用する必要性を特定する目的で、AIシステムの提供者が、市場に投入または使用開始したAIシステムの使用から得られた経験を収集し、レビューするために実施するすべての活動をいう;
(26) 市場監視当局」とは、以下の活動を実施する国内当局を意味する。規則(EU)2019/1020に従った措置を講じること;
(27) 整合規格」とは、以下の第2条(1)の(c)に定義される整合規格を意味する。規則(EU)No 1025/2012;
(28) 共通仕様」とは、規則(EU)No 1025/2012 の第 2 条の(4)に定義される技術仕様の集合を意味し、本規則に基 づいて設定された特定の要件に適合するための手段を提供する;
(29) 学習データ」とは、AIシステムの学習可能なパラメータを当てはめ、学習させるためのデータを意味する;
(30) 検証データ」とは、特にアンダーフィッティングまたはオーバーフィッティングを防止するために、学習済みAIシステムの評価を提供し、その非学習可能パラメータおよび学習プロセスを調整するために使用されるデータを意味する;
(31) 検証データセット」とは、トレーニングデータセットの別個のデータセットまたは一部を意味する。
固定または変動スプリット;
(32) テストデータ」とは、AIシステムの市場投入またはサービス開始前に、当該システムの期待される性能を確認するために、当該システムの独立した評価を提供するために使用されるデータをいう;
(33) 入力データ」とは、以下に基づいてAIシステムに提供された、またはAIシステムが直接取得したデータを意味する。
システムは出力を生成する;
(34) バイオメトリクスデータ」とは、自然人の身体的、生理的または行動的特徴に関連する特定の技術的処理から生じる個人データを意味し、顔画像やダクティロスコピックデータなどがこれに該当する;
(35) バイオメトリクス識別」とは、自然人の識別を確立する目的で、その個人のバイオメトリクス•データをデータベースに保存されている個人のバイオメトリクス
•データと比較することによって、 身体的、生理学的、行動学的、または心理学的な人間の特徴を自動的に認識することをいう;
(36) バイオメトリクス検証」とは、自然人のバイオメトリクスデータを以前に提供されたバイオメトリクス データと比較することによる、認証を含む、自動化された 1 対 1 の本人確認をいう;
(37) 特別カテゴリーの個人データ」とは、規則(EU)2016/679の第9条1項、指令
(EU)2016/680の第10条、および規則(EU)2018/1725の第10条1項に言及される個人データのカテゴリーを意味する;
(38) 機微な業務データ」とは、刑事犯罪の予防、発見、捜査または訴追の活動に関連する業務データであって、その開示が刑事手続の完全性を危うくする可能性があるものをいう;
(39) 感情認識システム」とは、自然人の生体データに基づいて、自然人の感情または意図を識別または推論することを目的とするAIシステムをいう;
(40) バイオメトリクス分類システム」とは、他の商業サービスに付随し、客観的な技術的理由により厳密に必要である場合を除き、自然人をそのバイオメトリクスデータに基づいて特定のカテゴリーに割り当てることを目的とするAIシステムを意味する;
(41) 遠隔バイオメトリクス識別システム」とは、自然人のバイオメトリクスデータと参照データベースに 含まれるバイオメトリクスデータとの比較を通じて、自然人が積極的に関与することなく、通常、 遠距離で自然人を識別することを目的とする AI システムをいう;
(42) リアルタイム遠隔バイオメトリクス識別システム」とは、遠隔バイオメトリクス識別システ ムであって、バイオメトリクスデータの捕捉、比較、および識別がすべて大幅な遅延な しに行われ、即座の識別だけでなく、回避を回避するための限定された短時間の遅延も含 むものを意味する;
(43) ポスト遠隔バイオメトリクス識別システム」とは、遠隔バイオメトリクス識別を意味する。
リアルタイム遠隔生体認証システム以外のシステム;
(44) 公にアクセス可能な空間」とは、不特定多数の自然人がアクセス可能な、公有または私有 の物理的な場所を意味し、アクセスに一定の条件が適用されるかどうかや、潜在的な収容力の 制約に関係なく、アクセスできる;
(45) 法執行機関」とは
(a) 刑事犯罪の予防、捜査、摘発、起訴、または刑事罰の執行を管轄する公的機関(公共の安全に対する脅威の保護と予防を含む)。
(b) 犯罪の予防、捜査、摘発、訴追、刑事罰の執行を目的とし、公権力および公権力の行使を加盟国の法律により委託されたその他の機関または団体;
(46) 法執行」とは、犯罪の予防、捜査、摘発もしくは訴追、または刑事罰の執行のために、法執行当局によって、または法執行当局に代わって行われる活動を意味し
、公共の安全に対する脅威の保護および予防を含む;
(47) AI室」とは、2024年1月24日の欧州委員会決定で規定された、AIシステムおよび汎用AIモデルの導入、監視および監督、ならびにAIガバナンスに貢献する欧州委員会の機能を意味する。本規則におけるAI室への言及は、欧州委員会への言及と解釈されるものとする;
(48) 国内所轄当局」とは、通知当局または市場監視当局を意味する。欧州連合の機関、機関、事務所、および団体が使用するAIシステムに関しては、本規則における国内所轄当局または市場監視当局への言及は、欧州データ保護監督機関への言及と解釈されるものとする;
(49) 重大インシデント」とは、直接的または間接的に以下のいずれかにつながる
AIシステムの事故または誤作動を意味する:
(a) 人の死亡、または人の健康への重大な危害;
(b) 重要インフラの管理•運営に深刻かつ不可逆的な混乱が生じること。
(c) 基本的権利の保護を目的とする連邦法に基づく義務の侵害;
(d) 財産や環境に重大な損害を与える;
(50) 個人データ」とは、個人情報保護法第4条第1項に規定される個人データをいう。規則(EU)2016/679;
(51) 非個人データ」とは、第4条第1項に定義される個人データ以外のデータを意味する
、
規則(EU)2016/679の;
(52) プロファイリング」とは、規則(EU)2016/679の第4条(4)に定義されるプロファイリングを意味する;
(53) 実環境試験計画」とは、実環境における試験の目的、方法論、地理的、集団的、時間的範囲、監視、組織、および実施について記述した文書をいう;
(54) サンドボックス計画」とは,サンドボックス内で実施される活動の目的,条件,時間枠,方法論及び要件を記述した,参加プロバイダと所轄当局との間で合意された文書を意味する;
(55) AI規制サンドボックス」とは、管轄当局が設定する管理された枠組みを意味し
、AIシステムのプロバイダーまたはプロバイダー候補に対し、規制当局の監督の下、サンドボックス計画に基づき、限られた期間、革新的なAIシステムを開発、訓練、検証、テストする可能性を提供するものである;
(56) AIリテラシー」とは、本規則の文脈におけるそれぞれの権利と義務を考慮した上で、提供者、配備者、影響を受ける者が、十分な情報を得た上でAIシステムを配備し、また、AIの機会とリスク、AIが引き起こしうる危害についての認識を得ることを可能にする技能、知識、理解を意味する;
(57) 実環境での試験」とは,信頼できる確実なデータを収集し,AIシステムが本規則の要件に適合していることを評価及び検証することを目的として,実験室又はその他の模擬環境以外の実環境において,AIシステムをその意図する目的のために一時的に試験することを意味し,第57条又は第60条に規定するすべての条件が満たされていることを条件として,本規則の意味におけるAIシステムの上市又は使用開始には該当しない;
(58) 実地試験における「被験者」とは、実地試験に参加する自然人を意味する;
(59) インフォームド•コンセント」とは、被験者の参加決定に関連する試験の全側面 について説明を受けた後、被験者が、現実の条件下で、特定の試験に参加する意思を、自由 に、具体的に、明確かつ自発的に表明することをいう;
(60) ディープフェイク」とは、AIによって生成または操作された画像、音声、映像コンテンツで、実在する人物、物体、場所、実体、事象に似ており、人に本物または真実であると偽って見せかけるようなものを意味する;
(61) 広範な侵害」とは、連邦法に反する行為または不作為を意味する。個人の利益である:
(a) 当該加盟国以外の少なくとも2つの加盟国に居住する個人の集団的利益を害した、または害する可能性がある:
(i) 行為または不作為が発生した、または行われた;
(ii) 当該プロバイダー、または該当する場合はその公認代理人が所在するか、設立されている場合。
(iii) によって侵害が行われた場合、配備者はその侵害を立証する;
(b) 少なくとも3つの加盟国において、同一の事業者によって同一の違法行為が同時に行われ、個人の集団的利益に損害を与えたり、与えたり、与える可能性があるなど、共通の特徴を持つもの;
(62) 重要インフラ」とは、同基準の第2条第4項に定義される重要インフラを意味する。指令(EU)2022/2557;
(63) 汎用AIモデル」とは、そのようなAIモデルが大規模な自己監視を使用して大量のデータで訓練される場合を含め、有意な汎用性を示し、モデルが市場に投入される方法に関係なく、広範で明確なタスクを適切に実行することができ、様々な下流のシステムまたはアプリケーションに統合することができるAIモデルを意味する;
(64) インパクトの大きい能力」とは、最先端の汎用AIモデルに記録されている能力と同等か、それ以上の能力を意味する;
(65) システミック•リスク」とは、以下のような影響力の大きい能力に特有なリスクを意味する。
汎用のAIモデルで、その影響範囲の広さ、または公衆衛生、安全、治安、基本的権利、もしくは社会全体に対する実際の、もしくは合理的に予見可能な悪影響により、連合市場に重大な影響を及ぼし、バリューチェーン全体にわたって大規模に伝播しうるもの;
(66) 汎用AIシステム」とは、汎用AIモデルをベースとしたAIシステムであり、直接使用する場合だけでなく、他のAIシステムに統合する場合にも、様々な目的に対応する能力を有するAIシステムを意味する;
(67) 浮動小数点演算」とは、浮動小数点数を含むあらゆる数学的演算または代入を意味する。浮動小数点数は、固定精度の整数を固定底の指数でスケーリングしたもので、通常コンピュータ上で表現される実数のサブセットである;
(68) 下流提供者」とは、AIモデルを統合した汎用AIシステムを含むAIシステムの提供者を意味し、AIモデルが自社で提供され垂直統合されたものであるか、契約関係に基づき他の事業者から提供されたものであるかを問わない。
第4条 AIリテラシー
AIシステムの提供者及び配備者は、技術的知識、経験、教育及び訓練並びにAIシステムが使用される文脈を考慮し、かつ、AIシステムが使用される対象者又は対象者のグループを考慮した上で、最善の範囲で、その職員及びその職員に代わってAIシステムの操作及び使用に対処するその他の者の十分なレベルのAIリテラシーを確保するための措置を講じなければならない。
第二章 禁止されるAI行為
第5条禁止されるAI行為
1. 以下のAI行為を禁止する:
(a) 以下のようなAIシステムを市場に出すこと、稼働させること、または使用すること。
人の意識を超えたサブリミナル•テクニック、または意図的に操作的もしくは欺瞞的なテクニックを使用し、十分な情報を得た上で意思決定を行う能力を著しく損なうことによって、人または人の集団の行動を著しく歪め、それによってその人、他の人または人の集団に重大な損害を与える、または与える可能性のある方法で、他の方法では行わなかったであろう意思決定を行わせる目的、またはその効果を持つもの;
(b) 自然人またはその年齢、障害または特定の社会的もしくは経済的状況に起因する特定の集団の脆弱性を悪用するAIシステムを、その人またはその集団に属する人の行動を、その人または他の人に重大な損害を与えるか、または与える可能性が合理的にある方法で、重大に歪曲させる目的または効果をもって、市場に投入すること、サービスを開始すること、または使用
すること;
(c) 社会的行動又は既知若しくは推定若しくは予測される個人的若しくは人格的特徴に基づく一定期間にわたる自然人又は集団の評価又は分類のための AIシステムの上市,使用開始又は使用であって,社会的スコアが次のいずれか又は両方につながるもの:
(i) データが元々生成または収集された文脈とは無関係な社会的文脈において、特定の自然人または集団に対して不利益または不利な扱いをすること;
(ii) 特定の自然人または集団に対して、その社会的行動またはその重大性に不当または不釣り合いな不利益または不利な扱いをすること;
(d) 自然人が犯罪を犯すリスクを評価又は予測するために,自然人のプロファイリング又はその人格的特徴及び特性の評価のみに基づき,自然人のリスク評価を行うための AI システムを市場に出すこと,この特定の目的のために使用すること,又は使用すること;
(e) インターネットやCCTV映像から顔画像を無制限に収集し、顔認識データベースを作成または拡張するAIシステムを使用すること;
(f) ただし、医療または安全上の理由から、AIシステムの設置または市販が意図されている場合を除く;
(g) 人種、政治的意見、労働組合員、宗教的または哲学的信条、性生活または性的指向を推測または推論するために、バイオメトリクスデータに基づいて個々の自然人を分類するバイオメトリクス分類システムを市場に出すこと、この特定の目的のために使用すること、または使用すること。この禁止は、バイオメトリクスデータに基づいて、合法的に取得された画像などのバイオメトリクスデータセットのラベリングまたはフィルタリング、または法執行の分野におけるバイオメトリクスデータの分類には適用されない;
(h) ただし、そのような使用が以下のいずれかの目的のために厳密に必要である場合を除く:
(i) 拉致、人身売買、性的搾取の被害者の捜索、行方不明者の捜索;
(ii) 自然人の生命または身体の安全に対する具体的、実質的かつ差し迫った脅威、または真正かつ現在もしくは真正かつ予見可能なテロ攻撃の脅威の防止;
(iii) 附属書IIに言及され、かつ、当該加盟国において少なくとも4年の拘禁刑又は拘禁命令により処罰される犯罪について、犯罪捜査若しくは訴追を行い、又は刑事罰を執行する目的で、犯罪を犯したと疑われる者の所在を特定し、又は身元を確認すること。
第1号の(h)点は、法執行以外の目的でのバイオメトリックデータの処理に関する規則(EU)2016/679の第9条を損なうものではない。
2. 第 1 項第 1 号の(h)に言及されるいずれかの目的のための法執行を目的とした、公的にアクセス可 能な空間における「リアルタイム」遠隔バイオメトリクス識別システムの使用は、具体的に対象 とされる個人の身元を確認するためにのみ、同号に規定される目的で展開されるものとし、 以下の要素を考慮しなければならない
:
(a) 使用される可能性のある状況の性質、特にシステムが使用されなかった場合に生じるであろう損害の重大性、蓋然性、規模;
(b) システムの使用がすべての関係者の権利と自由に及ぼす影響、特にその影響の重大性、蓋然性及び規模。
さらに、本条第1項第1号(h)で言及されるいずれかの目的のための法執行を目的として、公共のアクセス可能な空間における「リアルタイム」遠隔バイオメトリクス識別システムの使用は、その使用を許可する国内法に従って、特に時間的、地理的、個人的制限に関して、その使用に関して必要かつ相応の保護措置および条件を遵守しなければならない。公にアクセス可能な空間における「リアルタイム
」遠隔バイオメトリクス識別システムの使用は、法執行機関が第27条に規定する基本的権利影響評価を完了し、第49条に従ってEUのデータベースに登録した場合にのみ許可されるものとする。ただし、正当に正当化された緊急の場合には、EUデータベースへの登録が不当に遅れることなく完了することを条件として、そのようなシステムの使用を開始することができる。
3. 第 1 項第 1 号、第(h)号および第 2 項の目的のために、公にアクセス可能な空間における「リアルタイム」遠隔バイオメトリクス識別システムの法執行を目的とした各使用は、司法当局または独立行政当局であって、その決定が当該使用が行われる加盟国を拘束するものによって与えられる事前許可に従うものとする。ただし、正当に正当化された緊急事態においては、不当な遅滞なく、遅くとも24時間以内に当該承認を請求することを条件に、当該システムの使用を承認なしに開始することができる。当該承認が拒否された場合、当該使用は直ちに中止され、当該使用の結果および出力と同様に、すべてのデータは直ちに破棄され、削除されるものとする。
管轄の司法当局または独立行政当局で、その決定に拘束力があるものは、以下に基づき納得できる場合にのみ、認可を与えなければならない。
当該「リアルタイム」遠隔バイオメトリクス識別システムの使用が、要請で特定された第 1 項第 1 号の(h)項に規定される目的の 1 つを達成するために必要であり
、かつ、それに見合うものであり、特に、期間、地理的範囲及び個人的範囲に関して厳密に必要なものに限定されることを示す客観的証拠又は明確な兆候が当該当局に提示された場合。請求について決定する際、当該当局は、第2項にいう要素を考慮しなければならない。個人に不利な法的効果をもたらす決定は、「リアルタイム」遠隔バイオメトリクス識別システムの出力のみに基づいてはならない
。
4. 第 3 項を損なうことなく、法執行目的のために公にアクセス可能な空間における
「リアルタ イム」遠隔バイオメトリクス識別システムの各使用は、第 5 項で言及される国内規則に従って、関 連する市場監視当局および国内データ保護当局に通知されなければならない。この届出には、最低限、第 6 項に規定される情報が含まれるものとし、機微な業務データを含んではならない。
5. 加盟国は、第1項第1号(h)ならびに第2項および第3項に列挙された制限および条件の範囲内において、法執行の目的で、公にアクセス可能な空間における「リアルタイム」遠隔バイオメトリクス識別システムの使用を全面的または部分的に許可する可能性を規定することを決定することができる。関係加盟国は、第3項で言及される認可の要求、発行および行使、ならびに監督および報告に関する必要な詳細規則を国内法に定めるものとする。これらの規則はまた、第1項第1号(h)に列挙された目的のうち、(h)(iii)に言及された犯罪のどれを含むかに関して、権限のある当局が法執行の目的でこれらのシステムを使用する権限を与えられるかを規定するものとする。加盟国は、遅くとも採択後30日以内に、これらの規則を欧州委員会に通知しなければならない。加盟国は、連邦法に従い、遠隔生体認証システムの使用に関して、より制限的な法律を導入することができる。
6. 第4項に従い、法執行の目的で、公にアクセス可能な空間における「リアルタイム」遠隔生体認証システムの使用について通知を受けた加盟国の国家市場監視当局および国家データ保護当局は、当該使用に関する年次報告書を欧州委員会に提出しなければならない。そのために、欧州委員会は、加盟国および各国の市場監視当局およびデータ保護当局に対し、管轄司法当局または独立行政当局が第3項に従って認可の要請を拘束する決定を下した件数およびその結果に関する情報を含むテンプレートを提供する。
7. 欧州委員会は、第6項で言及された年次報告書に基づき、加盟国における集計データに基づき、法執行の目的で、公共のアクセス可能な空間におけるリアルタイムの遠隔生体認証システムの使用に関する年次報告書を公表する。これらの年次報告書には、関連する法執行活動の機微な運用データは含まれないものとする。
8. 本条は、AIの慣行が他の連邦法を侵害する場合に適用される禁止事項に影響を及ぼすものではない。
第III章 ハイリスクAIシステム
第1節
AIシステムの高リスク分類
第6条
高リスクAIシステムの分類ルール
1. AIシステムが(a)及び(b)の製品とは無関係に上市され、又は使用開始されるか否かにかかわらず、当該AIシステムは、以下の条件の両方が満たされる場合、高リスクであるとみなされるものとする:
(a) AIシステムが製品の安全コンポーネントとして使用されることを意図している場合、またはAIシステム自体が製品であり、付属書Iに記載されて
いるEU調和法の適用を受ける場合;
(b) (a)に従った安全コンポーネントがAIシステムである製品,又は製品としてのAIシステム自体が,附属書Ⅰに列挙されたEU整合化法令に従って,その製品の上市又は使用開始を視野に入れた第三者適合性評価を受ける必要がある場合。
2. パラグラフ1に言及する高リスクのAIシステムに加え,附属書IIIに言及するAIシステムも高リスクとみなす。
3. 第2項の適用除外により、附属書IIIに言及されるAIシステムは、意思決定の結果に重大な影響を与えないことを含め、自然人の健康、安全又は基本的権利に危害を及ぼす重大なリスクをもたらさない場合には、高リスクとはみなされないものとする。
第1号は、以下の条件のいずれかを満たす場合に適用される:
(a) AIシステムは、狭い手続き的なタスクを実行することを意図している;
(b) AIシステムは、以前に完了した人間の活動の結果を改善することを目的としている;
(c) AIシステムは、意思決定のパターンまたは以前の意思決定のパターンからの逸脱を検出することを意図しており、人間による適切なレビューなしに、以前に完了した人間の評価に取って代わる、または影響を与えることを意図していない。
(d) AIシステムは,附属書IIIに記載されたユースケースの目的に関連する審査の準備作業を行うことを意図している。
第1号にかかわらず,附属書ⅢにいうAIシステムは,AIシステムが自然人のプロファイリングを行う場合には,常に高リスクであるとみなされる。
4. 附属書IIIで言及されるAIシステムが高リスクではないと考えるプロバイダは,当該システムが上市され又は使用開始される前に,その評価を文書化しなければならない。このような提供者は,第49条(2)に定める登録義務の対象となる。国家管轄当局の要請があれば,提供者は,評価の文書を提出しなければならない
。
5. 欧州委員会は、欧州人工知能委員会(European Artificial Intelligence Board、以下「 EIAB」という。
理事会')は、遅くとも...[本規則の発効日から18ヶ月後]までに、第96条に沿って本条を実務的に実施することを明記したガイドラインを、高リスクおよび非高リスクのAIシステムの使用例の包括的なリストとともに提供する。
6. 欧州委員会は、附属書IIIの適用範囲に該当するが、自然人の健康、安全または基本的権利に重大な危害を及ぼす危険性のないAIシステムの存在について、具体的かつ信頼できる証拠がある場合、同条第3項第2号に新たな条件を追加することにより、または条件を修正することにより、同条第3項第2号を改正するため、第97条に従って委任法を採択する権限を有する。
7. 欧州委員会は、本規則が規定する健康、安全および基本的権利の保護水準を維持するために必要であるという具体的かつ信頼できる証拠がある場合、本条第3項第2号に規定された条件のいずれかを削除することにより本条第3項第2号を改正するため、第97条に従って委任行為を採択しなければならない。
8. 本条第6項及び第7項に従って採択される、第3項第2号に定める条件の修正は、この規則が規定する健康、安全及び基本的権利の保護の全体的なレベルを低下させるものではなく、第7条第1項に従って採択される委任法令との整合性を確保し、かつ、市場及び技術の発展を考慮しなければならない。
第7条附属書IIIの
改正
1. 欧州委員会は、以下の両方の条件が満たされる場合、第97条に従い、高リスクの AIシステムのユースケースを追加または修正することにより附属書IIIを改正する委任法を採択する権限を有する:
(a) AIシステムは、附属書IIIに記載されている分野で使用されることを意図している;
(b) AIシステムが、健康と安全に対する危害のリスク、または基本的権利に対する悪影響のリスクをもたらし、そのリスクが、附属書IIIですでに言及されている高リスクのAIシステムがもたらす危害のリスク、または悪影響のリスクと同等か、それ以上である場合。
2. 第1項(b)の条件を評価する際、欧州委員会は以下の基準を考慮するものとする:
(a) AIシステムの本来の目的
(b) AIシステムがどの程度使用されているか、または使用される可能性があるか
;
(c) AIシステムによって処理および使用されるデータの性質および量、特に特別なカテゴリの個人データが処理されるかどうか;
(d) AIシステムが自律的に行動する範囲と、潜在的な危害につながる可能性のある決定や勧告を人間が覆す可能性;
(e) AIシステムの使用が、安全衛生に害を及ぼし、基本的権利に悪影響を及ぼし、あるいはそのような害や悪影響の可能性に関して重大な懸念を生じさせている程度を、例えば、国の権限ある当局に提出された報告書や文書化された申し立て、あるいは適切な場合にはその他の報告書によって証明すること;
(f) そのような損害または悪影響の潜在的な範囲、特にその強度と、複数の人に影響を与える能力、または特定の集団に不釣り合いに影響を与える能力の観点から;
(g) 特に、現実的または法的な理由により、その結果からオプトアウトすることが合理的に不可能であるため;
(h) 特に地位、権限、知識、経済的もしくは社会的状況、または年齢のために、力の不均衡がどの程度存在するか、または潜在的に被害を受けるもしくは悪影響を被る人物が、AIシステムの配備者との関係において脆弱な立場にあるか;
(i) ただし、健康、安全又は基本的権利に悪影響を及ぼす結果は、容易に修正可能又は可逆的であるとはみなされない;
(j) 製品の安全性向上の可能性を含め、AIシステムの導入が個人、グループ、または社会全体にもたらす利益の大きさと可能性;
(k) 現行の連邦法がどの程度規定しているか:
(i) AIシステムによってもたらされるリスクに関する効果的な救済措置
;
(ii) そのようなリスクを防止または実質的に最小化するための効果的な手段
。
3. 欧州委員会は、以下の両方の条件を満たす場合、高リスクのAIシステムを削除して附属書IIIのリストを修正するため、第97条に従って委任行為を採択する権限を有する:
(a) 当該高リスクAIシステムが、第2項に記載された基準を考慮し、基本的権利、健康または安全に対する重大なリスクをもはやもたらさないこと;
(b) 削除により、EU法に基づく健康、安全、基本的権利の保護レベルが全体的に低下することはありません。
第2節
リスクの高いAIシステムの要件
第8条
要求事項の遵守
1. 高リスクのAIシステムは、その意図される目的、及びAI及びAI関連技術に関する一般的に認知された技術状況を考慮し、本条に定める要件に準拠しなければならない。第9条で言及されるリスク管理システムは、これらの要件への準拠を確保する際に考慮されるものとする。
2. 製品に,附属書 I のセクション A に列挙された EU 調和法の要件だけでなく,本規則の要件も適用される AI システムが含まれる場合,プロバイダは,その製品が
,適用される EU 調 和法の下で適用されるすべての要件に完全に準拠していることを確実にする責任を負うものとする。第1項で言及された高リスクAIシステムが本項に規定された要求事項に適合していることを確保する際、また、一貫性を確保し、重複を避け、追加的な負担を最小限にするため、プロバイダは、必要に応じて、その製品に関して提供する必要な試験及び報告プロセス、情報及び文書を
、既に存在し、附属書ⅠのセクションAに列挙されたEU整合化法令の下で要求されている文書及び手順に統合する選択肢を有するものとする。
第9条
リスク管理体制
1. リスクの高いAIシステムに関しては、リスク管理システムを確立し、実施し、文書化し、維持しなければならない。
2. リスクマネジメントシステムは、高リスクAIシステムのライフサイクル全体を通じて計画•実行され、定期的な体系的レビューと更新を必要とする、継続的な反復プロセスとして理解されなければならない。それは以下のステップから構成されるものとする:
(a) 高リスクAIシステムがその意図された目的に従って使用された場合に、高リスクAIシステムが健康、安全又は基本的権利にもたらす可能性のある既
知のリスク及び合理的に予見可能なリスクを特定し、分析すること;
(b) 高リスクAIシステムがその意図された目的に沿って使用され、合理的に予見可能な誤用が行われる状況下で使用された場合に出現する可能性のあるリスクの見積もりと評価;
(c) 第72条で言及されている市販後モニタリングシステムから収集されたデータの分析に基づき、発生する可能性のあるその他のリスクを評価すること
;
(d) (a)に従って特定されたリスクに対処するために設計された、適切かつ的を絞ったリスク管理措置を採用すること。
3. 本条で言及されるリスクは、ハイリスクAIシステムの開発もしくは設計、または適切な技術情報の提供を通じて、合理的に軽減もしくは排除することができるものに限るものとする。
4. 第2項の(d)に言及されるリスク管理措置は、これらの要件を満たすための措置の実施において適切なバランスを達成しつつ、リスクをより効果的に最小化することを目的として、本項に規定される要件の複合的な適用から生じる影響及び起こりうる相互作用を十分に考慮しなければならない。
5. 第2項の(d)に言及するリスク管理措置は、各ハザードに関連する関連残留リスク
、及び高リスクAIシステム全体の残留リスクが許容可能であると判断されるものでなければならない。
最も適切なリスク管理策を特定するにあたっては、以下を確保しなければならない
:
(a) 適切な設計と開発を通じて、技術的に可能な限り、第2項に従って特定され評価されたリスクを排除または低減すること。
リスクの高いAIシステム
(b) 適切な場合、排除できないリスクに対する適切な緩和策および管理策の実施;
(c) 第13条に従って必要とされる情報の提供、および適切な場合には派遣者に対する訓練。
高リスクAIシステムの使用に関連するリスクを排除または低減する観点から、技術的知識、経験、教育、配備者に期待される訓練、およびシステムの使用が意図される推定される状況に十分な配慮が払われなければならない。
6. 高リスクの AI システムは,最も適切で的を絞ったリスク管理措置を特定する目的でテス トを実施するものとする。テストは,高リスクのAIシステムが,その意図された目的に対して一貫して機能し,かつ,本項に定める要件に準拠していることを確認するものとする。
7. 試験手順には、第60条に従った実環境での試験を含めることができる
。
8. 高リスクAIシステムのテストは、開発プロセス全体を通じていつでも、また、いかなる場合においても、市場に投入される前又は運用が開始される前に、適宜実施されるものとする。テストは、高リスクAIシステムの意図された目的に適した、事前に定義された指標及び確率的閾値に対して実施されるものとする
。
9. 第1項から第7項までに規定するリスク管理システムを実施する場合、事業者は
、その意図する目的に照らして、ハイリスクAIシステムが、18歳未満の者及び必要に応じてその他の社会的弱者に悪影響を及ぼす可能性があるか否かを考慮しなければならない。
10. 連邦法の他の関連規定に基づく内部リスク管理プロセスに関する要件の対象となる高リスクAIシステムのプロバイダーについては、第1項から第9項までに規定される側面は、当該法律に従って確立されたリスク管理手続の一部とすることも、当該手続と組み合わせることもできる。
第10条
データとデータガバナンス
1. データによるAIモデルの学習を含む技術を使用する高リスクAIシステムは、そのようなデータセットを使用する場合は常に、第2項から第5項までに言及される品質基準を満たす訓練、検証、テストのデータセットに基づいて開発されなければならない。
2. トレーニング、検証及びテストのデータセットは、高リスクAIシステムの意図された目的に適したデータガバナンス及び管理慣行の対象となるものとする。これらの慣行は、特に以下の事項に関係するものとする:
(a) 関連するデザインの選択
(b) データ収集プロセスおよびデータの出所、個人データの場合はデータ収集の当初の目的;
(c) アノテーション、ラベリング、クリーニング、更新、エンリッチメント、アグリゲーションなど、関連するデータ準備処理操作;
(d) 特にデータが測定し、表現すると想定される情報に関して;
(e) 必要とされるデータセットの入手可能性、量、適合性の評価;
(f) 特に、データのアウトプットが将来的な業務のインプットに影響を与える場合、人の健康と安全に影響を与える可能性が高い、基本的権利に悪影響を与える、または連邦法で禁止されている差別につながる可能性があるバイアスの可能性を考慮した検査;
(g) (f)に従って特定されたバイアスの可能性を検出、防止、緩和するための適切な措置;
(h) 本規則の遵守を妨げる関連するデータギャップや欠点の特定、およびそれらのギャップや欠点にどのように対処できるかを示すこと。
3. 訓練用、検証用及び試験用のデータセットは、意図された目的に照らして、適切であり、十 分に代表的であり、可能な限り誤りがなく、完全なものでなければならない。これらのデータセットは,該当する場合,ハイリスク AI システムの使用が意図されている人又は人のグループに関しても,適切な統計的特性を有していなければならない。データセットのこれらの特性は、個々のデータセットのレベルで、又はそれらの組み合わせのレベルで満たすことができる。
4. データセットは、意図された目的によって必要とされる範囲において、ハイリスクAIシステムが使用されることが意図されている特定の地理的、文脈的、行動的又は機能的設定に特有の特性又は要素を考慮しなければならない。
5. 本条(2)項(f)および(g)に従い、高リスクAIシステムに関連する偏りの検出および是正を確保する目的で厳密に必要な範囲において、当該システムの提供者は、基本的な個人情報の保護に関する適切な保護措置に従うことを条件として、例外的に特別なカテゴリの個人情報を処理することができる。
自然人の権利と自由規則(EU) 2016/679および(EU) 2018/1725ならびに指令(EU) 2016/680に定める規定に加え、かかる処理が行われるためには、以下の条件をすべて満たす必要があります:
(a) 合成データや匿名化されたデータを含む他のデータを処理することで、バイアスの検出と補正を効果的に行うことはできない;
(b) 特別カテゴリーの個人データには、個人データの再利用に関する技術的制限、および仮名化を含む最新のセキュリティおよびプライバシー保護措置が適用されます;
(c) 特別カテゴリーの個人データは、処理された個人データが安全に保護され、悪用を避けるために厳重な管理とアクセスの文書化を含む適切な保護措置が講じられ、適切な守秘義務を持つ権限を与えられた者のみが個人データにアクセスできるようにするための措置の対象となります;
(d) 特別カテゴリーの個人データは、他者に転送、転送、またはその他の方法でアクセスされることはありません;
(e) 特別カテゴリーの個人データは、偏りが修正されるか、または個人データの保存期間が終了した時点のいずれか早い時点で削除されます;
(f) 規則(EU)2016/679および(EU)2018/1725ならびに指令(EU)2016/680に従った処理活動の記録には、特別カテゴリーの個人データの処理が偏りを検出し是正するために厳密に必要であった理由、およびその目的が処理によって達成できなかった理由が含まれること。
