３月にイタリア政府がChatGPTの利用を一時禁止したというニュースは、世界を驚かせた。問題となったのは、個人情報の取り扱いで、ＥＵの個人情報保護法である一般データ保護規則 （ＧＤＰＲ)　に抵触する疑いで、イタリアの個人情報保護局が、ChatGPTの開発・運営元のOpenAIにイタリア人ユーザのデータを利用することを禁止するよう命令したものだった。ChatGPTのアルゴリズムの訓練のために大量の個人情報の収集と保存を正当化する法的根拠がない点が指摘された。

とくに３月に起こったChatGPTからのデータ流出に加え、利用に年齢制限がないこと、誤情報が流布され得ることが懸念材料となった。

OpenAIでは、イタリア政府の懸念にすぐに対応し、下記の措置を導入した。　

・同社がモデルに学習させる際、どういった個人情報が使われるのかをユーザに開示する。
・ChatGPTを使わない人を含め、ヨーロッパの全住民に、同社のモデルの訓練への個人情報の利用のオプトアウトを可能にし、その選択をオンラインでできるようにする。
・正確でないと思われる情報をデータ主体が抹消できる新たな仕組みを導入する。
・同社がアルゴリズムの訓練のためにユーザの個人情報を利用することを通知しながら、契約上、一定の個人情報の利用を続けることを明確にする。
・13歳未満のユーザが登録ページにアクセスできないようにする。
・13歳～18歳のユーザには親の合意を求める。

これは、イタリア政府の要求にすべて応じるものではなかったが、イタリア政府は、４月末に禁止を解除した。

 
個人情報の取り扱い

ヨーロッパでは個人情報保護が厳しく、とくにアメリカのBig Techによるヨーロッパ市民の個人情報の扱いが、以前から欧米間の摩擦事項となってきた。

これまでも、グーグルやアマゾンなどがＧＤＰＲ違反で罰金を科されてきたが、先月５月には、MetaがＥＵ内の個人情報をアメリカに転送したとして、12億ユーロの罰金を科されている。これは、ＧＤＰＲ違反の罰金では過去最高額である。（Metaでは控訴する構えだ。）

ＧＤＰＲは、個人情報の収集や利用にあたって、企業が個々の合意を得ることを義務付けている。先月、グーグルが公開したBardは、今のところ、ヨーロッパとカナダでは展開されていないが、個人情報の収集が難しいことが背景にあると思われる。

なお、ＥＵでは、昨年、大手プラットフォームを対象にしたデジタル市場（ＤＭＡ）とデジタルサービス法（ＤＳＡ）も施行されており、Big Techは対応を迫られている。

EU

中国やロシアなど、ＡＩの利用を全面禁止している国を除き、ＡＩ規制でもっとも先行しているのはＥＵである。

ＥＵでは、2021年からＡＩの規制法案作りに取り組んできたが、今年５月に欧州ＡＩ規制法案（European AI Act）が２つの主要な欧州議会委員会で可決された。

同法案は、リスクベースのアプローチを採用し、ＡＩの用途に応じ、「許容不能なリスク」から「最小リスク」まで４段階のリスクに分類して、リスクごとにルールを設定するものだ。たとえば、「許容不能なリスク」として、個人に対する社会信用スコア付けは禁止し、「ハイリスク」として、雇用の際の応募者の評価や教育機関での学生の評価などが規制される。

同案は、元々、医療機器やＡＩによる雇用や融資の評価をハイリスクとして規制するものであった。しかし、11月にChatGPTが公開されてから、急速にグローバル規模で普及し、GPT-4も公開されたことから、いくつかの修正が行なわれ、厳格化されることになった。

修正案には、ChatGPTを含む大型言語モデル、生成ＡＩなどの汎用型ＡＩも規制対象に含まれ、公共の場での顔認識や生体認証テクノロジーを用いた大規模な監視活動の禁止なども盛り込まれた。違反した場合の罰金は、違反企業の世界の売上の６％にのぼる。

 
汎用型ＡＩの規制

修正案の下では、汎用型ＡＩの開発元は、モデルを公開する前に、安全性のチェック、データガバナンス策、リスク軽減策を施すことを義務付けられる。また、汎用型およびハイリスクのＡＩシステムのデータベースの作成が、ＥＵのどこで、いつ、どのように行われているのかの開示も求められる。

さらに開発元は、開発に使われた著作物の開示義務付けられる。アメリカでは、ＡＩによる画像作成元に対する著作権所有者らによる提訴が相次いでおり、OpenAIやグーグルでは、こうした事態を避けるため、企業秘密として、ＡＩで利用しているデータの開示を拒んでいる。

