「EU内で統一の基準をつくることで、AIの開発や活用を促しつつ、人々の健康と安全、そして基本的人権をまもる。これがこの法案の大きな目的です」
欧州委員会でAI規制法のチームリーダーを務め、法案の起草から携わってきたガブリエレ・マツィーニ氏(51)が言う。
2021年4月に欧州委が公表し、今年6月に欧州議会で採択されていた。今後細部を詰め、2025年後半から2026年の施行が見込まれる。
この法案の特徴は、AIのリスクを使い方に応じて4段階にレベル分けし、禁止や規制などレベルごとの対策を示していることだ。
違反した場合、最大で3500万ユーロ(約54億円)か全世界売上高の7%のうち、高い方の金額が制裁金として科される見通しで、EUでビジネスができなくなるおそれもある。
EUの法律だが、加盟国以外の事業者でも、製品やサービスの提供先がEU域内の場合は、規制が適用される。個人情報の保護などを定めた一般データ保護規則(GDPR)と同様だ。GDPRは、世界標準になりつつあり、AI規制法も同じ流れを生む可能性があると世界的に注目されている。
法案は、AIの技術そのものを規制するのではなく、用途ごとにリスクの高低を分け、「使われ方」に焦点を当てる。それによって、開発や発展を妨げず、技術の進化に法律が追いつかないという事態を避ける狙いもある。
分類のなかで最も高い「許容できないリスク」には、人の認知をゆがめるサブリミナル技術や、公的機関が様々なデータを集めて個人を評価する「ソーシャルスコアリング」などが挙げられ、禁止の対象だ。
2番目の「ハイリスク」は、試験や面接の評価や、過去のデータから物事を予測する「プロファイリング」で、犯罪予測を行うことなどを想定。これらは規制の対象となり、適切なデータの使用や、追跡や監査ができるように記録を残すなど製品側の要件と、AIを使う事業者側の義務が課される。
3番目の「限定的リスク」は、AIが使われていることを明示する義務が定められ、一番低い「最小リスク」では特に義務はない。
例えばプロファイリングの技術では、行政機関によるソーシャルスコアリングは「許容できないリスク」として禁止の対象になり得る。一方で、同じ行政機関によるAIの利用でも、児童手当や生活保護などの受給資格の審査といった限定的な用途では、要件や義務を守れば使うことができる「ハイリスク」に分類される見通しだ。
「AI製品やサービスに『適合マーク』をつける、世界で初めての試みでもあります」
マツィーニ氏は、目の前にあったパソコンのマウスを手に取り、裏面の「CEマーク」を指して見せた。その製品が、安全性などの面でEUの基準に適合していることを示す印だ。基準を満たしたAI関連の製品やサービスにも同じCEがつけられることになる。
国や地域によっては、個人の権利を損なうような技術の利用も、公共の安全や効率性のためなら仕方がないという考え方もある。だが「それはEUの価値観では許容できない」とマツィーニ氏は言う。
「私たちには、監視されずに街中を歩き、遅刻したからといって関係ない物事で不利益を被らない権利がある。私たちは、個人の自由と権利に重きを置いているのです」
法案の共同報告者でイタリア選出の欧州議会議員ブランド・ベニフェイ氏(37)も、「AI規制法は、人が中心にあるべきだという、EUの取り組みの一つ」と話す。
基本的権利を守るルールを備えた、公平な競争の場を確保する。こうしたルール作りが、ひいては消費者やユーザーと事業者側との信頼関係を築き、さらなる発展につながると考える。
GDPRは、個人情報の保護について国際的な議論の道を開いた。「基本的人権に基づき、人間を中心としたAI技術の発展をめざすという我々のAI規制法の取り組みも、グローバルな議論の土台となるでしょう」