その他のデータ
6. AIモデルの学習を伴わない高リスクAIシステムの開発については、第2項から第5
項がテストデータセットにのみ適用される。
第11条 技術文
書
1. 高リスクAIシステムの技術文書は、そのシステムが市場に出回る前、あるいは使用開始される前に作成され、常に最新の状態に保たれなければならない。
技術文書は,高リスクAIシステムが本項に規定する要件に適合していることを実証し,AIシ ステムがこれらの要件に適合していることを評価するために必要な情報を明確かつ包括的な形 で国家所轄官庁及び届出機関に提供するような方法で作成しなければならない。AIシステムには,最低限,附属書IVに定める要素を含まなければならない。新興企業を含む中小企業は、附属書IVに規定された技術文書の要素を簡易な方法で提供することができる。そのため、欧州委員会は、小規模
•零細企業のニーズを対象とした簡易な技術文書の書式を定めるものとする。新興企業を含む中小企業が附属書IVで要求される情報を簡易な方法で提供することを選択した場合、その中小企業は本項で言及された書式を使用しなければならない。ノーティファイドボディ は,適合性評価の目的のためにその様式を受け入れなければならない。
2. 附属書ⅠのセクションAに列挙されたEU整合化法令が適用される製品に関連する高リスクAIシステムが上市又は使用開始される場合,これらの法令に基づき要求される情報だけでなく,パラグラフ1に規定されるすべての情報を含む一組の技術文書を作成しなければならない。
3. 欧州委員会は、技術的進歩に照らして、技術文書が本項に定める要求事項へのシステムの適合性を評価するために必要なすべての情報を提供することを確実にするために、必要に応じて附属書IVを改正するために、第97条に従って委任行為を採択する権限を有する。
第12条 記録管理
1. 高リスクのAIシステムは、技術的に、システムのライフタイムにわたってイベント(ログ)を自動的に記録できるようにしなければならない。
2. システムの意図された目的に適した、高リスクAIシステムの機能のトレーサビリティレベルを確保するために、ロギング機能は、以下に関連するイベントの記録を可能にしなければならない:
(a) ハイリスクAIシステムが、第79条1項の意味におけるリスクを提示する
、または実質的な変更をもたらす可能性のある状況を特定すること;
(b) 第72条の市販後モニタリングの促進
(c) 第26条(5)で言及されているハイリスクAIシステムの運用を監視すること。
3. 附属書IIIの1(a)で言及されている高リスクのAIシステムについては,最低限,記録機能を提供しなければならない:
(a) 各システムの利用期間(利用開始日時、利用終了日時)の記録;
(b) 入力データがシステムによってチェックされる参照データベース;
(c) 検索で一致した入力データ;
(d) 第14条(5)にいう、結果の検証に関与する自然人の特定。
第13条
透明性と派遣業者への情報提供
1. 高リスクAIシステムは、配備者がシステムの出力を解釈し、適切に利用できるよう、その運用が十分に透明であることを確保するような方法で設計•開発されなければならない。透明性の適切な種類と程度は、第3条に定める提供者と配備者の関連する義務の遵守を達成する観点から確保されなければならない。
2. 高リスクのAIシステムには、適切なデジタル形式またはその他の方法で、配備者に関連し、アクセス可能で理解可能な、簡潔、完全、正確かつ明確な情報を含む使用説明書を添付しなければならない。
3. 使用説明書には、少なくとも以下の情報が含まれていなければならない:
(a) 提供者の身元と連絡先、および該当する場合はその正式な代理人の連絡先;
(b) ハイリスクAIシステムの特徴、能力、性能の限界:
(i) 意図された目的
(ii) 高リスクAIシステムがテストされ、検証され、予想される、第15条で言及される測定基準、堅牢性、サイバーセキュリティを含む精度のレベル、及び予想される精度、堅牢性、サイバーセキュリティのレベルに影響を及ぼす可能性のある、既知かつ予見可能な状況;
(iii) ハイリスクAIシステムの意図された目的に沿った使用、または合理的に予見可能な誤用の状況下での使用に関連する、既知または予見可能な状況であって、第9条(2)に言及される健康および安全、または基本的権利に対するリスクにつながる可能性のあるもの;
(iv) 該当する場合、その出力を説明するのに関連する情報を提供する高リスクAIシステムの技術的能力と特性;
(v) 適切な場合には、システムの使用が意図されている特定の個人またはグループに関する性能;
(vi) 必要に応じて、入力データの仕様、またはハイリスクAIシステムの意図された目的を考慮に入れて、使用される訓練、検証、テストデータセットに関するその他の関連情報;
(vii) 該当する場合、配備者が高リスクAIシステムの出力を解釈し、適切に使用できるようにするための情報;
(c) 初回適合性評価の時点で提供者が事前に決定していたハイリスクAIシステムおよびその性能に対する変更がある場合;
(d) 配備者による高リスクAIシステムの出力の解釈を容易にするために導入された技術的措置を含む、第14条で言及された人的監視措置;
(e) 必要とされる計算資源とハードウェア資源、高リスクAIシステムの予想耐用年数、AIシステムの適切な機能を確保するために必要なメンテナンスとケアの手段(その頻度を含む);
(f) 関連する場合、配備者が第12条に従ってログを適切に収集、保管、解釈できるよう、ハイリスクAIシステムに含まれる仕組みの説明。
第14条 人間の監督
1. リスクの高いAIシステムは、適切なヒューマン•マシン•インターフェース•ツールを含め、使用期間中、自然人が効果的に監視できるような方法で設計•開発されなければならない。
2. 人間の監視は、高リスクのAIシステムがその意図された目的に従って、または合理的に予見可能な誤用の条件下で使用された場合に生じる可能性のある、健康、安全、または基本的権利に対するリスクを防止または最小化することを目的としなければならない。
このセクション
3. 監督措置は、高リスクAIシステムのリスク、自律性のレベル、使用状況に見合ったものでなければならず、以下のいずれかのタイプの措置またはその両方を通じて確保されなければならない:
(a) 技術的に可能であれば、市場に出回る前に、あるいはサービスを開始する前に、提供者が特定し、リスクの高いAIシステムに組み込む;
(b) 高リスクのAIシステムを市場に投入する前、あるいは運用を開始する前に提供者が特定した対策で、導入者が実施するのが適切なもの。
4. 第1項、第2項及び第3項を実施するために、ハイリスクAIシステムは、適切かつ比例するように、人的監視が割り当てられた自然人が可能となるような方法で、配備者に提供されなければならない:
(a) ハイリスクAIシステムの関連する能力と限界を適切に理解し、異常、機能不全、予期せぬパフォーマンスの検出と対処を含め、その運用を正当に監視できるようにすること;
(b) 特に、自然人による意思決定のための情報や勧告を提供するために使用されるリスクの高いAIシステムについては、リスクの高いAIシステムによって生成された出力に自動的に依存したり、過度に依存したりする傾向(自動化バイアス)がある可能性に留意すること;
(c) ハイリスクAIシステムの出力を正しく解釈するために、以下を考慮する。例えば、利用可能な解釈ツールや方法などだ;
(d) 特定の状況において、ハイリスクAIシステムを使用しないこと、またはハイリスクAIシステムの出力を無視、上書き、または逆行させることを決定すること;
(e) 高リスクのAIシステムの操作に介入するか、「停止」ボタンまたは同様の手順でシステムを中断し、安全な状態でシステムを停止させる。
5. 附属書IIIの1(a)にいう高リスクのAIシステムについては,本条3項にいう措置は,さらに,その識別が,必要な能力,訓練及び権限を有する少なくとも2人の自然人によって別個に検証され確認されない限り,システムから生じる識別に基づいて配備者によっていかなる行動又は決定もとられないことを確保するようなものでなければならない。
少なくとも2人の自然人による個別の検証の要件は、法執行、移民、国境管理または亡命の目的で使用される高リスクのAIシステムには適用されない。
第15条
正確性、堅牢性、サイバーセキュリティ
1. 高リスクのAIシステムは、適切なレベルの精度、堅牢性、サイバーセキュリティを達成し、ライフサイクルを通じて一貫した性能を発揮するように設計•開発されなければならない。
2. 第1項に規定された適切なレベルの正確性と堅牢性、およびその他の関連するパフォーマンス指標をどのように測定するかという技術的側面に対処するため、欧州委員会は、関連する利害関係者、および計量•ベンチマーク当局などの組織と協力して、適宜、ベンチマークおよび測定方法の開発を奨励しなければならない。
3. 高リスクAIシステムの精度レベルおよび関連する精度指標は、添付の使用説明書で宣言されなければならない。
4. 高リスクのAIシステムは、特に自然人または他のシステムとの相互作用によって、システム内またはシステムが作動する環境内で発生する可能性のあるエラー、不具合または不整合について、可能な限り弾力的でなければならない。この点に関して、技術的および組織的な対策を講じなければならない。
リスクの高いAIシステムの堅牢性は、バックアップやフェイルセーフプランを含む技術的な冗長性ソリューションによって達成されるかもしれない。
市場に投入された後も、あるいは運用が開始された後も学習を続ける高リスクの AIシステムは、偏った出力が将来の運用のための入力に影響を及ぼす可能性(フィードバック•ループ)のリスクを排除または可能な限り低減するような方法で開発されなければならず、また、そのようなフィードバック•ループがあれば、適切な緩和措置によって適切に対処されるようにしなければならない。
5. 高リスクのAIシステムは、システムの脆弱性を悪用することによって、その使用、出力、性能を変更しようとする無許可の第三者による試みに対して弾力的でなければならない。
リスクの高いAIシステムのサイバーセキュリティを確保するための技術的解決策は
、関連する状況やリスクに適したものでなければならない。
AI固有の脆弱性に対処するための技術的解決策には、必要に応じて、訓練データセット(データポイズニング)、または訓練に使用される事前訓練済みコンポーネント(モデルポイズニング)、AIモデルに誤りを犯させるように設計された入力(敵対的な例またはモデル回避)、機密性攻撃、またはモデルの欠陥を操作しようとする攻撃を防止、検出、対応、解決、および制御するための対策を含まなければならない。
第3節
高リスクAIシステムのプロバイダーや配備者などの義務
第16条
高リスクAIシステム提供者の義務
高リスクのAIシステムのプロバイダーは、以下を行わなければならない:
(a) ハイリスクAIシステムがセクション2に定める要件に準拠していることを確認する;
(b) ハイリスクAIシステムに、またはそれが不可能な場合は、該当する場合、その包装または添付文書に、その氏名、登録商号または登録商標、連絡可能な住所を表示すること;
(c) 第17条に準拠した品質マネジメントシステムを有すること;
(d) 第18条に記載された書類を保管すること;
(e) その管理下にある場合、第19条で言及されているハイリスクAIシステムによって自動的に生成されたログを保管する;
(f) 高リスクAIシステムが上市又は使用開始される前に,第43条にいう適合性評価手続を受けることを確保すること;
(g) 第47条に従い、EU適合宣言書を作成する;
(h) 第48条に従い、本規則への適合を示すCEマーキングを高リスクAIシステムに貼付するか、それが不可能な場合は、その包装又は付属文書に貼付すること;
(i) 第49条(1)の登録義務を遵守すること;
(j) 必要な是正措置を講じ、第20条に定める情報を提供すること;
(k) 国家所轄庁の合理的な要請があれば,ハイリスクAIシステムが第2項に定める要件に適合していることを証明する;
(l) 高リスクAIシステムが指令(EU) 2016/2102および(EU) 2019/882に従ったアクセシビリティ要件に準拠していることを確認する。
第17条
品質マネジメントシステム
1. 高リスクAIシステムの提供者は、本規則への準拠を確実にする品質管理システムを導入しなけれ ばならない。当該システムは、体系的かつ整然とした方法で、方針、手順書及び指示書の形で文書化されるものとし、少なくとも以下の側面を含むものとする:
(a) 適合性評価手順の遵守、高リスクAIシステムの修正管理手順を含む、規制遵守のための戦略;
(b) 高リスクAIシステムの設計、設計管理、設計検証のために使用される技術、手順、体系的行動;
(c) 高リスクAIシステムの開発、品質管理、品質保証のために使用される技術、手順、体系的行動;
(d) 高リスクAIシステムの開発前、開発中、開発後に実施すべき検査、試験、検証手順と、それらを実施しなければならない頻度;
(e) 適用される規格を含む技術仕様,及び,関連する整合規格が完全に適用されないか,又はセクション2に規定される関連要求事項のすべてをカバーしない場合には,高リスクAIシステムがこれらの要求事項に適合することを確保するために使用される手段;
(f) データ取得、データ収集、データ分析、データラベル付け、データ保管、データろ過、データマイニング、データ集計、データ保持、および高リスクAIシステムの市場投入前および市場投入を目的として実施されるデータに関するその他の操作を含む、データ管理のためのシステムおよび手順;
(g) 第9条のリスク管理システム;
(h) 第72条に従い、市販後モニタリングシステムの設定、実施、維持;
(i) 第73条に従い、重大インシデントの報告に関する手続きを行う;
(j) 国内所轄当局、データへのアクセスを提供または支援する当局を含むその他の関連当局、届出機関、他の事業者、顧客その他の利害関係者とのコミュニケーションの処理;
(k) すべての関連文書および情報の記録保持のためのシステムと手順;
(l) 資源管理(供給安全保障関連の対策を含む);
(m) 本項に記載されているすべての側面に関して、経営陣およびその他のスタッフの責任を定めた説明責任の枠組み。
2. 第1項で言及される側面の実施は、提供者の組織の規模に見合ったものでなければならない。提供者は、いかなる場合においても、そのハイリスクAIシステムの本規則への準拠を確保するために必要な厳格さの程度及び保護のレベルを尊重するものとする。
3. 関連する分野別組合法に基づき品質管理システム又は同等の機能に関する義務の対象となる高リスクAIシステムの提供者は、当該法に基づく品質管理システムの一部として、第1項に掲げる側面を含めることができる。
4. EU金融サービス法に基づく内部ガバナンス、取り決め、またはプロセスに関する要求事項の対象となる金融機関であるプロバイダーについては、第1項を除き
、品質マネジメントシステムを導入する義務がある、
本条(g)、(h)及び(i)の点は、関連するEU金融サービス法に従った内部ガバナンスの取り決め又はプロセスに関する規則を遵守することにより満たされるものとみなされる。そのために、第40条で言及されている調和された基準を考慮するものとする。
第18条 文書の保管
1. 提供者は、ハイリスクAIシステムが市場に投入され又は使用開始されてから
10年経過するまでの期間、国家所轄当局の裁量に委ねなければならない:
(a) 第11条の技術文書
(b) 第17条の品質マネジメントシステムに関する文書;
(c) 該当する場合、通知機関が承認した変更に関する文書;
(d) 該当する場合、通知機関が発行した決定書及びその他の文書;
(e) 第47条で言及されているEU適合宣言。
2. 各加盟国は、自国の領域内に設立されたプロバイダまたはその公認代理人が破産した場合、またはその期間の終了前にその活動を停止した場合について、第1項で言及された文書が同項に示された期間、各国の管轄当局の手元に残る条件を定めるものとする。
3. EU金融サービス法に基づく内部ガバナンス、取決め又はプロセスに関する要求事項の対象となる金融機関であるプロバイダーは、関連するEU金融サービス法に基づき保管される文書の一部として、技術文書を保持しなければならない。
第19条 自動生成されるログ
1. 高リスクAIシステムの提供者は、その高リスクAIシステムによって自動的に生成される第12条(1)にいうログを、当該ログが自己の管理下にある限りにおいて保 存しなければならない。適用される連合法又は国内法を害することなく、ログは
、適用される連合法又は国内法、特に個人情報の保護に関する連合法に別段の定めがない限り、高リスクAIシステムの意図された目的に適した期間、少なくとも 6ヶ月間保管されなければならない。
2. 連邦金融サービス法に基づく内部ガバナンス、取り決めまたはプロセスに関する要件の対象となる金融機関であるプロバイダーは、関連する金融サービス法に基づき保管される文書の一部として、ハイリスクAIシステムによって自動的に生成
されるログを保持しなければならない。
第20条
是正措置と情報義務
1. ハイリスクAIシステムのプロバイダーは、市場に投入された、あるいは稼働を開始したハイリスクAIシステムが、以下の要件を満たしていないと考える、あるいはそう考える理由がある。
本規則に適合するAIシステムは,適切な場合,直ちに,そのシステムを適合させるために必要な是正措置をとるか,そのシステムを撤回するか,そのシステムを使用不能にするか,又はそのシステムを回収しなければならない。また、該当する場合、当該ハイリスクAIシステムの販売業者、配備業者、認定代理店及び輸入業者にその旨を通知しなければならない。
2. 高リスクAIシステムが第79条(1)の意味におけるリスクを提示し,かつ,提供者がそのリスクを認識した場合,提供者は,該当する場合には,報告する配備者と協力して,直ちにその原因を調査し,当該高リスクAIシステムを管轄する市場監視当局及び該当する場合には,第44条に従って当該高リスクAIシステムに対して証明書を発行した通知機関に,特に,不遵守の性質及びとられた関連する是正措置について通知しなければならない。
第21条
所轄官庁との協力
1. 高リスクAIシステムの提供者は,所管当局からの合理的な要請があった場合,当該当局に対し,高リスクAIシステムが第2項に定める要件に適合していることを証明するために必要なすべての情報及び文書を,当該当局が容易に理解できる言語で,当該加盟国が示すEU機関の公用語の一つで提供しなければならない。
2. 所轄官庁による合理的な要求があった場合、プロバイダーは、該当する場合、要求した所轄官庁に対し、自動的に生成された以下のログへのアクセスも提供するものとする。
第12条(1)で言及されているハイリスクAIシステムは、そのようなログが管理下にある限りにおいて。
3. 本条に基づき管轄当局が入手した情報は、第78条に定める守秘義務に従って取り扱われるものとする。
第22条
高リスクAIシステム・プロバイダーの正式な代表者
1. ハイリスクAIシステムをEU市場で販売する前に、第三国に設立されたプロバイダーは、書面による委任により、EUに設立された公認代理店を任命しなければならない。
2. プロバイダは、その権限を有する代理人が、プロバイダから受領した委任状で指定された業務を遂行できるようにしなければならない。
3. 公認代理人は、提供者から受領した委任状に規定された業務を遂行しなければならない。委任代理人は、要請に応じて、所轄官庁の指示に従い、市場監視当局に対し、その委任状の写しを、域内機関の公用語の一つで提供しなければならない
。本規則の目的上、委任状は、権限のある代理人に以下の業務を遂行する権限を与えるものとする:
(a) 第47条で言及されているEU適合宣言書及び第11条で言及されている技術文書が作成されていること、及び適切な適合性評価手順が提供者によって実施されていることを検証する;
(b) 管轄当局及び第74条(10)にいう国家当局又は機関に対し,高リスクAIシステムが上市又は使用開始された後10年間,認定代理人を任命した事業者の連絡先,第47条にいうEU適合宣言書の写し,技術文書及び該当する場合,届出機関が発行した証明書を自由に保管すること;
(c) 本号の(b)に言及するものを含む,高リスクAIシステムが第2節に規定する要件に適合していることを証明するために必要なすべての情報及び文書(高リスクAIシステムによって自動的に生成される第12条(1)に言及するログへのアクセスを含む;
(d) 管轄当局が高リスクのAIシステムに関連してとる措置、特に高リスクのAIシステムによってもたらされるリスクを低減し軽減するためにとる措置について、合理的な要請があれば、管轄当局に協力すること;
(e) 該当する場合は、以下の登録義務に従うこと。
第49条(1)又は、登録が提供者自身によって行われる場合には、附属書VIIIのセクションAのポイント3で言及される情報が正確であることを確認する
。
委任状は、本規則の遵守の確保に関連するすべての問題に関して、管轄当局から、提供者に加えて、又はその代わりに、権限を付与された代理人に宛てる権限を与えるものとする。
4. 認定代理人は、プロバイダが本規則に従った義務に反して行動していると考えるか、そう考える理由がある場合、委任を終了しなければならない。その場合、直ちに関連市場監視当局および該当する場合には関連通知機関に、委任の終了およびその理由を通知しなければならない。
第23条 輸入業者の義務
1. 輸入者は、高リスクAIシステムを市場に出す前に、以下を確認することにより、当該システムが本規則に適合していることを保証しなければならない:
(a) 第43条に規定する適合性評価手続が,高リスクAIシステムの提供者によって実施されていること;
(b) 提供者が第11条及び附属書IVに従って技術文書を作成していること;
(c) システムに必要なCEマーキングが付され、第47条で言及されているEU適合宣言書および使用説明書が添付されていること;
(d) プロバイダが第22条第1項に従って認定代理人を任命している場合
。
2. 輸入者が,高リスク AI システムが本規則に適合していない,又は偽造されている,若しくは偽造 文書を添付していると考える十分な理由がある場合,当該システムを適合させるまで上市し てはならない。高リスクAIシステムが第 79条(1)の意味におけるリスクを示す場合,輸入者は,その旨をシステムの提供者,公認代理人及び市場監視当局に通知しなければならない。
3. 輸入者は、ハイリスクAIシステム、および該当する場合、その包装または添付文書に、その名称、登録商号または登録商標、および連絡可能な住所を表示しなければならない。
4. 輸入者は、高リスク AI システムが自己の責任下にある間、保管または輸送条件が、該当する場合、第 2 章に定める要件への準拠を危うくしないことを保証するものとする。
5. 輸入者は、高リスクAIシステムが上市された後又は使用開始された後10年間、該当する場合、通知機関が発行した証明書の写し、使用説明書、及び第47条に言及するEU適合宣言書を保管しなければならない。
6. 輸入者は,関連する管轄当局に対し,合理的な要請があった場合には,第 5 項に掲げるものを含め,ハイリスク AI システムの第 2 項に定める要件への適合性を示すために必要なすべての情報及び文書を,当該当局が容易に理解できる言語で提供しなければならない。このため,当局は,当該当局が技術文書を入手できるようにしなければならない。
7. 輸入者は、輸入者によって市場に出された高リスクのAIシステムに関連して当局がとる措置、特にそのAIシステムによってもたらされるリスクを低減•軽減するための措置について、関連する管轄当局と協力しなければならない。
第24条 販売業者
の義務
1. 販売業者は、高リスクAIシステムを市販する前に、そのシステムに必要なCEマーキングが付されていること、第47条にいうEU適合宣言書の写し及び使用説明書が添付されていること、並びに、該当する場合、そのシステムの提供者及び輸入者が、第16条の(b)及び(c)並びに第23条(3)に定めるそれぞれの義務を遵守していることを確認しなければならない。
2. 販売業者が、その保有する情報に基づき、高リスク AI システムが第 2 節に定める要件に適合していないと考え る、又は考える理由がある場合、当該システムが当該要件に適合するまで、当該高リスク AI シ ステムを市販してはならない。さらに,高リスクAIシステムが第79条第1項の意味におけるリスクをもたらす場合
,販売業者は,該当する場合,システムの提供者又は輸入者にその旨を通知しなければならない。
3. ディストリビューターは、ハイリスク AI システムが自己の責任下にある間、保管または輸送の条件が、該当す る場合、本ガイドラインの第 2 項に定める要件への準拠を危うくしないことを保証するものとします。
4. 販売業者は、その保有する情報に基づき、市場に提供した高リスク AI システムが第 2 節に定める要件に適合していないと考え、又は考える理由がある場合、当該システムを当該要件に適合させるために必要な是正措置を講じ、撤回し、若しくは回収し、又は適切な場合には、提供者、輸入者若しくは関連する事業者が当該是正措置を講じることを確保しなければならない。高リスクAIシステムが第79条(1)の意味におけるリスクを示す場合,販売業者は,直ちに,システムの提供者又は輸入者及び当該高リスクAIシステムに関して所管する当局に,特に,不遵守の詳細及びとられた是正措置の詳細を通知しなければならない。
5. 高リスク AI システムの販売者は、関連する管轄当局からの合理的な要請があった場合、当該管轄当局に対し、当該システムが第 2 項に定める要件に適合してい
ることを証明するために必要な、第 1 項から第 4 項に従った措置に関するすべての情報および文書を提供するものとする。
6. 販売者は、販売者によって市場に提供された高リスクの AI システムに関して
、関係当局が取る措置、特 にそのシステムがもたらすリスクを低減または軽減するために取る措置について、関係当局に協力するものとしま す。
第25条 AIバリューチェーンにおける責任
1. 販売業者、輸入業者、配備業者又はその他の第三者は、以下のいずれかに該当する場合、本規則上、高リスクAIシステムの提供者とみなされ、第16条に基づく提供者の義務を負うものとする:
(a) ただし、その義務が別の方法で割り当てられることを定めた契約上の取り決めを害するものではない;
(b) 第6条に基づき、既に上市されている、または既に稼働している高リスクのAIシステムに、高リスクのAIシステムであることを維持するような大幅な変更を加える場合;
(c) 高リスクと分類されていない汎用AIシステムを含むAIシステムの意図された目的を変更し、当該AIシステムが第6条に従って高リスクのAIシステムとなるような方法で、既に市場に投入され、又は使用されている場合。
2. 第 1 項に規定する状況が発生した場合,最初に AI システムを市場に投入し,又は供 給を開始したプロバイダは,この規則の適用上,もはや当該特定の AI システムのプロバイダ とはみなされない。当該当初の提供者は,新たな提供者と緊密に協力し,必要な情報を入手できるようにし,特に高リスクのAIシステムの適合性評価の遵守に関して,この規則に定める義務の履行に必要な合理的に期待される技術的アクセス及びその他の支援を提供しなければならない。本項は,最初の提供者が,そのAIシステムを高リスクAIシステムに変更しないことを明確に指定しており,したがって,文書を引き渡す義務に該当しない場合には,適用されない
。
3. 附属書 I のセクション A に列挙された EU ハーモナイゼーション法の対象となる製 品の安全コンポーネントである高リスク AI システムの場合,製品製造者は,高リスク AI システムの提供者とみなされるものとし,次のいずれかの場合に第 16 条の義務を負うものとする:
(a) ハイリスクAIシステムは、製品メーカーの名称または商標のもと、製品とともに市場に出回る;
(b) ハイリスクAIシステムは、製品が市場に投入された後、製品製造者の
名称または商標の下で使用される。
4. 高リスクAIシステムの提供者及び高リスクAIシステムにおいて使用され又は統合されるAIシステム、ツール、サービス、構成要素又はプロセスを提供する第三者は、高リスクAIシステムの提供者が本規則に定める義務を完全に遵守することができるようにするため、書面による合意により、一般に認められた技術水準に基づき、必要な情報、能力、技術的アクセス及びその他の支援を特定しなければならない。本項は、第三者が、汎用AIモデル以外のツール、サービス、プロセス又はコンポーネントを、無償かつオープンソースのライセンスの下で公衆にアクセス可能にすることには適用されない。
AI事務局は、リスクの高いAIシステムの提供者と、リスクの高いAIシステムに使用される又は統合されるツール、サービス、コンポーネント又はプロセスを供給する第三者との間の契約について、自主的なモデル条項を策定し、推奨することができる。これらの自主的なモデル条項を策定する際、AI事務局は、特定の分野又はビジネスケースにおいて適用される可能性のある契約要件を考慮しなければならない。自主的なモデル規約は、容易に利用可能な電子フォーマットで公表され、無料で入手できるものとする。
5. 第2項および第3項は、組合法および国内法に従い、知的財産権、企業秘密および営業秘密を遵守し保護する必要性を損なうものではない。
第26条
リスクの高いAIシステムの導入者の義務
1. 高リスクAIシステムの配備者は、第3項及び第6項に従い、当該システムに付随する使用説明書に従って当該システムを使用することを確保するために、適切な技術的及び組織的措置を講じなければならない。
2. 派遣者は、人的監督を、必要な能力、訓練、権限を有し、かつ必要な支援を受けられる自然人に委ねなければならない。
3. 第1項および第2項に定める義務は、その他の配備者の義務を損なうものではない。連邦法または国内法に基づく義務、および提供者が示した人的監視措置を実施する
目的で、派遣者が自らの資源と活動を組織する自由。
4. 第 1 項及び第 2 項を損なうことなく、導入者が入力データを管理する限りにおいて、導入者は、高リスク AI システムの意図された目的に照らして、入力データが適切かつ十分に代表的なものであることを保証しなければならない。
5. 配備者は,使用説明書に基づいて高リスクAIシステムの運用を監視し,関連する場合には,第72条に従ってプロバイダに通知しなければならない。配備者は,使用説明書に従った高リスクAIシステムの使用が,当該AIシステムが第79条第1項の意味におけるリスクをもたらす可能性があると考える理由がある場合,過度の遅滞なく,提供者又は販売者及び関連する市場監視当局に通知し,当該システムの使用を停止しなければならない。配備者が重大なインシデントを特定した場合
、配備者はまた、まず配備者に、次に輸入業者または販売業者および関連市場監視当局に、そのインシデントを直ちに通知しなければならない。配備者がプロバ
イダーと連絡が取れない場合は、第73条を準用する。この義務は、法執行機関で
あるAIシステムの配備者の機微な運用データには適用されない。
域内金融サービス法に基づく内部ガバナンス、取決め、またはプロセスに関する要件の対象となる金融機関である配備者については、第1号に定める監視義務は、関連する金融サービス法に基づく内部ガバナンスの取決め、プロセス、およびメカニズムに関する規則を遵守することにより果たされるものとみなされる。
6. 高リスクAIシステムの配備者は、適用されるEU法または国内法、特に個人情報の保護に関するEU法に別段の定めがない限り、当該高リスクAIシステムによって自動的に生成されたログを、当該ログが自己の管理下にある限りにおいて、高リスクAIシステムの意図された目的に適した期間、少なくとも6ヶ月間保存しなければならない。
組合金融サービス法に基づく内部ガバナンス、取決め、またはプロセスに関する要求事項の対象となる金融機関である配備者は、関連する組合金融サービス法に従って保管される文書の一部として、ログを保持しなければならない。
7. 職場で高リスク AI システムを稼働または使用する前に、使用者である配備者は
、高リスク AI システムの使用の対象となることを、労働者の代表および影響を受ける労働者に通知しなければならない。この情報は、該当する場合、労働者及びその代表者の情報に関する組合法及び国内法並びに慣行に定められた規則及び手続に従って提供されなければならない。
8. 公的機関、またはEUの機関、団体、事務所もしくは機関である高リスクAIシステムの配備者は、第49条で言及される登録義務を遵守しなければならない。このような配備者は、使用を予定している高リスクAIシステムが第71条に言及されるEUデータベースに登録されていないことが判明した場合、そのシステムを使用せず
、提供者または販売者に通知しなければならない。
9. 該当する場合、高リスクAIシステムの配備者は、規則(EU)2016/679の第35条または指令(EU)2016/680の第27条に基づくデータ保護影響評価の実施義務を遵守するために、本規則の第13条に基づき提供される情報を使用するものとする。
10. 指令(EU)2016/680を損なうことなく、犯罪を犯した疑いがある、または有罪判決を受けた人物を対象とした捜査の枠組みにおいて、事後遠隔バイオメトリクス識
別のための高リスクAIシステムの配備者は、事前または不当な遅滞なく、遅くと
も48時間以内に、司法当局または司法審査の拘束力を有する行政当局による当該システムの使用の認可を要求しなければならない、ただし、犯罪に直接関連する客観的かつ検証可能な事実に基づく潜在的被疑者の最初の識別のために使用され
る場合を除く。それぞれの使用は、特定の犯罪の捜査に厳密に必要なものに限定されるものとする。
第1号に従って要求された認可が拒否された場合、要求された認可にリンクされた遠隔生体認証システムの使用は直ちに停止され、認可が要求された高リスク
AIシステムの使用にリンクされた個人情報は削除されるものとする。
いかなる場合も、犯罪、刑事手続、真正かつ現在または真正かつ予見可能な犯罪の脅 威、または特定の行方不明者の捜索との関連なしに、そのような高リスクの遠隔バイオメトリッ ク識別用 AI システムを、対象を絞らない方法で法執行目的に使用してはならない。人に不利な法的効果をもたらすいかなる決定も、そのような事後のバイオメトリクス識別システムの出力のみに基づいて法執行当局によって行われないことが保証されなければならない。
本項は、バイオメトリックデータの処理に関する規則(EU)2016/679の第
9条および指令(EU)2016/680の第10条を損なうものではない。
目的または配備者にかかわらず、当該高リスクAIシステムの各使用は、関連する警察ファイルに文書化され、要求に応じて関連する市場監視当局および国内データ保護当局に提供されるものとする。本号は、指令(EU)2016/680により監督当局に付与された権限を損なうものではない。
配置者は、法執行に関連する機微な運用データの開示を除き、遠隔生体認証システムの使用 に関する年次報告書を、関連する市場監視および国家データ保護当局に提出しなければならない。報告書は、複数の配備を網羅するように集計することができる。
加盟国は、連合法に従い、遠隔生体認証システムの使用に関してより制限的な法律を導入することができる。
11. 本規則第50条を損なうことなく、自然人に関する意思決定を行う、または意思決定を支援する附属書IIIに言及される高リスクAIシステムの配備者は、高リスクAIシステムの使用の対象であることを自然人に通知しなければならない。法執行目的で使用される高リスクAIシステムについては、指令(EU)2016/680の第13条が適用される。
