2025年8月2日より、欧州連合(EU)における汎用人工知能(GPAI)モデルの提供者は、EU AI法の主要規定を遵守する必要があります。要件には、最新の技術文書とトレーニングデータの概要を維持することが含まれます。
AI法は、AIの安全かつ倫理的な利用を確保するためのEU全体の措置を概説しています。この法律は、市民に対するリスクと影響の認識レベルに基づいてAIシステムを分類する、リスクベースの規制アプローチを確立しています。
期限が近づくにつれ、法律専門家はAIプロバイダーから、この法律は明確性に欠けており、遵守する意思があっても罰則を受ける可能性があるという声を聞いている。また、一部の要件はテクノロジー系スタートアップ企業に過度な要求を課すことでEUのイノベーションを脅かす可能性もある。しかし、この法律は、偏見や有害なAI生成コンテンツのリスクを軽減することに真に焦点を当てていない。
法律事務所プロスカウアーのテクノロジー部門パートナー、オリバー・ハウリー氏は、TechRepublicに対し、これらの欠陥について語った。「理論上は、2025年8月2日が責任あるAIにとって重要な節目の日となるはずです」とハウリー氏はメールで述べた。「しかし実際には、大きな不確実性が生じており、場合によっては商業的な躊躇を招いています。」
不明確な法律により、GPAIプロバイダーは知的財産漏洩や罰則の対象となる
舞台裏では、EUのAIモデルプロバイダーは、この法律が「解釈の余地が大きすぎる」として苦戦しているとハウリー氏はTechRepublicに語った。「理論上は、この規則は実現可能ですが…高度なレベルで起草されているため、真の曖昧さが生じています。」
不透明な要件の中には、非現実的な基準を課すものもある。AI実践規範は、テクノロジー企業がAI法の導入と遵守のために署名できる自主的な枠組みであり、GPAIモデルプロバイダーに対し、データマイニングをオプトアウトしたウェブサイトをトレーニングデータから除外するよう指示している。ハウリー氏は、これは「遡及適用は言うまでもなく、今後適用する上でも十分に困難な基準だ」と述べた。
誰が要件を遵守する義務を負うのかも明確ではありません。「オープンソースモデルを特定のタスク向けに微調整した場合、あなたは『プロバイダー』になるのでしょうか?」とハウリー氏は言います。「単にホスティングしたり、下流の製品にラップしたりする場合はどうなるでしょうか? これは、コンプライアンスの負担を誰が負うかに影響するため、重要です。」
実際、オープンソースGPAIモデルのプロバイダーは透明性義務の一部から免除されていますが、「システムリスク」をもたらす場合はそうではありません。実際には、安全性テスト、レッドチーム演習、導入後の監視など、より厳格な一連の義務が課せられます。しかし、オープンソース化によって無制限の使用が可能になるため、下流のアプリケーションをすべて追跡することはほぼ不可能であり、それでもプロバイダーは有害な結果に対して責任を問われる可能性があります。
煩雑な要件はAIスタートアップに不釣り合いな影響を与える可能性がある
「一部の開発者は、コードに署名したにもかかわらず、透明性要件によって企業秘密が漏洩し、欧州におけるイノベーションが阻害される可能性があると懸念を表明しています」とハウリー氏はTechRepublicに語った。OpenAI、Anthropic、そしてGoogleはコードへの署名を表明しており、特にGoogleは懸念を表明している。Metaは、現行の法制度に抗議し、コードへの署名を公然と拒否している。
「一部の企業はすでにEU市場での発売を遅らせたり、アクセスを制限したりしている。これは同法の目的に反対しているからではなく、遵守の道筋が明確でなく、間違えた場合のコストが高すぎるからだ。」
ハウリー氏は、スタートアップ企業は社内に膨大な書類作成要件に対応できる法務サポートがないため、最も困難な状況にあると述べた。スタートアップ企業はイノベーションにおいて最も重要な企業の一つであり、EUもこのことを認識している。
「初期段階の開発者にとって、法的リスクや機能のロールバックのリスクは、EUからの投資を完全に遠ざけるのに十分な要因となる可能性があります」と彼は付け加えた。「したがって、この法律の目的は妥当であるものの、その施行によって、まさにこの法律が支援するために設計された責任あるイノベーションが減速してしまうというリスクがあります。」
スタートアップの可能性を潰すことで生じる可能性のある連鎖反応として、地政学的緊張の高まりが挙げられます。米国政権によるAI規制への声高な反対は、EUの監督推進と衝突し、進行中の貿易交渉に悪影響を及ぼす可能性があります。「米国を拠点とするプロバイダーが法執行措置の対象となるようになれば、この緊張はさらに高まる可能性があります」とハウリー氏は述べました。
この法律は偏見や有害なコンテンツの防止にほとんど焦点を当てておらず、その効果は限られている。
この法律には重大な透明性要件が定められているものの、正確性、信頼性、現実世界への影響に関する強制的な基準は設けられていないとハウリー氏はTechRepublicに語った。
「システミックリスクモデルでさえ、実際の出力に基づいて規制されるのではなく、関連する書類の堅牢性に基づいて規制されるだけです」と彼は述べた。「モデルは、トレーニング概要の公開からインシデント対応プロトコルの実行まで、あらゆる技術的要件を満たしていても、有害または偏ったコンテンツを生成する可能性があります。」
8月2日からはどのような規則が施行されますか?