規制案の作成において、汎用型ＡＩを規制対象にするかどうかは、大きな争点となった。今年４月にはＡＩの専門家や機関が、ハイリスクの応用を意図していないとしても、汎用型ＡＩも規制対象に含めるよう公開状を投稿した。

規制推進派は、「開発元のみが、モデルがどのように学習しているかを把握しており、その結果、バイアスや危害が起こり得る」「こうしたモデルを一定の目的に応用する下流の中小企業だけが法的責任を負わされるのはフェアではないい」「汎用型に規則を適用しないことは、ＳＮＳに対する規則をフェイスブックなどに適用しないようなものだ」と主張した。

一方、ヨーロッパの業界団体のコンピューター＆通信産業協会（ＣＣＩＡ）では、同案の適用範囲が広すぎ、低リスクのカテゴリーまでが含まれていること、この規制案がイノベーションを妨げ、欧州企業が国際的に不利なることを懸念している。

グーグルやマイクロソフトなどの米Big Techも、同法案に反対し、ＥＵでのロビー活動に多額の資金を注ぎ込んできた。彼らは「汎用型ＡＩは利用目的に関して中立で、一定の目的や利用を意図して作られたものではなく、ハイリスクではない」「ＡＩが危険を及ぼすのは、下流の企業が汎用型ＡＩをより特殊な用途に応用した場合で、汎用型の開発元ではなく、汎用型をハイリスクに応用しようという企業が規制されるべきだ」と主張している。そして、やはり、汎用型を「ハイリスク」とすることで、ヨーロッパでのイノベーションは阻害され、消費者が損をするという意見である。

アメリカ連邦政府に規制を促すOpenAIも、「汎用型まで規制をするのはやり過ぎた」とし、今後、ＥＵ加盟国と折衝後の最終案にもよるが、「遵守する努力はするが、もし遵守不可能であれば、ヨーロッパからの撤退もあり得る」と発言している。

 
ＡＩ協定

欧州ＡＩ規制法案は、６月に欧州議会の本会議で採決され、その後、ＥＵ各加盟国と欧州委員会で審議されて最終決定される。施行は早くても2024年後半になると見られている。

なお、同法が施行されるのは2024年以降になることから、それまでに悪用を防止するために、ＥＵでは、５月末、ＡＩ開発企業が自主的に遵守するＡＩ協定の策定を目指すことを明らかにした。グーグルとは、すでに協議をして合意を得ているという。

ＥＵのＧＤＰＲが個人情報の規制のグローバルスタンダードになったように、ＡＩ規制でも、他国がＥＵに習う可能性がある。それを防ぐために、イギリスや中国、アメリカも法制化を急いでいる。ＥＵとしては、ＡＩの開発においてアメリカ企業に後れを取っているため、規制によって挽回したいという狙いもある。欧州ＡＩ規制法案の起草も、「ＥＵを信頼できるＡＩをグローバルハブとして位置づけることを目的としている」と宣言している。

イギリス

ＡＩの規制に重きを置くＥＵとは違い、イギリスは、今のところ、ＡＩによるイノベーションを阻害しないアプローチを目指している。

イギリス政府は、３月に、ＡＩ規制に関する政府白書を発行し、安全性、透明性・説明可能性、公平性、説明責任性・ガバナンス、競争可能性のの主要原則を提案し、企業に遵守を求める構えだ。

ＡＩに関し、新たな法律を立法するのではなく、各セクターの省庁に既存の規制を適用するよう促しており、主要原則に沿いながら、いかにＡＩの革新的な開発・展開をサポートできるかを検討するよう求めている。

そこで、たとえば公正取引委員会（ＣＭＡ）では、消費者や企業を不公平な行為から保護し、イノベーションが育まれるよう初期評価を行う予定だ。ＣＭＡでは、５月に、ChatGPTなどの大型言語モデルも含む基盤モデルに関し、下記に対するパブリックオピニオンを応募した。

・どのように開発され、使われるのか。
・競争・消費者保護の観点でどのような機会やリスクが生じるのか。
・今の活発なイノベーションが維持され、その恩恵を国民、企業、経済が享受し続けられるには、どのような原則が必要か。

ＣＭＡでは、これを基に、９月に提案を行う予定で、各省庁の提案を基に、政府は、来年３月ごろまでに企業向けガイドラインを発行する予定である。

カナダ

カナダでは、「ＡＩおよびデータ法（ＡＩＤＡ）」案が審議されており、早ければ、2025年に施行される予定である。

同案は、ＡＩの開発や利用において、アセスメント、リスク管理、監視、データの匿名化、透明性、記録保存を義務付けるものである。また、違反した場合、違反企業の世界の売上に対し、最大３％の罰金が科される。

