EU AI法とデータプライバシー:GDPRとの関係を解説

規則(EU)2024/1689、いわゆるEU AI法は、人工知能を包括的に規律する世界初の分野横断的な法律である。2024年8月1日に発効し、2027年にかけて段階的に適用される。この法律はGDPRに取って代わるものではない。個人データを処理するあらゆるAIシステムは、依然としてGDPR上の独自の適法根拠を必要とし、組織は二つの重複するコンプライアンス制度に同時に直面することになる。
AI法に先立つデータ保護規則の基礎については、EUデータプライバシー法のガイドおよびGDPRとは何かの解説記事を参照されたい。
EU AI法とは何か
欧州議会及び理事会規則(EU)2024/1689は分野横断的な規則であり、開発者の所在地にかかわらず、EU域内で市場に投入され、または使用に供されるAIシステムに適用される。この規則はリスクベースの階層的アプローチを採用しており、AIの利用形態を、許容できないリスク(全面的に禁止)、ハイリスク(展開前の詳細な義務)、限定的リスク(透明性義務のみ)、最小限またはリスクなし(義務なし)の四つの区分に分類する。この規則は2024年7月12日に官報で公布され、第113条に基づき、その20日後の2024年8月1日に発効した。適用はその後3年間にわたり四段階で展開される。
段階的な適用スケジュール
どの義務がすでに拘束力を持ち、どの義務が今後発生するのかを理解することは、コンプライアンス計画において不可欠である。2026年6月時点の状況は次のとおりである。
2025年2月2日(施行済み): 第5条の禁止AI慣行、および提供者・導入者に対するAIリテラシー義務が適用開始となった。禁止区分に該当するAIシステムは、この日までに使用を停止していなければならない。
2025年8月2日(施行済み): 第51条から第55条に基づく汎用AI(GPAI)の義務が適用開始となった。大規模言語モデルやマルチモーダルモデルを含む大規模基盤モデルの提供者は、学習データの透明性および著作権方針に関する要件の対象となる。システミックリスクを有すると評価されるモデル(一般に10の25乗浮動小数点演算を超える計算量で学習されたモデル)は、追加の安全性評価の対象となる。
2026年8月2日(今後施行): 附属書IIIに列挙された独立型ハイリスクAIシステムに関する主要な義務が適用開始となる。これには第10条のデータガバナンス要件、第26条の導入者の義務、第27条の基本的人権影響評価、技術文書、ログ記録、適合性評価、登録要件が含まれる。
2027年8月2日(今後施行): 附属書Iに列挙された分野別EU法制(医療機器、機械類、民間航空機器など)の対象製品にすでに組み込まれているハイリスクAIシステムには、延長された移行期間が与えられる。これらについては、この後の日付からAI法の義務が適用される。
コンプライアンス担当チームにとって、2026年半ば時点での実務上の優先事項は、第5条の禁止事項とGPAI義務にすでに対応していること、そして2026年8月のハイリスク移行に向けて積極的に準備を進めていることである。
AI法は一般データ保護規則(GDPR)に取って代わるものではない
これは、AI法とデータ保護の関係を理解するうえで最も重要な構造上のポイントである。規則(EU)2024/1689の前文第10項は、この規則が「個人データの処理を規律する既存のEU法の適用に影響を及ぼすことを意図するものではない」と明示しており、これにはGDPR(規則(EU)2016/679)、法執行指令2016/680、およびEU機関を規律する規則2018/1725が含まれる。
その結果、組織は独立しつつ重複する二つのコンプライアンス制度に直面することになる。個人データを処理するAIシステムは、適用されるすべてのGDPR要件を満たさなければならない。通常の個人データについてはGDPR第6条に基づく有効な適法根拠が必要であり、特別カテゴリーのデータについてはGDPR第9条に基づく別個の要件を満たす必要がある。データ最小化原則(GDPR第5条(1)(c))、目的制限の原則(GDPR第5条(1)(b))、およびすべてのデータ主体の権利を遵守しなければならない。AI法はこれらの要件を回避する抜け道を提供するものではない。
同時に、GDPRの要件を満たしたからといって、AI法を満たしたことにはならない。あるシステムがGDPR上完全に有効な適法根拠を有し、データ主体に対して完全な透明性を確保していたとしても、AI法第5条のもとでは全面的に禁止される場合がある。この二つの制度は異なる軸で機能している。GDPRは個人データの処理そのものを規律するのに対し、AI法は個人および社会に対してAIシステム自体がもたらすリスクを規律する。
