「AI規制法」は生成AIの７大リスクに対処できるか？

初の包括的なAI規制法となる欧州連合（EU）の「AI規則（規制法）案」が6月14日、欧州議会で承認された。

チャットGPTなどの生成AIにも規制の網をかけ、膨大な能力に伴うリスクへの対処を狙う。

フェイクニュース、サイバー攻撃、著作権侵害――生成AIをめぐって指摘されてきたリスクに、AI規則は対応することができるのか？

●起こりうるリスク・損害への対策

欧州議会の本会議で6月14日、賛成499票、反対28票、棄権93票で承認した「AI規則（規制法）案」は、その前文（60g）で生成AIを含む基盤モデルについて、こう規定している。

チャットGPTなどの生成AIは大規模言語モデル（LLM）と呼ばれるが、スタンフォード大学の研究チームは2021年、これらを含めて「基盤モデル」という名称を提案した。

AI規則案（3条）では「基盤モデル」は、「広範なデータで大規模に学習が行われ、出力の汎用性を考慮して設計され、幅広い特徴的なタスクに適応可能なAIシステムモデルを意味する」と定義されている。

欧州議会が承認した「AI規則案」は、新たに生成AIを含むこの基盤モデルを規制対象として追加している。

前文はこう続く。

「ハイリスク」なAIは、後述のように「AI規則案」がリスクの高さに基づいて定める4類型の上から2番目に当たり、使用は禁止されないが、リスク管理のための様々な義務が課される。今回の「AI規則案」では、基盤モデルは「ハイリスク」なAIに組み込まれるのでない限り、３番目の「限定リスク」に位置づけられている。

これらを具体的に規定しているのが、AI規則第28条bだ。同条4では、特に生成AIの提供事業者の義務についてこう規定している。

（a）の「透明性確保義務」とは、生成AIに限らず、AIを使用していることについての開示義務だ。当初案でも、チャットボットやディープフェイクスなどのAIについて、第52条第1項の透明性の義務は課されていた。ここに、新たに急速に普及した生成AIも加えたことになる。

そして（b）の「違法コンテンツ」とは、2022年11月に施行された「デジタルサービス法（DSA）」でプラットフォームに削除を義務づけているような、ヘイトスピーチやテロ扇動コンテンツなどが該当する。これらに学習段階から対策を講じる義務を規定している。

（c）は、生成AIをめぐるリスクの中で、特にメディアやクリエイターからの懸念が強かった著作権侵害の問題について、やはり学習データにおける著作物の使用について、詳細な開示を義務付けている。

画像生成AIをめぐっては、すでに米国でクリエイターやゲッティイメージズによる訴訟が起こされている。また、学習データの大きな割合を占めるニュースコンテンツについても、メディア業界から懸念が示されている。

※参照：チャットAIの「頭脳」をつくるデータの正体がわかった、プライバシーや著作権の行方は？（04/24/2023　新聞紙学的）

●拡大するAI規則の照準

AI規則案は2021年4月に公開された。

当初は、捜査機関がAI顔認識（遠隔生体認識）を使うことによるリアルタイム監視や、公的機関によるAIを使った信頼性評価「ソーシャルスコアリング」などの人権侵害リスクへの対策に注目が集まった。

これらは最高度のリスク「許容できないリスク」として使用が禁止された。

中国におけるAIを使った「監視社会」に対する懸念が反映されていた。

※参照：監視カメラ・スマホアプリで追跡、中国「AI監視社会」のリアル（05/03/2019　新聞紙学的）

前述のように、AI規則案ではこのほか、よりリスクの低いAI使用として「ハイリスク」「限定リスク」「最小リスク」の分類を設定。

AI使用は認められるが、提供事業者の義務が規定された「ハイリスク」対策に、規則案の主眼が置かれた。

「限定リスク」は前述のチャットボット、ディープフェイクスのように透明性が義務付けられる。

テレビゲームやスパム（迷惑メール）の自動振り分けなどの、最もリスクの低い「最小リスク」は規制の対象外とされている。

※参照：「すごく危ないAI」の禁止に潜む大きな「抜け穴」とは（04/25/2021　新聞紙学的）

今回、欧州議会で承認されたAI規則案では、最高度の「許容できないリスク」のあるAIの禁止範囲を拡大。

「公的空間におけるリアルタイム遠隔生体認識」「法執行機関を除く事後的な遠隔生体認識」「性別、人種、民族などのセンシティブな属性を使用した生体認識分類」「法執行機関、国境管理、職場、教育機関における感情認識」「顔認識データベースを作成するためのインターネット・監視カメラ映像からの顔画像の収集」が新たに禁止された。

