AI倫理グローバルウォッチ

高リスクAIシステムの法的定義とコンプライアンス：EU AI Actに基づく多国籍企業の新たな義務と実務的課題

導入：EU AI Actにおける高リスクAIシステムの重要性

人工知能（AI）技術の急速な発展に伴い、その潜在的なリスクに対する国際的な規制の動きが加速しています。特に欧州連合（EU）が採択したAI Act（人工知能法）は、世界で初めて包括的なAI規制枠組みを確立するものであり、その中心概念の一つが高リスクAIシステムに関する規定です。多国籍企業にとって、この高リスクAIシステムの法的定義とそれに基づく広範なコンプライアンス義務を理解し、適切に対応することは、法的リスク管理および企業活動の継続性において極めて重要となります。

本稿では、EU AI Actにおける高リスクAIシステムの法的定義を詳細に解説し、関連する法的義務、主要な論点、および多国籍企業が取るべき実務的な対応策について深掘りします。これにより、法務・コンプライアンス部門の専門家が、自社のAI開発・利用におけるリスクを特定し、適切なガバナンス体制を構築するための一助となる情報を提供することを目指します。

規制の概要：EU AI Actにおける高リスクAIシステムの定義と分類

EU AI Actは、AIシステムが人間にもたらす潜在的な危害のレベルに応じて、その規制アプローチを階層化しています。その中で最も厳格な規制対象となるのが「高リスクAIシステム」です。

高リスクAIシステムは、主に以下の二つのカテゴリーに分類されます。

1. 既存のEU製品安全法規の対象となるAIシステム: 特定の製品の安全部品として組み込まれるAIシステムが該当します。これには、医療機器、航空機、自動車、玩具などの安全性を確保するためのAIシステムが含まれます。これらのAIシステムは、従来の製品安全規制に加え、AI Actの追加要件を満たす必要があります。例えば、医療機器指令に基づき認証されるAI搭載診断システムなどが該当します。

2. 特定の用途に用いられるAIシステム: 人々の基本的権利や安全に重大な影響を及ぼす可能性のある特定の分野で利用されるAIシステムがリストアップされています。具体的には以下の分野が例として挙げられます。

   • 生体認証および生体データに関するAIシステム: 遠隔生体認証システムなど。
   • 重要インフラストラクチャーの運営・管理: 交通、電力、水供給などのインフラの安全機能に使用されるAIシステム。
   • 教育および職業訓練: 試験の評価や学習成果の分析、教育機関への入学・配置に影響を与えるAIシステム。
   • 雇用、労働者の管理および自営業者へのアクセス: 採用プロセスでの選考、昇進、解雇、労働条件の監視などに使用されるAIシステム。
   • 特定の公共サービスおよび民間サービスへのアクセスと享受: 信用評価、社会保障給付の付与、緊急サービスへの派遣などに使用されるAIシステム。
   • 法執行: 犯罪予測、証拠評価、リスク評価などに使用されるAIシステム。
   • 移民、亡命および国境管理: 旅行書類の確認、国境監視、亡命申請の評価などに使用されるAIシステム。
   • 司法行政および民主的プロセス: 裁判所や行政機関による意思決定を支援するAIシステム。

これらの分類は、AIシステムが誤作動したり、不公平な判断を下したりした場合に、個人の生命、安全、基本的権利、または社会全体に深刻な影響を及ぼす可能性が高いという認識に基づいています。

主要な論点・課題

EU AI Actの高リスクAIシステムに関する規定は、企業にとって多くの新たな課題を提起します。

• 定義の適用範囲と解釈の複雑性: 高リスクAIシステムの具体的な定義は多岐にわたり、AIシステムの技術的特性や用途が進化するにつれて、どのAIシステムが「高リスク」に該当するかの判断は複雑になります。特に、汎用AIシステム（GPAI）が特定の高リスク用途に組み込まれた場合の責任の所在や、定義の再評価のプロセスが重要な論点となります。

• サプライチェーン全体での責任分担: AIシステムの開発者（プロバイダー）、導入者（デプロイヤー）、輸入業者、販売業者といったサプライチェーン上の各プレイヤーに異なる義務が課されます。この責任の明確化と、契約におけるリスク分担の合意形成は、特に多国籍企業において複雑な課題です。

