これからの仕事を左右する? 各国のAI規制の動き

mojahid-mottakin-1Na806ZwUPg-unsplash (1)
2023.06.01

3月にイタリア政府がChatGPTの利用を一時禁止したというニュースは、世界を驚かせた。問題となったのは、個人情報の取り扱いで、EUの個人情報保護法である一般データ保護規則 (GDPR) に抵触する疑いで、イタリアの個人情報保護局が、ChatGPTの開発・運営元のOpenAIにイタリア人ユーザのデータを利用することを禁止するよう命令したものだった。ChatGPTのアルゴリズムの訓練のために大量の個人情報の収集と保存を正当化する法的根拠がない点が指摘された。

とくに3月に起こったChatGPTからのデータ流出に加え、利用に年齢制限がないこと、誤情報が流布され得ることが懸念材料となった。

OpenAIでは、イタリア政府の懸念にすぐに対応し、下記の措置を導入した。 

・同社がモデルに学習させる際、どういった個人情報が使われるのかをユーザに開示する。
・ChatGPTを使わない人を含め、ヨーロッパの全住民に、同社のモデルの訓練への個人情報の利用のオプトアウトを可能にし、その選択をオンラインでできるようにする。
・正確でないと思われる情報をデータ主体が抹消できる新たな仕組みを導入する。
・同社がアルゴリズムの訓練のためにユーザの個人情報を利用することを通知しながら、契約上、一定の個人情報の利用を続けることを明確にする。
・13歳未満のユーザが登録ページにアクセスできないようにする。
・13歳~18歳のユーザには親の合意を求める。

これは、イタリア政府の要求にすべて応じるものではなかったが、イタリア政府は、4月末に禁止を解除した。

 
個人情報の取り扱い

ヨーロッパでは個人情報保護が厳しく、とくにアメリカのBig Techによるヨーロッパ市民の個人情報の扱いが、以前から欧米間の摩擦事項となってきた。

これまでも、グーグルやアマゾンなどがGDPR違反で罰金を科されてきたが、先月5月には、MetaがEU内の個人情報をアメリカに転送したとして、12億ユーロの罰金を科されている。これは、GDPR違反の罰金では過去最高額である。(Metaでは控訴する構えだ。)

GDPRは、個人情報の収集や利用にあたって、企業が個々の合意を得ることを義務付けている。先月、グーグルが公開したBardは、今のところ、ヨーロッパとカナダでは展開されていないが、個人情報の収集が難しいことが背景にあると思われる。

なお、EUでは、昨年、大手プラットフォームを対象にしたデジタル市場(DMA)とデジタルサービス法(DSA)も施行されており、Big Techは対応を迫られている。

 
 

EU

中国やロシアなど、AIの利用を全面禁止している国を除き、AI規制でもっとも先行しているのはEUである。

EUでは、2021年からAIの規制法案作りに取り組んできたが、今年5月に欧州AI規制法案(European AI Act)が2つの主要な欧州議会委員会で可決された。

同法案は、リスクベースのアプローチを採用し、AIの用途に応じ、「許容不能なリスク」から「最小リスク」まで4段階のリスクに分類して、リスクごとにルールを設定するものだ。たとえば、「許容不能なリスク」として、個人に対する社会信用スコア付けは禁止し、「ハイリスク」として、雇用の際の応募者の評価や教育機関での学生の評価などが規制される。

同案は、元々、医療機器やAIによる雇用や融資の評価をハイリスクとして規制するものであった。しかし、11月にChatGPTが公開されてから、急速にグローバル規模で普及し、GPT-4も公開されたことから、いくつかの修正が行なわれ、厳格化されることになった。

修正案には、ChatGPTを含む大型言語モデル、生成AIなどの汎用型AIも規制対象に含まれ、公共の場での顔認識や生体認証テクノロジーを用いた大規模な監視活動の禁止なども盛り込まれた。違反した場合の罰金は、違反企業の世界の売上の6%にのぼる。

 
汎用型AIの規制

修正案の下では、汎用型AIの開発元は、モデルを公開する前に、安全性のチェック、データガバナンス策、リスク軽減策を施すことを義務付けられる。また、汎用型およびハイリスクのAIシステムのデータベースの作成が、EUのどこで、いつ、どのように行われているのかの開示も求められる。

さらに開発元は、開発に使われた著作物の開示義務付けられる。アメリカでは、AIによる画像作成元に対する著作権所有者らによる提訴が相次いでおり、OpenAIやグーグルでは、こうした事態を避けるため、企業秘密として、AIで利用しているデータの開示を拒んでいる。