カナダのＩＴ業界も法案を支持しており、ＡＩシステムの開発・展開の条件として、危害やバイアスのリスクを見極め、アセスメントとリスク軽減を求めている。

 
個人情報の取り扱い

一方、個人情報保護当局では、合意なしの個人情報の収集、利用、開示に対する申し立てが行なわれてているため、OpenAIに対し個人情報の取り扱いの調査を開始している。

二年前に、アメリカのＡＩ企業が、顔認識サービスで、一部ツイッターやフェイスブックなどのＳＮＳで使われていた個人の顔の画像を利用していたことが発覚し、カナダの個人情報保護法（PIPEDA）の違反として、ＳＮＳからの画像の収集を停止するよう命令が下っている。

既存の個人情報保護法（PIPEDA）では、ＡＩへの言及はないが、当局は、同法の下で、個人情報の収集、利用、または開示において、企業がPIPEDAを遵守するよう求めている。

なお、カナダでは、昨年、ＥＵのＧＤＰＲに類似した消費者個人情報保護法（CPPA)案が議会に提出されている。ＧＤＰＲでは、違反した場合の罰金が４％であるのに対し、ＣＰＰＡでは５％で、Ｇ７国では最高率となる。ＣＰＰＡ案が議会を通過すれば、上記のPIPEDAに置き換わることになる。

グーグルが、カナダでBardを展開しない背景には、この個人情報保護法案があると思われる。

アメリカ

米議会にも、ＡＩ規制に関する法案はいくつか提出されている。今年一月にはChatGPTが作成したＡＩ規制案も登場した。しかし、実際に法制化されるには何年もかかると見られている。(※1)

法制化が進まない中、３月に、Ｅ・マスクやアップルの共同創業者ウォズニックなどＩＴや学界の重鎮ら３万人以上が、人類の存続を脅かす存在になり得ることから、すべての研究室でGPT-4より強力なＡＩシステムの訓練を半年停止するよう公開状を投稿した。（これに対し、国防総省では、ＡＩ開発競争が激化する中、「当局では、開発の停止などしていられない」と発言している。）

先月には、上院の司法委員会の公聴会で、OpenAIのＣＥＯなどが「政府はＡＩを規制すべきだ」と唱え、下記を提案した。（なお、同公聴会は、ChatGPTが作成した開会宣言をＡＩの音声で読み上げることで開幕した。）

・ＡＩモデルを開発しようとする企業に免許を発行する新たな監督機関を設置し、無責任な企業からは免
　許はく奪を可能とする。（OpenAIは免許を取得できるであろうから、これは競合他社を締め出す手口だ
　という声も。）
・モデルが公開されるには、一定の安全基準を満たすことを義務付ける。
・かつ、公開される前に、安全基準を遵守しているかどうかを独立した専門家が監査する。
　（既存のシステムは透明性が欠如しており、個人情報が保護されておらず、バイアスが含まれてい
　る。開発元すら、モデルの仕組みを完全に理解していないという。）
・プラットフォームを免責する既存のフレームワーク（通信品位法230条）は適切ではない。

証言した専門家らは皆、ＡＩの開発元や運営元は、いつ個人情報が収集され、いつコンテンツなどがＡＩに作成されているのかを明示すべきであるという考えで一致している。また、米議会には、イノベーションを支援しながら、リスクの軽減とのバランスを見つけるよう求めた。

米議会では、ＡＩ開発の一時停止を求める声はないものの、何年も、寡占が進んでしまったBig Techを規制しようとしてきたが、未だに法制化されておらず、ＡＩでは規制が後手に回るようなことは避けたい構えだ。（Big Techでは、2021年初頭から2022年末だけでも、独占禁止法や他の法案に対する広告などに1億ドル以上を費やしている。）

アメリカでは、個人情報に関する法律も一部の州で法制化されている状態で、全米におよぶ連邦レベルの法律は、昨年も法案（ADPPA）が審議されたが、未だ議会を通っていない。

(※1) 日本国内では、アメリカの法制化の動きとして、昨年、科学技術政策局（OSTP）が発行した「ＡＩ権利章典（AI Bill of Rights）が挙げられるが、法的拘束力はなく、アメリカ国内では重要視されていない。それより、法的拘束力をもつ州法の方が重要。

 
州政府

一方、一部の州では法制化が進んでいる。規制対象は、主に雇用や医療、財務などにおける個人情報の収集、アルゴリズムを利用して、そうした情報を評価し、雇用や融資、保険、賃貸物件の応募の合否を決定することなどだ。企業は、消費者に対し、そうした決定にどのようなロジックを利用しているのかの説明義務を有し、また、消費者にオプトアウトの権利を与えることを義務付ける。(※2)