GPAI モデルのプロバイダーが現時点で認識し、遵守していることを確認する必要があるルールは 5 つあります。
- 認定機関(第3章第4節)
- GPAIモデル(第5章)
- ガバナンス(第7章)
- 秘密保持(第78条)
- 罰則(第99条及び第100条)
認定機関
高リスクの GPAI モデルのプロバイダーは、適合性評価のために認定機関と連携する準備をし、それらの評価をサポートする規制構造を理解する必要があります。
高リスクAIシステムとは、健康、安全、または基本的人権に重大な脅威をもたらすシステムです。これらのシステムは、1. EU製品安全法の対象となる製品の安全コンポーネントとして使用されている、または2. 以下のようなセンシティブなユースケースで導入されている、のいずれかに該当します。
- 生体認証
- 重要インフラ管理
- 教育
- 雇用と人事
- 法執行機関
GPAIモデル:システミックリスクはより厳しい義務を引き起こす
GPAIモデルは複数の用途に使用できます。これらのモデルは、学習中に1秒あたり1025回の浮動小数点演算(FLOP)を超えると「システムリスク」を生じ、EU AI Officeによってそのように指定されています。OpenAIのChatGPT、MetaのLlama、GoogleのGeminiは、これらの基準に該当します。
システムリスクをもたらす GPAI モデルのプロバイダーは、モデル評価の実施、インシデントの報告、リスク軽減戦略とサイバーセキュリティ保護策の実装、エネルギー使用量の開示、市販後監視の実施も行う必要があります。
ガバナンス:複数のEU機関による監督
この一連の規則は、EUレベルおよび各国レベルの両方におけるガバナンスと執行の枠組みを規定しています。GPAIモデルの提供者は、EU AIオフィス、欧州AI委員会、科学パネル、そして各国当局と協力し、コンプライアンス義務の履行、監督要請への対応、リスク監視およびインシデント報告プロセスへの参加を行う必要があります。
機密保持:知的財産および企業秘密の保護
当局による GPAI モデルプロバイダーへのすべてのデータ要求は、法的に正当化され、安全に処理され、特に IP、企業秘密、ソースコードについては機密保護の対象となります。
罰則:最高3500万ユーロまたは収益の7%の罰金
GPAI モデルの提供者は、第 5 条で禁止されている AI 慣行に違反した場合、最大 3,500 万ユーロまたは全世界の年間総売上高の 7% のいずれか高い方の罰金を科せられます。
- 人間の行動を操作する
- ソーシャルスコアリング
- 顔認識データのスクレイピング
- 公共の場でのリアルタイム生体認証
透明性、リスク管理、展開責任などの規制義務のその他の違反には、最高 15,000,000 ユーロまたは売上高の 3% の罰金が科せられる可能性があります。
当局に誤解を招く、または不完全な情報を提供すると、最高 750 万ユーロまたは売上高の 1% の罰金が科せられる可能性があります。
中小企業およびスタートアップ企業の場合、固定額または割合のいずれか低い方が適用されます。罰則は、違反の重大性、影響、プロバイダーの協力の有無、違反が故意か過失かを考慮して決定されます。
GPAI モデルプロバイダーに対する特定の規制義務は 2025 年 8 月 2 日から適用されますが、コンプライアンス遵守には 1 年間の猶予期間が与えられているため、2026 年 8 月 2 日までは罰則のリスクはありません。
EU AI法の残りの部分はいつ発効しますか?
EU AI法は2024年7月12日にEU官報に掲載され、2024年8月1日に発効しましたが、各種規定は段階的に適用されます。
- 2025年2月2日:許容できないリスクをもたらすと判断された特定のAIシステム(例:ソーシャルスコアリング、公共の場でのリアルタイム生体認証監視)が禁止されました。AIを開発または利用する企業は、従業員が十分なレベルのAIリテラシーを備えていることを保証する必要があります。
- 2026年8月2日: 2025年8月2日以降に市場に投入されるGPAIモデルは、この日までに準拠する必要があります。これにより、委員会の執行権限が正式に開始されます。
また、特定の高リスクAIシステムに関する規則は、以下のものにも適用されます。1. この日以降に市場に投入されるもの、および2. この日より前に市場に投入され、その後大幅な変更が加えられたもの。 - 2027年8月2日: 2025年8月2日までに市場に投入されるGPAIモデルは、完全な適合性を確保する必要があります。EU
製品安全法の対象となる製品の安全コンポーネントとして使用される高リスクシステムも、今後、より厳格な義務を遵守する必要があります。 - 2030 年 8 月 2 日:高リスク カテゴリに該当する公共部門組織が使用する AI システムは、この日までに完全に準拠する必要があります。
- 2030 年 12 月 31 日:特定の大規模 EU IT システムのコンポーネントであり、2027 年 8 月 2 日より前に市場に投入された AI システムは、この最終期限までに準拠する必要があります。
Apple、Google、Metaなどの企業を代表する団体は規制当局に同法の施行を少なくとも2年延期するよう求めたが、EUはこの要求を拒否した。