規制案の作成において、汎用型AIを規制対象にするかどうかは、大きな争点となった。今年4月にはAIの専門家や機関が、ハイリスクの応用を意図していないとしても、汎用型AIも規制対象に含めるよう公開状を投稿した。

規制推進派は、「開発元のみが、モデルがどのように学習しているかを把握しており、その結果、バイアスや危害が起こり得る」「こうしたモデルを一定の目的に応用する下流の中小企業だけが法的責任を負わされるのはフェアではないい」「汎用型に規則を適用しないことは、SNSに対する規則をフェイスブックなどに適用しないようなものだ」と主張した。

一方、ヨーロッパの業界団体のコンピューター&通信産業協会(CCIA)では、同案の適用範囲が広すぎ、低リスクのカテゴリーまでが含まれていること、この規制案がイノベーションを妨げ、欧州企業が国際的に不利なることを懸念している。

グーグルやマイクロソフトなどの米Big Techも、同法案に反対し、EUでのロビー活動に多額の資金を注ぎ込んできた。彼らは「汎用型AIは利用目的に関して中立で、一定の目的や利用を意図して作られたものではなく、ハイリスクではない」「AIが危険を及ぼすのは、下流の企業が汎用型AIをより特殊な用途に応用した場合で、汎用型の開発元ではなく、汎用型をハイリスクに応用しようという企業が規制されるべきだ」と主張している。そして、やはり、汎用型を「ハイリスク」とすることで、ヨーロッパでのイノベーションは阻害され、消費者が損をするという意見である。

アメリカ連邦政府に規制を促すOpenAIも、「汎用型まで規制をするのはやり過ぎた」とし、今後、EU加盟国と折衝後の最終案にもよるが、「遵守する努力はするが、もし遵守不可能であれば、ヨーロッパからの撤退もあり得る」と発言している。

 
AI協定

欧州AI規制法案は、6月に欧州議会の本会議で採決され、その後、EU各加盟国と欧州委員会で審議されて最終決定される。施行は早くても2024年後半になると見られている。

なお、同法が施行されるのは2024年以降になることから、それまでに悪用を防止するために、EUでは、5月末、AI開発企業が自主的に遵守するAI協定の策定を目指すことを明らかにした。グーグルとは、すでに協議をして合意を得ているという。

EUのGDPRが個人情報の規制のグローバルスタンダードになったように、AI規制でも、他国がEUに習う可能性がある。それを防ぐために、イギリスや中国、アメリカも法制化を急いでいる。EUとしては、AIの開発においてアメリカ企業に後れを取っているため、規制によって挽回したいという狙いもある。欧州AI規制法案の起草も、「EUを信頼できるAIをグローバルハブとして位置づけることを目的としている」と宣言している。

 
 

イギリス

AIの規制に重きを置くEUとは違い、イギリスは、今のところ、AIによるイノベーションを阻害しないアプローチを目指している。

イギリス政府は、3月に、AI規制に関する政府白書を発行し、安全性、透明性・説明可能性、公平性、説明責任性・ガバナンス、競争可能性のの主要原則を提案し、企業に遵守を求める構えだ。

AIに関し、新たな法律を立法するのではなく、各セクターの省庁に既存の規制を適用するよう促しており、主要原則に沿いながら、いかにAIの革新的な開発・展開をサポートできるかを検討するよう求めている。

そこで、たとえば公正取引委員会(CMA)では、消費者や企業を不公平な行為から保護し、イノベーションが育まれるよう初期評価を行う予定だ。CMAでは、5月に、ChatGPTなどの大型言語モデルも含む基盤モデルに関し、下記に対するパブリックオピニオンを応募した。

・どのように開発され、使われるのか。
・競争・消費者保護の観点でどのような機会やリスクが生じるのか。
・今の活発なイノベーションが維持され、その恩恵を国民、企業、経済が享受し続けられるには、どのような原則が必要か。

CMAでは、これを基に、9月に提案を行う予定で、各省庁の提案を基に、政府は、来年3月ごろまでに企業向けガイドラインを発行する予定である。

 
 

カナダ

カナダでは、「AIおよびデータ法(AIDA)」案が審議されており、早ければ、2025年に施行される予定である。

同案は、AIの開発や利用において、アセスメント、リスク管理、監視、データの匿名化、透明性、記録保存を義務付けるものである。また、違反した場合、違反企業の世界の売上に対し、最大3%の罰金が科される。

カナダのIT業界も法案を支持しており、AIシステムの開発・展開の条件として、危害やバイアスのリスクを見極め、アセスメントとリスク軽減を求めている。

 
個人情報の取り扱い

一方、個人情報保護当局では、合意なしの個人情報の収集、利用、開示に対する申し立てが行なわれてているため、OpenAIに対し個人情報の取り扱いの調査を開始している。