「公的空間におけるリアルタイム遠隔生体認識」をめぐっては、街角のライブカメラや監視カメラとAI顔認識が連動することによる人権侵害の懸念が指摘されてきた。

※参照：顔認識AIのデータは、街角の監視カメラとSNSから吸い上げられていく（04/21/2019　新聞紙学的）

「事後的な遠隔生体認識」「顔認識データベース」をめぐっては、ネット上から300億枚以上の顔画像を収集しAI顔認識サービスとして提供する米ベンチャー「クリアビューAI」が問題化。各国で削除命令や制裁金支払い命令が出されている。

※参照：「違法に顔収集」26億円払え、100億枚AI企業に制裁へ（12/02/2021　新聞紙学的）

「感情認識」については、その正確性や人種的なバイアス、プライバシー侵害などのリスクが指摘されており、当初案で禁止対象に盛り込まれなかったことに、懸念が出ていた。

※参照：AIに勝手に感情を読み取られる、そのAIをダマす方法とは？（04/11/2021　新聞紙学的）

このほか、「ハイリスク」のリストも拡大。「健康、安全、基本的人権、環境に甚大な危害を及ぼすAIシステム」もこの分類に追加された。

「有権者や選挙結果に影響を与えるために使用されるAIシステム、およびソーシャルメディアプラットフォーム（4,500万人以上のユーザー）が使用するレコメンドシステム」が、新たに規制対象の「ハイリスク」に含まれるという。

4,500万人以上、つまりEUの人口の1割に相当するユーザーを擁するソーシャルメディア・検索プラットフォームは、デジタルサービス法ではリスク管理や外部監査を義務付けられる「超大規模オンラインプラットフォーム」に分類されている。

EUは2023年4月25日に、グーグルやフェイスブックなど19のソーシャルメディア・検索エンジンを指定している。

「レコメンドシステム」はユーザーのサービス利用履歴をもとに、AIがフィルタリングによって同じ傾向のコンテンツを優先的に表示する仕組みで、情報の偏りの弊害が指摘される「フィルターバブル」を後押しするとみられている。

「AI規則案」には厳しい罰則もあり、違反には最大で4,000万ユーロ（約61億円）か世界の売上高の7％に上る制裁金が科される。

●AI規制をめぐるさや当て

AI規則案への生成AIの追加をめぐっては、オープンAIとのさや当てもあった。

オープンAIのCEO、サム・アルトマン氏は法案審議が大詰めを迎えた5月、スペイン、フランス、ポーランド、英国を歴訪。

フィナンシャル・タイムズによれば、5月25日にロンドンを訪れた際、アルトマン氏は記者団にこう述べたという。

だが、その翌日には「（EUから）離脱する計画はない」と発言を引っ込めている。

オープンAIは3月末、イタリアの個人データ保護庁（GPDP）からチャットGPTのデータ収集がEUの「一般データ保護規則（GDPR）」に違反する疑いを指摘され、1カ月にわたってサービスの停止命令を受けた経緯がある。

AI規則案はなお、欧州理事会などの協議を経て、施行は2026年になるとみられている。

その間の自主ルールとして「AI協定」の締結が浮上。グーグル・アルファベットのCEO、スンダー・ピチャイ氏は、やはり5月にブリュッセルを訪れ、欧州委員会の委員らと相次いで会談したという。

EUの規制戦略とシリコンバレー企業のロビイングの応酬は、これまでも繰り返されてきた光景でもある。

ただ、EUで確立したルールはグローバルに波及効果がある。

●7大リスクへの対応は

日本政府の「AI戦略会議」がまとめた「AIを巡る主な論点」には、「プライバシーの侵害、犯罪への使用など人権や安心を脅かす行為」「機密情報の流出、サイバー攻撃の巧妙化などセキュリティ上のリスク」「誤情報、虚偽情報、偏向情報等が蔓延する問題」「AIが知的財産権を脅かしていないか」「透明性をどのように確保すべきか」「AIの利用に当たっての責任」「諸外国におけるルール形成、国際的な規律・標準の検討などにどのように対応するか」という7つのリスク・懸念が示されている。

前述のようにAI規則案には基盤モデルの提供事業者に対して、「基本的人権、健康と安全、環境、民主主義と法の支配」にかかわるリスク評価とその低減の義務が課されており、プライバシーについても個人データの適切な扱いの義務が課されている。

違法情報については対象となっているが、それに該当しないフェイクニュース対策は扱われていない。

著作権をめぐっては、学習データにおける著作物の開示を義務付けた。

また、AI利用の責任については、第４条bとして新たに「AIリテラシー」の条項を設けて、こう規定している。

一定の目配せは、なされているようだ。

（※2023年6月16日付「新聞紙学的」より加筆・修正のうえ転載）