12. 配備者は、高リスクAIシステムに関連して関係当局が取る措置において、以下を実施するために、関係当局に協力しなければならない。
本規定
第27条
高リスクのAIシステムに対する基本的権利影響評価
1. 附属書IIIの2項に掲げる分野における使用を意図する高リスクのAIシステムを除く、第6条2項にいう高リスクのAIシステムの配備に先立ち、公法に準拠する機関である配備者、又は公共サービスを提供する民間団体である配備者、並びに附属書IIIの5項(b)及び(c)にいう高リスクのAIシステムの配備者は、当該システムの使用が基本的権利に及ぼす影響の評価を実施しなければならない。そのために、配備者は、以下から成る評価を実施しなければならない:
(a) 高リスクAIシステムがその意図された目的に沿って使用される、導入者のプロセスの説明;
(b) 各ハイリスクAIシステムが使用される期間と頻度の説明;
(c) 特定の状況において、その使用によって影響を受ける可能性のある自然人および集団のカテゴリー;
(d) 第13条に従ってプロバイダが提供した情報を考慮に入れ、本項(c)に従って特定された自然人又は人の集団のカテゴリーに影響を及ぼす可能性のある具体的な危害のリスク;
(e) 使用説明書に従った人体監視措置の実施に関する記述;
(f) これらのリスクが顕在化した場合に取るべき措置(内部ガバナンスおよび苦情処理機構の取り決めを含む)。
2. 第1項に定める義務は、高リスクAIシステムの最初の使用に適用される。配備者は、同様の場合、過去に実施された基本的権利の影響評価又は提供者が実施した既存の影響評価に依拠することができる。高リスクAIシステムの利用中に、第1項に列挙された要素のいずれかが変更された、又はもはや最新でないと配備者が考える場合、配備者は、情報を更新するために必要な措置を講じなければならない。
3. 本条第 1 項の評価が実施された場合、配備者はその結果を市場監視当局に通知するものとし、 その際、通知の一部として本条第 5 項の記入済みテンプレートを提出するものとする。第46条第1項に規定する場合、事業者は通知義務を免除されることがある。
4. 本条に定める義務のいずれかが、規則(EU)2016/679の第35条または指令(EU)
2016/680の第27条に従って実施されるデータ保護影響評価を通じて既に満たされている場合、本条第1項に言及される基本的権利影響評価は、当該データ保護影響評価を補完するものとする。
5. AI事務局は、派遣者が本条に基づく義務を簡易な方法で遵守することを容易にするため、自動化ツールによるものを含め、質問票のひな型を作成しなければならない。
第4節
通知当局および通知団体
第28条 当局への通知
1. 各加盟国は、適合性評価機関の評価、指定及び通知並びにその監視のために必要な手続の設定及び実施に責任を負う少なくとも一つの通知当局を指定又は設置しなければならない。これらの手続きは、すべての加盟国の通知当局が協力して策定しなければならない。
2. 加盟国は、規則(EC)No 765/2008の意味において、また規則(EC)No 765/2008に従って、第1項で言及される評価および監視を国家認定機関が実施することを決定することができる。
3. 届出機関は、適合性評価機関との利害の対立が生じず、その活動の客観性及び公平性が保護されるような方法で設立、組織化及び運営されなければならない
。
4. 届出当局は、適合性評価機関の届出に関する決定が、それらの機関の審査を実施した者とは異なる権限のある者によって行われるように組織されなければならない。
5. 届出当局は、適合性評価機関が実施するいかなる活動も、またいかなるコンサルタント業務も、商業ベース又は競争ベースで提供又は提供してはならない。
6. 通告当局は、第78条に従い、入手した情報の秘密を守らなければならない。
7. 通告当局は、その職務を適切に遂行するために、適切な数の有能な職員を自由に使えるようにしなければならない。有能な職員は、情報技術、AI、基本的権利の監督を含む法律などの分野において、該当する場合、その職務に必要な専門知識を有していなければならない。
第29条
適合性評価機関の届出申請
1. 適合性評価機関は、その機関が設立されている加盟国の届出当局に届出申請書を提出しなければならない。
2. 届出申請書には,適合性評価活動,適合性評価モジュール及び適合性評価機関が能力を有すると主張するAIシステムの種類の説明並びに適合性評価機関が第 31条に規定する要件を満たしていることを証明する国家認定機関が発行した認定証明書(存在する場合)を添付しなければならない。
他のEU整合化法令に基づく申請者ノーティファイド•ボディの既存の指定に関連する有効な文書を追加しなければならない。
3. 当該適合性評価機関が認定証明書を提供できない場合、当該適合性評価機関は
、 第 31 条に規定する要件への適合性の検証、承認及び定期的な監視に必要なすべての証拠書類を通 知当局に提供しなければならない。
4. EUの他の整合化法令に基づき指定されたノーティファイドボディについては,それらの指定に関連するすべての文書及び証明書を,必要に応じて,この規則に基づく指定手続を支援するために使用することができる。ノーティファイドボディを所管する当局が,第31条に規定するすべての要求事項への継続的な遵守を監視及び検証できるようにするため,ノーティファイドボディは,関連する変更が発生するたびに,本条第2項及び第3項に言及する文書を更新しなければならない。
第30条 届出手
続き
1. 通知当局は、第31条に規定する要件を満たした適合性評価機関のみを通知することができる。
2. 通知当局は、欧州委員会が開発•管理する電子通知ツールを用いて、第1項に言及する各適合性評価機関を欧州委員会及び他の加盟国に通知しなければならない。
3. 本条第2項の届出には、適合性評価活動、適合性評価モジュール又はモジュール
、関係するAIシステムの種類、及び関連する能力の証明の全詳細を含まなければならない。届出が第29条(2)に規定する認定証明書に基づくものでない場合、届出機関は、適合性評価機関の力量及び当該機関が定期的に監視され、第31条に規定する要件を引き続き満たすことを確保するための取決めを証明する証拠書類を欧州委員会及び他の加盟国に提出しなければならない。
4. 当該適合性評価機関は、第29条(2)にいう認定証明書を含む場合は届出機関による届出から2週間以内に、第29条(3)にいう証拠書類を含む場合は届出機関による届出から2か月以内に、欧州委員会又は他の加盟国から異議が提起されない場合に限り、届出機関の活動を行うことができる。
5. 異議が提起された場合、欧州委員会は、遅滞なく、関連する加盟国および適合性評価機関と協議を開始する。その結果、欧州委員会は、認可が正当であるかどうかを決定する。欧州委員会は、その決定を当該加盟国および関連する適合性評価機関に宛てて行うものとする。
第31条
ノーティファイド・ボディに関する要件
1. 届出団体は、加盟国の国内法に基づいて設立され、法人格を有するものとする
。
2. ノーティファイドボディ(Notified Body)は、その業務を遂行するために必要な組織、品質管理、資源及びプロセスの要件、並びに適切なサイバーセキュリティの要件を満たさなければならない。
3. 通達機関の組織構造,責任の分担,報告ライン及び運営は,通達機関の実績及び通達機関が実施する適合性評価活動の結果に対する信頼を確保するものでなければならない。
4. ノーティファイド機関は,適合性評価活動を行う高リスクAIシステムの提供者から独立していなければならない。また,ノーティファイドボディ は,アセスメントを受けた高リスク AI システムに経済的利害を有する他の事業者及びその提供者の競合他社からも独立していなければならない。このことは,適合性評価機
関の業務に必要な評価済み高リスクAIシステムの使用,又は当該高リスクAIシス
テムの個人的目的での使用を妨げるものではない。
5. 適合性評価機関、そのトップレベルの管理者、及び適合性評価業務の実施に責任を負う要員のいずれも、高リスク AI システムの設計、開発、マーケティング、又は使用に直接関与してはならず、また、これらの活動に従事する当事者を代表してはならない。また,そのような活動に従事する当事者の代理人であってはならない。これらの要員は,通 告を受けた適合性評価活動に関し,その判断の独立性又は誠実さに抵触する可能性のある活動に 従事してはならない。これは,特にコンサルタント業務に適用される。
6. 公認機関は、その活動の独立性、客観性及び公平性を守るように組織され、運営されなければならない。ノーティファイドボディ は、その組織、要員及び審査活動全体を通じて、公平性を保護し、公平性の原則を促進し適用するため の組織及び手順を文書化し、実施しなければならない。
7. 届出機関は、その職員、委員会、子会社、下請業者及びあらゆる関連機関又は外部機関の職員が、適合性評価活動の実施中に入手した情報の機密性を第78条に従って維持することを確保するための文書化された手順を設けなければならない。届出機関の職員は、その活動が実施される加盟国の届出当局との関係を除き、本規則に基づく業務を遂行する上で入手したすべての情報について、職業上の秘密を守る義務を負う。
8. 届出機関は,事業者の規模,事業を行っている部門,事業者の構造及び当該 AIシステムの複雑さの程度を十分に考慮した活動の実施手順を有するものとする。
9. ノーティファイドボディが国内法に従って設立された加盟国が責任を負う場合
、又はその加盟国自体が適合性評価に直接責任を負う場合を除き、ノーティファイドボディは、その適合性評価活動に対して適切な賠償責任保険に加入しなければならない。
10. ノーティファイド•ボディは、ノーティファイド•ボディ自身又はノーティファイド•ボディに代わりその責任の下でその業務が実施されるか否かを問わず
、最高度の専門的誠実さ及び特定分野における必要な能力をもって、この規則に基づくすべての業務を実施することができなければならない。
11. 届出機関は,そのために外部団体が実施する業務を効果的に評価できる十分な内部能力を 備えなければならない。届出機関は,関連する種類のAIシステム,データ及びデータコンピューティングに関する経験及び知識を有し,かつ,第2項に規定する要件に関連する十分な管理,技術,法律及び科学的要員を常時確保しなければならない。
12. ノーティファイドボディ(Notified Body)は,第38条にいう調整活動に参加しなければならない。また,欧州標準化組織に直接参加するか,又は代表として参加するか,又は関連する規格について認識し,最新であることを保証しなければな
らない。
第32条
ノーティファイド・ボディに関する要求事項への適合の推定
適合性評価機関が、関連する整合規格またはその一部に規定された基準に適合していることを証明する場合、その基準は欧州連合の官報に掲載され、適用される整合規格がそれらの要件をカバーしている限りにおいて、第31条に規定された要件に適合していると推定されるものとする。
第33条
届出団体の子会社および下請け業者
1. 届出機関が適合性評価に関連する特定の業務を外注する場合又は子会社に依頼
する場合,その外注先又は子会社が第 31 条に規定する要件を満たしていることを確認し,それに従って届出機関に通知しなければならない。
2. 届出団体は、下請業者または子会社が行う業務について全責任を負うものとする
。
3. 事業者の同意がある場合に限り、活動を子会社に下請けさせたり、子会社が実施したりすることができる。届出機関は、その子会社のリストを公表しなければならない。
4. 本規則に基づく下請業者または子会社の資格評価およびそれらによって実施された業務に関する関連書類は、下請の終了日から5年間、届出当局の手元に保
管されなければならない。
第34条
届出機関の運営義務
1. ノーティファイドボディ(届出機関)は,第43条に定める適合性評価手順に従って,高リスクAIシステムの適合性を検証しなければならない。
2. 通知機関は,その活動を行う際に,プロバイダに対する不必要な負担を回避し
,特に,プロバイダに対する管理上の負担及び遵守コストを最小限に抑えるという観点から,プロバイダの規模,その事業分野,その構造及び当該ハイリスクAIシステムの複雑さの程度を十分に考慮しなければならない。
勧告 2003/361/EC の意味における零細企業及び小規模企業。しかしながら,届出機関は,ハイリスクAIシステムが本規則の要求事項に適合するために要求される厳格さの程度及び保護のレベルを尊重しなければならない。
3. 通告機関は、第28条の通告機関がその評価、指定、通告及び監視活動を実施できるようにするため、並びに、本項に概説する評価を容易にするために、提供者の文書を含むすべての関連文書を利用できるようにし、かつ、要求に応じて提出しなければならない。
第35条
識別番号とノーティファイド・ボディのリスト
1. 欧州委員会は、1つの機関が複数の連邦法に基づき通告されている場合でも、各通告機関に1つの識別番号を割り当てるものとする。
2. 欧州委員会は、本規則に基づき通告された機関のリストを、その識別番号および通告された活動を含め、一般に公開する。欧州委員会は、このリストが常に最新の状態に保たれるようにしなければならない。
第36条 届出の
変更
1. 届出機関は、第30条(2)で言及されている電子届出ツールを通じて、届出機関の届出に関連する変更を欧州委員会および他の加盟国に通知しなければならない
。
2. 第29条および第30条に定める手続きは、通告の範囲を拡大する場合にも適用される。
適用範囲の拡大以外の通達の変更については、第(3)項から第(9)項に定める手続が適用される。
3. 通知機関がその適合性評価活動を停止することを決定した場合,通知機関は,可能な限り速やかに,また, 計画的な停止の場合は,その活動を停止する少なくとも 1 年前に,関係する届出機関及びプロバイダに 通知しなければならない。ただし,別のノーティファイドボディが,その証明書の対象となる高リスクAIシステムに対する責任を引き受けることを文書で確認することを条件とする。後者のノーティファイド•ボディは,その9か月の期間が終了するまでに,影響を受ける
高リスクAIシステムについての完全な評価を完了し てから,それらのシステムに
対して新たな認証を発行しなければならない。ノーティファイド•ボディがその活動を停止した場合、通知当局は指定を取り消さなければならない。
4. 届出機関がもはや第31条に規定する要件を満たしていない,又はその義務を履行していないと考える十分な理由がある場合,届出機関は,遅滞なく,最大限の注意を払ってその問題を調査しなければならない。その際,通知当局は,提起された異議について当該届出機関に通知し,その見解を明らかにする可能性を与えなければならない。届出機関がもはや第31条に規定する要件を満たしていない、又はその義務を履行していないという結論に達した場合、届出機関は、それらの要件を満たしていない、又はそれらの義務を履行していないことの重大性に応じて
、適宜、その指定を制限、停止又は撤回しなければならない。それに応じて、欧州委員会および他の加盟国に直ちに通知しなければならない。
5. その指定が一時停止され、制限され、又は全部若しくは一部が撤回された場合
、ノーティファイドボディ は、10日以内に関係プロバイダに通知しなければならない。
6. 指定が制限、一時停止又は撤回された場合、届出当局は、当該届出機関のファイルが保管され、他の加盟国の届出当局及び市場監視当局の要請に応じて利用できるようにするための適切な措置を講じなければならない。
7. 指定の制限、一時停止または撤回が行われた場合、通知機関は以下のことを行わなければならない:
(a) ノーティファイド•ボディが発行する証明書への影響を評価する;
(b) 指定の変更を通告してから3カ月以内に、欧州委員会および他の加盟国
に対し、調査結果に関する報告書を提出する;
(c) 市場における高リスクAIシステムの継続的な適合性を確保するため、当局が定める合理的な期間内に、不当に発行された認証を一時停止又は撤回するよう、届出機関に要求する;
(d) 欧州委員会および加盟国に対し、同委員会が要求した証明書の一時停止または撤回について通知する;
(e) 当該当局は、必要に応じて、健康、安全、または基本的権利に対する潜在的なリスクを回避するための適切な措置を講じるものとする。
8. 不当に発行された証明書、および指定が一時停止または制限された証明書を除き、証明書は、以下のいずれかの場合に限り有効である:
(a) 通知機関が、一時停止または制限から 1 カ月以内に、一時停止または制限の影響を受ける証明書に関し て、健康、安全、または基本的権利に対するリスクがないことを確認し、かつ、通知機関が、 一時停止または制限を是正するための措置のスケジュールを概説した場合。
(b) 通知機関が、一時停止又は制限の期間中、一時停止に関連する証明書が発行
、修正又は再発行されな いことを確認し、かつ、一時停止又は制限の期間中、通知機関が発行された既存の証明書を継続的に監 視し、責任を持ち続ける能力を有するか否かを記載すること;届出機関が、当該届出機関に発行済みの既存の証明書をサポートする能力がないと判断した場 合、当該証明書の対象となるシステムの提供者は、一時停止または制限の期間中、別の適格な届出 機関が一時的に当該届出機関の機能を引き継ぎ、当該証明書を監視し、引き続き責任を負うことを、 一時停止または制限から 3 カ月以内に
、当該届出機関が事業所登録をしている加盟国の国内所轄庁に書面 で確認しなければならない。
9. 不当に発行された証明書、および指定が取り消された証明書を除き、以下
の場合、証明書は 9 ヶ月間有効である:
(a) 証明書の対象となる高リスクAIシステムのプロバイダーが登録事業所を有する加盟国の国家主管庁が、当該高リスクAIシステムに関連する健康、安全または基本的権利に対するリスクがないことを確認した場合。
(b) 別の通知機関が、それらのAIシステムに対して直ちに責任を負い、指定撤回から12ヶ月以内に評価を完了することを文書で確認した。
第 1 号に規定する状況において、証明書の対象となるシステムの提供者が事業所を有する加盟国 の国家主管庁は、証明書の仮有効期間を 3 カ月間延長することができる。
指名の変更によって影響を受ける通達機関の機能を引き受ける国内官庁又は通達機関は,直ちにその旨を欧州委員会,他の加盟国及び他の通達機関に通知しなければならない。
第37条
ノーティファイド・ボディの能力への挑戦
1. 欧州委員会は、必要な場合、通告を受けた機関の能力、または通告を受けた機関が第31条に規定された要求事項および適用される責任を継続的に履行しているかどうかを疑う理由があるすべてのケースを調査するものとする。
2. 届出機関は、要求に応じて、当該届出機関の届出または能力の維持に関連するすべての関連情報を欧州委員会に提供しなければならない。
3. 委員会は、本条に基づく調査の過程で入手したすべての機微情報が、次の各号に定めるところに従い機密に取り扱われることを確保しなければならない
。
第78条とともに。
4. 欧州委員会は、届出機関が届出の要件を満たしていない、または満たさなくなったことを確認した場合、その旨を届出加盟国に通知し、必要であれば届出の一時停止または撤回を含む必要な是正措置をとるよう要請する。加盟国が必要な是正措置をとらなかった場合、欧州委員会は、実施法によって、指定の一時停止、制限、撤回を行うことができる。当該実施法は、第98条(2)にいう審査手続きに従って採択されなければならない。
第38条 届出機関の
調整
1. 欧州委員会は、高リスクのAIシステムに関しては、本規則に基づく適合性評価手続において活動する届出機関間の適切な調整と協力が、届出機関の分野別グループという形で実施され、適切に運営されることを確保しなければならない。
2. 各通知当局は,その通告を受けた機関が,直接又は指名された代表者を通じて
,第 1 項のグループの作業に参加することを確保しなければならない。
3. 欧州委員会は、通告当局間の知識およびベストプラクティスの交換を規定しなければならない。
第39条
第三国の適合性評価機関
EUが協定を締結している第三国の法律に基づいて設立された適合性評価機関は、第31条に定める要件を満たすか、または同等の適合レベルを確保することを条件に、本規則に基づく届出機関の活動を実施する権限を与えられる。
第5節
規格、適合性評価、認証、登録
第40条
統一規格と標準化成果物
1. 規則(EU)No 1025/2012に従って欧州連合官報に参照文献が掲載された整合規格又はその一部に適合している高リスクAIシステム又は汎用AIモデルは、当該規格が当該要件又は義務をカバーしている限りにおいて、本章第2節に定める要件又は該当する場合、本規則第V章第2節及び第3節に定める義務に適合していると推定されるものとする。
2. 規則(EU)(No)1025/2012の第10条に従い、欧州委員会は、本章の第2節に定めるすべての要求事項、および、該当する場合には、本規則の第5章第2節および第3節に定める義務を対象とする標準化要請を、過度の遅滞なく発行する。また、標準化要請は、高リスクAIシステムのライフサイクルにおけるエネルギー及びその他の資源の消費の削減、汎用AIモデルのエネルギー効率的な開発など、AIシステムの資源性能を改善するための報告及び文書化プロセスに関する成果物の提出を求めるものとする。標準化要請を作成する際、欧州委員会は理事会および諮問フォーラムを含む関連利害関係者と協議するものとする。
欧州委員会は、欧州の標準化団体に標準化要請を出す際、付属書Iに記載されている既存のEU調和法の対象となる製品について、さまざまな分野で開発された標準を含め、明確で一貫性があり、かつ、EU域内で上市または使用開始される高リスクのAIシステムまたは汎用AIモデルが、本規則に規定されている関連要件または義務を満たすことを保証することを目的とした標準でなければならないことを明記する。
欧州委員会は、欧州標準化機構に対し、本項第1号および第2号の目的を達成するための最善の努力の証拠を提出するよう、欧州標準化機構規約第24条に従って要請す
る。
規則(EU)No 1025/2012。
3. 標準化プロセスの参加者は、法的確実性を高めることを含め、AIへの投資と技術革新を促進し、連邦市場の競争力と成長を図り、標準化に関する国際協力の強化に貢献し、連邦の価値観、基本的権利および利益に合致するAI分野の既存の国際標準を考慮に入れ、規則(EU)No 1025/2012の第5条、第6条および第7条に従い
、利害のバランスのとれた代表とすべての関係者の効果的な参加を確保するマルチステークホルダー•ガバナンスを強化することを目指すものとする。
第41条 共通仕
様
1. 欧州委員会は、以下の条件が満たされる場合、本章第2節に定める要求事項、または、場合によっては、第5章第2節および第3節に定める義務について、共通の仕様を定める実施法を採択することができる:
(a) 欧州委員会は、欧州委員会規則第10条第1項に従い、以下のことを要請した。
(EU)第 1025/2012 号に基づき、1 つ以上の欧州標準化機関が、本章第 2 節に定める要求事項、または該当する場合、第 V 章第 2 節および第 3 節に定める義務に関する整合規格を起草する:
(i) 欧州標準化機関のいずれからも要請が受理されていない場合。
(ii) の第10条(1)に従って設定された期限内に、その要請に対応する整合規格が引き渡されない場合。
規則 (EU) No 1025/2012; または
(iii) 関連するハーモナイゼーション•スタンダードが基本的権利の懸念に十分に対処していない。
(iv) 整合規格がその要請に適合していない。
(b) 本章の第 2 節で言及される要求事項、又は該当する場合、第 V 章の第 2 節及び第 3 節で言及される義務をカバーする整合規格への言及は、規則 (EU) No 1025/2012 に従い、欧州連合の官報に掲載されておらず、合理的な期間内にそのような言及が掲載される見込みもない。
共通仕様書を起草する際、欧州委員会は第67条の諮問フォーラムに諮問するものとする。
本項第1号にいう実施法は、第98条第2項にいう審査手続に従って採択されなければならない。
2. 実施法の草案を作成する前に、欧州委員会は、規則(EU)No 1025/2012の第22条に言及されている委員会に対し、本条第1項に規定されている条件が満たされていると考える旨を通知しなければならない。
3. 第1項の共通仕様又はその一部に適合するハイリスクAIシステム又は汎用AIモデルは,これらの共通仕様がこれらの要求事項又はこれらの義務をカバーしている限りにおいて,本章第2節に規定する要件に適合し,又は該当する場合には,第 V章第2節及び第3節に規定する義務に適合しているものと推定される。
4. 整合規格が欧州標準化機構によって採択され、欧州連合官報への参照掲載を欧州委員会に提案する場合、欧州委員会は、規則(EU)No 1025/2012に従って整合規
格を評価しなければならない。整合規格への言及が欧州連合の官報に掲載された場合、欧州委員会は、第1項に言及された実施法またはその一部であって、本章
の第2項に規定された同一の要求事項、または、該当する場合には、第5章の第2項および第3項に規定された同一の義務を対象とするものを廃止しなければならない。
5. 高リスクAIシステム又は汎用AIモデルの提供者が第1項にいう共通仕様に準拠していない場合,当該提供者は,本章第2項にいう要件を満たす技術的解決策を採用していること,又は該当する場合には,少なくともこれと同等のレベルで第5章第2項及び第3項に定める義務を遵守していることを正当に証明しなければならない。
6. 加盟国は、共通仕様書が第2項に定める要件を完全に満たしていない、または該当する場合、第5章第2項および第3項に定める義務を遵守していないと考える場合、詳細な説明とともにその旨を欧州委員会に通知しなければならない。欧州委員会はその情報を評価し、適切であれば、当該共通仕様書を制定する実施法を改正しなければならない。
第42条
一定の要件への適合の推定
1. 使用が意図されている特定の地理的、行動的、文脈的、または機能的設定を反映したデータに基づいて訓練およびテストされたハイリスクAIシステムは、定め られた関連要件に準拠していると推定されるものとする。
第10条4項
2. 規則(EU)2019/881に従ったサイバーセキュリティスキームに基づき認証され、又は適合声明が発行された高リスクAIシステムであって、欧州連合官報に参考文献が掲載されたものは、サイバーセキュリティ認証書若しくは適合声明又はその一部がこれらの要件をカバーしている限りにおいて、本規則第15条に定めるサイバーセキュリティ要件に適合しているものと推定される。
第43条 適合性
評価
1. 附属書IIIのポイント1に列挙された高リスクAIシステムについて,第2節に規定された要件への高リスクAIシステムの適合性を実証する際,提供者が第40条に言及された整合規格,又は該当する場合,第41条に言及された共通仕様を適用している場合,提供者は,次のいずれかに基づく適合性評価手続の一つを選択しなければならない:
(a) 附属書VIで言及されている内部統制、または
(b) 附属書VIIで言及される,ノーティファイドボディが関与する品質マネジメントシステムの審査及び技術文書の審査。
高リスクAIシステムがセクション2に規定された要件に適合していることを実証する際,提 供者は,附属書VIIに規定された適合性評価手順に従わなければならない:
(a) 第40条にいう整合規格が存在せず、第41条にいう共通仕様が利用できない;
(b) プロバイダが整合規格を適用していない、または一部しか適用していない場合;
(c) (a)で言及された共通仕様が存在するが、プロバイダーはそれを適用していない;
(d) (a)で言及された整合規格の1つ以上が、制限付きで、しかも制限された部分についてのみ発行されている。
附属書 VII で言及される適合性評価手続の目的のため,提供者は,いずれかの通知機関を選 択することができる。ただし,ハイリスクAIシステムが,法執行機関
,出入国管理当局若しくは亡命当局又は同盟の機関,団体,事務所若しくは機関によって使用されることが意図されている場合には,該当する場合には,第74条 (8)又は(9)に言及される市場監視当局が,届出機関として行動するものとする。
2. 附属書IIIの2~8で言及される高リスクのAIシステムについては,提供者は,附属書VIで言及される内部管理に基づく適合性評価手続に従わなければならない。
3. 附属書 I のセクション A に列挙された EU の整合化法令が適用される高リスク AI シス テムについては,そのプロバイダは,それらの法令で要求される関連適合性評価手順に従わなけ ればならない。本章の第 2 節に規定する要件は,高リスク AI システムに適用され,その評価の一部となる。附属書 VII の 4.3.,4.4.,
4.5.及び 4.6 の第 5 段落も適用されるものとする。
この評価のために,これらの法令に基づき届出を行っている届出機関は,これらの法令に基づく届出手続において,これらの届出機関が第31条(4),(5),(10)及び (11)に規定する要件に適合していることを条件として,第2項に規定する要件への高リスクAIシステムの適合性を管理する権利を有する。
附属書 I の第 A 章に記載された法律行為により,製品製造者がすべての関連要求事項を網羅するすべての整合 規格を適用していることを条件として,第三者適合性評価から除外することができる場合,その製造者は,本 章の第 2 節に規定するすべての要求事項を網羅する整合規格又は該当する場合,第 41 条に言及する共通仕様書も適用している場合に限り,その選択肢を使用することができる。
4. すでに適合性評価手続の対象となっている高リスクのAIシステムは、大幅な変更が行われた場合、変更後のシステムがさらに頒布されることを意図しているか、現在の配備者によって引き続き使用されるかを問わず、新たな適合性評価手続を受けなければならない。
市場に投入され、あるいは使用開始された後も学習を続ける高リスクのAIシステムについては、高リスクのAIシステムとその性能に変更があった場合、その変更は、そのAIシステムの性能に影響を与える。
最初の適合性評価の時点で提供者が事前に決定し,附属書IVの2(f)に言及する技術文書に含まれる情報の一部である場合, 実質的な変更とはならない。
5. 欧州委員会は、技術的進歩に照らして附属書VIおよびVIIを更新するために、第97条に従って委任行為を採択する権限を有する。
6. 欧州委員会は、附属書IIIの第2項から第8項までに言及される高リスクのAIシステムを附属書VII又はその一部の適合性評価手続の対象とするために、本条第1項及び第2項を改正するため、第97条に従って委任行為を採択する権限を有する。欧州委員会は、附属書VIで言及されている内部統制に基づく適合性評価手続が、当該システムによってもたらされる健康及び安全に対するリスク並びに基本的権利の保護を防止又は最小化する上で有効であること、並びに、届出機関の間で適切な能力及び資源が利用可能であることを考慮して、当該委任行為を採択しなければならない。
第44条 証明書
1. 附属書VIIに従ってノーティファイド•ボディが発行する証明書は、ノーティファイド•ボディが設立された加盟国の関係当局が容易に理解できる言語で作成されなければならない。
2. 附属書Ⅰの対象となるAIシステムについては5年を超えないものとし,附属書Ⅲの対象となるAIシステムについては4年を超えないものとする。提供者の要請により,証明書の有効期間は,適用される適合性評価手続に従った再 評価に基づいて
,附属書 I の対象となる AI システムについては 5 年を超えない範囲で,附属書
III の対象となる AI システムについては 4 年を超えない範囲で,さらに延長することができる。認証書の補足は,その補足する認証書が有効であることを条件と
して,有効であり続けるものとする。
3. 通知機関が,AIシステムが第2項に定める要件をもはや満たしていないと認める場合,通知機関が定める適切な期限内にシステムの提供者が適切な是正措置をとることによってこれらの要件への適合が確保されない限り,通知機関は,比例原則を考慮して,発行された証明書を一時停止若しくは撤回し,又は制限を課さなければならない。通知機関は、その決定の理由を示さなければならない。
発行された適合証明書を含め、通知機関の決定に対する異議申立手続を利用できるものとする。
第45条
届出機関の情報義務
1. 届出機関は、以下の事項を届出機関に通知しなければならない:
(a) 附属書 VII の要求事項に従って発行された,EU の技術文書審査証明書,これらの証明書に対する追補 証明書,及び品質マネジメントシステムの承認
;
(b) 附属書VIIの要求事項に従って発行されたEU技術文書審査証明書又は品質マネジメントシステム承認の拒否,制限,一時停止又は撤回;
(c) 通告の範囲や条件に影響を及ぼすいかなる事情も;
(d) 適合性評価活動に関して市場監視当局から受けたあらゆる情報要求
(e) 要求があれば、届出範囲内で実施された適合性評価活動、及び国境を越えた活動や下請けを含むその他の活動。
2. 各通知機関は、他の通知機関に以下の事項を通知しなければならない:
(a) 品質マネジメントシステムの承認が拒否され、一時停止され、または撤回された場合、および要求に応じて、品質マネジメントシステムの承認が発行された場合;
(b) EUが拒否、撤回、一時停止、またはその他の制限を行った技術文書評価証明書またはその補足文書、および要求があれば、EUが発行した証明書および/またはその補足文書。
3. 各ノーティファイドボディ は,同じ種類のAIシステムを対象とする類似の適合性評価活動を実施している他のノーティファイドボ ディに対し,否定的な適合性評価結果及び要求に応じて肯定的な適合性評価結果に関連する問題 に関する関連情報を提供しなければならない。
4. 届出機関は、第78条に従い、入手した情報の秘密を守らなければならない。
第46条
適合性評価手続きからの逸脱
1. 第43条からの適用除外により、かつ、正当に正当化された要請があれば、市場監視当局は、公共の安全、人の生命及び健康の保護、環境保護、重要な産業資産及びインフラ資産の保護という例外的な理由により、当該加盟国の領域内において
、特定の高リスクAIシステムの上市又は使用開始を許可することができる。この認可は、適用除外を正当化する例外的な理由を考慮し、必要な適合性評価手続が実施されている間の期間限定とする。これらの手続きの完了は、不当な遅延なく実施されなければならない。
2. 公安上の例外的理由により正当に正当化された緊急事態の場合、または自然人の生命もしくは身体の安全に対する具体的、実質的かつ差し迫った脅威の場合
、法執行当局または市民保護当局は、第1項の認可を受けることなく、特定の高リスクAIシステムを稼働させることができる、
ただし,当該承認が,不当な遅延なく,使用中又は使用後に要求されることを条件とする。第1項の承認が拒否された場合,高リスクAIシステムの使用は直ちに中止され,当該使用のすべての結果及び出力は直ちに廃棄されるものとする。
3. 第1項の認可は、市場監視当局が、ハイリスクAIシステムが第2項の要件に適合していると結論付けた場合にのみ発行される。市場監視当局は、第1項および第2項に従って発行された認可を欧州委員会および他の加盟国に通知しなければならない。この義務は、法執行当局の活動に関する機微な業務データは対象としない。