各国のデータ保護当局は、GDPRに基づく既存の執行権限をすべて維持する。さらに、後述の執行に関する節で扱うとおり、AI法のもとで新たな役割も担うことになる。組織は、AI導入を審査する際に、データ保護当局が両方の規制枠組みを同時に検討することを想定しておくべきである。
プライバシーに関わる禁止AI慣行:第5条
AI法第5条は、潜在的な便益の有無にかかわらずリスクが許容できないとされる8種類の慣行を全面的に禁止している。8種類の禁止慣行のうち7種類は、データ保護および監視に関する懸念と直接結びついている。いずれも2025年2月2日から施行されている。
公的機関によるソーシャルスコアリング(第5条(1)(c)): 複数の文脈にわたる自然人の社会的行動や特性に基づいて評価または分類を行い、その結果算出された社会的スコアが無関係な文脈において不利益または不利な扱いにつながるAIシステムは禁止される。これは権威主義的な政府によるスコアリング制度を対象としたものである。この禁止は絶対的であり、公共の利益を理由とする例外は認められない。
プロファイリングのみに基づく犯罪リスク評価(第5条(1)(d)): 自然人が犯罪行為を行うリスクを評価または予測するために用いられるAIシステムのうち、そのリスク評価が本人のプロファイリングや性格特性の評価のみに基づくものは禁止される。この禁止には限定的な適用除外があり、犯罪行為に直接関連する客観的かつ検証可能な事実に基づき、犯罪関与の人的判断を支援するAIは対象外とされる。この規定が対象とするのは、具体的に観察された行為に紐づけることなく、統計的プロファイルや推定された性格を、個人に犯罪リスクスコアを付与するための十分な根拠として扱うシステムである。
顔画像の無差別な収集(第5条(1)(e)): インターネットまたは監視カメラの映像から顔画像を無差別に収集することによる顔認識データベースの作成または拡張は禁止される。これは、本人識別に用いられる生体データを特別カテゴリーとして扱い、明示的な同意または他の第9条要件を求めるGDPR第9条と直接関係する。この禁止が施行される以前には、複数のベンダーがまさにこの慣行を商業化していた。
職場および教育機関での感情認識(第5条(1)(f)): 職場または教育機関という文脈において自然人の感情状態を推定するAIシステムは禁止される。唯一の例外は、運転手の覚醒度モニタリングなど安全確保を目的とする場合である。重要な点として、この禁止は、組織が正当な利益や同意といったGDPR上の適法根拠を別途確立できるかどうかにかかわらず適用される。AI法は、GDPRの適法根拠分析が及ぶ水準よりも高い次元で、この慣行を許されないものとしている。
保護対象特性に関する生体データによる分類(第5条(1)(g)): 生体データから個々の自然人を分類し、人種もしくは民族的出自、政治的意見、労働組合への加入、宗教的もしくは思想的信条、性生活、または性的指向を推定もしくは推測するAIシステムは禁止される。この分類が確定的なものではなく確率的なものであっても適用される。GDPR第9条の特別カテゴリーとの重なりは広範であり、意図的なものである。
公共空間におけるリアルタイム遠隔生体識別(第5条(1)(h)): 法執行目的で一般にアクセス可能な空間においてリアルタイム遠隔生体識別(RBI)システムを使用することは禁止される。ただし、誘拐、人身取引、性的搾取の特定の被害者を対象とする捜索、具体的かつ差し迫ったテロの脅威の防止、および第5条(2)項に列挙された重大犯罪の容疑者の特定という三つの限定的な例外がある。いずれの利用にも、事前の司法または独立した行政機関による許可が必要である。この制限は、GDPRと同じ条約上の法的根拠であるTFEU第16条にも部分的に依拠しており、生体データに関する禁止事項とGDPRが共通の憲法上の基盤を有していることを裏付けている。
認知行動操作(第5条(1)(a)~(b)): 人の意識を超えたサブリミナルな手法を用いる、または特定の集団の脆弱性を利用して、重大な害を及ぼす形で行動を実質的に歪めるAIシステムも禁止される。特に子どもや障害者について重点的な配慮がなされている。
ハイリスクAI:第10条に基づくデータガバナンス(2026年8月2日から適用)
第10条は、AI法の中で最も詳細なデータ関連規定である。ハイリスクAIシステムの提供者に対し、当該システムの学習、検証、テストに用いられるデータセットに関するデータガバナンスおよび管理の義務を課している。
第10条の義務により、提供者は次の事項を規律する運用体制を確立しなければならない。すなわち、学習用、検証用、テスト用データの選定基準および収集方法、当該データセットの利用目的、害を引き起こしたり基本的人権を侵害したりしうるバイアスの有無に関するデータの検証、関連するデータの欠落や不備の特定、およびデータセットがシステムの意図する目的に適したものとなる特性や特徴の考慮である。学習用データセットは、技術水準に照らして可能な限り、誤りがなく完全なものでなければならない(第10条(2)項から(4)項)。