二年前に、アメリカのAI企業が、顔認識サービスで、一部ツイッターやフェイスブックなどのSNSで使われていた個人の顔の画像を利用していたことが発覚し、カナダの個人情報保護法(PIPEDA)の違反として、SNSからの画像の収集を停止するよう命令が下っている。

既存の個人情報保護法(PIPEDA)では、AIへの言及はないが、当局は、同法の下で、個人情報の収集、利用、または開示において、企業がPIPEDAを遵守するよう求めている。

なお、カナダでは、昨年、EUのGDPRに類似した消費者個人情報保護法(CPPA)案が議会に提出されている。GDPRでは、違反した場合の罰金が4%であるのに対し、CPPAでは5%で、G7国では最高率となる。CPPA案が議会を通過すれば、上記のPIPEDAに置き換わることになる。

グーグルが、カナダでBardを展開しない背景には、この個人情報保護法案があると思われる。

 
 

アメリカ

米議会にも、AI規制に関する法案はいくつか提出されている。今年一月にはChatGPTが作成したAI規制案も登場した。しかし、実際に法制化されるには何年もかかると見られている。(※1)

法制化が進まない中、3月に、E・マスクやアップルの共同創業者ウォズニックなどITや学界の重鎮ら3万人以上が、人類の存続を脅かす存在になり得ることから、すべての研究室でGPT-4より強力なAIシステムの訓練を半年停止するよう公開状を投稿した。(これに対し、国防総省では、AI開発競争が激化する中、「当局では、開発の停止などしていられない」と発言している。)

先月には、上院の司法委員会の公聴会で、OpenAIのCEOなどが「政府はAIを規制すべきだ」と唱え、下記を提案した。(なお、同公聴会は、ChatGPTが作成した開会宣言をAIの音声で読み上げることで開幕した。)

・AIモデルを開発しようとする企業に免許を発行する新たな監督機関を設置し、無責任な企業からは免
 許はく奪を可能とする。(OpenAIは免許を取得できるであろうから、これは競合他社を締め出す手口だ
 という声も。)
・モデルが公開されるには、一定の安全基準を満たすことを義務付ける。
・かつ、公開される前に、安全基準を遵守しているかどうかを独立した専門家が監査する。
 (既存のシステムは透明性が欠如しており、個人情報が保護されておらず、バイアスが含まれてい
 る。開発元すら、モデルの仕組みを完全に理解していないという。)
・プラットフォームを免責する既存のフレームワーク(通信品位法230条)は適切ではない。

証言した専門家らは皆、AIの開発元や運営元は、いつ個人情報が収集され、いつコンテンツなどがAIに作成されているのかを明示すべきであるという考えで一致している。また、米議会には、イノベーションを支援しながら、リスクの軽減とのバランスを見つけるよう求めた。

米議会では、AI開発の一時停止を求める声はないものの、何年も、寡占が進んでしまったBig Techを規制しようとしてきたが、未だに法制化されておらず、AIでは規制が後手に回るようなことは避けたい構えだ。(Big Techでは、2021年初頭から2022年末だけでも、独占禁止法や他の法案に対する広告などに1億ドル以上を費やしている。)

アメリカでは、個人情報に関する法律も一部の州で法制化されている状態で、全米におよぶ連邦レベルの法律は、昨年も法案(ADPPA)が審議されたが、未だ議会を通っていない。

(※1) 日本国内では、アメリカの法制化の動きとして、昨年、科学技術政策局(OSTP)が発行した「AI権利章典(AI Bill of Rights)が挙げられるが、法的拘束力はなく、アメリカ国内では重要視されていない。それより、法的拘束力をもつ州法の方が重要。

 
州政府

一方、一部の州では法制化が進んでいる。規制対象は、主に雇用や医療、財務などにおける個人情報の収集、アルゴリズムを利用して、そうした情報を評価し、雇用や融資、保険、賃貸物件の応募の合否を決定することなどだ。企業は、消費者に対し、そうした決定にどのようなロジックを利用しているのかの説明義務を有し、また、消費者にオプトアウトの権利を与えることを義務付ける。(※2)

コロラド州やコネチカット州、バージニア州では、すでに個人情報保護法の下、個人の合意なしのプロファイリングが禁止されている。 (※3)

一番厳格なカリフォルニア州では、プロファイリングを禁止するだけでなく、AIツールの利用が明確に開示されない限り、州内でオンラインボットを使って商品やサービスの宣伝をすることも禁止している。現在は、AIなどを使った自動評価決定ツールの規制が審議されている。