4. 第3項で言及された情報の受領から15暦日以内に、加盟国の市場監視当局が第1項に従って発行した認可に関して、加盟国または欧州委員会のいずれからも異議が出されなかった場合、その認可は正当なものとみなされる。
5. 第3項の通知を受け取ってから15暦日以内に、他の加盟国の市場監視当局が発行した認可に対して、加盟国から異議が提起された場合、または、欧州委員会が、その認可がEU法に反しているとみなした場合、もしくは、第3項のシステムの遵守に関する加盟国の結論に根拠がないとみなした場合、欧州委員会は、遅滞なく
、当該加盟国との協議に入るものとする。関係する事業者は、協議を受け、意見を述べる機会を与えられるものとする。これらを考慮して、欧州委員会は認可が正当であるかどうかを決定する。欧州委員会は、その決定を関係加盟国および関係事業者に通知する。
6. 欧州委員会が認可を不当とみなす場合、当該加盟国の市場監視当局は認可を取り消さなければならない。
7. 附属書ⅠのセクションAに記載されたEU整合化法令の対象となる製品に関連する高リスクAIシステムについては、当該EU整合化法令で定められた適合性評価からの適用除外のみが適用される。
第47条
EU適合宣言
1. 提供者は、高リスクAIシステムごとに、機械可読、物理的または電子的に署名されたEU適合宣言書を作成し、高リスクAIシステムが上市または使用開始された後10年間、各国の所轄当局の手元に保管しなければならない。EU適合宣言書は、作成された高リスクAIシステムを特定しなければならない。EU適合宣言書の写しは、要請に応じて関連する国家主管庁に提出しなければならない。
2. EU適合宣言書には、当該ハイリスクAIシステムが第2項に定める要求事項を満たしていることを記載しなければならない。EU適合宣言書は、附属書Vに規定された情報を含むものとし、また、高リスクAIシステムが存在する加盟国の国家管轄当局が容易に理解できる言語に翻訳されなければならない。
リスクの高いAIシステムが市場に出回る、あるいは利用可能になる。
3. 高リスクAIシステムが、EU適合宣言を必要とする他のEU調和法の適用を受ける場合、高リスクAIシステムに適用されるすべてのEU法に関して、単一のEU適合宣言を作成しなければならない。この宣言書には、宣言が関係するEU調和法を特定するために必要なすべての情報を含まなければならない。
4. EU適合宣言書を作成することにより、提供者は、第2項に定める要求事項の遵守に責任を負うものとする。提供者は、EU適合宣言書を適宜最新の状態に保つものとする。
5. 欧州委員会は、技術的進歩に照らして必要となる要素を導入するため、付属書に定めるEU適合宣言の内容を更新して付属書Vを改正するため、第97条に従って委任法を採択する権限を有する。
第48条 CEマーキング
1. CEマーキングは、規則(EC) No 765/2008の第30条に定める一般原則に従うものとする。
2. デジタルで提供される高リスクのAIシステムについては、デジタルCEマーキングを使用しなければならないが、これは、そのシステムにアクセスするインターフェースを通じて、または、容易にアクセス可能な機械可読コードその他の電子
的手段を通じて、容易にアクセスできる場合に限る。
3. CEマーキングは、高リスクのAIシステムについては、見やすく、読みやすく
、消えないように貼付しなければならない。高リスクのAIシステムの性質上、それが不可能な場合又は保証されない場合は、適宜、包装又は添付文書に貼付しなければならない。
4. 該当する場合、CE マークに続いて、第 43 条に定める適合性評価手続に責任を負う届出機関の識別 番号を付さなければならない。届出機関の識別番号は、届出機関自身によって、又はその指示に基づき、提供者若しくは提供者の認定代理人によって付さなければならない。また,識別番号は,高リスクAIシステムがCEマーキングの要件を満たすことを記載する販促用資料にも表示しなければならない。
5. 高リスクAIシステムが、CEマーキングの貼付を規定する他のEU法の対象である場合、CEマーキングは、高リスクAIシステムが当該他の法律の要件も満たしていることを示すものとする。
第49条 登録
1. 附属書IIIの2項で言及されている高リスクのAIシステムを除き、附属書IIIに記載されている高リスクのAIシステムを上市又は使用開始する前に、提供者又は該当する場合、認定代理人は、第71条に言及されているEUのデータベースに自
身及びそのシステムを登録しなければならない。
2. 提供者が第6条3項に従って高リスクでないと結論付けたAIシステムを市場に投入する前、または使用開始する前に、提供者または該当する場合は認可された代理人は、第71条に言及されるEUデータベースに自身および当該システムを登録しなければならない。
3. 附属書IIIのポイント2に記載された高リスクAIシステムを除き、附属書IIIに記載された高リスクAIシステムを稼働または使用する前に、公的機関、連邦機関、団体、事務所、機関、またはそれらの代理を務める者である配備者は、自ら登録し
、システムを選択し、第71条に記載されたEUのデータベースにその使用を登録しなければならない。
4. 附属書IIIのポイント1、6、7で言及される、法執行、移民、亡命、国境管理の分野における高リスクのAIシステムについては、本条第1項、第2項、第3項に言及される登録は、第71条に言及されるEUデータベースの安全な非公開セクションに行われ、該当する場合、同条で言及される以下の情報のみを含むものとする:
(a) ただし、6、8、9は除く;
(b) 附属書VIIIのセクションB、ポイント1から5、ポイント8と9;
(c) 附属書VIIIのセクションC、ポイント1から3;
(d) 附属書IXのポイント1、2、3、5。
本項第1号に記載されたEUデータベースの各制限されたセクションにアクセスできるのは、欧州委員会および第74条第8項に記載された各国当局のみである。
5. 附属書IIIのポイント2で言及されている高リスクAIシステムは、国家レベルで登録されなければならない。
第四章
特定のAIシステムのプロバイダーと配備者に対する透明性義務
第50条
特定のAIシステムのプロバイダーと配備者に対する透明性義務
1. プロバイダは、自然人と直接対話することを意図したAIシステムが、状況及び使用の文脈を考慮し、合理的に十分な知識を持ち、観察力があり、思慮深い自然人から見て明らかな場合を除き、当該自然人がAIシステムと対話することを知らされるような方法で設計及び開発されることを確保しなければならない。この義務は、第三者の権利及び自由に対する適切な保護措置の下に、犯罪を検知、防止、捜査又は起訴することを法律で認められたAIシステムには適用されない。
2. 合成音声、画像、映像又はテキスト•コンテンツを生成する汎用AIシステムを含むAIシステムの提供者は、AIシステムの出力が機械可読形式で表示され、人為的に生成又は操作されたものであることが検知可能であることを保証しなければならない。プロバイダは、様々な種類のコンテンツの特殊性及び制限、実装のコスト、並びに関連する技術標準に反映され得る一般的に認められた技術状況を考慮し、技術的に実行可能である限りにおいて、その技術的解決策が効果的であり、相互運用可能であり、堅牢であり、信頼できるものであることを確保しなければならない。この義務は、AIシステムが標準的な編集のための補助機能を実行する場合、または配置者によって提供された入力データもしくはそのセマンティクスを実質的に変更しない場合、または犯罪の検知、防止、捜査もしくは訴追のために法律により権限を付与されている場合には、適用されないものとする。
3. 感情認識システムまたはバイオメトリクス分類システムの配備者は、それに晒される自然人にシステムの運用を通知し、適用される場合、規則(EU)2016/679および(EU)2018/1725ならびに指令(EU)2016/680に従って個人データを処理しなければならない。この義務は、第三者の権利および自由のための適切な保護措置の適用を条件として、かつEU法に従い、犯罪の検知、防止または捜査のために法律により許可される、バイオメトリクス分類および感情認識のために使用されるAIシステムには適用されないものとする。
4. ディープフェイクを構成する画像、音声または映像コンテンツを生成または操作するAIシステムの配備者は、当該コンテンツが人為的に生成または操作されたものであることを開示しなければならない。この義務は、犯罪の検出、防止、捜査または訴追のために法律で使用が許可されている場合には適用されない。コンテンツが、明らかに芸術的、創作的、風刺的、フィクション的または類似の作品または番組の一部を構成する場合、本項に定める透明性の義務は、当該作品の表示または享受を妨げない適切な方法で、当該生成または操作されたコンテンツの存在を開示することに限定される。
公共の関心事について公衆に知らせる目的で公表されるテキストを生成または操作するAIシステムの配備者は、そのテキストが人為的に生成または操作されたものであることを公表しなければならない。この義務は、犯罪の検出、防止、捜査
、訴追のために法律で使用が許可されている場合、またはAIが生成したコンテンツが人によるレビューや編集管理のプロセスを経ており、自然人または法人がコンテンツの公表について編集責任を有する場合には適用されない。
5. 第 1 項から第 4 項で言及される情報は、遅くとも最初の相互作用又は曝露の時点で、明確かつ区別可能な方法で、関係する自然人に提供されなければならない。情報は、適用されるアクセシビリティ要件に適合しなければならない。
6. 第1項から第4項は、第III章に定める要件および義務に影響を及ぼすものではなく、また、AIシステムの配備者について連邦法または国内法に定めるその他の
透明性確保義務を損なうものではない。
7. AI局は、人為的に生成または操作されたコンテンツの検出および表示に関する義務の効果的な履行を促進するため、EUレベルでの実施規範の作成を奨励し、促進するものとする。欧州委員会は、第56条(6)に規定された手続きに従って、これらの実施規範を承認するための実施法を採択することができる。規約が適切でないと欧州委員会が判断した場合、欧州委員会は、第98条(2)に定める審査手続きに従い、これらの義務の実施に関する共通規則を規定する実施法を採択することができる。
第V章 汎用AIモデ
ル
第1節クラス分け規定
第51条
汎用AIモデルをシステミック・リスクを伴う汎用AIモデルとして分類
1. 汎用AIモデルは、以下のいずれかの条件を満たす場合、システミック•リスクを有する汎用AIモデルに分類される:
(a) 指標やベンチマークを含む適切な技術的ツールや方法論に基づいて評価された、高い影響力を持つもの;
(b) 委員会の決定に基づき、職権で、または科学的パネルからの適格な警告に基づき、附属書XIIIに定める基準に照らして、(a)に定める能力または影響
に相当する能力を有すること。
2. 汎用AIモデルは、浮動小数点演算で測定されるその学習に使用される累積計算量が1025 を超える場合、第1項(a)に従い、高い衝撃能力を有すると推定されるものとする。
3. 欧州委員会は、第97条に従い、本条第1項および第2項に記載された基準値を修正するための委任法を採択する。また、これらの基準値が最先端技術の状況を反映するために、必要に応じて、アルゴリズムの改良やハードウェアの効率向上など
、進化する技術開発に照らして、ベンチマークおよび指標を補足するための委任法を採択する。
第52条 手続
1. 汎用AIモデルが第51条第1項の条件を満たす場合、
(a)の場合、当該プロバイダーは、その要件が満たされた後、または満たされることが判明した後、遅滞なく、いかなる場合でも2週間以内に欧州委員会に通知しなければならない。
この通知には、関連する要件が満たされていることを証明するために必要な情報を含めなければならない。欧州委員会が届け出ていない汎用AIモデルがシステミ
ック•リスクを有していることを知った場合、欧州委員会はそのモデルをシステミック•リスクを有するモデルとして指定することを決定することができる。
2. 第51条(1)の(a)で言及される条件を満たす汎用AIモデルの提供者は、その届出とともに、例外的に、当該要件を満たすものの、当該汎用AIモデルは、その特定の特性により、システミック•リスクを提示せず、したがって、システミック
• リスクを伴う汎用AIモデルとして分類されるべきではないことを示す、十分に立証された論拠を提示することができる。
3. 欧州委員会が、第2項に従って提出された論拠が十分に立証されておらず、関連するプロバイダーが、汎用AIモデルがその特殊な特性によりシステミック•リスクを有していないことを証明できなかったと結論付けた場合、欧州委員会はそれらの論拠を却下し、汎用AIモデルはシステミック•リスクを有する汎用AIモデルであるとみなされるものとする。
4. 欧州委員会は、附属書XIIIに定める基準に基づいて、職権で、または第90条1項
(a)に従い科学的委員会からの適格な警告を受けて、汎用AIモデルをシステミック•リスクを有するものとして指定することができる。
欧州委員会は、第97条に従い、付属書XIIIを改正し、同付属書に定める基準を特定し、更新するために、委任法を採択する権限を有する。
5. として指定されたモデルのプロバイダーから合理的な要請があった場合、そのプロバイダーは、そのモデルについて、次のことを行う。
第4項に従い、システミック•リスクを有する汎用AIモデルを指定した場合、欧州委員会はその要請を考慮し、附属書XIIIに定める基準に基づき、汎用AIモデルが依然としてシステミック•リスクを有すると考えられるかどうかを再評価することを決定することができる。このような要請には、指定決定以降に生じた客観的かつ詳細で新たな理由を含めなければならない。プロバイダーは、指定決定から最短で6ヵ月後に再審査を要請することができる。欧州委員会が再審査の結果、システミック•リスクを有する汎用AIモデルとしての指定を維持することを決定した場合、プロバイダーは、その決定から最短で6ヵ月後に再審査を要請することができる。
6. 欧州委員会は、システミック•リスクを有する汎用AIモデルのリストが公表されることを確保し、欧州連合法および国内法に従い、知的財産権および業務上の機密情報または企業秘密を遵守し保護する必要性を損なうことなく、そのリストを常に最新の状態に保つものとする。
第2節
汎用AIモデル提供者の義務
第53条
汎用AIモデル提供者の義務
1. 汎用AIモデルのプロバイダーは、以下のことを行わなければならない:
(a) この技術文書には,要請に応じてAI事務局及び各国所轄官庁に提供する目的で,最低限,附属書XIに定める情報を含まなければならない;
(b) 汎用AIモデルをそのAIシステムに組み込むことを意図するAIシステムの提供者に対して、情報および文書を作成し、最新の状態に保ち、利用可能にすること。連邦法および国内法に従い、知的財産権および業務上の機密情報または企業秘密を遵守し保護する必要性を損なうことなく、情報および文書は以下のものでなければならない:
(i) AIシステムの提供者が、汎用AIモデルの能力と限界を十分に理解し、本規則に基づく義務を遵守できるようにする。
(ii) には、最低限、附属書XIIに定める要素が含まれている;
(c) 著作権および関連する権利に関する連邦法を遵守するための方針を定め、特に、著作権法第4条第3項に従って表明された権利の留保を特定し、最先
端技術を含めて遵守するための方針を定める。指令(EU)2019/790;
(d) AI事務局が提供するテンプレートに従って、汎用AIモデルの学習に使用したコンテンツに関する十分に詳細な要約を作成し、一般に公開すること。
2. 第1項の(a)及び(b)に定める義務は、モデルへのアクセス、使用、修正及び配布を認める無償のオープンソースライセンスの下でリリースされ、重み、モデル構造に関する情報及びモデルの使用に関する情報を含むパラメータが一般に公開されているAIモデルの提供者には適用されないものとする。この例外は、システミック•リスクを有する汎用AIモデルには適用されない。
3. 汎用AIモデルの提供者は、欧州委員会および各国の管轄当局が本規則に基づく権限および権限を行使する際に、必要に応じて協力しなければならない。
4. 汎用AIモデルのプロバイダは、整合規格が公表されるまでは、本条第1項に定める義務の遵守を証明するために、第56条の意味における実施規範に依拠することができる。欧州の整合規格への準拠は、それらの規格がそれらの義務をカバーしている限りにおいて、プロバイダに適合の推定を付与する。承認された実施基準を遵守していない、または欧州整合規格を遵守していない汎用AIモデルの提供者は、欧州委員会による評価のために、別の適切な遵守手段を示さなければならない。
5. 附属書XI、特に附属書2(d)および(e)の遵守を促進するため、欧州委員会は、以下の規定に基づき委任行為を採択する権限を有する。
第97条では、比較可能で検証可能な文書化を可能にする観点から、測定および計算方法を詳述する。
6. 欧州委員会は、第97条2項に従い、発展する技術的発展を踏まえて附属書XIおよびXIIを改正するための委任法を採択する権限を有する。
7. 営業秘密を含め、本条に従って入手された情報または文書は、以下に定める守秘義務に従って取り扱われるものとする。
第78条
第54条
汎用AIモデルのプロバイダーの公認代理人
1. 汎用AIモデルを域内市場に投入する前に、第三国で設立されたプロバイダーは、
書面による委任により、域内に設立された公認代理店を任命しなければならない
。
2. プロバイダは、その権限を有する代理人が、プロバイダから受領した委任状で指定された業務を遂行できるようにしなければならない。
3. 公認代理人は,提供者から受領した委任状に規定された業務を遂行しなければならない。権限のある代理人は、要請に応じて、連合の機関の公用語の一つで
、AI事務局に委任状の写しを提出しなければならない。本規則の目的上、委任状は、権限のある代理人に以下の業務を遂行する権限を与えるものとする:
(a) 附属書XIに規定される技術文書が作成され,第53条及び該当する場合には第 55条に言及されるすべての義務が提供者によって履行されていることを検証する;
(b) 附属書XIに規定された技術文書の写しを,AI事務局及び各国所轄官庁が自由に入手できるよう,汎用AIモデルの市販後10年間,保管すること;
(c) 本章の義務の遵守を証明するために必要なすべての情報及び文書((b)に掲げるものを含 む;
(d) AI事務局及び所轄官庁が、汎用AIモデルに関して取るいかなる措置におい
ても、合理的な要請があれば、協力すること。ユニオン
4. 委任状は、本規則の遵守の確保に関連するすべての問題について、AI事務局又は管轄当局から、提供者に加えて、又はその代わりに、権限を付与された代理人に宛てる権限を与えるものとする。
5. 認定代理人は、プロバイダが本規則に従った義務に反して行動していると考える場合又はそう考える理由がある場合、委任を終了しなければならない。この場合
、公認代理人は、AI事務局に対し、委任の終了及びその理由を直ちに通知しなければならない。
6. 本条に定める義務は,汎用AIモデルがシステミックリスクを呈する場合を除き
,モデルへのアクセス,利用,修正及び頒布を可能とする無償かつオープンソースのライセンスの下でリリースされ,重み,モデルアーキテクチャに関する情報及びモデルの利用に関する情報を含むパラメータが一般に公開されている汎用AIモデルのプロバイダには適用されない。
第3節
システミック・リスクを伴う汎用AIモデルの提供者の義務
第55条
システミック・リスクを伴う汎用AIモデルの提供者の義務
1. 第53条および第54条に記載された義務に加えて、システミック•リスクを有する汎用AIモデルの提供者は、以下の義務を負う:
(a) システミック•リスクの特定と軽減を目的としたモデルの敵対的テストの実施と文書化を含め、最新技術を反映した標準化されたプロトコルとツールに従ってモデル評価を実施すること;
(b) システミック•リスクを有する汎用AIモデルの開発、市場投入、使用から生じる可能性のあるシステミック•リスクを、その発生源を含め、連邦レベルで評価し、軽減する;
(c) 重大インシデントおよびそれに対処するための可能な是正措置に関する関連情報を把握し、文書化し、AI事務局および必要に応じて各国の所轄官庁に不当な遅延なく報告すること;
(d) システミック•リスクのある汎用AIモデルと、その物理的インフラに対する適切なレベルのサイバーセキュリティ保護を確保する。
2. システミック•リスクを伴う汎用AIモデルのプロバイダーは、整合的な基準が公表されるまでは、本条第1項に定める義務の遵守を証明するために、第56条にいう意味での実務規範に依拠することができる。欧州の整合化基準への準拠は、当該基準がこれらの義務をカバーしている限りにおいて、プロバイダーに適合の推定を与える。システミック•リスクを有する汎用AIモデルの提供者が、承認された実施規範を遵守していない場合、または欧州統一基準を遵守していない場合は
、欧州委員会による評価のために、別の適切な遵守手段を示さなければならない
。
3. 営業秘密を含め、本条に従って入手された情報または文書は、以下に定める守秘義務に従って取り扱われるものとする。
第78条
第4節実施規
範
第56条 実施規範
1. AI事務局は、国際的なアプローチを考慮しつつ、本規則の適切な適用に寄与するため、EUレベルでの実践規範の作成を奨励し、促進するものとする。
2. AI事務局および理事会は、以下の事項を含め、少なくとも第53条および第55条に規定される義務を実施規範がカバーすることを確保することを目指すものとする
:
(a) 第53条第1項の(a)および(b)に言及される情報が、市場および技術の発展に照らして常に最新であることを保証する手段;
(b) トレーニングに使用された内容に関する要約の適切な詳細レベル;
(c) 適切な場合には、その発生源を含め、ユニオン•レベルでのシステミック•リスクの種類と性質を特定すること;
(d) 連邦レベルでのシステミック•リスクの評価及び管理のための措置、手続及び方法(その文書化を含む。
3. AI事務局は、すべての汎用AIモデル提供者、および関連する各国所轄官庁に対し、実施規範の作成に参加するよう要請することができる。市民社会組織、産業界、学界、および川下プロバイダーや独立専門家などの他の関連利害関係者は、このプロセスを支援することができる。
4. AI事務局及び理事会は,実施規範が,その具体的な目的を明確に定め,適切な場合には主要業績評価指標を含むコミットメント又は措置を含むことにより,これらの目的の達成を確保し,かつ,影響を受ける者を含むすべての利害関係者のニーズ及び利害を組合レベルで十分に考慮することを確保することを目指すものとする。
5. AI事務所は、実施規範への参加者が、公約の実施、講じられた措置及びその結果について、適宜、主要業績評価指標に対する評価も含め、AI事務所に定期的に報告することを確保することを目指すものとする。主要業績評価指標及び報告に関する約束は、様々な参加者間の規模及び能力の違いを反映するものとする。
6. AI事務局及び理事会は,参加者による実施基準の目的の達成及び本規則の適切な適用への貢献を定期的に監視及び評価するものとする。AI事務局及び理事会は,実施規範が第53条及び第55条に規定する義務を網羅しているかどうかを評価し,その目的の達成を定期的に監視及び評価しなければならない。理事会は、実施基準の妥当性に関する評価を公表するものとする。
欧州委員会は、実施法によって、実施規範を承認し、それを域内で一般的に有効とすることができる。当該実施法は、第98条第2項にいう審査手続に従って採択されなければならない。
7. AI事務局は、汎用AIモデルのすべての提供者に対し、実施規範を遵守するよう求めることができる。システミック•リスクをもたらさない汎用AIモデルのプロバイダーについては、完全な規範に参加することに明示的に関心を表明しない限り、この遵守は第53条に規定される義務に限定することができる
。
8. AI事務局はまた,適宜,特に新たな基準に照らして,実施基準の見直しと適応を奨励し,促進する。AI事務所は、利用可能な基準の評価を支援する。
9. 実施規範は,遅くとも...[この規則の発効日から9箇月]までに作成されなければならない。AI事務局は,第7項に基づき事業者を募ることを含め,必要な措置を講じなければならない。
発効の日から12箇月]までに実施細則を確定できない場合、又は本条第6項に基づく評価の結果、AI機関が適切でないと判断した場合、欧州委員会は、実施法によって、本条第2項に定める事項を含む第53条及び第55条に規定する義務の実施に関する共通規則を定めることができる。これらの実施法は、第98条第2項にいう審査手続に従って採択されなければならない。
第六章
イノベーション支援策
第57条
AI規制のサンドボックス
1. 加盟国は、管轄当局が少なくとも1つのAIを設置することを保証する。
国レベルでの規制のサンドボックスは、...[本規則の発効日から24ヶ月]までに運用を開始するものとする。このサンドボックスは、他の加盟国の管轄当局と共同で設置することもできる。欧州委員会は、AI規制のサンドボックスの設置•運営に関する技術的支援、助言、ツールを提供することができる。
第1号に基づく義務は、既存のサンドボックスへの参加によって、参加加盟国が同等の国内適用範囲を得られる限りにおいて、果たすこともできる。
2. 地域や地方レベル、あるいは他の加盟国の管轄当局と共同で、AI規制のサンドボックスを追加設置することもできる。
3. また、欧州データ保護監督機関は、本章に従い、欧州連合の機関、団体、事務所および機関に対するAI規制のサンドボックスを設置し、各国の管轄当局の役割および任務を行使することができる。
4. 加盟国は、第1項及び第2項にいう管轄当局が、本条を効果的かつ適時に遵守するために十分な資源を配分することを確保しなければならない。適切な場合、各国の管轄当局は、他の関連当局と協力するものとし、AIエコシステム内の他の関係者の関与を認めることができる。本条は、連邦法または国内法に基づき設立された他の規制のサンドボックスに影響を及ぼすものではない。加盟国は、それら他のサンドボックスを監督する当局と国内所轄当局との間で、適切なレベルの協力を確保するものとする。
5. 第1項に基づき設置されるAI規制サンドボックスは、提供者又は提供予定者と所管当局との間で合意された特定のサンドボックス計画に基づき、市場に投入又はサービス開始されるまでの限られた期間、イノベーションを促進し、革新的なAIシステムの開発、訓練、試験及び検証を容易にする管理された環境を提供するものとする。このようなサンドボックスには、そこで監督された実環境でのテストが含まれることもある。
6. 所轄当局は、特に基本的権利、安全衛生、試験、緩和措置、および本規則の義務や要件、および関連する場合にはサンドボックス内で監督される他のEU法および国内法との関連におけるそれらの有効性に対するリスクを特定することを目的として、適宜、AI規制のサンドボックス内で指導、監督および支援を提供するものとする。
7. 所轄当局は、AI規制のサンドボックスに参加するプロバイダーおよびプロバイ
ダー候補に対し、規制上の期待、および本規則に定める要件と義務の履行方法
に関するガイダンスを提供するものとする。
AI システムの提供者又は提供予定者の要請があれば,所管当局は,サンドボックス内で成功裏 に実施された活動の書面による証明を提供しなければならない。主管庁はまた,サンドボックスで実施された活動及び関連する結果並びに学習成果を詳述した終了報告書を提供しなければならない。プロバイダーは、適合性評価プロセスまたは関連する市場サーベイランス活動を通じて本規則に準拠していることを証明するために、当該文書を使用することができる。この点に関し、市場監視当局及び届出機関は、適合性評価手続を合理的な範囲で迅速化する観点から
、終了報告書及び国家主管庁が提供する書面による証明を積極的に考慮しなければならない。
8. 第78条の守秘義務規定に従い、かつ、提供者または提供予定者の同意がある場合、欧州委員会および理事会は、終了報告書にアクセスする権限を有し、本規則に基づく職務を遂行する際に、適宜、これを考慮するものとする。事業者または事業者になろうとする者と国内所轄庁の双方が明確に合意した場合、本条にいう単一の情報プラットフォームを通じて、終了報告書を一般に公開することができる。
9. AIレギュラトリー•サンドボックスの設立は、以下の目的に貢献することを目的とする:
(a) 本規則または関連する場合、適用される他のEU法および国内法への規制遵守を達成するために、法的確実性を向上させること;
(b) AI規制のサンドボックスに関わる当局との協力を通じて、ベストプラクティスの共有を支援する;
(c) イノベーションと競争力を育成し、AIエコシステムの発展を促進する;
(d) エビデンスに基づく規制の学習に貢献する;
(e) 特に新興企業を含む中小企業がAIシステムを提供する場合、連邦市場へのアクセスを促進•加速する。
10. 各国の所轄当局は、革新的なAIシステムが個人データの処理を伴うか、またはデータへのアクセスを提供もしくは支援する他の国家当局もしくは所轄当局の監督権限の下にある限りにおいて、各国のデータ保護当局およびそれらの他の国家当局もしくは所轄当局がAI規制のサンドボックスの運用に関連し、それぞれの任務および権限の範囲内でそれらの側面の監督に関与することを確保しなければならない。
11. AI規制のサンドボックスは、地域•地方レベルを含め、サンドボックスを監督する所轄官庁の監督•是正権限に影響を及ぼしてはならない。そのようなAIシステムの開発および試験中に特定された、健康と安全および基本的権利に対する重大なリスクは、適切な緩和をもたらすものとする。各国所轄官庁は、効果的な緩和が不可能な場合、一時的または恒久的にテストプロセス、またはサンドボックスへの参加を停止する権限を有し、その決定をAI事務局に通知しなければならない
。各国所轄官庁は、連邦におけるAIのイノベーションを支援する目的で、特定の AI規制サンドボックスプロジェクトに関する法的規定を実施する場合、裁量権を行使し、関連法の範囲内で監督権限を行使するものとする。
12. AI規制のサンドボックスに参加するプロバイダーおよびプロバイダー候補は、サンドボックス内で行われた実験の結果、第三者に与えた損害について、適用される連邦法および国内法に基づき、引き続き責任を負うものとする。ただし、参加予定事業者が具体的な計画および参加条件を遵守し、国内所轄当局の指導に誠実に従うことを条件として、本規則の違反に対して当局が行政処分を科すことはない。他の連邦法および国内法を管轄する他の所轄官庁が、サンドボックス内のAIシステムの監督に積極的に関与し、遵守のためのガイダンスを提供した場合、当該法に関して行政罰が課されることはない。
13. AI規制のサンドボックスは、関連する場合、各国の管轄当局間の国境を越えた協力を促進するように設計され、実施されなければならない。
14. 各国主管庁は、理事会の枠内で活動を調整し、協力するものとする。
15. 各国所轄官庁は,サンドボックスの設置についてAI事務局及び理事会に報告し,支援及び指導を求めることができる。AI事務局は,AI規制のサンドボックスにおける交流を促進するため,予定されているサンドボックス及び既存のサンドボックスのリストを一般に公開し,常に最新の状態に保つものとする。
国境を越えた協力
16. 各国所轄官庁は,AI規制のサンドボックス設置の1年後以降,終了するまで毎年, AI事務局及び理事会に対し,年次報告書及び最終報告書を提出しなければならない。これらの報告書は、ベストプラクティス、インシデント、教訓、設置に関する勧告を含む、サンドボックスの実施の進捗状況および結果に関する情報、ならびに、関連する場合には、委任法および実施法を含む本規則の適用および改正の可能性に関する情報、ならびに、サンドボックス内で管轄当局が監督する他の連邦法の適用に関する情報を提供するものとする。各国主管庁は、これらの年次報告書またはその抄録をオンラインで一般に公開しなければならない。欧州委員会は、本規則に基づく任務を遂行する際、必要に応じて年次報告書を考慮するものとする。
17. 欧州委員会は、利害関係者がAI規制のサンドボックスと対話し、管轄当局に問い合わせを行うことができるよう、AI規制のサンドボックスに関連するすべての関連情報を含む単一の専用インターフェースを開発する。
第62条1項(c)に従い、AI技術を組み込んだ革新的な製品、サービス、ビジネスモデルの適合性に関する拘束力のないガイダンスを提供する。欧州委員会は、関連する場合には、各国の主管庁と積極的に調整する。
第58条
AI規制のサンドボックスに関する詳細な取り決めとその機能
1. 欧州連合全体での分断を避けるため、欧州委員会は、AI規制のサンドボックスの設置、開発、実施、運用、監督に関する詳細な取り決めを明記した実施法を採択する。施行法には、以下の問題に関する共通原則を盛り込む:
(a) AI規制のサンドボックスへの参加資格と選考基準;
(b) サンドボックス計画および終了報告書を含む、AI規制サンドボックスの申請、参加、監視、終了および終了の手順;
(c) 参加者に適用される条件。
これらの実施法は、第98条(2)にいう審査手続に従って採択されなければならない
。
2. 第1項で言及された実施法は、以下のことを保証しなければならない:
(a) AI規制のサンドボックスは、透明かつ公正な資格•選考基準を満たすAIシステムの提供者または提供予定者に開放され、各国の所轄官庁は申請後3ヶ月以内に申請者にその決定を通知すること;
(b) AI規制のサンドボックスは、広範かつ平等なアクセスを可能にし、参加需要に対応できるようにする。プロバイダーやプロバイダー候補は、導入企業やその他の関連する第三者と提携して申請書を提出することもできる;
(c) AI規制のサンドボックスに関する詳細な取り決めや条件は、各国の管轄当局がAI規制のサンドボックスを設置•運営するための柔軟性を可能な限り支援するものであること;
(d) AI規制のサンドボックスへのアクセスは、各国の管轄当局が公正かつ適切な方法で回収することができる例外的な費用を害することなく、新興企業を含む中小企業は無料であること;
(e) AI規制のサンドボックスの学習成果により、プロバイダー及びプロバイダー候補が、本規則に基づく適合性評価義務及び第95条に言及される行動規範の自発的な適用を遵守することを促進すること;
(f) AI規制のサンドボックスは、官民との協力を可能にし、促進するために、通知機関や標準化機関、新興企業を含む中小企業、イノベーター、試験•実験施設、研究•実験ラボ、欧州デジタル•イノベーション•ハブ、卓越センター、個人研究者など、AIエコシステム内の他の関連アクターの関与を促進する;
(g) AI規制のサンドボックスへの申請、選定、参加、脱退に関する手続き、プロセス、管理上の要件が、以下を含め、中小企業の参加を促進するために、シンプルでわかりやすく、明確に伝達されること。
加盟国または欧州データ保護監督機関によって設立されたAI規制のサンドボックスへの参加は、相互的かつ統一的に承認され、連合全体で同じ法的効果をもたらす;
(h) AI規制のサンドボックスへの参加は、プロジェクトの複雑さと規模に見合った期間に限定され、各国の管轄当局によって延長される可能性があること;
(i) AI規制サンドボックスは、基本的権利や社会全体に対するリスクを軽減するための措置と同様に、正確性、堅牢性、サイバーセキュリティなど、規制学習に関連するAIシステムの次元をテスト、ベンチマーク、評価、説明するためのツールやインフラの開発を促進する。
