〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

特集記事
Special Topics

2024.09.02

EU AI Act(AI規則)を踏まえた日本企業の対応事項

<目次>
1.AI Actが適用される主体・要件
2.規制の概要
(1) 規制の枠組み(リスクベースアプローチ)
(2) 各分類毎の規制等の概要
(3) 罰則・制裁金
3.今後必要な対応
4.施行日・猶予措置

2024年8月1日に、EUにおける包括的なAI規制であるArtificial Intelligence Act(以下「AI Act」といいます(※)。)が発効しました。
各条項の施行日は下記4.のとおりで、段階的施行が想定されており、利用等を禁止されるAIに関する条項は発効から半年後、汎用目的AIモデルに関する条項は1年後と、間近に迫っています。
また、下記1.で後述するとおりAI ActはEU域内に拠点を有しない日本企業にも適用され得ることに加え、今後各国の規制に波及することが見込まれていることから、日本企業としても対応・検討が必要となります。
このため、本稿では、①どのような場合に日本企業にAI Actが適用されるのか(下記1.)、②適用される規制の概要(下記2.)、③今後必要な対応(下記3.)、④施行日・施行の猶予措置(下記4.)について概観します。

(※)「AI法」や、法的性質が加盟国の立法を待たずに直接適用される規則であることから「AI規則」と呼称されることもあります。

1. AI Actが適用される主体・要件

AI Actが適用される主な主体と対応する要件は、以下のとおり定められています(2条1項(a)乃至(c))。

主体AI Actが適用される要件
利用者
(deployer)
以下のいずれかに該当する場合
①EU域内で設立又は所在
②EU域外で設立又は所在し、AIシステムにより生成したアウトプットをEU域内で使用
提供者
(provider)
以下のいずれかに該当する場合
EU域内でAIシステムを市場に投入又は運用開始
EU域内で汎用目的AIモデルを市場に投入
③EU域外で設立又は所在し、AIシステムにより生成したアウトプットをEU域内で使用

なお、利用者と提供者の定義は以下のとおりですが(3条3号・4号)、概要、AIシステムを事業に用いる事業者が利用者に該当し、AIシステム又は汎用目的AIモデルを開発又は提供するベンダーが提供者に該当します。

利用者:自らの権限のもとでAIシステムを利用する自然人、法人、公的機関、専門機関又はその他の主体(但し、個人的で、非職業的な活動の過程においてAIシステムを利用する者を除く。)
提供者:自然人、法人、公的機関、専門機関又はその他の主体であって、次のいずれかに該当する者
①AIシステム又は汎用目的AIモデルを開発する者
②AIシステム又は汎用目的AIモデルを開発させ、市場に投入する者
③AIシステムを自己の名称又は商標で運用開始する者

このため、AI Actが適用される日本企業としては、主に、(i)AIシステムにより生成したアウトプットをEU域内で使用するAIのユーザー企業・ベンダーや、(ii)EU域内向けにAIシステムを運用するベンダーが想定されます。このような日本企業については、AI Actの下記2.の規制内容等を踏まえ、下記3.の対応をする必要性が高いと考えられます。
仮にAI Actが現状では適用されない場合についても、AI Actが今後各国の規制にも波及することが見込まれていることを踏まえ、差し支えのない範囲で下記3.の対応をとることが望ましいと考えられます。

また、該当する日本企業は利用者・提供者と比べれば少ないと思われるものの、以下の主体にもAI Actは適用されます(2条1項(d)乃至(g))。

主体AI Actが適用される要件
AIシステムの
輸入者
以下の輸入者の定義に該当する場合
・EU域外で設立された自然人又は法人の名称又は商標が付されたAIシステムを市場に投入する、EU域内で設立又は所在する自然人又は法人
AIシステムの
流通事業者
以下の流通事業者の定義に該当する場合
・提供者又は輸入者以外のサプライチェーンにおける自然人又は法人で、AIシステムをEU域内の市場に提供する者
製品製造者自社の製品と共に、且つ、自社の名称又は商標のもとで、AIシステムの市場投入又は運用開始を実施
授権代理人EU域内で設立されていない提供者の授権代理人であること
影響を受けた者EU域内に所在

なお、2条2項以下で、適用除外となる例外的ケースの規定(AIシステム又はモデルの市場投入又は運用開始前の研究、テスト及び開発活動(実環境でのテストは除く。)(2条8項)等)が定められていますので、実際の適用の有無の検討の際には、2条2項以下も参照する必要があります。

2. 規制の概要

(1) 規制の枠組み(リスクベースアプローチ)

AI Actは、AIシステムを、そのリスクの強度と範囲によって以下の4段階に分類し、規制の内容を調整するリスクベースアプローチを採用しています(前文(26))。

分類該当し得るAIシステムの例主な規制内容
許容できないリスク・元データと無関係な文脈で、個人・集団の信用リスクを点数化するもの
・プロファイリング情報等のみで犯罪リスクを評価・予測するもの
・職場・教育機関で人の感情を推測するもの
市場への投入、運用開始、利用を禁止
高リスク・電気等の重要インフラの安全性を制御するもの
・従業員の監視・評価等に用いるもの
システム要件充足、及び必要書類作成、登録その他システム要件充足を担保する各種義務
透明性が必要なリスク・対話型AI
・画像生成AI
透明性の義務
その他・他の分類のいずれにも該当しないもの提供者・利用者の職員等のAIリテラシーを確保する措置の実施義務(リスク分類による限定なく適用あり)

また、汎用目的AIモデルについては、顕著な汎用性を示し、多様で明確なタスクを適切に実行する能力を持ち、様々な下流システムやアプリケーションに統合可能なAIモデルとして(3条63号)、特有のリスクを有することから、上記の4分類とは別に、必要書類作成、情報提供等の規制が定められています(影響が重大なものについては、システミックリスクを伴うものとして更なる追加的義務も定められています。)。