GDPRとの関係は、重複するものではなく構造的なものである。GDPR第5条(1)(b)は、個人データを特定された明確かつ正当な目的のために収集し、その目的と両立しない形でさらに処理してはならないと定めている。GDPR第5条(1)(c)はデータ最小化を要求しており、データは目的に照らして適切かつ関連性があり、必要な範囲に限定されていなければならない。AI法第10条は、これとは別のAI固有の階層を追加するものである。収集するデータを限定するだけでなく、提供者は、学習データが目的に適合しており、差別的または有害な出力を生じさせうるバイアスを含んでいないことを積極的に文書化しなければならない。
第10条(5)項は、ハイリスクAIシステムの提供者を対象とする限定的な例外を設けており、これはAI法がGDPRの特別カテゴリーの枠組みに明示的に踏み込む数少ない箇所の一つである。この規定は、差別につながりうるバイアスを検出し是正するために厳密に必要な範囲に限り、GDPR第9条のもとでは特定の要件なしには本来禁止される特別カテゴリーの個人データを学習用データセットにおいて処理することを認めている。この例外には適切な保護措置が求められ、バイアス検出という目的に限定される。これはAI学習において機微なデータを処理することを一般的に認める許可証ではない。
2026年8月から第10条を遵守しなければならない独立型ハイリスクシステムの附属書III区分には、生体識別・分類システム、重要インフラ管理のためのAI、教育・職業訓練へのアクセスに関する決定に用いられるシステム、採用、業績評価、業務配分を含む雇用関連システム、信用スコアリングや給付管理を含む民間・公的な必須サービスへのアクセスに用いられるシステム、法執行システム、移民・庇護・国境管理システム、および司法運営に用いられるシステムが含まれる。これらの区分のいずれかに該当するシステムを開発する提供者は、2026年8月の移行に備えるため、今からデータガバナンスの実装に着手する必要がある。
基本的人権影響評価(FRIA):第27条(2026年8月2日から適用)
第27条は、AI法に特有の新たな種類の影響評価である基本的人権影響評価(FRIA)を導入している。これはGDPR第35条が求めるデータ保護影響評価(DPIA)とは別個のものであり、ハイリスクAIを導入する組織は両方を実施する必要がある場合がある。
FRIAの義務は提供者ではなく導入者に課される。具体的には、公法上の団体である導入者、または銀行、保険、上水道、ガス、電力、インターネット接続など、性質上公共サービスに十分近いサービスを提供する民間事業者である導入者に適用される(第27条(1)項)。
FRIAでは、ハイリスクAIシステムが、EU基本権憲章によって保護される基本的人権に及ぼすリスクを評価しなければならない。これには、憲章第7条に基づくプライバシー権、憲章第8条に基づく個人データ保護権、第21条に基づく差別を受けない権利、第24条に基づく子どもの権利、第47条に基づく実効的な救済を受ける権利、第48条に基づく無罪推定が含まれるが、これらに限られない。FRIAは、AI法第71条に基づき維持されるハイリスクAIシステムに関するEUデータベースに登録しなければならない(第27条(2)項)。
GDPRのDPIAとAI法のFRIAは、異なる機能を担っている。GDPR第35条に基づくDPIAは、個人データの処理から生じるデータ主体の権利および自由に対するリスクを評価するものであり、特に新たな技術が用いられる場合など、処理が高いリスクをもたらす可能性がある場合に発動する。AI法第27条に基づくFRIAは、個人データに直接関わるかどうかにかかわらず、AIシステムによって影響を受けうるより広範な基本的人権を評価する。社会給付へのアクセスについて自動的な決定を行うシステムは、その両方に影響を及ぼす。すなわち、個人データを処理する点(DPIAを要する)と、社会的な基本権に影響を及ぼす点(FRIAを要する)の両方である。両方の評価は導入前に実施しなければならず、それぞれの文書化は別個に行う。
汎用AI:2025年8月から施行されている義務
AI法は、規制対象となる新たな主体の区分として、汎用AI(GPAI)モデルの提供者を設けた。GPAIモデルとは、広範なデータを大規模に用いて学習され、幅広い異なるタスクを高い能力で遂行できるAIモデルを指す。大規模言語モデル、テキスト・画像・音声を処理できるマルチモーダルモデル、および同様の基盤モデルがこの定義に含まれる。AI法第51条から第55条がこれらの義務を定めており、2025年8月2日から適用されている。