コロラド州やコネチカット州、バージニア州では、すでに個人情報保護法の下、個人の合意なしのプロファイリングが禁止されている。 (※3)

一番厳格なカリフォルニア州では、プロファイリングを禁止するだけでなく、ＡＩツールの利用が明確に開示されない限り、州内でオンラインボットを使って商品やサービスの宣伝をすることも禁止している。現在は、ＡＩなどを使った自動評価決定ツールの規制が審議されている。

イリノイ州は、2019年に採用時のＡＩの利用を規制する最初の州となった。現在は、個人情報の収集とさまざまな評価におけるアルゴリズムの利用を規制する法案が審議されている。メリーランド州では、雇用の際に、応募者の合意なしに顔認識技術の利用が禁止されている。

ニューヨーク市では、今年１月から、独立機関にバイアスの有無を年次監査されていない場合、人事採用・業績自動評価ツールの利用を禁止する条例が施行されている。（半年の猶予期間の後、７月より執行。）

この他、10州ほどで、個人情報の取り扱いやＡＩの利用に関して法案が審議されている。

ただし、このように州で法律が異なると、コンプライアンス遵守が難しいため、連邦レベルでの法制化を求める声は少なくない。

(※2) アメリカの場合、採用や融資、賃貸物件などでマイノリティが差別されているという観点から（人権団体などが許さない）、個人情報の扱いに関して　　は、どうしてもマイノリティ保護、人種差別禁止に重きが置かれる。

(※3) ＥＵのGDPR（ＥＵ一般データ保護規則）では、profilingは「自然人に関する特定の個人的側面を評価するために、特に、当該自然人の職務遂行能力、経済状況、健康、個人的選考、関心、信頼性、行動、位置もしくは動向を分析または予測するために、個人データを用いて行うあらゆる形式の自動化された個人データ処理」と定義。

中国

中国では、中国サイバースペース管理局（ＣＡＣ）が、４月に生成ＡＩの管理法案を公開し、意見を公募した。(※4) 先月、意見公募の期間は終了し、今後、国務院での審議を経て、法律が施行される。

規制案では、ＡＩ運営元は公開前にアプリケーションを監督機関に提出し、安全性の評価を受けることが義務付けられる。また、生成型AIアプリケーションが生成できるコンテンツの種類といった遵守すべき指針も定められている。

政府としては、ＡＩを産業として育成しながら、反政府的な言論や行動を統制するのが狙いだ。また、同時に規制を導入して海外の生成ＡＩサービスを締め出し、自国の産業の発展を目指したい構えだ。

なお、中国政府は生成ＡＩの利用で政府批判が広がるのを警戒しており、ＳＮＳなどと同様、国内でのChatGPT利用は禁止されている。

　中国以外に、ロシア、イラン、シリア、キューバなどでもChatGPTの利用は禁止されている。

(※4) 「生成式人工智能服务管理办法」案

国際ルール

欧州議会では、ＡＩの開発において国際的な協力を求めているが、先月のＧ７広島サミットでは、ＡＩに関する国際的なルール策定に向けて協議する「広島ＡＩプロセス」を進めることで合意した。年内の結果報告を目指し、５月30日には事務レベルが参加する作業部会がオンラインで開催される予定である。

それに先立ち、日本政府は、有識者会議の「ＡＩ戦略会議」を開催し、ＡＩの活用におけるリスクを含む論点整理を行った。サミット議長国として、国際的なルール形成の議論をリードしたい意向だ。政府は、今後、統一的な事業者向けガイドラインの策定を関係省庁に指示するという。

今のところ政府内でも生成ＡＩの活用を発表しており、イギリスやシンガポールと並んで規制よりもＡＩの開発・活用に積極的である。

４月に、OpenAIのＣＥＯが、ChapGPT公開後初の訪問先として日本を訪れ、話題になったが、OpenAIは日本市場を重視しており、日本国内に拠点を置き、日本語サービスを拡大することを検討しているという。これには、日本の個人情報保護法が、ヨーロッパのＧＤＰＲほど厳しくなく、ＡＩの機械学習に適していることが一因だとも言われている。

なお、国際協力としては、2020年6月に人間中心の考えに基づく責任あるＡＩの開発と使用に取り組む国際的なイニシアティブ、ＧＰＡＩ（ＡＩに関するグローバルパートナーシップ）が設立されている。これは、政府、国際機関、産業界、有識者などからなる官民多国間組織で、Ｇ７を中心とする15カ国が設立メンバーとなり、今では29ヵ国が参画している。

 
 
                  
※掲載内容は、作者からの提供であり、当社にて情報の信頼性および正確性は保証いたしません。