3. AI規制のサンドボックスへの参入希望者、特に中小企業や新興企業には、関連する場合、本規則の実施に関するガイダンスなどの導入前サービスや、標準化文書や認証の支援、試験•実験施設、欧州デジタル•イノベーション•ハブ、センター•オブ•エクセレンスなどの付加価値サービスを案内する。
4. 本条に基づき設置されるAI規制のサンドボックスの枠組みの中で監督される実世界の条件下での試験を許可することを各国の管轄当局が検討する場合、基本的権利、健康及び安全を保護する観点から、当該試験の条件及び特に適切な保護措置について参加者と具体的に合意しなければならない。適切な場合には、各国当局間で一貫した慣行を確保する観点から、他の各国当局と協力しなければならない
。
ユニオン
第59条
AI規制サンドボックスにおける公益のための特定のAIシステム開発のための個人データのさらなる処理
1. AI規制のサンドボックスでは、以下の条件がすべて満たされる場合、他の目的で合法的に収集された個人データを、サンドボックス内の特定のAIシステムの開発、訓練、テストの目的に限って処理することができる:
(a) AIシステムは、公的機関またはその他の自然人もしくは法人によって、実質的な公益を守るために開発され、以下の分野の1つ以上でなければならない
:
(i) 疾病の発見、診断、予防、管理、治療、医療システムの改善など、公共の安全と公衆衛生;
(ii) 高レベルの環境保護と質の向上、生物多様性の保護、汚染防止、グリ
ーン•トランジション対策、気候変動の緩和と適応策;
(iii) エネルギーの持続可能性;
(iv) 交通システム、モビリティ、重要インフラ、ネットワークの安全性と回復力;
(v) 行政および公共サービスの効率性と質;
(b) 処理されるデータが、第III章第2節で言及されている1つまたは複数の要件を遵守するために必要であり、匿名化されたデータ、合成データ、またはその他の非個人データを処理することによってこれらの要件を効果的に満たすことができない場合;
(c) 規則第35条で言及されているように、データ主体の権利と自由に対する高いリスクがあるかどうかを特定するための効果的な監視メカニズムが存在すること。
(EU) 2016/679および規則(EU) 2018/1725の第39条において、サンドボックス実験中に発生する可能性のあるリスクと、それらのリスクを速やかに軽減し
、必要に応じて処理を停止するための対応メカニズム;
(d) サンドボックスの文脈で処理される個人データは、将来のプロバイダーの管理下で、機能的に分離され、隔離され、保護されたデータ処理環境にあり、権限を与えられた者のみがこれらのデータにアクセスできる;
(e) サンドボックス内で作成された個人データをサンドボックス外で共有するこ
とはできません;
(f) サンドボックスの文脈における個人データの処理は、データ主体に影響を及ぼす措置や決定にはつながらず、個人データの保護に関するEU法に規定された権利の適用にも影響を及ぼさない;
(g) サンドボックスの文脈で処理された個人データは、適切な技術的および組織的手段によって保護され、サンドボックスへの参加が終了するか、または個人データの保持期間が終了した時点で削除されます;
(h) サンドボックスに関連する個人データの処理に関するログは、連邦法または国内法に別段の定めがない限り、サンドボックスへの参加期間中保存されます;
(i) AIシステムのトレーニング、テスト、バリデーションのプロセスおよび理論的根拠に関する完全かつ詳細な説明が、テスト結果とともに、附属書IVで言及されている技術文書の一部として保管されていること;
(j) サンドボックスで開発されたAIプロジェクト、その目的、期待される結果の簡単な概要が、管轄当局のウェブサイトで公表される。この義務は、法執行
、国境管理、出入国管理、または亡命当局の活動に関連する機微な業務データには適用されない。
2. 法執行当局の管理および責任の下、公共の安全に対する脅威の保護および防止を含む、刑事犯罪の予防、捜査、摘発もしくは訴追、または刑事罰の執行の目的のために、AI規制のサンドボックスにおける個人データの処理は、特定の連邦法または国内法に基づき、第1項で言及されたのと同じ累積的条件に従うものとする
。
3. 第1項は、個人情報の保護に関するEU法に準拠し、当該法に明示的に記載された目的以外の個人情報の処理を除外するEU法または国内法、および革新的なAIシステムの開発、試験、訓練を目的とする個人情報の処理、またはその他の法的根拠を定めるEU法または国内法を妨げるものではない。
第60条
AI規制のサンドボックスの外で、リスクの高いAIシステムを実環境でテストする。
1. AI規制のサンドボックス外の実環境における高リスクAIシステムの試験は、附属書IIIに記載された高リスクAIシステムの提供者又は提供予定者が、本条及び本条にいう実環境試験計画に従って、第5条の禁止事項を損なうことなく、実施することができる。
欧州委員会は、実施法によって、実地試験計画の詳細な要素を規定する。これらの実施細則は、第98条(2)で言及されている審査手続きに従って採択されなければならない。
本項は、附属書Ⅰに記載されたEU調和法の対象となる製品に関連するハイリスクAIシステムの実環境における試験に関するEU法又は国内法を損なうものではない。
2. プロバイダーまたはプロバイダー候補は、附属書IIIで言及されている高リスクの AIシステムについて、自社で、または1つ以上の導入者または導入者候補と共同で、AIシステムの市販前またはサービス開始前に、いつでも実環境での試験を実施することができる。
3. 本条に基づく高リスクのAIシステムの実環境でのテストは、連邦法または国内法で義務付けられている倫理審査を損なうものであってはならない。
4. 医療提供者または医療提供希望者は、以下の条件がすべて満たされる場合に限り、実環境での試験を実施することができる:
(a) 提供者または提供予定者が実地試験計画を作成し、実地試験が実施される加盟国の市場監視当局に提出していること;
(b) 市場監視当局が30日以内に回答を示さなかった場合、実環境での試験と実環境での試験計画は承認されたものとみなされる。国内法が黙認を規定していない場合、実環境での試験は引き続き認可の対象となる;
(c) 法執行,移住,亡命及び国境管理の分野における附属書Ⅲの1,6及び7に掲げる高リスクAIシステム並びに附属書Ⅲの2に掲げる高リスクAIシステムの提供者又は提供予定者を除く提供者又は提供予定者が,第71条(4)に従って
,実世界条件下での試験を,同盟国全体の一意の単一識別番号及び附属書
Ⅸに規定する情報を付して登録していること;法執行、移民、亡命および国境管理の分野において、付属文書IIIの1、6および7に言及される高リスク AIシステムの提供者または提供予定者は、EUデータベース第49条4項の(d)に従い、実環境における試験を、EU全域に一意の単一識別番号を付して、そこに明記された情報を用いて、EUデータベースの安全な非公開セクションに登録している;
(d) 現実の条件下で試験を実施する提供者または提供予定者が、当組合に設立されているか、または当組合に設立されている法定代理人を選任している;
(e) 実環境でのテストを目的として収集•処理されたデータは、EU法に基づく適切かつ適用可能な保護措置が実施される場合に限り、第三国へ移転されるものとします;
(f) ただし、提供者または提供予定者が、そのような延長の必要性の説明を添えて市場監視当局に事前に通知することを条件とする;
(g) 年齢や障がいのために社会的弱者に属する実環境での試験対象者が適切に保護されること;
(h) 提供者又は提供予定者が、一人又は複数の配備者又は配備予定者と協力して実世界条件下での試験を組織する場合、配備者又は配備予定者は、参加の決定に関連する試験のすべての側面について知らされており、かつ、第 13条にいうAIシステムの使用に関する関連する指示を与えられていること
、提供者又は提供予定者と配備者又は配備予定者は、本規則及びその他の適用されるEU法及び国内法に基づく実世界条件下での試験に関する規定の遵守を確保する観点から、それぞれの役割及び責任を明記した合意を締結すること;
(i) 実環境における試験の対象者が第61条に従ってインフォームド•コンセントを行った場合、または、法の執行の場合、インフォームド•コンセントを求めることがAIシステムの試験を妨げることになる場合には、実環境における試験自体および試験の結果が対象者に悪影響を及ぼさないものとし
、試験実施後、対象者の個人情報は削除されるものとする;
(j) 実世界の条件下での試験は、提供者または提供予定者、ならびに配備者または配備予定者により、関連分野において適切な資格を有し、その任務を遂行するために必要な能力、訓練および権限を有する者を通じて、効果的に監督される;
(k) AIシステムの予測、推奨、決定は、事実上覆され、無視される可能性がある。
5. 実環境における試験の被験者、または必要に応じて法的に指定されたその代理人は、結果的に不利益を被ることなく、また正当な理由を提示することなく、インフォームド•コンセントを撤回することにより、いつでも試験から離脱することができ、その個人データの即時かつ恒久的な削除を要求することができる。インフォームド•コンセントの撤回が、すでに実施された活動に影響を及ぼすことはないものとする。
6. 第75条に従い、加盟国は市場監視当局に対し、プロバイダーおよびプロバイダー候補に対し情報提供を要求する権限、抜き打ちの遠隔検査または立入検査を実施する権限、および実環境における試験の実施および関連する高リスクのAIシステムに関する検査を実施する権限を付与するものとする。市場監視当局は、これらの権限を用いて、実環境における試験の安全な実施を確保しなければならない。
7. 実環境における試験の過程で確認された重大な事象は、第73条に従って、各国の市場監視当局に報告されるものとする。提供者又は提供予定者は,直ちに緩和措置を採用するか,又はそれが実施されない場合には,その緩和措置が実施されるまで実環境における試験を一時停止するか,さもなければ試験を終了しなければならない。提供者又は提供予定者は、実環境における試験の当該終了時に、AIシステムを速やかに回収するための手続を確立しなければならない。
8. 提供者または提供予定者は、実環境での試験が実施される加盟国の国内市場監視当局に対し、実環境での試験の中断または終了、および最終結果を通知しなければならない。
9. 提供者または提供予定者は、実環境における試験の過程で生じた損害について
、適用される連邦法および国内法に基づき責任を負うものとする。
第61条
AI規制のサンドボックス外の実環境でのテストに参加するためのインフォームド・コンセント
1. 第60条に基づく実環境下での試験のために、試験への参加に先立って、また、被験者に簡潔、明瞭、適切、かつ理解しやすい情報を適切に提供した上で、被験者から自由意思に基づくインフォームド•コンセントを得なければならない:
(a) 実世界の条件における試験の性質と目的、および参加に関連する可能性のある不都合;
(b) 実環境における試験が実施される条件(被験者または被験者の参加予定期間を含む);
(c) 特に、不利益を被ることなく、また正当な理由を提示することなく、いつでも実環境での試験への参加を拒否し、また参加を取りやめる権利である;
(d) AIシステムの予測、勧告、決定の取り消しまたは無視を要求するための取り決め;
(e) 第60条(4)項(c)に従った、実世界条件下での試験に関するユニオン•ワイドの一意の単一識別番号、および追加情報を入手できる提供者またはその法定代理人の連絡先詳細。
2. インフォームド•コンセントは日付入りで文書化し、その写しを検査対象者ま たはその法定代理人に渡さなければならない。
第62条
プロバイダーと配備業者、特に新興企業を含む中小企業に対する措置
1. 加盟国は以下の行動をとるものとする:
(a) この優先的アクセスは,本項で言及されている以外の,新興企業を含む中小企業が,資格条件及び選択基準を満たす限りにおいて,AI規制のサンドボックスへの優先的アクセスを妨げるものであってはならない;
(b) 新興企業、配備業者、および必要に応じて地方公共団体を含む中小企業のニーズに合わせて、本規則の適用に関する具体的な啓発•研修活動を実施する;
(c) AI規制サンドボックスへの参加を含め、本規則の実施に関する助言を提供し、問い合わせに対応するため、スタートアップ企業、導入企業、その他のイノベーター、および必要に応じて地方公共団体を含む中小企業とのコミュニケーションのために、既存の専用チャネルを活用し、必要に応じて新たなチャネルを構築する;
(d) 標準化開発プロセスへの中小企業およびその他の関連利害関係者の参加を促進する。
2. 第43条に基づく適合性評価の手数料を設定する際には、新興企業を含む中小企業事業者の特定の利益及びニーズを考慮し、その手数料をその規模、市場規模及びその他の関連指標に比例して減額しなければならない。
3. AI室は以下の活動を行う:
(a) 理事会の要請に応じて、本規則の対象分野に関する標準化されたテンプレートを提供する;
(b) EU全域の全事業者に対し、本規則に関連した使いやすい情報を提供する単一の情報プラットフォームを開発し、維持すること;
(c) 本規則から生じる義務について認識を高めるために、適切なコミュニケーション•キャンペーンを実施する;
(d) AIシステムに関する公共調達手続きのベストプラクティスを評価し、その収束を促進する。
第63条 特定事業者に対する適用除外
1. 勧告2003/361/ECの意味における零細企業は、同勧告の意味におけるパートナー企業またはリンク企業を持たないことを条件に、本規則第17条が要求する品質マネジメントシステムの特定の要素を簡易な方法で順守することができる。そのために、欧州委員会は、保護レベルや高リスクAIシステムに関する要求事項の遵守の必要性に影響を与えることなく、零細企業のニーズを考慮した簡易な方法で遵守することができる品質マネジメントシステムの要素に関するガイドラインを作成しなければならない。
2. 本条第1項は、第9条、第10条、第11条、第12条、第13条、第14条、第15条、第72条および第73条に定める義務を含め、本規則に定めるその他の要件または義務の履行を免除するものと解釈してはならない。
第VII章 ガバナンス
第1節組合レベルのガバナンス
第64条 AI
オフィス
1. 欧州委員会は、AI事務局を通じて、AI分野における欧州連合の専門知識と能力を開発する。
2. 加盟国は、本規則に反映されているように、AI事務局に委託された業務を促進するものとする。
第65条
欧州人工知能理事会の設立と体制
1. 欧州人工知能理事会(以下「理事会」という。
2. 理事会は、各加盟国の代表1名で構成される。欧州データ保護監督官はオブザーバーとして参加する。AI事務局もまた、理事会に出席するものとする。
理事会の会合には、投票には参加しない。理事会は、他の国やEUの当局、機関、専門家を、議論される問題がそれらと関連性がある場合、ケースバイケースで会合に招待することができる。
3. 各代表は加盟国によって指名され、その任期は3年で、1度限り更新可能である
。
4. 加盟国は、理事会の自国代表を確保するものとする:
(a) 加盟国に関連する権限と権力を有し、それに貢献する。第66条の取締役会の任務達成に積極的に貢献する;
(b) は、理事会に対する単一の窓口として、また、加盟国のニーズを考慮して適切な場合には、利害関係者に対する単一の窓口として指定される;
(c) は、理事会における任務遂行のための関連データおよび情報の収集を含め
、本規則の実施に関して、加盟国の国家主管庁間の一貫性および調整を促進する権限を有する。
5. 指名された加盟国の代表は、3分の2以上の賛成により理事会の手続規則を採択する。手続規則には、特に、選出手続の手順、議長の任期と任務の仕様、投票
に関する詳細な取り決め、理事会の組織について定めるものとする。取締役会の活動およびそのサブグループの活動。
6. 理事会は、2つの常設サブグループを設置し、それぞれ市場サーベイランスおよびノーティファイド•ボディに関連する問題について、市場サーベイランス当局およびノーティファイド当局間の協力•交流の場を提供する。
市場サーベイランスの常設サブグループは、規則(EU)2019/1020の第30条の意味において、本規則の行政協力グループ(ADCO)として機能すべきである。
理事会は、特定の問題を検討する目的で、適宜、その他の常設または臨時のサブグル ープを設置することができる。適切な場合には、第67条で言及されている諮問フォーラムの代表を、このようなサブグループまたはサブグループの特定の会合にオブザーバーとして招待することができる。
7. 理事会は、その活動の客観性と公平性を守るように組織され、運営されるものとする。
8. 理事会の議長は、加盟国の代表の一人が務めるものとする。AI事務局は、理事会の事務局を提供し、議長の要請に応じて理事会を招集し、本規則および手続規則に基づく理事会の任務に従って議題を作成する。
第66条 取締役会の任務
理事会は、本規則の一貫した効果的な適用を促進するため、欧州委員会および加盟国に助言し、これを支援する。そのために、理事会は特に以下のことを行うことができる:
(a) 本規則の適用に責任を有する各国主管庁間の調整に寄与し、また、関係市場監視当局と協力し、かつ、その合意を前提として、第74条(11)にいう市場監視当局の共同活動を支援すること;
(b) 技術および規制に関する専門知識とベストプラクティスを収集し、加盟国間で共有する;
(c) 特に汎用AIモデルに関する規則の施行に関して、本規則の実施に関する助言を提供する;
(d) 第46条で言及されている適合性評価手続きからの適用除外、AI規制のサンドボックスの機能、第57条、第59条、第60条で言及されている実環境での試験など、加盟国における行政慣行の調和に貢献する;
(e) 欧州委員会の要請に応じて、または自らの主導で、本規則の実施およびその一貫した効果的な適用に関連するあらゆる事項について、勧告および意見書を発行する:
(i) 行動規範と実践規範の策定と適用について
同規則および欧州委員会のガイドラインに従う;
(ii) 第73条にいう重大インシデント報告書、第71条にいうEUデータベースの機能、委任法または実施法の準備、および附属書Iに列挙されたEU調和法との本規則の整合性の可能性を含む、第112条に基づく本規則の評価および見直し;
(iii) 第III章第2節に規定された要求事項に関する技術仕様または既存の規格について;
(iv) 第40条および第41条で言及されている整合規格または共通仕様の使用について;
(v) 例えば、AIにおける欧州の国際競争力、欧州連合におけるAIの普及、デジタルスキルの開発などである;
(vi) AIバリューチェーンの類型化に関するトレンド、特に説明責任に関する結果的な意味合いについて;
(vii) 第7条に従った附属書IIIの改正の潜在的な必要性、および第112条に従った第 5条の改正の潜在的な必要性について、関連する入手可能な証拠と最新の技術動向を考慮する;
(f) 委員会が、AIリテラシー、国民の意識、AIシステムの利用に関する利点、リスク、保護措置、権利と義務についての理解を促進することを支援する;
(g) ベンチマークの開発に貢献することを含め、本規則に規定される関連概念について、市場運営者および管轄当局の間で共通の基準の開発および理解の共有を促進すること;
(h) 特に製品安全、サイバーセキュリティ、競争、デジタルおよびメディアサービス
、金融サービス、消費者保護、データおよび基本的権利の保護の分野において、他のEUの機関、団体、事務所および機関、ならびに関連するEUの専門家グループおよびネットワークと適宜協力する;
(i) 第三国の管轄当局や国際機関との効果的な協力に貢献する;
(j) 加盟国が同規則の実施に携わる職員の研修ニーズの評価に貢献することを含め、同規則の実施に必要な組織的および技術的専門知識の開発において、各国所轄官庁および欧州委員会を支援する;
(k) AI事務局は、AI規制サンドボックスの設置•開発において各国の所轄当局を支援し、協力と開発を促進する。
AI規制のサンドボックス間での情報共有;
(l) ガイダンス文書の作成に貢献し、適切なアドバイスを提供する;
(m) AIに関する国際的な問題に関して欧州委員会に助言する;
(n) 汎用のAIモデルに関する適格な警告について、欧州委員会に意見を提供する;
(o) 汎用のAIモデルに関する適格な警告、およびAIシステム、特に汎用のAIモデルを統合したシステムの監視と実施に関する各国の経験や慣行について、加盟国から意見を聴取する。
第67条 アドバイザリー•フォーラム
1. 技術的な専門知識を提供し、理事会および委員会に助言を与え、本規則に基づく両者の業務に貢献するため、諮問フォーラムを設置するものとする。
2. アドバイザリー•フォーラムのメンバーは、産業界、新興企業、中小企業
、市民社会、学界を含む利害関係者からバランスよく選出されるものとする。アドバイザリー•フォーラムのメンバーは、営利と非営利に関してバランスの取れたものとする。
非商業的利益と、商業的利益の範疇では、中小企業やその他の事業に関して。
3. 欧州委員会は、第2項に定める基準に従い、AI分野の専門知識を有する関係者の中から、諮問フォーラムの委員を任命する。
4. アドバイザリー•フォーラムの委員の任期は2年とし、最長4年まで延長することができる。
5. 基本権庁、ENISA、欧州標準化委員会(CEN)、欧州電気標準化委員会( CENELEC)、欧州電気通信標準化機構(ETSI)が諮問フォーラムの常任メンバーとなる。
6. アドバイザリー•フォーラムはその手続き規則を作成する。第2項に定める基準に従い、メンバーの中から2名の共同議長を選出する。共同議長の任期は2年とし、1回更新できるものとする。
7. アドバイザリー•フォーラムは、少なくとも年2回会合を開くものとする。アドバイザリー•フォーラムは、専門家やその他の利害関係者を会合に招くことができる。
8. 諮問委員会は、理事会または委員会の要請に応じて、意見、勧告、文書による寄稿を作成することができる。
9. アドバイザリー•フォーラムは、本規則の目的に関連する特定の問題を検討する目的で、適宜、常設または臨時のサブグループを設置することができる。
10. アドバイザリー•フォーラムは、その活動に関する年次報告書を作成しなけ
ればならない。その報告書は一般に公開されるものとする。
第68条
独立専門家による科学委員会
1. 欧州委員会は、実施法によって、以下の事項を規定しなければならない。
本規則に基づく施行活動を支援するための、独立した専門家からなる科学的パネル(「科学的パネル」)の設置。当該実施法は、第98条(2)で言及される審査手続きに従って採択されるものとする。
2. 科学的パネルは、第3項に定める作業に必要なAIの分野における最新の科学的または技術的専門知識に基づいて欧州委員会が選出した専門家で構成され、以下の条件をすべて満たしていることを証明できるものとする:
(a) AI分野における特別な専門知識と能力、科学的または技術的な専門知識を有すること;
(b) AIシステムや汎用AIモデルのプロバイダーからの独立性;
(c) 真面目に、正確に、客観的に活動を遂行する能力。
委員会は、理事会と協議の上、必要なニーズに従ってパネルの専門家の数を決定し、性別および地理的な代表を公平に確保するものとする。
3. 科学委員会は、特に以下の業務に関してAI事務局に助言し、支援する:
(a) 特に、汎用AIモデルおよびシステムに関して、本規則の実施および執行を支援する:
(i) 第90条に従い、汎用AIモデルの連邦レベルでのシステミックリスクの可能性をAI事務局に警告すること;
(ii) ベンチマークを含め、汎用AIモデルやシステムの能力を評価するためのツールや方法論の開発に貢献する;
(iii) システミック•リスクを伴う汎用AIモデルの分類に関する助言の提供;
(iv) 様々な汎用AIモデルやシステムの分類に関するアドバイスを提供する;
(v) ツールやテンプレートの開発に貢献;
(b) 市場監視当局の要請に応じて、その業務を支援する;
(c) 市場監視当局の権限を損なうことなく、第74条11項にいう国境を越えた市場監視活動を支援すること;
(d) 第81条に基づくユニオンセーフガード手続において、AI事務局がその職務を遂行するのを支援すること。
4. 科学的パネルの専門家は、公平性及び客観性をもってその任務を遂行し、その任務及び活動を遂行する際に得た情報及びデータの秘密を確保しなければならない。専門家は、第3項に基づく職務を遂行する際、誰からも指示を求めたり
、受けたりしてはならない。各専門家は、利益申告書を作成し、これを公表しなければならない。AI事務所は、潜在的な利益相反を積極的に管理し、防止するための制度及び手続を確立しなければならない。
5. 第1項にいう実施法には,科学的パネル及びその構成員が警告を発し,科学的パネルの任務遂行のためにAI事務局に援助を要請するための条件,手続及び詳細な取決めに関する規定を含まなければならない。
第69条
加盟国による専門家プールへのアクセス
1. 加盟国は、本規則に基づく執行活動を支援するため、科学委員会の専門家を要請することができる。
2. 加盟国は、専門家が提供する助言及び支援に対する手数料を支払うことを要求される場合がある。手数料の構成および水準ならびに回収可能な費用の規模および構成は、この規則の適切な実施の目的を考慮して、第68条1項で言及される実施法に定めるものとする、
費用対効果と、全加盟国の専門家への効果的なアクセスを確保する必要性
。
3. 欧州委員会は、必要に応じて加盟国が専門家に適時にアクセスできるようにし、第84条に基づく試験支援と本条に基づく専門家による支援活動の組み合わせが効率的に組織され、最善の付加価値を提供できるようにする。
第2節
各国所轄官庁
第70条
各国の所轄官庁と窓口の指定
1. 各加盟国は、本規則の目的のために、少なくとも1つの届出当局および少なくとも1つの市場監視当局を、国内管轄当局として設置または指定しなければならない。これらの国内管轄当局は、その活動および業務の客観性を保護し、本規則の適用および実施を確保するため、独立、公平かつ偏見なくその権限を行使しなければならない。これらの当局の構成員は、その職務と両立しないいかなる行動も慎まなければならない。これらの原則が遵守されることを条件として
,そのような活動及び任務は,加盟国の組織上の必要性に 応じて,一又は二以上の指定当局が行うことができる。
2. 加盟国は、欧州委員会に対し、通知当局および市場監視当局の身元、これらの当局の任務、およびその後の変更を通知するものとする。加盟国は、[本規則の発効日から12ヶ月]までに、管轄当局および単一の連絡窓口への連絡方法に関する情報を、電子的通信手段を通じて公開しなければならない。加盟国は、本規則の単一窓口となる市場監視当局を指定し、欧州委員会にその身元を通知しなければならない。欧州委員会は、単一窓口のリストを公開するものとする。
3. 加盟国は、自国の所轄当局が、本規則に基づきその任務を効果的に遂行するために、適切な技術的、財政的、人的資源、およびインフラストラクチャーを提供されることを確保するものとする。特に、各国所轄官庁は、AI技術、データおよびデータコンピューティング、個人データ保護、サイバーセキュリティ、基本的権利、安全衛生リスク、および既存の基準および法的要件についての深い理解を含む能力および専門知識を有する、十分な人数の職員を常時確保しなければならない。加盟国は、本項で言及される能力およびリソースの要件を毎年評価し、必要に応じて更新するものとする。
4. 各国の管轄当局は、適切なレベルのサイバーセキュリティを確保するために適切な措置を講じなければならない。
5. 国内官庁は,その職務を遂行する際,第78条に定める秘密保持義務に従って行動しなければならない。
6. 加盟国は、...[この規則の発効日から1年後]までに、また、その後2年ごとに1回、欧州委員会に対し、各国の管轄当局の財政的および人的資源の状況について、その妥当性の評価とともに報告しなければならない。欧州委員会は、その情報を理事会に提出し、討議および勧告の可能性を検討するものとする。
7. 欧州委員会は、各国の管轄当局間の経験交流を促進する。
8. 各国所轄官庁は、理事会及び欧州委員会の指導及び助言を適宜考慮しつつ、特に新興企業を含む中小企業に対して、本規則の実施に関する指導及び助言を提供することができる。他の同盟法が適用される分野におけるAI制度に関して、各国所轄官庁が指導および助言を提供しようとする場合には、適宜、当該同盟法に基づく各国所轄官庁に相談するものとする。
9. 欧州連合の機関、団体、事務所または機関がこの規則の適用範囲に含まれる場合、欧州データ保護監督機関がその監督権限を有する当局として行動するものとします。
第8章
高リスクAIシステムのEUデータベース
第71条
付属書IIIに記載された高リスクAIシステムのEUデータベース
1. 欧州委員会は、加盟国と協力して、第49条および第60条に従って登録された第
6条第2項にいう高リスクのAIシステム、および第6条第3項に従って高リスクとはみなされず、第6条第4項および第49条に従って登録されたAIシステムに関する本条第2項および第3項にいう情報を含むEUデータベースを構築し、維持する。このようなデータベースの機能仕様を設定する際、欧州委員会は以下のことを行う。
また、当該データベースの機能仕様を更新する際には、委員会は理事会に諮問す
るものとする。
2. 附属書VIIIのセクションAおよびBに記載されたデータは、提供者または該当する場合は認定代理人がEUデータベースに入力しなければならない。
3. 附属書VIIIのセクションCに記載されたデータは、第49条3項および4項に従い
、公的機関、代理店または団体である、あるいはその代理を務める派遣者が
EUデータベースに入力する。
4. 第49条4項および第60条4項(c)を除き、第49条に従って登録されたEUデータベースに含まれる情報は、ユーザーフレンドリーな方法でアクセスでき、一般に利用可能でなければならない。その情報は、容易に閲覧でき、機械で読み取り可能でなければならない。第60条に従って登録された情報には、市場監視当局および欧州委員会のみがアクセスできるものとする。ただし、情報提供希望者または提供者が、一般市民もアクセスできるようにすることに同意した場合はこの限りではない。
5. EUのデータベースには、本規則に従った情報の収集および処理に必要な限りにおいてのみ、個人情報が含まれるものとする。その情報には、システムの登録に責任を持ち、該当する場合には提供者または配備者を代表する法的権限を有する自然人の氏名および連絡先が含まれるものとする。
6. 欧州委員会は、EUデータベースの管理者となる。欧州委員会は、EUデータベースの提供者、提供予定者、導入者に対して、適切な技術的•管理的支援を提供しなければならない。EUデータベースは、適用されるアクセシビリテ
ィ要件に準拠しなければならない。
第IX章
市販後モニタリング、情報共有、市場サーベイランス
第1節
市販後モニタリング
第72条
プロバイダーによる市販後モニタリングとリスクの高いAIシステムの市販後モニタリング計画
1. プロバイダーは、AI技術の性質と高リスクAIシステムのリスクに見合った方法で、市販後モニタリングシステムを確立し、文書化すること。
2. 市販後モニタリングシステムは,配備者から提供され得る,又は他の情報源を通じて収集され得る,高リスクAIシステムの性能に関する関連データを,その耐用期間を通じて,積極的かつ体系的に収集,文書化及び分析しなければならず,これにより,提供者は,AIシステムが第III章第2節に定める要件に継続的に適合して
いることを評価することができる。関連する場合
市販後モニタリングは、他のAIシステムとの相互作用の分析を含むものとする。この義務は、法執行機関である配備者の機密業務データには適用されな
い。
3. 市販後モニタリングシステムは、市販後モニタリング計画に基づくものとする
。市販後モニタリング計画は、附属書IVで言及される技術文書の一部とする。欧州委員会は、市販後モニタリング計画の雛形および以下のリストを定める詳細な規定を定めた実施法を採択しなければならない。
本規則の発効から18箇月後]までに、計画に盛り込むべき要素を定める。当該実施法は、第98条(2)で言及される審査手続に従って採択されるものとする。
4. 附属書ⅠのセクションAに列挙されたEU整合化法令の対象となる高リスクのAIシステムについては、整合性を確保し、重複を回避し、追加的な負担を最小限にするために、その法令に基づき市販後モニタリングシステム及び計画が既に確立されている場合、提供者は、同等の保護レベルを達成することを条件として
、適宜、第3項で言及されたテンプレートを用いて、第1項、第2項及び第3項に記載された必要な要素を、その法令に基づき既に確立されているシステム及び計画に統合する選択肢を有するものとする。
本項第1号は,内部ガバナンス,取決め又はプロセスに関して同盟金融サービス法に基づく要求事項の対象となる金融機関が市場に投入又は供用する附属書IIIの5項にいう高リスクAIシステムにも適用される。
第2節
重大インシデントに関する情報の共有
第73条 重大事件
の報告
1. EU市場に投入された高リスクAIシステムのプロバイダーは、重大な事故が発生した場合、その事故が発生した加盟国の市場監視当局に報告しなければならない。
2. 第1項の報告は、提供者がAIシステムと重大な事故との間の因果関係又はそのような因果関係の合理的な可能性を立証した後直ちに、また、いかなる場合においても、提供者又は場合によっては配置者が重大な事故を認識した後15日以内に行わなければならない。
第1号の報告期間は、重大事態の重大性を考慮しなければならない。
3. 本条第2項にかかわらず、広範な侵害または第3条第(49)項(b)に定義される重大なインシデントが発生した場合、本条第1項に規定される報告は、プロバイダまたは場合によっては配備者が当該インシデントを認識してから直ちに、遅くとも2日以内に提供されるものとする。
4. 第2項にかかわらず、人が死亡した場合には、提供者または配備者が、ハイリスクAIシステムと重大な事故との因果関係を立証した後、またはその疑いが生じた後直ちに、ただし、提供者または配備者が重大な事故を知った日から10日以内に、報告を行うものとする。
5. 適時報告を確実にするために必要な場合、提供者または場合によっては派遣者は、不完全な最初の報告書を提出し、その後完全な報告書を提出することができる。
6. 第1項に基づく重大インシデントの報告後、提供者は、遅滞なく、当該重大インシデント及び当該AIシステムに関連して必要な調査を行わなければならない。これには、インシデントのリスク評価及び是正措置が含まれるものとする。
プロバイダは,第1号に規定される調査の間,所轄当局及び関連する場合,当該通知された機関に協力しなければならず,また,所轄当局にその旨を通知する前に
,事 故の原因に関するその後の評価に影響を及ぼす可能性のある方法で,当該AIシス テムの改変を伴ういかなる調査も行ってはならない。
7. 第3条の重大インシデントに関連する通知を受領した場合、
(49)(c)の場合、当該市場監視当局は、第77条(1)に言及する国家公的機関または団体に通知しなければならない。欧州委員会は、本条第1項に定める義務の遵守を促進するための専用ガイダンスを作成する。そのガイダンスは、... [本規則の発効から12ヵ月後]までに発行され、定期的に評価されるものとする。
8. 市場監視当局は、本条第1項の通知を受領した日から7日以内に、規則(EU)
2019/1020の第19条に規定される適切な措置を講じなければならず、同規則に規定される通知手続きに従わなければならない。
