更新:2024年9月25日、当社は EU AI Pact における3つの中核的コミットメントに署名しました。
- AI ガバナンス戦略を採用し、組織における AI の導入を促進し、将来的な AI Act への遵守に向けて取り組みます。
- AI Act の下で高リスクとみなされる地域で提供または展開される AI システムのマッピングを実行可能な範囲で実施します。
- 技術的知識、経験、教育、および学習と、AI システムが使用される文脈を考慮し、AI システムの使用によって影響を受ける個人またはグループを考慮した上で、そのスタッフおよびそのスタッフに代わって AI システムを取り扱うその他の者の認識と AI リテラシーを推進します。
当社は、AI Pact が AI リテラシー、採用、ガバナンスを中核としているのは、AI の利益が広く行き渡るようにするための適切な優先度の設定を目指しているためであると考えています。さらに、すべての人に利益をもたらす安全かつ最先端の技術を提供するという当社の使命に合致しています。
EU AI Act(新しいウィンドウで開く) は、欧州全域における AI の開発、展開、利用を管理するために設計された重要な規制の枠組みです。健康、安全、および基本的権利を守りつつ、欧州で信頼できる AI の採用を推進するため、安全性にかなり重点を置いています。これは、AI システムに伴うリスクに基づく新たな要件を導入します。特に高リスクで許容不可能なユースケースに重点を置いているほか、汎用目的型 AI(GPAI)モデルおよびシステムに対する特別な義務も課しています。
立法プロセスが完了し、この法律は2024年8月に施行されますが、法律の範囲、特にOpenAI のような GPAI モデルに適用される範囲を定義するため、さらなるガイダンスと法令の制定が必要となります。
この法律が法的義務であるだけでなく、この法律の目的が、全人類に利益をもたらす安全な AI の開発と展開という当社の使命に合致しているため、OpenAI はこの法律の遵守にコミットしています。当社は、能力と安全性の両方で業界をリードするモデルをリリースできることを誇りに思っています。当社は、安全対策が最初から開発プロセスに統合された、バランスの取れた科学的アプローチを信じています。当社のチームは、展開前の Preparedness Framework の下でのモデルの評価、内部および外部のレッドチーム、展開後の悪用の監視、バグバウンティおよびサイバーセキュリティ助成プログラム、真正性基準への貢献といった AI の安全性の課題に取り組む幅広い技術的な取り組みを行っています。
当社は、今後数か月の間に新しい法律が施行されるにあたって、EU AI Office やその他の関連当局と緊密に協力し、安全かつ有益な AI の展開に関して、当社が築いてきた専門性によってこの法律の目的の推進を支持できれば幸いです。
この記事では、禁止されているケースや高リスクのユースケースに特に焦点を当て、AI Act の主なトピックの概要を説明します。
AI Act は、EU Official Journal で発表されてから20日後の2024年8月1日に発効されます。この法律の規定のほとんどは、施行後24か月間は有効になりませんが、留意すべき重要な期限がいくつかあります。
- 禁止行為の禁止は、施行(2025年2月)から6か月後に有効になります
- この法律の遵守に必要な施行の詳細の多くをカバーする実施細則を、施行(2025年5月)後9か月以内に最終決定する必要があります
- 汎用目的型 AI の義務の多くは、施行(2025年8月)から12か月後に有効になります。
- 高リスク AI システムの多くに対する義務は、施行(2026年8月)から24か月後に適用されます。
大幅な改変が行われていない既存の GPAI システム、および AI Act の附属書 X で特定された大規模 IT システムの構成要素である特定の AI システムの方が実施期限が長く、36か月(2027年8月)となっています。
AI Act は主に「AI システム」に適用されます。「AI システム」は、この法律では「さまざまなレベルの自律性で動作するように設計され、展開後に適応性を示す可能性があり、明示的または暗黙的な目的のために、物理的または仮想的な環境に影響を与える可能性がある予測、コンテンツ、推奨、決定などの出力を生成する方法を、受け取った入力から推測する機械ベースのシステム」と定義されています。 この定義は、OECD が2023年に発表した「AI システム」の定義、およびバイデン政権の Executive Order 14110 on Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence で使用されている定義とおおむね一致しています。
重要なのは、AI Act が AI システムのプロバイダーとデプロイヤーを区別している点です。プロバイダーとは、OpenAI のように、AI システムまたは汎用目的型 AI モデルを開発している事業体を指します。また、有償か無償かを問わず、AI システムまたは汎用目的型 AI モデルの開発を依頼し、それを市場に投入する、または AI システムを自らの名称または商標でサービスとして運用する事業者も含まれます。
デプロイヤーは、特定のユースケースへの GPT‑4o の統合など、これらのシステムまたはモデルを独自のアプリケーションで使用する顧客またはパートナーを指します。AI Act に基づく義務の多くは、デプロイヤーではなく、プロバイダーに課されますが、AI モデルを自社の AI システムに統合するデプロイヤーは、AI システムに自社の商標を使用したり、プロバイダーが意図しない方法で AI システムを改変したりすることで、この法律の下ではプロバイダーになり得ることに留意することが重要です。
EU 域外の組織は、非常に広範囲に及ぶさまざまな条件の下で AI Act を遵守する必要があります。 たとえば、以下の場合にこの法律が適用されます。