イリノイ州は、2019年に採用時のAIの利用を規制する最初の州となった。現在は、個人情報の収集とさまざまな評価におけるアルゴリズムの利用を規制する法案が審議されている。メリーランド州では、雇用の際に、応募者の合意なしに顔認識技術の利用が禁止されている。

ニューヨーク市では、今年1月から、独立機関にバイアスの有無を年次監査されていない場合、人事採用・業績自動評価ツールの利用を禁止する条例が施行されている。(半年の猶予期間の後、7月より執行。)

この他、10州ほどで、個人情報の取り扱いやAIの利用に関して法案が審議されている。

ただし、このように州で法律が異なると、コンプライアンス遵守が難しいため、連邦レベルでの法制化を求める声は少なくない。

(※2) アメリカの場合、採用や融資、賃貸物件などでマイノリティが差別されているという観点から(人権団体などが許さない)、個人情報の扱いに関して  は、どうしてもマイノリティ保護、人種差別禁止に重きが置かれる。

(※3) EUのGDPR(EU一般データ保護規則)では、profilingは「自然人に関する特定の個人的側面を評価するために、特に、当該自然人の職務遂行能力、経済状況、健康、個人的選考、関心、信頼性、行動、位置もしくは動向を分析または予測するために、個人データを用いて行うあらゆる形式の自動化された個人データ処理」と定義。

 
 

中国

中国では、中国サイバースペース管理局(CAC)が、4月に生成AIの管理法案を公開し、意見を公募した。(※4) 先月、意見公募の期間は終了し、今後、国務院での審議を経て、法律が施行される。

規制案では、AI運営元は公開前にアプリケーションを監督機関に提出し、安全性の評価を受けることが義務付けられる。また、生成型AIアプリケーションが生成できるコンテンツの種類といった遵守すべき指針も定められている。

政府としては、AIを産業として育成しながら、反政府的な言論や行動を統制するのが狙いだ。また、同時に規制を導入して海外の生成AIサービスを締め出し、自国の産業の発展を目指したい構えだ。

なお、中国政府は生成AIの利用で政府批判が広がるのを警戒しており、SNSなどと同様、国内でのChatGPT利用は禁止されている。

 中国以外に、ロシア、イラン、シリア、キューバなどでもChatGPTの利用は禁止されている。

(※4) 「生成式人工智能服务管理办法」案

 
 

国際ルール

欧州議会では、AIの開発において国際的な協力を求めているが、先月のG7広島サミットでは、AIに関する国際的なルール策定に向けて協議する「広島AIプロセス」を進めることで合意した。年内の結果報告を目指し、5月30日には事務レベルが参加する作業部会がオンラインで開催される予定である。

それに先立ち、日本政府は、有識者会議の「AI戦略会議」を開催し、AIの活用におけるリスクを含む論点整理を行った。サミット議長国として、国際的なルール形成の議論をリードしたい意向だ。政府は、今後、統一的な事業者向けガイドラインの策定を関係省庁に指示するという。

今のところ政府内でも生成AIの活用を発表しており、イギリスやシンガポールと並んで規制よりもAIの開発・活用に積極的である。

4月に、OpenAIのCEOが、ChapGPT公開後初の訪問先として日本を訪れ、話題になったが、OpenAIは日本市場を重視しており、日本国内に拠点を置き、日本語サービスを拡大することを検討しているという。これには、日本の個人情報保護法が、ヨーロッパのGDPRほど厳しくなく、AIの機械学習に適していることが一因だとも言われている。

なお、国際協力としては、2020年6月に人間中心の考えに基づく責任あるAIの開発と使用に取り組む国際的なイニシアティブ、GPAI(AIに関するグローバルパートナーシップ)が設立されている。これは、政府、国際機関、産業界、有識者などからなる官民多国間組織で、G7を中心とする15カ国が設立メンバーとなり、今では29ヵ国が参画している。

 
 
                  
※掲載内容は、作者からの提供であり、当社にて情報の信頼性および正確性は保証いたしません。

有元 美津世プロフィール
大学卒業後、外資系企業勤務を経て渡米。MBA取得後、16年にわたり日米企業間の戦略提携コンサルティング業を営む。 社員採用の経験を基に経営者、採用者の視点で就活アドバイス。現在は投資家として、投資家希望者のメンタリングを通じ、資産形成、人生設計を視野に入れたキャリアアドバイスも提供。在米27年。 著書に『英文履歴書の書き方Ver.3.0』『面接の英語』など多数。