9. 附属書IIIに言及される高リスクのAIシステムであって、本規則に規定されるものと同等の報告義務を規定するEUの法律文書の適用を受けるプロバイダによって市場に投入され又はサービスに供されるものについては、重大インシデントの通知は、第3条の(49)(c)に言及されるものに限定されるものとする。
10. 規則(EU)2017/745および規則(EU)2017/746の対象となる、機器の安全コンポーネントである、または機器そのものである高リスクAIシステムについては
、重大インシデントの通知は、本規則第3条(49)(c)で言及されるものに限定されるものとし、インシデントが発生した加盟国がその目的のために選択した国家管轄当局に対して行われるものとする。
11. 各国の管轄当局は、規則(EU)2019/1020の第20条に従い、重大な事故が発生した場合、それに対する措置の有無にかかわらず、直ちに欧州委員会に通知しなければならない。
第3節施行
第74条
連邦市場におけるAIシステムの市場監視と管理
1. 規則(EU)2019/1020は、本規則の対象となるAIシステムに適用される。本規則の効果的な施行のために
(a) 規則(EU)2019/1020に基づく経済事業者への言及は、本規則第2条1項で特定されるすべての事業者を含むものと理解されるものとする;
(b) 規則(EU)2019/1020に基づく製品への言及は、本規則の適用範囲に含まれるすべてのAIシステムを含むものとして理解されるものとする。
2. 規則(EU)2019/1020の第34条(4)に基づく報告義務の一環として、市場監視当局は、市場監視活動の過程で確認された、競争規則に関するEU法の適用に潜在的な関心を持ちうる情報を、欧州委員会および関連する各国競争当局に毎年報告しなければならない。また、毎年、その年に発生した禁止された慣行の使用および講じられた措置についても、欧州委員会に報告しなければならない。
3. 附属書ⅠのセクションAに列挙されたEU調和法の対象となる製品に関連する高リスクのAIシステムについては、本規則における市場監視当局は、これらの法律に基づいて指定された市場監視活動に責任を有する当局とする。
第1項の適用除外で、かつ適切な状況において、
加盟国は、附属書Iに記載されている連邦調和法の施行に責任を負う関連セクターの市場監視当局との連携を確保することを条件に、市場監視当局として活動する別の関連当局を指定することができる。
4. この規則の第79条から第83条で言及されている手続は,附属書ⅠのセクションAに列挙されている連合ハーモナイゼーション法の対象となる製品に関連するAIシステムには適用されない。この場合、関連する分野別手続が代わりに適用されるものとする。
5. 規則(EU)2019/1020の第14条に基づく市場監視当局の権限を損なうことなく、本規則の効果的な執行を確保する目的で、市場監視当局は、同規則の第14条(4
)、(d)および(j)に言及される権限を、適宜、遠隔的に行使することができる。
6. 欧州連合の金融サービス法によって規制される金融機関によって上市、使用開始又は使用される高リスクのAIシステムについては、当該AIシステムの上市、使用開始又は使用が当該金融サービスの提供に直接関連している限りにおいて、本規則における市場監視当局は、当該法令に基づき当該金融機関の金融監督に責任を負う関連国家当局とする。
7. 第6項の適用除外により、適切な状況において、かつ、協調が確保されることを条件に、加盟国は、他の関連当局を本規則の目的のための市場監視当局として特定することができる。
指令2013/36/EUに基づき規制されている信用機関を監督する各国市場監視当局のうち、規則(EU)No.1024/2013により設立された単一監督メカニズムに参加しているものは、その市場監視活動の過程で確認された情報のうち、同規則に規定されている欧州中央銀行のプルデンシャル監督業務に潜在的な関心があると思われる情報を、遅滞なく欧州中央銀行に報告しなければならない。
8. 本規則の附属書IIIのポイント1に列挙された高リスクのAIシステムについては、当該システムが法執行、国境管理、司法および民主主義のために使用される限りにおいて、また、本規則の附属書IIIのポイント6、7および8に列挙された高リスクのAIシステムについては、加盟国は、規則(EU)2016/679または指令(EU) 2016/680に基づく管轄データ保護監督当局、または指令(EU)2016/680の第41条から第44条に規定された同一の条件に従って指定されたその他の当局のいずれかを、本規則の目的のための市場監視当局として指定するものとする。市場監視活動は、司法当局の独立性に影響を与えるものであってはならず、また、司法上の資格において行動する際の活動を妨げるものであってはならない。
9. 欧州連合の機関、団体、事務所または機関がこの規則の適用範囲に含まれる場合
、欧州データ保護監督機関は、その司法的資格において行動する欧州連合司法裁判所との関係を除き、その市場監視当局として行動するものとします。
10. 加盟国は、本規則に基づき指定された市場監視当局と、附属書Iに列挙されたEU調和法または他のEU法の適用を監督する他の関連する国内当局または機関であって、附属書IIIに言及された高リスクAIシステムに関連する可能性のあるものとの間の調整を促進するものとする。
11. 市場監視当局と欧州委員会は、規則(EU)2019/1020の第9条に基づき、2つ以上の加盟国にまたがって深刻なリスクをもたらすと判明した高リスクのAIシステムの特定のカテゴリーに関して、本規則に関連して、遵守の促進、違反の特定、認識の向上、ガイダンスの提供を目的とする、市場監視当局または市場監視当局が欧州委員会と共同で実施する共同調査を含む共同活動を提案できるものとする。 AI事務局は、共同調査のための調整支援を提供する。
12. 規則(EU)2019/1020に規定される権限を損なうことなく、かつ、関連性があり
、その任務を遂行するために必要なものに限定される場合、市場監視当局は、適切な場合、かつ、セキュリティ保護措置の対象となる場合、アプリケーション•プログラミング•インターフェース(API)またはその他の関連する技術的手段およびリモートアクセスを可能にするツールを通じて、高リスクAIシステムの開発に使用される文書ならびに訓練、検証およびテストデータセットへのプロバイダーによる完全なアクセスを認められるものとする。
13. 市場監視当局は、合理的な要求があり、かつ以下の条件の両方が満たされる場合に限り、ハイリスクAIシステムのソースコードへのアクセスを許可されるものとする:
(a) ソースコードへのアクセスは、第III章第2節に定める要件への高リスクAIシステムの適合性を評価するために必要である、
(b) 試験または監査手続き、およびプロバイダーから提供されたデータおよび文書に基づく検証は尽くされたか、または不十分であることが証明された
。
14. 市場監視当局が入手した情報または文書は、第78条に定める守秘義務に従って取り扱われるものとする。
第75条
相互支援、市場監視、汎用AIシステムの制御
1. AIシステムが汎用AIモデルに基づいており、当該モデルと当該システムが同一の提供者によって開発されている場合、AI事務局は、当該AIシステムが本規則に基づく義務を遵守していることを監視及び監督する権限を有する。監視•監督業務を遂行するため、AI室は、本条項および規則(EU)2019/1020に規定される市場監視当局のすべての権限を有するものとする。
2. 関係市場監視当局が、本規則に従って高リスクに分類される少なくとも1つの目的のために導入者が直接使用できる汎用AIシステムを、本規則に定める要件に準拠していないとみなす十分な理由がある場合、AI事務局と協力して準拠性評価を実施し、理事会及び他の市場監視当局に適宜通知するものとする。
3. 市場監視当局が,汎用AIモデルに関連する特定の情報にアクセスするためにあらゆる適切な努力を払ったにもかかわらず,その情報にアクセスできないために,高リスクAIシステムに関する調査を終了できない場合,その当局は,AI事務局に理由ある要求を提出することができ,それによって,その情報へのアクセスが強制される。この場合,AI事務局は,高リスクのAIシステムが非準拠であるかどうかを立証するために関連するとAI事務局がみなす情報を,遅滞なく
,いかなる場合にも30日以内に,申請官庁に提供しなければならない。市場監視当局は、本規則第78条に従って入手した情報の秘密を保護しなければならない。規則(EU)2019/1020の第6章に規定される手続きを準用する。
第76条
市場監視当局による実環境での試験監督
1. 市場監視当局は、実環境における試験が本規則に従っていることを確認する権限と権限を有する。
2. 第58条に基づくAI規制のサンドボックス内で監督されるAIシステムに対して実環境でのテストが実施される場合、市場監視当局は、AI規制のサンドボックスに対する監督的役割の一環として、第60条への準拠を検証しなければならない。これらの当局は、適切な場合には、第60条4項の(f)及び(g)に定める条件から逸脱して
、提供者又は提供予定者により実環境における試験が実施されることを認めることができる。
3. 市場監視当局が、提供予定者、提供者または第三者から重大な事故の報告を受けた場合、または第60条および第61条に定める条件が満たされていないと考えるその他の根拠を有する場合、市場監視当局は、その領域内において、適宜、以下のいずれかの決定を行うことができる:
(a) を使用して、実環境でのテストを中断または終了する;
(b) 提供者または提供予定者、および配備者または配備予定者に対し、実環境における試験のいかなる側面も修正するよう要求すること。
4. 市場監視当局が本条第3項にいう決定を行った場合、又は第60条第4項第(b)号にいう異議申立を行った場合、その決定又は異議申立には、その理由及び提供者又は提供予定者が決定又は異議申立に異議を申し立てる方法を示さなければならない。
5. 該当する場合,市場監視当局は,第3項の決定を行った場合,その理由を,試験計画に従ってAIシステムが試験された他の加盟国の市場監視当局に伝達しなければならない。
第77条
基本的権利を保護する当局の権限
1. 附属書IIIで言及される高リスクAIシステムの使用に関連して、非差別の権利を含む基本的権利を保護するEU法に基づく義務の尊重を監督または執行する国の公的機関または団体は、管轄の範囲内でその任務を効果的に果たすために文書へのアクセスが必要な場合、本規則に基づいて作成または維持される文書にアクセスしやすい言語および形式でアクセスすることを要求し、アクセスする権限を有するものとする。関連する公的機関または団体は、市場監視当局に対し、以下の事項を通知しなければならない。
そのような要請があった場合、当該加盟国に通知する。
2. 各加盟国は、...[この規則の発効から3ヶ月後]までに、第1項で言及された公的機関または団体を特定し、そのリストを一般に公開する。加盟国は、そのリストを欧州委員会および他の加盟国に通知し、常に最新の状態に保つものとする。
3. 第1項で言及された文書が,基本的権利を保護する同盟法に基づく義務の侵害が生じたかどうかを確認するには不十分である場合,第1項で言及された公的機関又は団体は,市場監視当局に対し,技術的手段によるハイリスクAIシステムの試験を組織するよう,理由を付して要請することができる。市場監視当局は、要請後合理的な期間内に、要請した公的機関または団体の緊密な関与の下に試験を実施しなければならない。
4. 本条に基づき本条第1項にいう国の公的機関又は機関が入手した情報又は文書は、第78条に定める秘密保持義務に従って取り扱われる。
第78条 守秘義務
1. 欧州委員会、市場監視当局、通告を受けた機関、およびこの規則の適用に関与するその他の自然人または法人は、欧州連合法または国内法に従い、その任務と活動を遂行する上で得た情報およびデータの機密性を尊重し、特に以下の事項を保護しなければならない:
(a) 欧州議会指令(EU)2016/943の第5条に言及されている場合を除き、ソースコードを含む自然人または法人の知的財産権、機密業務情報または企業秘
密。
評議会57 ;
(b) 本規則の効果的な実施、特に検査、調査、監査の目的;
(c) 公共と国家安全保障の利益
(d) 刑事訴訟または行政訴訟の遂行;
57 2016年6月8日付欧州議会及び理事会指令(EU) 2016/943 未公表のノウハウ及び営業情報(営業秘密)の違法な取得、使用及び開示に対する保護に関する指令(OJ L 157, 15.6.2016, p. 1)。
(e) 連邦法または国内法に従って分類された情報。
2. 第1項に従って本規則の適用に関与する当局は、本規則および規則(EU)
2019/1020に従って、AIシステムがもたらすリスクの評価および権限の行使のために厳密に必要なデータのみを要求するものとする。これらの者は、取得した情報およびデータの安全性および機密性を保護するために、適切かつ効果的なサイバーセキュリティ対策を講じなければならず、また、適用されるEU法または国内法に従い、取得した目的が不要になった時点で、収集したデータを削除しなければならない。
3. 附属書IIIの1項、6項または7項に言及されている高リスクのAIシステムが法執行機関、国境管理機関、出入国管理機関または亡命当局によって使用される場合、およびそのような情報開示が公共および国家安全保障上の利益を危うくする場合、1項および2項を損なうことなく、各国所轄当局間または各国所轄当局と欧州委員会との間で秘密裏に交換される情報は、発信元の各国所轄当局および配備者の事前協議なしに開示されないものとする。この情報交換は、法執行、国境管理、出入国管理又は庇護当局の活動に関する機微な業務データを対象としない。
法執行当局,出入国管理当局又は亡命当局が附属書IIIの1,6又は7に言及する高リスクAIシステムの提供者である場合,附属書IVに言及する技術文書は,これらの当局の施設内に留置しなければならない。これらの当局は,該当する場合,第 74条(8)及び(9)に言及する市場監視当局が要求に応じて直ちに文書にアクセスし
,又はその写しを入手できることを確保しなければならない。適切なレベルのセキュリティ•クリアランスを有する市場監視当局の職員のみが、当該文書またはそのコピーにアクセスすることを許されるものとする。
4. 第1項、第2項および第3項は、国境を越えた協力関係を含む情報交換および警告の伝達に関して、欧州委員会、加盟国およびその関係当局、ならびに通告を受けた機関の権利または義務に影響を及ぼすものではなく、また、加盟国の刑法に基づく関係者の情報提供義務に影響を及ぼすものでもない。
5. 欧州委員会および加盟国は、必要な場合には、国際協定および貿易協定の関連規定に従って、適切なレベルの機密保持を保証する二国間または多国間の機密保持協定を締結している第三国の規制当局と機密情報を交換することができる。
第79条
リスクをもたらすAIシステムに対処するための国家レベルでの手順
1. リスクを提示するAIシステムは、人の健康もしくは安全、または基本的権利に対するリスクを提示する限りにおいて、規則(EU)2019/1020の第3条19項に定義される「リスクを提示する製品」として理解されるものとする。
2. 加盟国の市場監視当局が、AIシステムが本条第1項にいうリスクをもたらすとみなす十分な理由を有する場合、当該AIシステムについて、本規則に規定されるすべての要件及び義務の遵守に関する評価を実施しなければならない。特に、社会的弱者にリスクをもたらすAIシステムに注意を払うものとする。基本的権利に対するリスクが特定された場合、市場監視当局は、第77条(1)で言及された関連する国家公的機関または団体にも通知し、全面的に協力するものとする。関連事業者は、市場監視当局および第77条(1)に言及する他の国家公的機関または団体と必要に応じて協力しなければならない。
その評価の過程において,市場監視当局又は場合により第77条(1)にいう国家公的機関と協力する市場監視当局が,AIシステムがこの規則に定める要件及び義務を遵守していないと認める場合,市場監視当局は,当該事業者に対し,当該AIシステムを遵守させるためにすべての適切な是正措置をとること,当該AIシステムを市場から撤去すること,又は市場監視当局が定める期間内にAIシステムを回収することを,過度の遅滞なく,かつ,いかなる場合にも,15営業日のいずれか短い期間内,又は関連するEU整合化法令に定める期間内に要求しなければならない。
市場監視当局は、関連する届出機関に適宜通知するものとする。規則(EU)
2019/1020の第18条は、本項第2号に言及する措置に適用される。
3. 市場監視当局が、コンプライアンス違反が自国の領域内に限定されないと考える場合、同当局は、評価の結果および事業者に求めた措置について、欧州委員会および他の加盟国に過度の遅滞なく通知しなければならない。
4. 事業者は、連邦市場において利用可能としたすべてのAIシステムに関して、適切な是正措置が講じられることを保証しなければならない。
5. AIシステムの事業者が第2項に規定する期間内に適切な是正措置を講じない場合、市場監視当局は、当該AIシステムが自国の市場において入手可能となること、または使用可能となることを禁止または制限し、当該製品または単体のAIシステムを当該市場から撤去し、または回収するためのあらゆる適切な暫定措置を講じなければならない。当該当局は、これらの措置について、過度の遅滞なく欧州委員会および他の加盟国に通知しなければならない。
6. 第 5 項に規定する通報には,入手可能なすべての詳細,特に,非準拠の AI システムの特定に必要な情報,AI システム及びサプライチェーンの出所,申し立てられた非準拠の性質及び関係するリスク,講じられた国内措置の性質及び期間並びに関連する事業者により提出された論拠を含まなければならない。特に、市場監視当局は、不遵守の原因が以下の1つ以上であるかどうかを示さなければならない
:
(a) 第5条で言及されているAI行為の禁止に従わないこと;
(b) ハイリスクAIシステムが、第III章第2節に定める要件を満たしていな
い場合;
(c) 第40条および第41条で言及されている整合規格または共通仕様の欠点は
、適合の推定を与える;
(d) 第50条の不遵守
7. 手続を開始した加盟国の市場監視当局以外の市場監視当局は、不当に遅延することなく、採択した措置及び当該AIシステムの不遵守に関連する追加情報を欧州委員会及び他の加盟国に通知し、通知された国内措置に不服がある場合には、異議申立を行うものとする。
8. 本条第5項の通知を受領してから3ヶ月以内に、加盟国の市場監視当局または欧州委員会のいずれからも、他の加盟国の市場監視当局が講じた暫定措置に関して異議が出されなかった場合、当該措置は正当なものとみなされる。これは、規則( EU)2019/1020の第18条に基づく当該事業者の手続き上の権利を損なうものではない。本項にいう3カ月の期間は、本規則第5条にいうAI慣行の禁止が遵守されない場合には、30日に短縮されるものとする。
9. 市場監視当局は,当該製品又はAIシステムについて,当該製品又はAIシステムの市場からの撤去等,適切な制限的措置が不当に遅延することなく講じられることを確保しなければならない。
第80条
附属書IIIの適用において、プロバイダーが非高リスクと分類したAIシステムへの対応手順
1. 市場監視当局が、第6条第3項に従って提供者が非高リスクと分類したAIシステムが実際に高リスクであると考える十分な理由がある場合、市場監視当局は、第 6条第3項に定める条件及び欧州委員会のガイドラインに基づき、高リスクのAIシステムとしての分類に関して当該AIシステムの評価を実施しなければならない。
2. その評価の過程において、市場監視当局が当該AIシステムが高リスクであると判断した場合、市場監視当局は、当該AIシステムを本規則に定める要件及び義務に適合させるために必要な全ての措置を講じるとともに、市場監視当局が定める期間内に適切な是正措置を講じるよう、当該プロバイダに対し、過度の遅滞なく要求するものとする。
3. 市場監視当局が、当該AIシステムの使用が自国の領域内に限定されないと考える場合、同当局は、評価の結果および同当局が提供者に求めた措置について、過度の遅滞なく欧州委員会および他の加盟国に通知しなければならない。
4. 提供者は,AIシステムを本規則に規定する要件及び義務に適合させるために必要なすべての措置をとることを確保しなければならない。当該AIシステムの提供者が,本条第2項に規定する期間内に当該AIシステムを当該要件及び義務に適合させない場合,当該提供者は,第99条に従って罰金の対象となる。
5. プロバイダーは、連邦市場で入手できるようにしたすべての当該AIシステムに関して、すべての適切な是正措置が取られるようにしなければならない。
6. 当該AIシステムの提供者が本条第2項にいう期間内に適切な是正措置を講じない場合には、第79条第5項から第9項が適用される。
7. 本条第1項に基づく評価の過程において、市場監視当局が、AIシステムが、第III章第2節の要件の適用を回避するために、提供者によって非高リスクとして誤分類されたことを立証した場合、当該提供者は、第99条に従って制裁金の対象となる。
8. 本条が適用されていることを監視する権限を行使する際、および規則(EU)
2019/1020の第11条に従い、市場監視当局は、特に本規則第71条で言及されているEUデータベースに保存されている情報を考慮して、適切なチェックを行うことができる。
第81条
組合保護手続き
1. 第79条(5)に言及する通告を受領してから3ヶ月以内、または第5条に言及するAI慣行の禁止に違反している場合は30日以内に、加盟国の市場監視当局が他の市場監視当局の講じた措置に対して異議を申し立てた場合、または欧州委員会がその措置が同盟法に反すると見なした場合、欧州委員会は、過度の遅滞なく、当該加盟国の市場監視当局および事業者と協議を行い、国内措置を評価する。その評価結果に基づき、欧州委員会は、第79条(5)にいう通知から6ヶ月以内(第5条にいうAI慣行の禁止が遵守されていない場合は60日以内)に、当該国内措置が正 当であるかどうかを決定し、その決定を当該加盟国の市場監視当局に通知しなければならない。欧州委員会はまた、その決定を他のすべての市場監視当局に通知しなければならない。
2. 欧州委員会が、当該加盟国のとった措置が正当であるとみなす場合、すべての加盟国は、当該AIシステムに関して、不当な遅滞なく自国の市場からの撤退を求めるなど、適切な制限措置をとることを保証し、その旨を欧州委員会に通知しなければならない。欧州委員会が国内措置を不当であると判断した場合、当該加盟国はその措置を撤回し、欧州委員会にその旨を通知しなければならない。
3. 国内措置が正当化され、AIシステムの不適合が本規則第40条および第41条に言及される整合規格または共通仕様の欠点に起因すると考えられる場合、欧州委員会は規則(EU)No 1025/2012の第11条に規定される手続を適用する。
第82条
リスクとなる適合AIシステム
1. 加盟国の市場監視当局は、第77条(1)にいう関連する国家公的機関に諮問した後、第79条に基づく評価を行った結果、高リスクのAIシステムが本規則に適合しているにもかかわらず、人の健康若しくは安全、基本的権利又はその他の公益保護の側面に対するリスクを提示していると認める場合、当該事業者に対し、当該AIシステムが上市され又は使用開始されたときに、不当に遅延することなく、当該リスクをもはや提示していないことを確保するためのあらゆる適切な措置を、当該事業者が定める期間内に講じるよう求めるものとする。
2. プロバイダ又はその他の関連事業者は,第1項に言及する加盟国の市場監視当局が定める期限内に,当該事業者が連邦市場において利用可能としたすべての AIシステムに関して是正措置が講じられることを確保しなければならない。
3. 加盟国は、欧州委員会および他の加盟国に直ちに報告しなければならない。
加盟国は,第1項の認定を受ける。その情報には,入手可能なすべての詳細,特に
,当該AIシステムの特定に必要なデータ,AIシステムの原産地及びサプライチェーン,関係するリスクの性質並びに講じられた国内措置の性質及び期間を含むものとする。
4. 欧州委員会は、遅滞なく、関係加盟国および関連する事業者と協議を行い、採られた国内措置を評価する。その評価結果に基づき、欧州委員会は、その措置が正当であるかどうかを決定し、必要であれば、他の適切な措置を提案する。
5. 欧州委員会は、その決定を直ちに関係加盟国および関連する事業者に通知する。また、他の加盟国にも通知しなければならない。
第83条 正式な不遵守
1. 加盟国の市場監視当局が以下のいずれかの所見を示した場合、同当局は、当該プロバイダーに対し、同当局が定める期間内に、当該コンプライアンス違反を解消するよう求めるものとする:
(a) CEマーキングが第48条に違反して貼付されている;
(b) CEマーキングが貼付されていない;
(c) 第47条で言及されているEU適合宣言が作成されていない;
(d) 第47条で言及されているEU適合宣言が正しく作成されていない;
(e) 第71条で言及されているEUデータベースへの登録が実施されていない場合;
(f) 該当する場合、委任された代理人は任命されていない;
(g) 技術文書は入手できない。
2. 第1項で言及された不順守が継続する場合、当該加盟国の市場監視当局は、高リスクAIシステムが市場で販売されることを制限もしくは禁止するか、または遅滞なく市場から回収もしくは撤回されることを確保するために、適切かつ相応の措置を講じなければならない。
第84条
ユニオンのAIテスト支援体制
1. 欧州委員会は、AI分野において規則(EU)2019/1020第21条第6項に記載された任務を遂行するため、1つ以上の連合AI試験支援機構を指定する。
2. 第1項の業務を損なうことなく、EUのAI試験支援機関は、理事会、欧州委員会、または市場監視当局の要請に応じて、独立した技術的または科学的な助言も提供しなければならない。
第4節救済措置
第85条
市場監視当局に苦情を申し立てる権利
他の行政上または司法上の救済手段を損なうことなく、本規則の規定の侵害があったと考える根拠を有する自然人または法人は、関連する市場監視当局に苦情を提出することができる。
規則(EU)2019/1020に従い、このような苦情は市場監視活動を行う目的で考慮され、市場監視当局が定める専用手続きに沿って処理されるものとする。
第86条
個別の意思決定に関する説明を受ける権利
1. 附属書IIIに記載された高リスクAIシステムからの出力に基づき配備者によって下された決定の対象となる影響を受ける者(附属書IIIのポイント2に記載されたシステムを除く)であって、その者の健康、安全又は基本的権利に悪影響を及ぼすと考えられる法的効果を生じさせるか、又は同様にその者に重大な影響を及ぼす者は、配備者から、意思決定手続におけるAIシステムの役割及び下された決定の主な要素に関する明確かつ意味のある説明を受ける権利を有する。
2. 第1項は、同項に基づく義務の例外または制限が、連合法または連合法に準拠する国内法から導かれるAIシステムの使用には適用されない。
3. 本条は、第1項で言及される権利が連邦法に別段の定めがない場合にのみ適用される。
第87条
違反の報告および報告者の保護
指令(EU) 2019/1937は、本規則違反の報告および当該違反の報告者の保護に適用される。
第5節
汎用AIモデルのプロバイダーに関する監督、調査、執行、監視
第88条
汎用AIモデル提供者の義務の履行
1. 欧州委員会は、第94条に基づく手続保障を考慮しつつ、第5章を監督し執行する独占的権限を有する。欧州委員会は、条約に基づく欧州委員会の組織権限および加盟国と欧州連合の間の権限分担を損なうことなく、これらの業務の実施をAI事務局に委ねるものとする。
2. 第75条第3項を損なうことなく、市場監視当局は、本規則に基づく任務の遂行を支援するために必要かつ適切な場合には、欧州委員会に対し、本項に定める権限の行使を要請することができる。
第89条 監視行動
1. AI事務局は,本条に基づき割り当てられた業務を遂行するため,承認された実施基準の遵守を含め,汎用AIモデルの提供者による本規則の効果的な実施及び遵守を監視するために必要な措置をとることができる。
2. 川下供給者は、本規則の侵害を主張する苦情を申し立てる権利を有する。苦情は、正当な理由があり、少なくとも以下の事項を示すものとする:
(a) 当該汎用AIモデルの提供者の窓口;
(b) 関連する事実、本規則の当該条項、および川下プロバイダが当該プロバイダが本規則に違反すると考える理由の説明。
当該汎用AIモデルは同規則に抵触する;
(c) リクエストを送信したダウンストリーム•プロバイダーが関連性がある と考えるその他の情報(適切な場合、自らの意思で収集した情報を含む)
。
第90条
科学的委員会によるシステミック•リスクの警告
1. 科学的委員会は、AI事務局に対し、以下のような疑いを抱く理由がある場合、適格な警告を行うことができる:
(a) 汎用のAIモデルは、ユニオンレベルで具体的に特定可能なリスクをもたらす
、
(b) 汎用AIモデルは、第51条の条件を満たす。
2. このような適格な通報があった場合、委員会は、AI事務局を通じて、また、理事会に通知した後、当該事項を評価する目的で本条に定める権限を行使することができる。AI事務局は、第91条から第94条に基づく措置を理事会に通知するものとする。
3. 適格な警告は、正当な理由があり、少なくともそれを示すものでなければならない
:
(a) 汎用AIモデルの提供者がシステミック•リスクに関係する窓口となる;
(b) 関連する事実と科学委員会による警告の理由の説明;
(c) 科学的委員会が関連性があると考えるその他の情報(適切な場合、科学的委員会が独自に収集した情報を含む)。
第91条
文書および情報を要求する権限
1. 欧州委員会は、当該汎用AIモデルの提供者に対し、第53条に従って提供者が作成した文書を提出するよう求めることができる。
および55、またはプロバイダが本規則を遵守していることを評価するために必要な追加情報。
2. 情報提供要請を送る前に、AI事務局は汎用AIモデルの提供者と構造的な対話を開始することができる。
3. 科学的委員会から正当な根拠のある要請があった場合、欧州委員会は、第68条第2項に基づく科学的委員会の任務の遂行に必要かつ適切な場合には、汎用AIモデルの提供者に対して情報提供要請を行うことができる。
4. 情報提供の要請には、法的根拠および要請の目的を明記し、どのような情報が必要かを明示し、情報提供の期限を定め、不正確、不完全または誤解を招くような情報を提供した場合の第101条に定める制裁金を明記しなければならない。
5. 当該汎用AIモデルの提供者又はその代理人は,要求された情報を提供しなければならない。法人,会社若しくは事務所の場合,又は提供者が法人格を有しない場合には,法律又は法令により代表する権限を付与された者が,当該汎用AIモデルの提供者に代わって要求された情報を提供するものとする。正式に権限を付与された弁護士は、依頼者に代わって情報を提供することができる。それにもかかわらず、提供された情報が不完全、不正確又は誤解を招くものであった場合、依頼人は全責任を負うものとする。
第92条 評価実施権
1. AI事務局は、理事会に諮った上で、当該汎用AIモデルの評価を実施することができる:
(a) 第91条に従って収集された情報が不十分である場合に、プロバイダが本規則に基づく義務を遵守しているかどうかを評価するため、
(b) 特に、第90条1項(a)に従った科学的委員会からの適格な警告に基づき、システミック•リスクを有する汎用AIモデルの連邦レベルでのシステミック•リスクを調査すること。
2. 欧州委員会は、第68条に従って設置された科学的パネルからの評価を含め、欧州委員会に代わって評価を実施する独立専門家を任命することを決定することがで
きる。この任務のために任命された独立専門家は、第68条(2)に概説された基準を
満たさなければならない。
3. 第1項の目的のために、欧州委員会は、以下の情報へのアクセスを要求することができる。
ソースコードを含むAPIやその他の適切な技術的手段やツールを通じて、当該汎用
AIモデルを提供する。
4. 閲覧請求には、法的根拠、請求の目的及び理由を記載し、閲覧を提供すべき期間及び閲覧を提供しなかった場合の第101条に定める過料を定める。
5. 当該汎用AIモデルの提供者又はその代理人は,要求された情報を提供しなければならない。法人、会社又は企業の場合、又は提供者が法人格を有しない場合には
、法律又はその定款によって代表する権限を与えられた者が、当該汎用AIモデルの提供者に代わって要求されたアクセスを提供するものとする。
当該汎用AIモデル。
6. 欧州委員会は、独立した専門家を関与させるための詳細な取り決め、およびその選定のための手続きを含む、評価のための詳細な取り決めおよび条件を定めた実施法を採択しなければならない。これらの実施法は、第98条(2)で言及された審査手続きに従って採択されなければならない。
7. 当該汎用AIモデルへのアクセスを要求する前に、AI室は、汎用AIモデルの提供者との構造的な対話を開始し、当該モデルの内部テスト、システミック•リスクを防止するための内部セーフガード、及び当該提供者が当該リスクを軽減するために講じたその他の内部手続及び措置に関する詳細な情報を収集すること
ができる。
第93条 措置要求権
1. 必要かつ適切な場合、委員会はプロバイダーに対し、以下を要請することができる
:
(a) 第53条および第54条に定める義務を遵守するための適切な措置を講じること;
(b) 第92条に従って実施された評価により、EUレベルでのシステミック•リスクが深刻かつ実質的に懸念される場合、緩和措置を実施する;
(c) 市販を制限し、そのモデルを撤回または回収する。
2. 措置が要求される前に、AI事務局は汎用AIモデルの提供者と構造的な対話を開始することができる。
3. 第 2 項の構造化された対話の間に、本契約の提供者が、本契約の提供者が、本契約の提供者が、本契約の提供者が
システミック•リスクを有する汎用AIモデルが、欧州連合(EU)レベルでシステミック•リスクに対処するための緩和策を実施することを約束した場合、欧州委員会は、決定により、その約束を拘束力のあるものとし、それ以上の措置の根拠がないことを宣言することができる。
第94条
汎用AIモデルの経済事業者の手続き上の権利
規則(EU)2019/1020の第18条は、本規則に規定されるより具体的な手続き上の権利を害することなく、汎用AIモデルの提供者に準用される。
第X章
行動規範とガイドライン
第95条
特定の要件を自主的に適用するための行動規範
1. AI事務局及び加盟国は,利用可能な技術的解決策及び当該要件の適用を可能にする業界のベストプラクティスを考慮した上で,ハイリスクAIシステム以外の AIシステムに,第III章第2節に定める要件の一部又は全部を自主的に適用することを促進することを意図した,関連するガバナンス機構を含む行動規範の作成を奨励及び促進する。
2. AI事務局及び加盟国は、明確な目的及びその達成度を測定する主要業績評価指標に基づき、配備者を含め、すべてのAIシステムに特定の要件を自主的に適用することに関する行動規範の策定を促進しなければならない:
(a) 信頼できるAIのためのユニオン倫理ガイドラインに規定されている該当要素
;
(b) エネルギー効率に優れたプログラミングや、AIの効率的な設計、訓練、使用のための技術など、AIシステムが環境の持続可能性に与える影響を評価し、最小限に抑える;