• イノベーションと規制のバランス: 厳格な規制が高リスクAIシステムの開発や利用を阻害し、イノベーションを抑制する可能性が指摘されています。サンドボックス制度や中小企業への配慮も盛り込まれていますが、実務におけるバランスの取り方が模索されています。

• 技術的な適合性の確保: データガバナンス、説明可能性、堅牢性といった技術的要件を満たすには、高度な専門知識とリソースが必要です。既存のAI開発プロセスやツールセットの見直しが必要となる場合があります。

法的影響と義務：企業に求められる具体的な対応

EU AI Actは、高リスクAIシステムのプロバイダー（開発・提供者）およびデプロイヤー（導入・利用者）に対し、以下のような広範な義務を課しています。

1. リスクマネジメントシステム（RMS）の確立: AIシステムのライフサイクル全体にわたるリスクを特定、分析、評価し、緩和するための堅固なシステムを確立し、維持する必要があります。これには、定期的なリスクアセスメントの実施と、リスク軽減策の文書化が含まれます。

2. データガバナンスの確保: 高リスクAIシステムのトレーニング、検証、テストに使用されるデータセットについて、データ品質、代表性、エラーおよびバイアスの低減を確保するための厳格なガバナンスルールが必要です。個人データを使用する場合は、GDPR等のデータ保護法規との整合性も求められます。

3. 技術文書およびログ記録の保持: AIシステムの設計、開発、パフォーマンスに関する詳細な技術文書を作成し、維持する必要があります。また、AIシステムの運用中にイベントを自動的に記録するログ生成機能を備え、事後的な監視や監査に活用できるようにする必要があります。

4. 透明性および情報提供義務: 高リスクAIシステムのプロバイダーは、利用者がシステムを適切に理解し、使用できるように、その機能、性能、限界、リスクに関する明確かつ包括的な情報を提供する義務があります。

5. ヒューマン・オーバーサイト（人間による監視）: AIシステムが自律的に意思決定を行う場合でも、人間が介入し、AIの決定を修正または無効にできるような適切なヒューマン・オーバーサイトの仕組みを設計する必要があります。これにより、システムが誤作動した場合や予期せぬリスクが生じた場合に、人間が責任を持って対応できることを保証します。

6. 正確性、堅牢性およびサイバーセキュリティの確保: 高リスクAIシステムは、その意図された目的に対して高いレベルの正確性、堅牢性、およびサイバーセキュリティを備えている必要があります。これは、予測不可能な状況や外部からの攻撃に対してもシステムが安定して機能することを意味します。

7. 品質マネジメントシステムの確立: 高リスクAIシステムの設計、開発、テスト、保守、および廃止に至るまで、製品の品質と安全性を確保するための体系的な品質マネジメントシステム（QMS）を導入・維持する必要があります。ISO規格など既存のQMSとの整合性を図ることが考えられます。

8. 適合性評価の実施とCEマーキング: 高リスクAIシステムの市場投入に先立ち、AI Actの要件への適合性を評価する手続き（適合性評価）を実施する必要があります。一部のシステムでは第三者機関による評価が必須となります。適合性が確認された場合、製品にはCEマーキングを付与することが求められます。

9. 市場監視と事後監視義務: プロバイダーは、市場投入後も高リスクAIシステムの性能とリスクを継続的に監視し、重大な事故や欠陥が判明した場合には、関連当局に報告する義務があります。

実務上の対応策：多国籍企業が取るべき行動

多国籍企業は、EU AI Actの高リスクAIシステム規制に対応するため、以下の実践的な対応策を検討する必要があります。

1. AIシステムのリスク分類評価プロセスの確立: 自社が開発または利用するすべてのAIシステムについて、高リスクAIシステムに該当するかどうかを定期的に評価する内部プロセスを確立します。この評価は、AI Actの最新のガイダンスと解釈に基づいて行われるべきです。

2. AIガバナンス体制の構築と責任の明確化: AIコンプライアンスを推進するための明確なガバナンス体制を構築します。これには、C-suiteレベルの関与、法務、コンプライアンス、技術、ビジネス部門から構成される横断的なAI倫理・リスク委員会またはワーキンググループの設置が含まれます。各部門の責任と役割を明確に定義し、AIシステムのライフサイクル全体を通じてコンプライアンスを確保する体制を整えることが重要です。

