欧州連合人工知能法（EU AI法）：その内容と重要ポイント

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第20回目となる今回は、「欧州連合人工知能法（EU AI法）：その内容と重要ポイント 」と題して、世界で初めての包括的な人工知能（AI）規制、コンプライアンス要件、最高3500万ユーロ（約57億円）の制裁金を回避する方法の概要を説明する、Nolan Necoechea（Varonisプロダクトマーケティングストラテジスト）のブログ記事を紹介します。

今年初め、欧州議会とEU理事会は、世界初の包括的なAI規制である欧州連合人工知能法（EU AI法）を可決し、EUにおけるAIの使用を規制することに合意しました。

EU AI法が重要なのはなぜですか？

自組織でAIを使用しており、EU域内で運用している場合、あるいはEU域内で事業を展開している域外企業にあたる場合には、新しい規制を理解し、確実に遵守することが重要です。

特定の条項に違反した場合、最高3500万ユーロ（約57億円）または全世界の売上高の最大7%の罰金を科せられることがあります。

この新しい法律は、AIシステムの安全性と信頼性を確実にすることを目的とし、EUをAIガバナンスのリーダーとして位置づけることを目的としています。すべての一般的なAIアプリケーションに透明性の要件を義務づけ、リスク管理、自己評価、システムリスクの緩和などの義務を概説しています。

注意すべき重要な日付

•    2025年2月：禁止要件の発効
•    2026年8月：EU AI法が全面的に施行可能に
•    2027年8月：規制対象製品に組み込まれたAIシステムに関する規則の施行

新要件を遵守するために組織が取るべき手順については、続きをお読みください。

4段階の分類

EU AI法は、利用者に及ぼすリスクに応じてシステムを4段階に区分しており、リスクのレベル毎に応じて規制レベルを設けています。これらの4つのレベル―許容できないリスク、高いリスク、限定的なリスク、最小限のリスク／リスク無し―は、それぞれのユースケースに応じて扱いが異なります。

EU AI法は、容認できないリスクと高いリスクのAIシステムに焦点を当てています。もっと詳しく見てみましょう。

許容できないリスクのAIシステム

許容できないリスクに分類されるAIシステムは、人間に対する明らかな脅威であり、EUの価値観に適合していないと見做されるものです。

EUは許容できないリスクのあるAIシステムの例として次のようなものを挙げています：

•    人物や特定の弱者集団に対する認知行動操作を行うもの：例えば、子供に危険な行動を促す音声駆動型の玩具
•    社会的スコアリング：振る舞い、社会経済的地位、個人的特徴に基づいて人物を分類すること
•    生体情報による人物の認識と分類
•    顔認識などの、リアルタイムかつ遠隔の生体認証システム

許容できないリスクのAIシステムは、法執行目的のための例外を覗き、EU AI法施行後6ヶ月以内に禁止されます。

高リスクのAIシステム

高リスクに分類されるAIシステムは、安全や基本的権利に悪影響を及ぼすもので、更に次の2つのカテゴリーに分類されます：

1.    玩具、航空機、自動車、医療機器、エレベーターなどを含む、EUの製品安全法制に該当する製品に使用されるAIシステム
2.    重要インフラストラクチャー、教育と職業訓練、移民、難民、国境管理などの管理と運用を含む、EUのデータベースに登録する必要がある特定の分野に該当するAIシステム

高リスクのAIシステムは、市場に投入する前とライフサイクル中に評価する必要があります。市民はこれらのシステムについて苦情を申し立てる権利があります。

これらの要件と義務は、EU AI法の施行から36ヶ月後に適用されます。

生成AIシステム

Microsoft 365 CopilotやChatGPTのような生成AIツールは高リスクには分類されていませんが、透明性要件とEU著作権法の遵守が求められます。これには以下のようなものが含まれます:

•    エンドユーザーが認識できるよう、コンテンツがAIによって生成された場合には明確に開示
•    違法なコンテンツの生成を防止するモデル設計
•    トレーニングに使用した著作権で保護されたデータの概要の公開

影響力の大きい汎用AIモデルは徹底的な評価に合格する必要があり、重大なインシデントは江欧州委員会に報告しなければなりません。

これらの要件は、EU AI法施行から12ヶ月後に適用されます。

Varonisがお手伝いできること

複雑な規制構造を遵守することは困難で、EU AI法が導入されることにより、透明性とデータセキュリティの必要性はさらに高まっています。

Varonisはコンプライアンス管理を簡素化し、AIで使用される重要なデータをリアルタイムで可視化してコントロールできるようにし、次の4つの重要な方法でEU AI法に準拠できるようにします：

•    生成AIが取り込んだり生成する個人情報や機密性の高いデータの保護
•    AIのプロンプトや応答に完全な可視性を提供するとともに、機密性の高いがいつアクセスされたのかも示す
•    不正使用を示すアクティビティや振る舞いを含む、脅威や異常に警告を発する

•    過剰なアクセス権の取り消し、ラベルの修正、構成不備の修正など、データを自動的に保護して、露出やリスクを削減

Varonisはまた、何千社もの企業がHIPAA、GDPR、CCPA、NIST、ITARなどの規制に準拠できるようにしてきました。

セキュリティ部門へのAI導入を加速

生成AIセキュリティへの全体的なアプローチの一環として、VaronisはMicrosoft 365 CopilotとSalesforce Einstein Copilotの安全を確保するための業界唯一の包括的な製品も提供しています。

Varonis Data Security Platformの幅広いセキュリティ機能は、ツールのアクセス許可やワークロードを完全に可視化し、制御することにより、組織のAIの導入と配備を加速することができます。

参考資料

・The EU Artificial Intelligence Act（英文）
https://artificialintelligenceact.eu/

・EU AI Act: first regulation on artificial intelligence（英文）
https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence

・Varonis Data Security Platform
https://www.varonis.com/ja/products/data-security-platform

ブログ記事著者のご紹介

Nolan Necoechea

Nolan NecoecheaはVaronisのプロダクトマーケティングストラテジストです。彼は10年以上にわたってデータやAIのイノベーターたちと仕事をしてきました。

（翻訳：跡部 靖夫）