(2) 各分類毎の規制等の概要

各分類毎の規制等の概要については、定義等でやや詳細な内容も含み、ある程度長くなりますので、別途「EU AI Act(AI規則)の規制の概要」(牛島総合法律事務所 特集記事・2024年9月2日)に記載しております。必要に応じて同特集記事をご参照ください。

(3) 罰則・制裁金

AI Act上の規制への違反に関しては、以下のとおり違反の類型毎に非常に高額な制裁金が定められています。

違反類型制裁金の上限
①許容できないリスクのあるAIシステムの禁止(5条)に対する違反前会計年度における世界全体における売上総額の7%か、3500万ユーロのいずれか高い金額(※)(99条3項)
②以下のAI Act上の義務等の違反
(a)16条の提供者の義務
(b)22条の授権代理人の義務
(c)23条の輸入者の義務
(d)24条の流通事業者の義務
(e)26条の利用者の義務
(f)31条、33条1項・3項・4項又は34条の第三者認証機関(notified body)の要件・義務
(g)50条の提供者及び利用者の透明性の義務
(h)汎用目的AIモデルの提供者の義務等
前会計年度における世界全体における売上総額の3%か、1500万ユーロのいずれか高い金額(※)(99条4項・101条1項)
③第三者認証機関又は国内管轄当局の要請に対する、不正確、不完全又は誤解を招く情報の提供前会計年度における世界全体における売上総額の1%か、750万ユーロのいずれか高い金額(※)(99条5項)

(※)スタートアップを含む中小企業(SMEs)については、上記②(h)(汎用目的AIモデルの提供者の義務等の違反)の場合を除き、「いずれか低い金額」となります(99条6項)。

3. 今後必要な対応

まずは、自社グループにAI Actが適用されるか(上記1.の表の主体・対応要件のいずれかに該当するか)を確認すべきと考えられます。

その上で、AI Actの適用がある場合には、施行に向けて、AIマッピング(自社グループが利用・提供するAIの名称、AI Act上の分類等の整理)を行い、それぞれのAIについてAI Act上遵守すべき事項の対応を進めるべきと考えられます。
AIマッピングについては、以下の①②の点を踏まえ、できる限り早く実施する必要があると考えられます。
①    今後も多種多様なAIの登場が見込まれていることから自社グループ内のAIが比較的少ない今のうちの方が実施が容易であり、一度整理を終えればAIの新規利用に報告又は承認等の所定の手続を設けることで継続的把握も容易となること
②    日本法上も、自社グループ内で把握できていないAIが制約なく利用されている場合には、個人データ・営業秘密の漏えい、秘密管理性の喪失(不正競争防止法の保護の対象外化)や、第三者提供規制その他個人情報保護法違反のリスク等の程度が把握できないまま放置されることになること
具体的な対応事項については、AIマッピングの結果(利用・提供するAIの状況)を踏まえて各社の状況毎に対応を進める必要があります(例えば、グローバルサイトにAIシステムによる対話機能(チャットボット)を搭載している場合には、原則として、AIシステムと対話していることがユーザーに通知される設計にする必要があります(50条1項)。)。
加えて、今後AI Office等から公表が予定されている必要書類の雛形やガイドライン等についても、公表され次第これを参照して対応内容を調整する必要があります。

また、AI Actの適用がない場合にも、今後AI Actの影響が各国に波及する可能性が十分にあることや、上記②のとおり自社グループ内で把握できていないAIの利用を放置することには一定のリスクが伴うことに鑑み、少なくともAIマッピングと社内規程の整備徹底その他社内体制の構築を進める必要があると考えられます。特に、EU域内向けに事業を展開している、又はする予定があるときには、AI Actの上記2.(1)の4つの分類とこれに対応する規制(「EU AI Act(AI規則)の規制の概要」(牛島総合法律事務所 特集記事・2024年9月2日)でまとめております。)を参照して、社内規程の整備徹底を含めた社内体制の構築を進める必要性が高いと考えられます。

4. 施行日・猶予措置

AI Actの施行日は以下のとおりです(113条)。

施行日条項等
2025年2月2日Chapter I(総則:1~4条)
Chapter II(禁止AI:5条)
2025年8月2日Chapter III Section 4(認定機関・第三者認証機関:28条~39条)
Chapter V(汎用目的AIモデル:51条~56条)
Chapter VII(ガバナンス:64条~70条)
78条(秘密保持)
Chapter XII(罰則)のうちの99条・100条
2026年8月2日(※)その他の規定
2027年8月2日6条1項及びこれに対応する義務(同項の高リスクAIシステムに関する義務)

(※)2026年8月2日より前に市場投入又は運用開始された高リスクAIシステム(下記①のシステムを除く。)については、同日以降に設計が大幅に変更される場合に限りAI Actが適用される(但し、下記②に該当する場合は下記②の措置が必要。111条2項)

施行日に関する猶予措置の内容は以下の通りです(111条)。

猶予対象猶予内容
①付属書類Xに列挙された法律により設置された大規模ITシステムの構成要素であって、2027年8月2日より前に市場に投入され又は運用開始されたAIシステムAI Act(5条を除く。)を遵守する期限が、2030年12月31日まで猶予される
②公的機関による利用が意図された高リスクAIシステムの提供者及び利用者AI Act上の要件・義務を遵守するために必要な措置を講じる期限が、2030年8月2日まで猶予される
③2025年8月2日より前に市場に投入された汎用目的AIモデルの提供者AI Act上の義務を遵守するために必要な措置を講じる期限が、2027年8月2日まで猶予される