(c) AIリテラシー、特にAIの開発、運用、利用に携わる人々のAIリテラシーを向上させる;
(d) インクルーシブで多様な開発チームの設立や、そのプロセスへのステークホルダーの参加促進を含め、インクルーシブで多様なAIシステムの設計を促進する;
(e) 障害者のアクセシビリティや男女平等を含め、AIシステムが社会的弱者や社会的弱者のグループに与える悪影響を評価し、防止する。
3. 行動規範は、AIシステムの個々の提供者もしくは導入者、またはそれらを代表する組織、あるいはその両方によって、市民社会組織や学術機関を含む利害関係者やその代表組織の関与も含めて作成される。行動規範は、関連するシステムの意図する目的の類似性を考慮して、1つまたは複数のAIシステムを対象とすることができる。
4. AI事務局及び加盟国は、行動規範の作成を奨励•促進する際、新興企業を含む中小企業特有の利益とニーズを考慮しなければならない。
第96条
本規則の実施に関する欧州委員会のガイドライン
1. 欧州委員会は、本規則の実質的な実施に関するガイドラインを作成する
:
(a) 第8条から第15条および第25条で言及されている要件と義務の適用;
(b) 第5条の禁止行為
(c) 実質的な変更に関する規定の実質的な実施;
(d) 第50条で規定された透明性義務を実際に実施すること;
(e) 附属書Iに列挙されているEU調和法およびその他の関連するEU法との、施行における整合性を含む、本規則の関係に関する詳細情報;
(f) 第3条(1)に定めるAIシステムの定義の適用。
このようなガイドラインを発行する際、欧州委員会は、新興企業を含む中小企業
、地方公共団体、および本規則の影響を最も受けやすい部門のニーズに特に注意を払うものとする。
本項第1号にいう指針は,AIに関する一般に認められた技術水準,並びに第40条及び第41条にいう関連する整合規格及び共通仕様,又は連邦整合化法に従って定められた整合規格若しくは技術仕様を十分に考慮しなければならない。
2. 加盟国もしくはAI事務局の要請があった場合、または欧州委員会自身の発意により、欧州委員会は、必要と判断される場合には、以前に採択されたガイドラインを更新する。
第十一章
権限の委譲と委員会の手続き
第97条 委任の行
使
1. 委任行為を採択する権限は、本条に定める条件に従い、欧州委員会に付与される。
2. 第6条第6項および第7項、第7条第1項および第3項、第11条第3項、第43条第5項および第6項、第47条第5項、第51条第3項、第52条第4項ならびに第53条第5項および第6項にいう委任行為を採択する権限は、•••[この規則の発効日]から 5年間、欧州委員会に与えられる。欧州委員会は
5年間の期間が終了する9カ月前までに、権限委譲に関する報告書を提出する。欧州議会または理事会が各期間終了の3カ月前までに延長に反対しない限り、権限委譲は黙示的に同じ期間延長される。
3. 第6条(6)および(7)、第7条(1)および(3)の権限委譲、
第11条第3項、第43条第5項および第6項、第47条第5項、第51条第3項、第52条第 4項、第53条第5項および第6項は、欧州議会または理事会によりいつでも撤回することができる。失効の決定は、その決定で指定された権限の委譲に終止符を
打つものとする。取消決定は、欧州連合官報に掲載された日の翌日またはその
翌日以降に指定された日に発効する。この決定は、すでに発効している委任法の効力には影響しない。
4. 委任法の採択に先立ち、欧州委員会は、2016年4月13日の「より良い法作りに関する機関間協定」に定められた原則に従い、各加盟国が指定する専門家に相談するものとする。
5. 欧州委員会は、委任法を採択し次第、欧州議会および理事会に同時に通知する
。
6. 第6条(6)または(7)、第7条(1)または(3)、第11条(3)に従って採択された委任行為、第43条(5)もしくは(6)、第47条(5)、第51条(3)、第52条(4)または第
53条(5)もしくは(6)は、その法律が欧州議会および理事会に通知されてから
3ヶ月以内に欧州議会または理事会のいずれからも異議が表明されなかった場合
、またはその期間が満了する前に欧州議会および理事会の双方が異議を唱えない旨を欧州委員会に通知した場合にのみ発効する。この期間は、欧州議会または理事会の発意により3ヶ月延長される。
評議会
第98条 委員会の手続き
1. 委員会は委員会の支援を受けるものとする。この委員会は、規則(EU)No
182/2011の意味における委員会とする。
2. 本項に言及する場合、規則(EU)No 182/2011第5条が適用される。
第十二章 罰則
第99条 罰則
1. 本規則に定める条件に従い、加盟国は、事業者による本規則違反に適用される罰則およびその他の強制措置(警告および非金銭的措置も含む)に関する規則を定め、それらが適切かつ効果的に実施されることを確保するために必要なあらゆる措置を講じるものとする。規定される罰則は、効果的、比例的、かつ説得力のあるものでなければならない。また、新興企業を含む中小企業の利益とその経済的存続可能性を考慮しなければならない。
2. 加盟国は、遅滞なく、遅くとも適用開始日までに、罰則に関する規則および第
1項で言及されたその他の執行措置について欧州委員会に通知するものとし、その後の改正についても遅滞なく同委員会に通知するものとする。
3. 第5条のAI行為の禁止に違反した場合、35,000,000ユーロ以下の行政罰、または違反者が事業者である場合は、前会計年度の全世界の年間総売上高の7%以下のいずれか高い方の罰金が科される。
4. 第5条に規定されている以外の、事業者または届出団体に関する以下の規定のいずれかに違反した場合、15,000,000ユーロ以下の行政罰、または違反者が事業者である場合は、前会計年度の全世界の年間総売上高の3%以下の行政罰のいずれか高い方の罰金を科す:
(a) 第16条に基づくプロバイダーの義務
(b) 第22条に基づく委任代理人の義務;
(c) 第23条に基づく輸入者の義務
(d) 第24条に基づく販売業者の義務;
(e) 第26条に基づく派遣者の義務;
(f) 第31条、第33条(1)、(3)、(4)または第34条に基づく届出機関の要件および義務;
(g) 第50条に基づくプロバイダーと配備業者の透明性義務。
5. 要請に対する回答として、不正確、不完全、または誤解を招くような情報を通告機関または国家主管庁に提供した場合、最高750万ユーロ、または違反者が事業者である場合は、前会計年度の全世界における年間総売上高の1%(いずれか高い方)の行政制裁金が科される。
6. 新興企業を含む中小企業の場合、本条に定める各罰金は、第3項、第4項および第
5項に定める割合または金額のいずれか低い額を上限とする。
7. 行政処分を科すかどうかを決定する際、および個々の事案における行政処分の金額を決定する際には、具体的な状況に関連するすべての状況を考慮しなければならず、必要に応じて、以下の点に留意しなければならない:
(a) 侵害の性質、重大性、期間、およびその結果、AIシステムの目的、ならびに適切な場合には、影響を受けた者の数およびその者が被った損害の程度を考慮すること;
(b) 他の市場監視当局が、同じ違反に対して同じ事業者に既に行政制裁金を適用しているかどうか;
(c) 本規則の関連違反を構成する同一の行為または不作為に起因する場合、他の連合法または国内法の違反に対して、他の当局が同一の事業者に対して既に行政制裁金を適用しているかどうか;
(d) 侵害を行った事業者の規模、年間売上高、市場シェア;
(e) 侵害により直接的または間接的に得られた金銭的利益や回避された損失など、事案の状況に応じて適用されるその他の加重要因または軽減要因;
(f) 侵害を是正し、侵害がもたらす可能性のある悪影響を軽減するための、国内管轄当局との協力の程度;
(g) 事業者が実施した技術的および組織的措置を考慮した事業者の責任の程度;
(h) 侵害が国内管轄当局に知られるようになった方法、特に事業者が侵害を通告したかどうか、通告した場合はその程度;
(i) 侵害の故意または過失;
(j) 影響を受けた人が被った損害を軽減するために事業者がとった措置
。
8. 各加盟国は、当該加盟国に設置された公的機関および団体に対し、どの程度の行政制裁金を課すことができるかについて規則を定める。
9. 加盟国の法制度によっては、行政罰に関する規則は、加盟国で適用されるように
、管轄の国内裁判所またはその他の機関が罰金を科す形で適用される場合がある
。これらの加盟国における当該規則の適用は、同等の効果を有するものとする。
10. 本条に基づく権限の行使は、実効的な司法救済および適正手続を含め、連合法および国内法に従った適切な手続的保護措置に従うものとする。
11. 加盟国は、年1回、欧州委員会に対し、本条に従い、その年に科した行政罰、および関連する訴訟または司法手続きについて報告しなければならない。
第100条
連邦の機関、団体、事務所、機関に対する行政罰金
1. 欧州データ保護監督機関は、本規則の適用範囲に含まれる欧州連合の機関、団体
、事務所および機関に対し、行政制裁金を課すことができます。行政制裁金を課すか否かを決定する際、および個々のケースにおける行政制裁金の額を決定する際には、具体的な状況に関連するすべての状況を考慮するものとし、以下の事項を十分に考慮するものとします:
(a) 侵害の性質、重大性及び期間並びにその結果、当該AIシステムの目的、並びに適切な場合には、影響を受けた者の数及びその者が被った損害の程度を考慮すること;
(b) 組合の機関、団体、事務所または機関が実施する技術的および組織的措置を考慮に入れた、組合の機関、団体、事務所または機関の責任の程度;
(c) 影響を受けた人が被った損害を軽減するために、組合の機関、団体、事務所、または機関が取った措置;
(d) 侵害を是正し、侵害がもたらす可能性のある悪影響を軽減するための、欧州データ保護監督機関に対する協力の程度(同じ主題に関して欧州データ保護監督機関が関係するEUの機関、団体、事務所または機関に対して過去に命じた措置の遵守を含む);
(e) 当組合の機関、団体、事務所、または機関が過去に行った同様の違反;
(f) 侵害が欧州データ保護監督機関に知られるようになった方法、特に欧州連合の機関、団体、事務所または機関が侵害を通知したかどうか、また通知した場合はその程度;
(g) 組合の機関、団体、事務所または機関の年間予算。
2. 第5条のAI行為の禁止に違反した場合、1,500,000ユーロ以下の罰金が科される
。
3. AIシステムが、第5条に定める以外の本規則に基づく要求事項または義務を遵守しなかった場合、最高750,000ユーロの行政制裁金の対象となる。
4. 本条に基づく決定を行う前に、欧州データ保護監督者は、欧州データ保護監督者が行う手続の対象である連合の機関、団体、事務所または機関に、侵害の可能性に関する問題について意見を聴取する機会を与えなければならない。欧州データ保護監督者は、関係者が意見を述べることができた要素および状況のみに基づいて決定を下すものとします。不服申立人がいる場合は、手続きに密接に関連するものとします。
5. 関係当事者の防御権は、訴訟手続において完全に尊重されるものとする。当事者は、個人データまたは企業秘密の保護における個人または企業の正当な利益に従い、欧州データ保護監督者のファイルにアクセスする権利を有するものとする。
6. 本条に定める罰金の賦課により徴収された資金は、本組合の一般予算に寄与するものとする。罰金は、罰金を科された組合の機関、団体、事務所または機関の効果的な運営に影響を及ぼしてはならない。
7. 欧州データ保護監督機関は、年1回、欧州委員会に対し、本条に基づき課した行政罰および開始した訴訟または司法手続きについて通知しなければならない。
第101条
汎用AIモデルのプロバイダーに罰金
1. 欧州委員会は、汎用AIモデルの提供者に故意または過失があると判断した場合
、前会計年度における全世界の年間総売上高の3%または15,000,000ユーロのいずれか高い方を上限とする制裁金を科すことができる:
(a) 本規則の関連規定に違反した;
(b) 第91条に基づく文書または情報の要求に応じなかった場合、または不正確、不完全もしくは誤解を招く情報を提供した場合;
(c) 第93条に基づき要求された措置に応じなかった;
(d) 欧州委員会が、第92条に基づく評価を実施する目的で、汎用AIモデルまたはシステミックリスクを含む汎用AIモデルへのアクセスを提供することを怠った。
罰金または定期的な違約金の支払額を決定する際には、比例性および妥当性の原則を十分に考慮し、違反の性質、重大性、および期間を考慮しなければならない
。また、欧州委員会は、第93条3項に従ってなされた約束、または第56条に従って関連する実施規範でなされた約束も考慮するものとする。
2. 第1項に基づく決定を採択する前に、欧州委員会はその予備的所見を汎用AIモデルの提供者に伝え、意見を聴取する機会を与えなければならない。
3. 本条に基づき課される罰金は、効果的、比例的、かつ思いとどまらせるものでなければならない。
4. 本条に基づき科された罰金に関する情報は、適宜、理事会にも通知されるものとする。
5. 欧州連合司法裁判所は、本条に基づき罰金を定める欧州委員会の決定を審査する無制限の管轄権を有する。同裁判所は、科された制裁金を取り消し、減額または増額することができる。
6. 欧州委員会は、本条第1項に基づく決定の採択の可能性を考慮して、手続に関する詳細な取決め及び手続上の保護措置を含む実施細則を採択しなければならない。これらの実施法は、第98条第2項にいう審査手続に従って採択されなければならない。
第XIII章 最終規定
第102条
規則(EC) No 300/2008の改正
規則(EC) No 300/2008の第4条(3)において、以下のパラグラフが追加される:
欧州議会及び理事会規則(EU)2024/...*+ の意味における人工知能システムに関するセキュリティ機器の承認及び使用のための技術仕様及び手続に関する詳細な措置を採用する際には、同規則の第III章第2節に規定される要件を考慮するものとする。
* 人工知能に関する調和規則を定め、規則(EC)No 300/2008、(EU)No 167/2013、 (EU)No 168/2013、(EU)2018/858、(EU)2018/1139を改正する欧州議会および理事会規則(EU)2024/...
(EU)2019/2144および指令2014/90/EU、(EU)2016/797、(EU)2020/1828
(人工知能法)」(OJ L, ..., ELI: ...)。
第103条
規則(EU)第167/2013号の改正
規則(EU)No.167/2013の第17条(5)において、以下の小項目が追加される:
欧州議会および理事会の規則(EU)2024/...*+ の意味における安全部品である人工知能システムに関して、第1号に従って委任行為を採択する際には、同規則の第III章第2節に定める要件を考慮しなければならない。
* 人工知能に関する調和規則を定め、規則(EC)No 300/2008、(EU)No 167/2013、 (EU)No 168/2013、(EU)2018/858、(EU)2018/1139を改正する欧州議会および理事会規則(EU)2024/...
(EU) 2019/2144および指令2014/90/EU、(EU) 2016/797および(EU) 2020/1828(人工
知能法)(OJ L, ..., ELI: ...)。
第104条
規則(EU)第168/2013号の改正
規則(EU)No 168/2013の第22条(5)において、以下の小項目が追加される:
欧州議会および理事会の規則(EU)2024/...*+ の意味における安全部品である人工知能システムに関して、第1号に従って委任行為を採択する際には、同規則の第III章第2節に定める要件を考慮しなければならない。
* 人工知能に関する調和規則を定め、規則(EC)No 300/2008、(EU)No 167/2013、 (EU)No 168/2013、(EU)2018/858、(EU)2018/1139を改正する欧州議会および理事会規則(EU)2024/...
(EU)2019/2144および指令2014/90/EU、(EU)2016/797、(EU)2020/1828
(人工知能法)」(OJ L, ..., ELI: ...)。
第105条
指令2014/90/EUの改正
指令2014/90/EUの第8条において、以下の段落が追加される:
5. 欧州議会および理事会の 規則(EU)2024/...*+ の意味における安全部品である人工知能システムについては、第1項に従って活動を実施する際、および第2項および第3項に従って技術仕様および試験基準を採択する際、欧州委員会は同規則の第3章第2節に規定された要件を考慮するものとする。
* 人工知能に関する調和規則を定め、規則(EC)No 300/2008、(EU)No 167/2013、 (EU)No 168/2013、(EU)2018/858、(EU)2018/1139を改正する欧州議会および理事会規則(EU)2024/...
(EU) 2019/2144および指令2014/90/EU、(EU) 2016/797および(EU) 2020/1828(人工
知能法)(OJ L, ..., ELI: ...)。
第106条
指令(EU)2016/797の改正について
指令(EU)2016/797の第5条において、以下の段落が追加される:
'12. 安全コンポーネントである人工知能システムに関して、第1項に基づく委任法および第11項に基づく実施法を採択する場合
欧州議会および理事会の規則(EU)2024/...*+ の意味において、同規則の第III章第2節に規定される要件が考慮されるものとする。
* 人工知能に関する調和規則を定め、規則(EC)No 300/2008、(EU)No 167/2013、 (EU)No 168/2013、(EU)2018/858、(EU)2018/1139を改正する欧州議会および理事会規則(EU)2024/...
(EU)2019/2144および指令2014/90/EU、(EU)2016/797、(EU)2020/1828
(人工知能法)」(OJ L, ..., ELI: ...)。
第107条
規則(EU)2018/858の改正について
規則(EU)2018/858の第5条に以下の段落が追加される:
4. 欧州議会および理事会の規則(EU)2024/...*+ の意味における安全部品である 人工知能システムに関して、第3項に従って委任行為を採択する際には、同規則の第III章第2節に定める要件を考慮しなければならない。
* 人工知能に関する調和規則を定め、規則(EC)No 300/2008、(EU)No 167/2013、 (EU)No 168/2013、(EU)2018/858、(EU)2018/1139を改正する欧州議会および理事会規則(EU)2024/...
(EU)2019/2144および指令2014/90/EU、(EU)2016/797、(EU)2020/1828
(人工知能法)」(OJ L, ..., ELI: ...)。
第108条
規則(EU)2018/1139の改正について
規則(EU)2018/1139は以下のように改正される:
(1) 第17条に次の項を加える:
3. 第2項を損なうことなく、欧州議会および理事会の規則(EU)2024/...(*+
)の意味における安全部品である人工知能システムに関して、第1項に従って実施法を採択する際には、同規則の第III章第2節に規定された要件を考慮するものとする。
* 欧州議会および欧州理事会規則(EU)2024/...
人工知能に関する調和規則を改正し、規則(EC) No 300/2008、(EU) No 167/2013、(EU) No 168/2013、(EU) 2018/858を改正する、
(EU) 2018/1139および(EU) 2019/2144ならびに指令2014/90/EU、(EU) 2016/797および(EU) 2020/1828(人工知能法)(OJ L, ..., ELI: ...)』;
(2) 第19条に次の項を加える:
4. 規則(EU)2024/...++ の意味における安全部品である人工知能システムに関して、第1項および第2項に従って委任行為を採択する際には、同規則の第III章第2節に定める要件を考慮しなければならない;
+ OJ: 本規則の番号(2021/0106(COD))を本文に挿入し、対応する脚注を記入してください。
++ OJ: この規則の番号(2021/0106(COD))を記入してください。
(3) 第43条に次の項を加える:
4.規則(EU)2024/...+ の意味における安全部品である 人工知能システムに関して 、第1項に従って実施法を採択する際には、同規則の第III章第2節に規定された要件を考慮するものとする;
(4) 第47条に次の項を加える:
3. 規則(EU)2024/...+ の意味における安全部品である 人工知能システムに関して 、第1項および第2項に従って委任行為を採択する際には、同規則の第 III章第2節に定める要件を考慮しなければならない;
(5) 第57条に次の一項を加える:
規則(EU)2024/...+ の意味における安全部品である人工知能システムに関する実施法を採択する際には、同規則の第III章第2節に規定されている要件を考慮するものとする;
(6) 第58条に次の項を加える:
3. 規則(EU)2024/...+ の意味における安全部品である 人工知能システムに関して 、第1項および第2項に従って委任行為を採択する際には、同規則の第 III章第2節に定める要件を考慮しなければならない。
+ OJ: この規則の番号(2021/0106(COD))を記入してください。
第109条
規則(EU)2019/2144の改正について
規則(EU)2019/2144の第11条において、以下の段落が追加される:
3.規制の意味における安全部品である人工知能システムに関して、第2項に従って実施法を 採択する場合
(EU) 2024/... of the European Parliament and of the Council*+ 、同規則の第III章第2節に規定される要件が考慮されるものとする。
* 人工知能に関する調和規則を定め、規則(EC)No 300/2008、(EU)No 167/2013、 (EU)No 168/2013、(EU)2018/858、(EU)2018/1139を改正する欧州議会および理事会規則(EU)2024/...
(EU)2019/2144および指令2014/90/EU、(EU)2016/797、(EU)2020/1828
(人工知能法)」(OJ L, ..., ELI: ...)。
+ OJ: 本規則の番号(2021/0106(COD))を本文に挿入し、対応する脚注を記入してください。
第110条
指令(EU)2020/1828の改正
欧州議会および理事会の指令(EU)2020/1828の付属書I(58 )において、以下の点が追加された:
(68) Regulation (EU) 2024/... of the European Parliament and of the Council of ...+ 、人工知能に関する調和規則を定め、規則を改正する。
(EC) No 300/2008、(EU) No 167/2013、(EU) No 168/2013、(EU) 2018/858、 (EU) 2018/1139および(EU) 2019/2144ならびに指令2014/90/EU、(EU) 2016/797お
よび(EU) 2020/1828(人工知能法)(OJ L, ..., ELI: ...)』。
第111条
すでに市場に投入•実用化されているAIシステムと、すでに市場に投入されている汎用AIモデル
1. 第113条(3)の(a)にいう第5条の適用を妨げることなく、附属書Xに列挙された法律により確立された大規模ITシステムの構成要素であって、...[本規則の発効日から36ヶ月]以前に上市され、又は運用が開始されたAIシステムは、2030年12月 31日までに本規則に適合させなければならない。
58 欧州議会および理事会指令(EU)2020/1828
消費者の集団的利益の保護のための代表訴訟および指令2009/22/ECの廃止に関する2020年11月25日付指令(OJ L 409, 4.12.2020, p. 1)。
+ OJ: 本規則(2021/0106(COD))の日付と番号を本文に挿入してください。
附属書Xに列挙された法律により構築された各大規模ITシステムの評価において
、これらの法律で規定されたとおりに実施される場合、及びこれらの法律が代替又は改正される場合には、本規則に規定された要求事項が考慮されるものとする
。
2. 第113条(3)項(a)にいう第5条の適用を妨げることなく、本規則は、本条第1項にいうシステム以外の高リスクAIシステムであって、...[本規則の発効日から24か月後]以前に市場に投入され又は運用が開始されたシステムの事業者に対し、その日から当該システムがその設計において重要な変更を受ける場合に限り、適用 されるものとする。いずれの場合においても、公的機関が使用することを意図した高リスクAIシステムの提供者および配備者は、...[本規則の発効日から6年]までに、本規則の要件および義務を遵守するために必要な措置を講じなければならない。
3. 本規則の発効日から12ヶ月]以前に市場に投入された汎用AIモデルの提供者は
、本規則に規定された義務を遵守するために、[本規則の発効日から12ヶ月]までに必要な措置を講じなければならない。
[本規則の発効日から36カ月]。
第112条 評価および審査
1. 欧州委員会は、この規則の発効後、第97条に定める権限委譲の期間が終了するまでの間、毎年1回、附属書IIIに定めるリストおよび第5条に定める禁止されるAI慣行のリストの修正の必要性を評価する。欧州委員会は、その評価結果を欧州議会および理事会に提出する。
2. 欧州委員会は、... [この規則の発効日から4年後]まで、およびその後4年ごとに、以下の事項を評価し、欧州議会および理事会に報告しなければならない:
(a) 附属書IIIの既存の分野見出しを拡張したり、新しい分野見出しを追加したりする修正の必要性;
(b) 第50条の追加的な透明性措置を必要とするAIシステムのリストの修正;
(c) 監督•管理システムの有効性を高める改正。
3. 欧州委員会は、...[本規則の発効日から5年後]およびその後4年ごとに、本規則の評価および見直しに関する報告書を欧州議会および理事会に提出する。報告書には、執行の仕組みに関する評価と、明らかになった欠点を解決するための連邦機関の必要性の可能性を含めるものとする。調査結果に基づき、報告書には、必要に応じて本規則の改正案を添付するものとする。報告書は公表されるものとする
。
4. 第2項の報告書は、特に以下の点に留意しなければならない:
(a) の下で割り当てられた任務を効果的に遂行するための国家主管庁の財政的
,技術的及び人的資源の状況。本規定
(b) 本規則の違反に対して加盟国が適用する罰則、特に第99条1項で言及される行政罰金;
(c) 本規則をサポートするために開発された整合規格および共通仕様を採用;
(d) 本規則の適用開始後に市場に参入する事業者の数と、そのうちの何社が中小企業であるか。
5. 欧州委員会は、...[本規則の発効日から4年後]までに、AI事務局の機能、AI事務局がその任務を遂行するのに十分な権限と能力を与えられているかどうか、AI事務局およびその執行能力を向上させ、その資源を増加させることが、本規則の適切な実施および執行にとって適切かつ必要かどうかを評価する。欧州委員会は、その評価に関する報告書を欧州議会および理事会に提出する。
6. 欧州委員会は、...[本規則の発効日から4年後]およびその後4年ごとに、汎用AIモデルのエネルギー効率の高い開発に関する標準化成果物の開発の進捗状況のレビューに関する報告書を提出し、拘束力のある措置や行動を含む、さらなる措置や行動の必要性を評価する。報告書は欧州議会および理事会に提出され、公開される。
7. 欧州委員会は、...[本規則の発効日から4年後]およびその後3年ごとに、高リスク AIシステム以外のAIシステムに対する第III章第2節に定める要件、および場合によっては高リスクAIシステム以外のAIシステムに対するその他の追加要件の適用を促進するための自主行動規範の影響と有効性を、環境の持続可能性に関しても含め、評価するものとする。
8. 第1項から第7項までの目的のため、理事会、加盟国および各国の管轄当局は、欧州委員会の要請に応じて、不当な遅滞なく情報を提供しなければならない。
9. 第1項から第7項までに言及された評価および見直しを実施する際、欧州委員会は、理事会、欧州議会、理事会、その他の関連機関または情報源の見解および所見を考慮するものとする。
10. 欧州委員会は、必要であれば、特に、技術の発展、AIシステムが健康と安全、基本的権利に及ぼす影響、および情報社会の進展状況を考慮して、本規則を改正するための適切な提案を提出するものとする。
11. 本条第1項から第7項までの評価及び見直しの指針とするため,AI事務局は,関連諸条項に概説された基準に基づくリスクレベルの評価及び新制度導入のための客観的かつ参加的な方法論の開発を行う:
(a) 附属書IIIに記載されたリスト(既存の分野見出しの拡張または新たな分野見出しの追加を含む;
(b) 第5条に定める禁止行為のリスト。
(c) 第50条に基づく追加的透明性措置が必要なAIシステムのリスト。
12. 附属書IのセクションBに列挙された分野別連邦調和法に関連する、第10項に従った本規則の改正、または関連する委任法もしくは実施法は、各分野の規制の特殊性、およびそこで確立された既存のガバナンス、適合性評価、執行のメカニズムおよび当局を考慮に入れなければならない。
13. 欧州委員会は、[本規則の発効から7年]までに、本規則の施行に関する評価を実施し、本規則の適用開始後数年間を考慮して、欧州議会、理事会および欧州経済社会委員会に報告しなければならない。その報告書には、調査結果に基づき、適切な場合には、執行の仕組みおよび明らかになった欠点を解決するための欧州連合機関の必要性に関する本規則の改正案を添付するものとする。
第113条 発効と適用
本規定は、本規定が米国において公布された日の翌日から起算して20日目に発効する。
欧州連合官報。
この規則は、...[この規則の発効日から24カ月]から適用される。ただし
(a) 第1章および第2章は、.. [発効日から6カ月]以降に適用される。
本規定];
(b) 第III章第4節、第V章、第VII章、第XII章、および第78条は、第101条を除き、...
[この規則の発効日から12カ月]から適用される;
(c) 第6条1項および本規則の対応する義務は、...から適用される。
[本規則の発効日から36カ月]。
本規則は、その全体を拘束し、すべての加盟国に直接適用されるものとする。で行われた、
欧州 議会向け欧州理事会向け
大統領大統領
ペコンス 24/24 AD/DOS/
465
ツリー ディ EN
付録I
連邦調和法リスト
セクションA. 新法規制の枠組みに基づく連邦調和法のリスト
1. 機械に関する2006年5月17日付欧州議会及び理事会指令2006/42/EC、並びに指令
95/16/ECの改正(OJ L 157, 9.6.2006, p. 24)[機械規則により廃止されたもの]
;
2. 玩具の安全性に関する2009年6月18日付欧州議会および理事会指令2009/48/EC(
OJ L 170, 30.6.2009, p. 1);
3. 欧州議会および理事会指令2013/53/EU
レクリエーショナル•クラフトおよびパーソナル•ウォータークラフトに関する2013年11月20日付の指令94/25/ECの廃止(OJ L 354, 28.12.2013, p. 90);
4. リフトおよびリフト用安全部品に関する加盟国の法律の調和に関する2014年2月
26日付欧州議会および理事会指令2014/33/EU(OJ L 96, 29.3.2014, p. 251);
5. 爆発の危険性のある大気中での使用を意図した装置および保護システムに関する加盟国の法律の調和に関する2014年2月26日付欧州議会および理事会指令 2014/34/EU(OJ L 96, 29.3.2014, p. 309);
6. 2014年4月16日付欧州議会および理事会指令2014/53/EUは、無線機器の市販に関
する加盟国の法律の調和に関するものであり、指令1999/5/ECを廃止するものである(OJ L 153, 22.5.2014、
p.62);
7. 圧力機器の市販に関する加盟国の法律の調和に関する2014年5月15日の欧州議会
および理事会の指令2014/68/EU(OJ L 189, 27.6.2014, p. 164);
8. 索道設備に関する2016年3月9日付欧州議会および理事会規則(EU)2016/424およ
び指令2000/9/ECの廃止(OJ L 81, 31.3.2016, p. 1);
9. 個人用保護具に関する2016年3月9日付欧州議会および理事会規則(EU)2016/425
および理事会指令89/686/EECの廃止(OJ L 81, 31.3.2016, p. 51);
10. ガス燃料を燃焼する機器に関する2016年3月9日付欧州議会および理事会規則(EU
)2016/426および指令2009/142/ECの廃止(OJ L 81, 31.3.2016, p. 99);
11. 医療機器に関する2017年4月5日付欧州議会および理事会規則(EU)2017/745は
、指令2001/83/EC、規則(EC)No 178/2002および規則(EC)No 1223/2009を改正し、理事会指令90/385/EECを廃止するものである。
および93/42/EEC(OJ L 117, 5.5.2017, p. 1);
12. 体外診断用医療機器に関する2017年4月5日付欧州議会及び理事会規則(EU)
2017/746であり、指令98/79/EC及び欧州委員会決定2010/227/EUを廃止する(OJ L
117, 5.5.2017, p. 176)。
セクション B. その他の連邦調和法のリスト
13. 欧州議会および理事会規則(EC) No 300/2008
2008年3月11日付の民間航空保安分野における共通規則および規則(EC)No
2320/2002の廃止(OJ L 97, 9.4.2008, p.72);
14. 欧州議会および理事会規則 (EU) No 168/2013
2013年1月15日付の二輪•三輪車および四輪車の認可と市場監視に関するOJ L
60, 2.3.2013, p. 52);
15. 欧州議会および理事会規則 (EU) No 167/2013
2013年2月5日付の農業•林業用車両の承認と市場監視に関するOJ L 60, 2.3.2013, p.
1);
16. 舶用機器に関する2014年7月23日付欧州議会および理事会指令2014/90/EUおよび理事会指令96/98/ECの廃止(OJ L 257, 28.8.2014、
p.146);
17. 欧州連合内の鉄道システムの相互運用性に関する2016年5月11日の欧州議会およ
び理事会指令(EU)2016/797(OJ L 138, 26.5.2016, p. 44);
18. 2018年5月30日付欧州議会及び理事会規則(EU)2018/858は、自動車及びそのトレーラー、並びに当該自動車を対象とするシステム、部品及び個別技術ユニットの承認及び市場監視に関するものであり、規則(EC)No 715/2007及び(EC)No 595/2009を改正し、指令2007/46/ECを廃止するものである(OJ L 151, 14.6.2018, p.