- プロバイダーが、EU 域内で設立された企業であるか、EU 域外で設立された企業であるかにかかわらず、AI システムまたは GPAI モデルを EU 市場に投入した場合。
- AI システムのデプロイヤーが、EU 域内に事業所を有するか、EU域内に所在している場合。
- AI システムのプロバイダーとデプロイヤーが第三国で設立されたか、所在しているが、AI システムによって生成された出力が EU 域内で使用される場合。
AI Act の域外適用範囲が広いということは、EU 域外の企業が EU 域内に拠点を置いているかどうかにかかわらず、EU 域内の顧客にサービスを提供するためにはこの法律を遵守する必要があることを意味します。
AI Act はリスクベースの枠組みに基づいており、リスクが高く許容不可能な AI システムには固有の要件が設けられています。この法律は、企業に AI システムのリスクレベルを分類し、対応する規制義務を決定することを義務付けており、それぞれ異なる義務が課される AI システムのさまざまなカテゴリーや階層を定めています。
個人の権利に許容不可能なリスクをもたらすとみなされる特定の AI に関連する慣行は、全面的に禁止されています。これらの慣行には以下が含まれます。
- サブリミナル的、詐欺的、または欺瞞的な手法によって行動を歪め、十分な情報に基づいた意思決定を妨害し、重大な損害を与えること。
- 年齢、障害、または社会経済的状況に関連する脆弱性を悪用して行動を歪め、重大な損害を与えること。
- 人種、政治的意見、労働組合への加入状況、宗教的または哲学的信条、性生活、性的指向などのセンシティブ属性を推測する生体分類システム(合法的に取得されたデータセットのラベリングまたはフィルタリング、および法執行機関による使用のための限定的な例外除く)
- ソーシャルスコアリングシステム(社会的行動または性格特性に基づいて個人またはグループを評価または分類するシステムなど)が危害をもたらすこと。
- プロファイリングや性格特性のみに基づいて、個人が犯罪を犯すリスクを評価すること(限定的な例外除く)
- インターネットまたは CCTV の映像から顔画像を無作為に収集し、顔認識データベースを構築すること
- 職場または教育機関における感情の推測
- 法執行機関が使用するための公共の場における遠隔リアルタイム生体認証(一定の例外除く)。
この法律は、健康、安全、または個人の基本的権利に重大な脅威をもたらすと判断されたシステムに対して厳格な義務を課しており、このシステムは高リスク AI(HRAI)に分類されます。これには、a) 他の EU の法律の対象となる製品の安全性コンポーネントであるシステム、b) 教育機関へのアクセスや入学の判断、労働者の採用や選出、労働者のパフォーマンスの監視、公的扶助の資格、信用力の判断、および健康保険の料金の評価などを目的としたシステムといった特定のユースケースが含まれます。
HRAI システムは、HRAI システムのライフサイクル全体を通じてリスクと軽減策を継続的に評価するリスク管理システムの確立、バイアスのリスクをテストおよび評価するための包括的なデータガバナンス対策、システムの市場投入前の詳細な技術文書の作成、継続的なモニタリング義務など、厳格な規制義務を遵守しなければなりません。
許容不可能なリスクや高いリスクをもたらさないその他の AI システムには、透明性の義務など、限定的な要件のみ適用されます。たとえば、このような法律は、チャットボットのような AI システムと対話する場合は個人に通知する必要があること、人工的に操作された画像、音声、または映像コンテンツはその旨を明確に表示する必要があることを規定しています。市場に投入されたほとんどの AI システムは、このカテゴリーに該当する可能性が高いです。
OpenAI のような汎用目的型 AI モデルおよびシステムのプロバイダーには、以下のような特別な要件が適用されます。
- モデルの詳細な技術文書を作成し、要請があった場合 AI Office に提供する
- GPAI モデルを使用して独自の AI システムを開発するデプロイヤー向けの文書を作成する
- EU 著作権法の遵守を目的としたポリシーを施行する
- GPAI モデルの学習に使用されたコンテンツの要約を提供する
また、「システミックリスク」をもたらすとみなされる、影響の大きい能力を持つ GPAI モデル(たとえば、技術的に 10^25 FLOPs と定義される、大量のコンピューティングで学習が行われたモデル)のプロバイダーは、以下を求められます。
- システミックリスクの特定および軽減のためのモデル評価を実施し、提示されたリスクを継続的に評価および軽減する
- このカテゴリーの基準を満たすモデルを欧州委員会に通知する
- 重大なインシデントを監視および報告する
- モデルおよびその物理インフラストラクチャに対して、適切なサイバーセキュリティ対策を実施する
GPAI モデルプロバイダーは実施規則に依拠して、AI Act の要件の遵守を証明できます。この実施規則は、これらの義務を実施するための具体的な詳細の基礎を築く可能性が高く、今後9か月間で策定していく中で EU AI Office と協力することを楽しみにしています。
OpenAI は EU AI Act の遵守にコミットし、法律が施行される際には新しい EU AI Office と緊密に協力していきます。今後数か月間、当社は引き続き GPAI モデルの下流のプロバイダーとデプロイヤーのための技術文書とその他のガイダンスを準備し、同時に当社が提供するモデルのセキュリティと安全性を欧州とその他の地域の市場でも推進していきます。
貴組織が AI Act を遵守する方法を決定しようとしている場合、まず、対象となる AI システムの分類を試してみてください。使用する GPAI およびその他の AI システムを特定し、それらがどう分類されるかを判断し、ユースケースからどのような義務が発生するかを検討してください。また、対象となる AI システムに関して、プロバイダーまたはデプロイヤーのどちらに該当するのかを判断する必要があります。これらの問題は複雑な場合があるため、疑問があれば弁護士に相談してください。