3. 既存の品質管理・リスク管理システムへの統合: 高リスクAIシステムの要件を、ISO 9001（品質管理）、ISO 27001（情報セキュリティ）、ISO 31000（リスクマネジメント）など、既存の品質管理システムやリスクマネジメントシステムに統合します。これにより、重複を避けつつ効率的なコンプライアンスを実現できます。

4. データガバナンスとAIモデル開発プロセスの強化: トレーニングデータの収集、アノテーション、検証、テストの各段階において、品質、公平性、プライバシー保護を確保するための厳格なプロトコルを導入します。AIモデルの開発段階から、説明可能性（Explainable AI: XAI）やバイアス検出・軽減の技術を組み込むことを検討します。

5. 契約上の措置とサプライチェーンデューデリジェンス: AIサプライチェーンの各段階における責任を明確にするため、契約書にAI Actのコンプライアンス義務に関する条項を盛り込みます。AIコンポーネントやデータを提供する第三者ベンダーに対して、適切なデューデリジェンスを実施し、コンプライアンス体制を確認します。

6. 文書化と記録保持の徹底: すべての高リスクAIシステムに関して、技術文書、リスクアセスメント報告書、適合性評価結果、ログデータ、社内ポリシー、トレーニング記録などを体系的に文書化し、適切な期間保持します。これにより、監査や当局からの問い合わせに迅速に対応できる体制を構築します。

7. 社内教育と能力開発: 法務、コンプライアンス、技術、製品開発の各部門の従業員に対して、EU AI Actおよびその他の関連規制に関する定期的なトレーニングを実施します。AI倫理とコンプライアンスに関する意識を高め、実務に必要な知識とスキルを向上させることが不可欠です。

国別比較：グローバルな動向の中でのEU AI Actの位置づけ

EU AI Actは、高リスクAIシステムに対する最も包括的かつ厳格な規制を導入するものであり、その影響はEU域内に留まらず、事実上の国際標準となる可能性を秘めています。

• 米国: AI規制においては、連邦レベルでの包括的な法律はまだ存在せず、セクター別のアプローチやガイドライン（例：NIST AI Risk Management Framework）が主流です。しかし、各州レベルでは、雇用、住宅、信用などの分野におけるAI利用の公平性や透明性に関する法案（例：コロラド州のAI差別防止法）が議論されており、EUの動きに追随する兆候も見られます。

• 英国: EU離脱後も、AIガバナンスに関する独自のフレームワークを構築しており、既存のセクター別規制をAIに適用する「部門横断的なアプローチ」を提唱しています。EU AI Actのような包括的な新法ではなく、既存の規制当局（情報コミッショナーオフィス、競争・市場庁など）が連携してAIリスクに対応する方針を示しています。

• カナダ: 「Artificial Intelligence and Data Act (AIDA)」という法案が提案されており、EU AI Actと同様に、高影響AIシステムに対するリスクマネジメント、データ匿名化、説明可能性などの義務を課すことを目指しています。

このように、各国・地域でアプローチは異なるものの、AIがもたらすリスク、特に「高リスク」と評価されるAIシステムに対するガバナンスと透明性確保の必要性については共通の認識が広がっています。EU AI Actは、グローバルに事業を展開する多国籍企業にとって、今後の国際的な規制トレンドを予測する上での重要な指標となります。

結論と今後の展望

EU AI Actにおける高リスクAIシステムに関する規制は、多国籍企業のAI開発・利用における新たなコンプライアンスランドスケープを形成します。これらの義務を遵守することは、単なる法的要件を満たすだけでなく、企業の信頼性向上、ステークホルダーからの信頼獲得、そして持続可能なビジネス成長を実現するための基盤となります。

今後、AI技術の進化に伴い、高リスクAIシステムの定義や関連する要件は継続的に見直される可能性があります。また、EU AI Actの施行によって得られる知見や課題は、他の国・地域のAI規制の形成に影響を与えるでしょう。多国籍企業は、グローバルな規制動向を継続的に追跡し、社内のAIガバナンス体制を柔軟かつ堅牢に維持していくことが求められます。法務・コンプライアンス部門は、技術部門と密接に連携し、AI倫理と法的リスク管理を統合したアプローチを構築することで、企業価値の向上に貢献できるでしょう。