1);
19. 欧州議会および理事会規則(EU)2019/2144
欧州議会および理事会規則(EU)2018/858を改正し、欧州議会および理事会規則
(EC)No 78/2009、(EC)No 79/2009および(EC)No 661/2009ならびに欧州委員会規則を廃止する。
(EC) No 631/2009, (EU) No 406/2010, (EU) No 672/2010, (EU) No 1003/2010, (EU) No 1005/2010, (EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011,
(EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012、
(EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16.12.2019, p. 1);
20. 民間航空分野における共通規則および欧州連合航空安全庁の設置に関する2018年
7月4日付欧州議会および理事会規則(EU)2018/1139、ならびに規則(EC)No
2111/2005、(EC)No 1008/2008、(EU)No 996/2010、(EU)No 376/2014およびEU指令2014/30/EUおよび2014/53/EUを改正する。
欧州議会及び理事会、並びに欧州議会及び理事会規則(EC)No 552/2004及び( EC)No 216/2008並びに理事会規則(EEC)No 3922/91を廃止する(OJ L 212, 22.8.2018, p. 1)。
付録 II
第5条第1項第1号(h)(iii)の犯罪リスト 第5条第1項第1号(h)(iii)の犯罪:
– テロリズムだ、
– 人身売買、
– 児童の性的搾取、児童ポルノ、
– 麻薬または向精神薬の不正取引、
– 武器、軍需品、爆発物の不正取引、
– 殺人、重傷傷害、
– 人間の臓器や組織の不正取引、
– 核物質や放射性物質の不正取引、
– 誘拐、違法な拘束、人質行為、
– 国際刑事裁判所の管轄下にある犯罪である、
– 航空機や船舶の不法な差し押さえ、
– レイプ
– 環境犯罪
– 組織的または武装強盗、
– 妨害工作だ、
– 上記の犯罪の1つ以上に関与する犯罪組織への参加。
付録III
第6条2項のハイリスクAIシステム
第6条第2項に規定する高リスクAIシステムとは、次の各号のいずれかに掲げるAIシステムをいう:
1. バイオメトリクスの使用は、関連するEU法または国内法で認められている限りにおいて:
(a) 遠隔生体認証システム。
これには、特定の自然人が本人であることを確認することのみを目的とするバイオメトリクス認証に使用されることを意図したAIシステムは含まれない
;
(b) バイオメトリクス分類のために使用されることを意図したAIシステムであり
、機微な、あるいは保護されるべき属性や特性に従って、それらの属性や特性の推論に基づく;
(c) 感情認識を目的としたAIシステム。
2. 重要インフラ:重要なデジタルインフラ、道路交通、水、ガス、暖房、電気の供給における管理•運用の安全コンポーネントとして使用されることを意図したAIシステム。
3. 教育と職業訓練:
(a) あらゆるレベルの教育機関や職業訓練機関へのアクセスや入学を決定したり、自然人を割り当てたりするために使用されることを意図したAIシステム;
(b) 学習成果を評価するために使用されることを意図したAIシステム(その成果が、あらゆるレベルの教育•職業訓練機関における自然人の学習プロセスを導くために使用される場合を含む);
(c) あらゆるレベルの教育•職業訓練機関において、あるいは教育•職業訓練機関内において、個人が受ける、あるいは受けることができる適切な教育レベルを評価する目的で使用されることを意図したAIシステム;
(d) あらゆるレベルの教育•職業訓練機関において、試験中の生徒の禁止行為を監視•検知するためのAIシステム。
4. 雇用、労働者管理、自営業へのアクセス:
(a) 特に、的を絞った求人広告の掲載、求人応募の分析およびフィルタリング
、候補者の評価など、自然人の採用または選考に使用されることを意図したAIシステム;
(b) 仕事に関連する人間関係の条件、仕事に関連する契約関係の促進や終了に影響を与える決定を行うため、個人の行動や個人的な特徴や特性に基づいて仕事を割り当てるため、またはそのような関係にある人のパフォーマンスや行動を監視•評価するために使用されることを意図したAIシステム。
5. 必要不可欠な民間サービス、必要不可欠な公共サービスおよび便益へのアクセスと享受:
(a) 医療サービスを含む、必要不可欠な公的扶助の給付やサービスに対する自然人の適格性を評価し、そのような給付やサービスを付与、減額、取り消し、または請求するために、公的機関によって、または公的機関に代わって使用されることを意図したAIシステム;
(b) 金融詐欺を検出する目的で使用されるAIシステムを除き、自然人の信用度を評価するため、または信用スコアを確立するために使用されることを意図したAIシステム;
(c) 生命保険や医療保険の場合、自然人に関するリスク評価やプライシングに使用されることを意図したAIシステム;
(d) 自然人による緊急通報を評価•分類すること、または警察、消防、医療救護を含む緊急初期対応サービスの派遣や派遣における優先順位の設定に使用することを目的としたAIシステム、および緊急医療患者トリアージシステム。
6. 関連する連邦法または国内法で使用が許可されている限りにおいて、法の執行:
(a) 自然人が犯罪の被害者となるリスクを評価するために、法執行当局、または法執行当局を支援するEUの機関、団体、事務所もしくは機関が、または法執行当局に代わって、または法執行当局に代わって使用することを意図したAIシステム;
(b) 法執行当局、または法執行当局を支援する連合の機関、団体、事務所もしくは機関によって、または法執行当局のために、ポリグラフまたは同様のツールとして使用されることを意図したAIシステム;
(c) 刑事犯罪の捜査または訴追の過程で証拠の信頼性を評価するために、法執行当局が、または法執行当局に代わって、あるいは法執行当局を支援するために、EUの機関、団体、事務所または機関が使用することを意図したAIシステム;
(d) 指令(EU)2016/680の第3条(4)にいう自然人のプロファイリングのみに基づかない、自然人の犯罪または再犯のリスクを評価するため、あるいは自然人または集団の性格特性や特徴、過去の犯罪行動を評価するために、法執行当局またはその代理人、あるいは法執行当局を支援するEUの機関、団体、事務所または機関が使用することを意図したAIシステム;
(e) 犯罪の検出、捜査または訴追の過程において、指令(EU)2016/680の第3条 4項に言及される自然人のプロファイリングのために、法執行当局、または法執行当局を支援するEUの機関、団体、事務所または機関によって、または法執行当局のために使用されることを意図したAIシステム。
7. 移民、庇護、国境管理の管理(関連するEU法または国内法で使用が許可されている限りにおいて):
(a) 所轄の公的機関、またはEUの機関、団体、事務所、機関によって、またはその代理として、ポリグラフまたは類似のツールとして使用されることを意図したAIシステム;
(b) 加盟国に入国しようとする、または入国した自然人がもたらす安全保障上のリスク、不定期移住のリスク、健康上のリスクなどのリスクを評価するために、管轄の公的機関、または加盟国の機関、団体、事務所、または機関が使用する、または公的機関のために使用することを意図したAIシステム;
(c) 亡命、査証、滞在許可申請の審査、および資格申請する自然人の資格に関する関連する苦情(証拠の信頼性の関連する評価を含む)を管轄の公的機関が支援するため、または管轄の公的機関のために、あるいはEUの機関、団体、事務所、または機関が使用することを意図したAIシステム;
(d) 管轄の公的機関、またはEUの機関、団体、事務所もしくは機関によって、移民、亡命または国境管理の文脈で、自然人の検出、認識または識別の目的で使用されることを意図したAIシステム(渡航書類の照合を除く)。
8. 司法行政と民主的プロセス
(a) 司法当局が事実と法律を調査•解釈し、具体的な事実に法律を適用する際に司法当局を支援するため、または裁判外紛争解決において同様の方法で使用するために、司法当局によって、または司法当局に代わって使用されることを意図したAIシステム;
(b) 選挙や国民投票の結果、または選挙や国民投票における自然人の投票行動に影響を与えるために使用されることを意図したAIシステム。これには、管理上または物流上の観点から政治キャンペーンを組織、最適化または構成するために使用されるツールなど、自然人が直接さらされないAIシステムの出力は含まれない。
付録IV
第11条第1項の技術文書
第11条(1)にいう技術文書には,該当するAIシステムに適用されるものとして,少なくとも次の情報を含まなければならない:
1. AIシステムについての一般的な説明:
(a) 意図された目的、プロバイダー名、旧バージョンとの関係を反映したシステムのバージョン;
(b) 該当する場合、AIシステムが、他のAIシステムを含め、AIシステム自体の一部ではないハードウェアまたはソフトウェアとどのように相互作用するか、または相互作用するためにどのように使用できるか;
(c) 関連するソフトウェアまたはファームウェアのバージョン、およびバージョン更新に関する要件;
(d) ハードウェアに組み込まれたソフトウェア•パッケージ、ダウンロードなど、AIシステムが市場に出回る、あるいはサービスに供されるすべての形態の記述、
またはAPI;
(e) AIシステムを実行するためのハードウェアの説明;
(f) AIシステムが製品の構成要素である場合、それらの製品の外観上の
特徴、マーキング、内部レイアウトを示す写真またはイラスト;
(g) デプロイヤーに提供されるユーザーインターフェースの基本的な説明;
(h) 配備者のための使用説明書、配備者に提供されるユーザーインターフェースの基本的な説明(該当する場合);
2. AIシステムの要素とその開発プロセスについての詳細な説明:
(a) AIシステムの開発のために実行された方法および手順(関連する場合、第三者によって提供された事前訓練されたシステムまたはツールの利用、およびそれらが提供者によってどのように使用、統合または修正されたかを含む);
(b) システムの設計仕様、すなわち、AIシステム及びアルゴリズムの一般的な論理、システムの使用を意図する人物又は人物グループに関してなされた根拠及び仮定を含む主要な設計上の選択、主要な分類の選択、システムが何のために最適化するように設計されているか、及び異なるパラメータの関連性、システムの期待される出力及び出力品質の説明、第III章第2節に規定される要件を遵守するために採用される技術的解決策に関してなされる可能性のあるトレードオフに関する決定;
(c) システム•アーキテクチャの説明。ソフトウェア•コンポーネントが、どのように互いの上に構築され、どのように相互作用し、全体的な処理に統合されるかを説明する;
(d) データセットの一般的な説明、出所、範囲、主な特徴に関する情報、データの入手方法と選択方法、ラベリング手順(教師あり学習の場合など)、データクリーニング方法(外れ値の検出など)を含む;
(e) 第13条3項(d)に従い、配備者によるAIシステムの出力の解釈を容易にするために必要な技術的措置の評価を含む、第14条に従って必要とされる人的監視措置の評価;
(f) 該当する場合,AI システムの継続的な遵守を確保するために採用された技術的解決策に関連するすべての関連情報とともに,AI システム及びその性能に対する事前に決定された変更の詳細な説明;
(g) 使用されたバリデーションおよび試験手順(使用されたバリデーションおよび試験データとその主な特性に関する情報を含む)、正確性、堅牢性、および第III章第2節に定めるその他の関連要件への準拠を測定するために使用された測定基準、ならびに潜在的な差別的影響、試験記録、および責任者が日
付と署名を付したすべての試験報告書。
(f)で言及されているように、事前に決定された変更;
(h) サイバーセキュリティ対策が実施されている;
3. AI システムの監視,機能及び制御に関する詳細情報:システムが使用されることが意図されている特定の人又は人の集団に対する精度の程度及びその意図された目的に関連して期待される全体的な精度のレベルを含む,性能におけるその能力及び限界,AIシステムの意図された目的に照らして予見される意図せざる結果及び健康及び安全,基本的権利及び差別に対するリスクの原因,配備者によるAIシステムの出力の解釈を容易にするために導入される技術的措置を含む,第14条に従って必要とされる人的監視措置,適切な場合には,入力データに関する仕様;
4. 特定のAIシステムに対するパフォーマンスメトリクスの適切性の説明;
5. 第9条に従ったリスク管理システムの詳細;
6. システムのライフサイクルを通じてプロバイダが行った関連する変更の説明;
7. そのような整合規格が適用されていない場合は、適用された他の関連規格および技術仕様のリストを含む、第III章第2節に規定された要件を満たすために採用された解決策の詳細な説明;
8. 第47条のEU適合宣言書の写し;
9. 第72条(3)で言及されている市販後モニタリング計画を含む、第72条に従った市販後段階におけるAIシステムの性能を評価するために設けられているシステムの詳細な説明。
付録V
EU適合宣言
第47条のEU適合宣言書には、以下のすべての情報を含まなければならない:
1. AIシステムの名称とタイプ、およびAIシステムの識別とトレーサビリティを可能にするその他の明確な参照;
2. 提供者の氏名と住所、または該当する場合はその正式な代理人の氏名と住所;
3. 第47条で言及されているEU適合宣言は、提供者の単独の責任の下で発行される旨の声明;
4. AIシステムが本規則に適合しており,該当する場合には,第47条に言及する EU適合宣言書の発行を規定する他の関連EU法に適合している旨の声明;
5. AIシステムが個人データの処理を伴う場合、そのAIシステムが規則(EU)
2016/679および(EU)2018/1725を遵守している旨の声明、および指令(EU)2016/680;
6. 適合が宣言されている関連整合規格またはその他の共通仕様への言及;
7. 該当する場合、通知機関の名称および識別番号、実施された適合性評価手順の説明、発行された証明書の識別;
8. 宣言書の発行場所と発行日、署名者の氏名と職責、その署名者のために、またはその署名者に代わって署名したことを示す表示。
付録6
内部統制に基づく適合性評価手順
1. 内部統制に基づく適合性評価手続きは、2、3、4点に基づく適合性評価手続きである。
2. 提供者は、確立された品質マネジメントシステムが第17条の要求事項に適合していることを検証する。
3. 提供者は,AIシステムが第III章第2節に規定された関連必須要件に適合しているかどうかを評価するために,技術文書に含まれる情報を審査する。
4. また,提供者は,第72条にいうAIシステムの設計•開発プロセス及び市販後のモニタリングが技術文書と整合していることを検証する。
付録7
品質マネジメントシステムの評価と技術文書の評価に基づく適合性
1. はじめに
品質マネジメントシステムのアセスメントと技術文書のアセスメントに基づく適合は、ポイント2から5に基づく適合性評価手続きである。
2. 概要
第 17 条に基づき承認された AI システムの設計,開発及び試験に関する品質マネジメン トシステムは,第 3 項に従って審査され,第 5 項に規定するサーベイランスを受けなければならない。AIシステムの技術文書は,4.に従って審査されなければならない。
3. 品質マネジメントシステム
3.1. プロバイダーの申請書には、以下の事項を記載しなければならない:
(a) 提供者の氏名と住所、および委任された代理人が申請する場合は、その代理人の氏名と住所;
(b) 同じ品質マネジメントシステムの下にあるAIシステムのリスト;
(c) 同じ品質マネジメントシステムの下にある各AIシステムの技術文書;
(d) 品質マネジメントシステムに関する文書で、第17条に記載されたすべての側面を網羅すること;
(e) 品質マネジメントシステムが適切かつ効果的であり続けることを保証するための手順の説明;
(f) 同じ申請が他のいかなる届出機関にも提出されていないことを宣言する書面。
3.2. 品質マネジメントシステムは、第17条の要求事項を満たすか否かを決定する届出機関により評価されるものとする。
決定は、提供者またはその正式な代理人に通知されるものとする。
通知には、品質マネジメントシステムの評価の結論と、理由を付した評価決定を含まなければならない。
3.3. 承認された品質マネジメントシステムは、適切かつ効率的であり続けるよう、提供者によって継続的に実施され、維持されなければならない。
3.4. 承認された品質マネジメントシステム又は後者の対象となるAIシステムのリストに意図的な変更を加える場合は、提供者が通知機関に届け出るものとする。
通知機関は、提案された変更を検討し、変更後の品質マネジメントシステムが引き続き3.2項で言及された要求事項を満たすか、又は再評価が必要かどうかを決定しなければならない。
通知機関は,その決定を事業者に通知しなければならない。通知には、変更点の審査の結論及び理由付き審査決定を含まなければならない。
4. 技術文書の管理
4.1. 3.の申請に加え,事業者は,選択したノーティファイドボディに,事業者が上市又は供 給しようとし,3.の品質マネジメントシステムが適用されるAIシステムに関する技術文書の審査を申請 しなければならない。
4.2. 申請書には、以下の事項を記載しなければならない:
(a) プロバイダーの名前と住所;
(b) 同じ申請が他のいかなる届出機関にも提出されていないことを宣言する書面;
(c) 附属書IVで言及されている技術文書。
4.3. 技術文書は,ノーティファイドボディが審査しなければならない。関連性があり
,かつ,その業務を遂行するために必要なものに限定される場合,適合性評価機関 は,使用されたトレーニング,バリデーション及び試験のデータセットへの完全なアクセスを認められな ければならず,これには,適切な場合及びセキュリティ保護措置の対象となる場合には,API 又はその他の関連する技術的手段及びリモートアクセスを可能にするツールを介することが含まれる。
4.4. 技術文書の審査において,通知機関は,AI システムの第 III 章第 2 節に規定する要件への適合性を 適切に評価できるよう,提供者にさらなる証拠の提出又はさらなる試験の実施を求めることができる。通知機関が提供者の実施した試験に満足しない場合,通知機関自身は,適切な試験を直接実施しなければ ならない。
4.5. 適合性を検証するための他のすべての合理的な手段が尽くされ,かつ,不十分であることが判明した後に,第III章第2節に規定された要求事項に対するハイリスクAIシステムの適合性を評価するために必要な場合,かつ,合理的な要求があれば,届出機関は,関連するパラメータを含むAIシステムの訓練及び訓練済みモデルへのアクセスも認められるものとする。当該アクセスは、知的財産及び企業秘密の保護に関する現行の同盟法に従うものとする。
4.6. 通知機関の決定は,事業者又はその認定代理人に通知されなければならない
。通知には,技術文書の審査の結論及び理由付き審査決定を含まなければならない。
AIシステムが第III章第2節に規定する要件に適合している場合,ノーティファイドボディ は,EU技術文書評価証明書を発行しなければならない。この証明書には,提供者の名称及び住所,審査の結論,有効な条件(もしあれば)並びにAIシステムの識別に必要なデータを記載しなければならない。
認証書及びその附属書には,AI システムの適合性を評価できるようにするため
,及び該当す る場合には使用中の AI システムを管理できるようにするためのす
べての関連情報を含まな ければならない。
AIシステムが第III章第2節に規定された要件に適合していない場合,ノーティファイドボディ は,EU技術文書評価証明書の発行を拒否し,その詳細な理由を付して申請者に通知しなければならない。
AIシステムが、その訓練に使用したデータに関する要件を満たしていない場合
、新たな適合性の申請に先立ち、AIシステムの再訓練が必要となる。
この場合,適合性評価証明書を発行しない。この場合,連合の技術文書評価証明書の発行を拒否するノーティファイドボディの理由付き評価決定には,AIシステムの訓練に使用した品質データに関する具体的な検討事項,特に不適合の理由を含めなければならない。
4.7. AI システムの要求事項への適合性又はその意図された目的に影響を及ぼす可能性のある AI システムの変更は,EU の技術文書評価証明書を発行した届出機関によって評価されなければならない。提供者は,上記の変更を導入する意向がある場合,又はそのような変更の発生を認識した場合,その旨を当該届出機関に通知しなければならない。通知機関は,意図された変更を評価し,その変更が第43条 (4)に従って新たな適合性評価を必要とするか,又は連合の技術文書評価証明書の追補によって対処できるかどうかを決定しなければならない。後者の場合,通知機関は,変更を評価し,その決定を事業者に通知し,変更が承認された場 合,事業者に対し,EU技術文書評価証明書の追補を発行しなければならない。
5. 承認された品質マネジメントシステムの監視。
5.1. 3.で言及されたノーティファイドボディが実施するサーベイランスの目的は、提供者が承認された品質マネジメントシステムの条件を正式に遵守していることを確認することである。
5.2. 評価目的のため,提供者は,届出機関がAIシステムの設計,開発,試験が行われている施設に立ち入ることを許可しなければならない。提供者は、さらに、すべての必要な情報を届出機関と共有しなければならない。
5.3. 通知機関は,事業者が品質マネジメントシステムを維持し適用していることを確認するために定期的な監査を実施し,事業者に監査報告書を提供しなければならない。これらの監査において,ノーティファイドボディ は,EUの技術文書評価証明書が発行されたAIシステムの追加試験を実施することができる。
付録8
第49条に基づくハイリスクAIシステムの登録時に提出する情報
セクションA - 第49条1項に基づき、ハイリスクAIシステムのプロバイダーが提出すべき情報
第49条(1)に従い登録される高リスクAIシステムについては、以下の情報を提供し、その後常に最新の状態に保つものとする:
1. 提供者の氏名、住所、連絡先;
2. 情報提出が提供者に代わって他者によって行われる場合は、その者の氏名、住所、連絡先;
3. 該当する場合は、正式な代理人の氏名、住所、連絡先;
4. AIシステムの商号、およびAIシステムの識別とトレーサビリティを可能にするその他の明確な参照;
5. AIシステムの目的と、AIシステムを通じてサポートされるコンポーネントと機能の説明;
6. システムで使用される情報(データ、入力)とその動作ロジックの基本的かつ簡潔な説明;
7. AIシステムのステータス(市場投入中、またはサービス中、市場投入終了/サービス中、リコール);
8. 通知機関が発行した証明書の種類、番号、有効期限、および該当する場合はその通知機関の名称または識別番号;
9. 該当する場合は、8 で言及した証明書のスキャンコピー;
10. AIシステムが上市され、使用開始され、または連邦内で入手可能となった加盟国
;
11. 第47条のEU適合宣言書の写し;
12. この情報は、附属書IIIの1、6、7で言及されている法執行または移民、亡命
、国境管理の分野における高リスクのAIシステムには提供されない;
13. 追加情報のURL(オプション)。
セクションB - 第49条(2)に従い、ハイリスクAIシステムのプロバイダーが提出すべき情報
第49条(2)に基づき登録されるAIシステムについては、以下の情報を提供し、その後常に最新の状態に保つものとする:
1. 提供者の氏名、住所、連絡先;
2. 情報提出が提供者に代わって他者によって行われる場合は、その者の氏名、住所、連絡先;
3. 該当する場合は、正式な代理人の氏名、住所、連絡先;
4. AIシステムの商号、およびAIシステムの識別とトレーサビリティを可能にするその他の明確な参照;
5. AIシステムの意図する目的の説明;
6. AIシステムがハイリスクではないと判断される、第6条3項に基づく条件;
7. 第6条3項の手続きを適用して、AIシステムが高リスクではないと考えられる根拠を簡潔にまとめたもの;
8. AIシステムのステータス(市場投入中、またはサービス中、市場投入終了/サービス中、リコール);
9. AIシステムが上市され、使用開始され、または連邦内で入手可能となった加盟国
。
セクションC - 第49条(3)に従い、高リスクAIシステムの配備者が提出すべき情報
第49条に従って登録される高リスクAIシステムについては、以下の情報を提供し、その後常に最新の状態に保つものとする:
1. 派遣者の氏名、住所、連絡先;
2. 派遣者に代わって情報を提出する者の氏名、住所、連絡先;
3. AIシステムのプロバイダーがEUのデータベースに登録したURL;
4. 第27条に従って実施された基本的権利影響評価の結果の概要;
5. 該当する場合、規則(EU)2016/679の第35条または指令(EU)2016/680の第27条に従って実施されたデータ保護影響評価の概要。
付録9
附属書IIIに記載された高リスクAIシステムの登録時に提出される、第60条に従った実環境での試験に関する情報
第60条に従って登録される実環境での試験に関しては、以下の情報を提供し、その後常に最新の状態に保つものとする:
1. ユニオン共通の単一識別番号;
2. 提供者または提供予定者の氏名と連絡先、および実環境での試験に関与した配備者の氏名と連絡先;
3. AIシステムの簡単な説明、意図する目的、その他システムの識別に必要な情報;
4. 実戦的な条件下でのテストを想定したプランの主な特徴をまとめたもの;
5. 現実世界における試験の中断または終了に関する情報。
付録X
自由、安全保障、司法の分野における大規模ITシステムに関する連邦立法行為
1. シェンゲン情報システム
(a) 欧州議会および理事会規則(EU)2018/1860
of 28 November 2018 on the use of Schengen Information System for returning of illegally staying third-country nationals (OJ L 312, 7.12.2018, p. 1).
(b) 欧州議会および理事会規則(EU)2018/1861
国境検査の分野におけるシェンゲン情報システム(SIS)の確立、運用および使用に関する2018年11月28日付の規則(EC)No 1987/2006(OJ L 312, 7.12.2018, p. 14)の改正および廃止、ならびにシェンゲン協定を実施する条約の改正に関する2018年11月28日付の規則(EC)No 1987/2006(OJ L 312, 7.12.2018, p. 14)の改正および廃止。
(c) 欧州議会および理事会規則(EU)2018/1862
警察協力および刑事司法協力の分野におけるシェンゲン情報システム(SIS
)の設置、運用および使用に関する2018年11月28日付の理事会決定
2007/533/JHAを修正および廃止し、欧州議会および理事会規則(EC)No
1986/2006および欧州委員会決定2010/261/EUを廃止する(OJ L 312,
7.12.2018, p. 56)。
2. ビザ情報システム
(a) 規則(EU) No 603/2013、(EU) 2016/794を改正する2021年7月7日付欧州議会および理事会規則(EU) 2021/1133、
(EU) 2018/1862、(EU) 2019/816および(EU) 2019/818は、ビザ情報システムの目的で他のEU情報システムにアクセスするための条件の設定に関して(OJ L 248, 13.7.2021, p. 1)。
(b) 規則(EC) No 767/2008、(EC) No 810/2009、(EU) 2016/399、(EU) 2017/2226、(EU) 2018/1240、(EU) 2018/1860を改正する2021年7月7日
付欧州議会および理事会規則(EU) 2021/1134、
(EU) 2018/1861, (EU) 2019/817 and (EU) 2019/1896 of the European Parliament and of the Council and repealing Council Decisions 2004/512/EC and 2008/633/JHA, for purpose of reforming the Visa Information System (OJ L 248, 13.7.2021, p. 11).
3. ユーロダック
欧州議会および理事会の規則(EU) 2024/...および規則(EU) 2024/...を効果的に適用し、不法に滞在する第三国人および無国籍者を特定するための、バイオメトリックデータの比較のための「ユーロダック」の設立に関する欧州議会および理事会の規則(EU) 2024/...。of the European Parliament and of the Council and the Council
Directive 2001/55/EC and to identify illegally staying third-country nationals and stateless persons and on requests for the Eurodac data by the Member States' law enforcement authorities and Europol for law enforcement purposes, amending Regulations (EU) 2018/1240 and (EU) 2019/818 of the European Parliament and of the Council and the European Parliament and of the Council Regulation (EU) No 603/2013 and repealing Regulation (EU) No 603/2013 of the European Parliament and of the Council+ .
4. 入退場システム
欧州議会および理事会規則(EU)2017/2226
2017年11月30日付で、加盟国の対外国境を通過する第三国人の出入国データおよび入国拒否データを登録する出入国システム(EES)を設立し、法執行目的でEESにアクセスするための条件を決定し、シェンゲン協定を実施する条約および規則
(EC)No 767/2008および(EU)No 1077/2011を改正した(OJ L 327, 9.12.2017, p. 20)。
+ OJ:文書に含まれる規則の番号を本文に挿入してください。
PE-CONS 15/24 (2016/0132 (COD))の脚注に、同規則の番号、日付、タイトル、OJリファレンスを挿入する。
5. 欧州渡航情報認証システム
(a) 欧州議会および理事会規則(EU)2018/1240
European Travel Information and Authorisation System (ETIAS)を設立し、規則 (EU) No 1077/2011、(EU) No 515/2014、(EU) 2016/399、(EU) 2016/1624、(EU) 2017/2226 (OJ L 236, 19.9.2018, p. 1)を改正する2018年9月12日付。
(b) 欧州議会および理事会規則(EU)2018/1241
European Travel Information and Authorisation System(ETIAS)の設立を目的とした規則(EU)2016/794を改正する2018年9月12日付の規則(OJ L 236, 19.9.2018, p. 72)。
6. 第三国人および無国籍者に関する欧州犯罪記録情報システム
2019年4月17日付欧州議会及び理事会規則(EU)2019/816は、欧州犯罪記録情報システムを補完するため、第三国人及び無国籍者に関する有罪判決情報を保有する加盟国を特定するための集中システム(ECRIS-TCN)を設立し、規則(EU) 2018/1726を改正するものである(OJ L 135, 22.5.2019, p. 1)。
7. 相互運用性
(a) 欧州議会および理事会規則(EU)2019/817
国境と査証の分野におけるEU情報システム間の相互運用性の枠組みを確立し、規則(EC) No 767/2008、(EU) 2016/399、(EU) 2017/2226、(EU)
2018/1240を改正することに関する2019年5月20日付の規則(EC) No
767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240、
(欧州議会および理事会の(EU)2018/1726および(EU)2018/1861ならびに理事会決定2004/512/ECおよび2008/633/JHA(OJ L 135, 22.5.2019、
p.27).
(b) 欧州議会および理事会規則(EU)2019/818
警察•司法協力、亡命、移民分野におけるEU情報システム間の相互運用性の枠組みの確立と規則(EU) 2018/1726、(EU) 2018/1862、(EU) 2019/816の改正に関する2019年5月20日付規則(OJ L 135, 22.5.2019, p. 85)
。
付属書XI
第53条第1項(a)の技術文書 - 汎用AIモデルの提供者のための技術文書第1節
汎用AIモデルのすべての提供者が提供すべき情報
第 53 条(1)の(a)のテクニカル•ドキュメンテーションには、モデルの規模及びリスク•プロ ファイルに応じて、少なくとも以下の情報を含まなければならない:
1. 汎用AIモデルの一般的な説明:
(a) そのモデルが実行することを意図しているタスクと、そのモデルを統合できるAIシステムのタイプと性質;
(b) 許容される使用ポリシーが適用されます;
(c) 発売日と配布方法;
(d) アーキテクチャとパラメータの数;
(e) 入力と出力のモダリティ(テキスト、画像など)とフォーマット;
(f) ライセンス
2. 1.で言及したモデルの要素の詳細な説明と、以下の要素を含む開発プロセスの関連情報:
(a) 汎用AIモデルをAIシステムに統合するために必要な技術的手段(使用方法、インフラ、ツールなど);
(b) トレーニングの方法論と技術、その根拠と仮定を含む主要な設計の選択、モデルが最適化されるように設計されているもの、および該当する場合は異なるパラメータの関連性を含む、モデルとトレーニングプロセスの設計仕様;
(c) トレーニング、テスト、検証に使用したデータに関する情報(該当する場合
)。これには、データの種類と出所、キュレーション方法(クリーニング、フィルタリングなど)、データポイントの数、範囲、主な特徴、データの入手方法と選択方法、データソースの不適性を検出するためのその他のすべての手段、および特定可能なバイアスを検出するための方法(該当する場合)が含まれる;
(d) モデルのトレーニングに使用される計算リソース(浮動小数点演算数など)、トレーニング時間、トレーニングに関連するその他の詳細;
(e) モデルの既知または推定エネルギー消費量。
モデルのエネルギー消費量が未知である点(e)に関して、エネルギー消費量は、使用される計算資源に関する情報に基づいてもよい。
第2節
提供される追加情報
システミック•リスクを持つ汎用AIモデルのプロバイダーによる
1. 利用可能な公的評価プロトコルおよびツール、またはその他の評価方法論に基づく、評価結果を含む評価戦略の詳細な記述。評価戦略には、評価基準、評価指標
、限界の特定に関する手法を含めること。
2. 該当する場合、内部および/または外部の敵対的テスト(レッドチーミングなど)、アライメントやファインチューニングを含むモデルの適合を実施する目的で導入された措置の詳細な説明。
3. 該当する場合、システム•アーキテクチャの詳細な説明。ソフトウェア•コンポーネントが、どのように互いに連携し、全体的な処理に統合されるかを説明する
。
付録12
第53条1項(b)の透明性情報
- 汎用AIモデルを提供するプロバイダーが、そのモデルをAIシステムに統合する川下プロバイダーに提供するための技術文書
第53条第1項(b)の情報には、少なくとも以下の事項を含まなければならない:
1. 汎用AIモデルの一般的な説明:
(a) そのモデルが実行することを意図しているタスクと、そのモデルを統合できるAIシステムの種類と性質;
(b) 許容される使用ポリシーが適用されます;
(c) 発売日と配布方法;
(d) 該当する場合、モデルがモデル自身の一部ではないハードウェアまたはソフトウェアとどのように相互作用するか、または相互作用するためにどのように使用できるか;
(e) 該当する場合、汎用AIモデルの使用に関連する関連ソフトウェアのバージョン;
(f) アーキテクチャとパラメータの数;
(g) 入力と出力のモダリティ(テキスト、画像など)とフォーマット;
(h) そのモデルのライセンスを取得する。
2. モデルの要素と、その開発プロセスについての説明:
(a) 汎用AIモデルをAIシステムに統合するために必要な技術的手段(使用説明書、インフラ、ツールなど);
(b) 入力と出力のモダリティ(テキスト、画像など)とフォーマット、およびそれらの最大サイズ(コンテキストウィンドウの長さなど);
(c) トレーニング、テスト、検証に使用されたデータに関する情報(該当する場合、データの種類、出所、キュレーション方法など)。
付録13
第51条のシステミック•リスクを有する汎用AIモデルの指定基準
委員会は、汎用AIモデルが第51条1項(a)に定める能力と同等の能力または影響を有すると判断するために、以下の基準を考慮するものとする:
(a) モデルのパラメータ数;
(b) データセットの質またはサイズ。例えばトークンで測定される;
(c) モデルのトレーニングに使用される計算量。浮動小数点演算で測定されるか、トレーニングの推定コスト、トレーニングに必要な推定時間、トレーニングに必要な推定エネルギー消費量などの他の変数の組み合わせで示される;
(d) テキストからテキスト(大規模言語モデル)、テキストから画像、マルチモダリティなどのモデルの入力および出力モダリティ、およびそれを決定するための最新の閾値
各モダリティにおけるインパクトの大きい能力、および特定のタイプのインプットとアウトプット(生物学的配列など);
(e) ベンチマークとモデルの能力評価には、追加トレーニングなしのタスク数、新しい別個のタスクを学習する適応性、自律性と拡張性のレベル、利用可能なツールなどが含まれる;
(f) その範囲により、域内市場に大きな影響を与えるかどうか。これは、域内で設立された少なくとも1万人の登録ビジネスユーザーが利用できるようになった場合に推定される;
(g) 登録されたエンドユーザーの数。