すべてのGPAI提供者は、下流の利用者や導入者がデータの品質、著作権遵守、潜在的なバイアスを評価できる程度に十分詳細な学習データの概要を公表すること、指令2019/790に基づくテキスト・データマイニングの例外規定を含むEU著作権法を遵守するための方針を実施すること、およびモデルの能力、限界、想定される導入場面を示す技術文書を公表することが求められる。附属書XIIIが技術文書に関する要件を定めている。
システミックリスクを有すると評価されるGPAIモデルには、追加の義務が課される。システミックリスクの閾値は、第51条(1)(b)項のもとで学習に用いる計算能力が10の25乗浮動小数点演算を超えることと定められているが、欧州委員会は委任行為によりこの閾値を調整することができる。システミックリスクを有するGPAI提供者は、敵対的テストおよびレッドチーミングの実施、欧州AI事務局への重大インシデントの報告、サイバーセキュリティ対策の実施、およびエネルギー消費に関する報告を行わなければならない。これらの要件は、最大規模の基盤モデルが、その広範な展開と規模ゆえに、個人レベルではなく社会レベルの害を生じさせうることを踏まえたものである。
GPAIモデルにおいてプライバシーの観点から特に懸念されるのは、事前学習に通常関与する個人データの規模である。ウェブから収集された数千億トークン規模の学習用データセットには、生存する個人に関する個人データが含まれている可能性がある。GPAI提供者は、AI法のもとで規制対象となったからといって、GDPRを回避できるわけではない。学習データに個人データが含まれる場合、その処理についてGDPR上の適法根拠が引き続き必要であり、最も一般的には比較衡量を伴う正当な利益(GDPR第6条(1)(f))が用いられるが、この根拠については複数の加盟国の執行手続において争われている。
誰が執行するのか:データ保護当局、EDPB、EDPS、AI事務局の役割
AI法は、階層化された執行体制を構築しており、プライバシー上特に機微な分野についてはデータ保護当局をその運用の中心に据えている。
AI法第74条(8)項は、法執行、移民管理、庇護手続、司法運営の分野で処理されるハイリスクAIシステムについて、各国のデータ保護当局を所管の市場監視当局として指定している。これは意図的な制度設計である。これらの分野は、機微な個人データの大規模な処理を伴う可能性が最も高く、基本的人権への影響も最も大きい分野である。データ保護当局は、GDPRおよび法執行指令のもとで法執行上の必要性とプライバシー権の均衡を図ることにすでに精通しており、これらの文脈における適切な専門規制当局となる。
その他のハイリスクAI分野については、加盟国は第70条に基づき、市場監視当局として別途国内の所管当局を指定することが求められる。
EUレベルでは、欧州データ保護会議(EDPB)および欧州データ保護監督機関(EDPS)がそれぞれ助言的な役割を担う。EDPBは、特に生体識別および生体データによる分類に関して、AI法とGDPRの関係についてガイドラインおよび意見を公表している。EDPSはEU機関によるAIシステムの利用を監督しており、人工知能の監督に特化したガイダンスを公表している。2026年2月、EDPSは、Global Privacy Assemblyを通じて調整された、61のデータ保護当局が署名した共同声明に参加し、識別可能な個人を描写する写実的な画像や動画を本人の認知や同意なしに生成するAIシステムについて、特に子どもの保護に留意しつつ懸念を表明した。
欧州委員会内に設置されたEU AI事務局は、GPAIモデルの監督および越境的な執行について全体的な調整責任を負う。GPAI提供者にとっての第一次的な連絡窓口である。各国のデータ保護当局とAI事務局は、執行体制が成熟するにつれて、規制の隙間やフォーラム・ショッピングを防ぐための調整プロトコルを策定することが期待されている。
制裁金:最大3,500万ユーロまたは全世界売上高の7%
AI法第99条は行政制裁金の3段階の階層を定めており、制裁金規定自体はGPAI義務とともに2025年8月2日から適用されているため、いずれもすでに施行されている。
最上位の階層は第5条の禁止慣行への違反に適用される。制裁金は最大3,500万ユーロまたは直前会計年度の全世界年間売上高の7%のいずれか高い方に達する。これは上限であって標準的な制裁金額ではなく、執行当局は比例性を考慮しなければならない(第99条(3)項)。
中間の階層は、第III章および第IV章に基づくハイリスク義務やGPAI義務を含む、AI法のバリューチェーンにおいて提供者、導入者、輸入者、販売業者、または正式代理人に課されるその他の義務への違反に適用される。制裁金は最大1,500万ユーロまたは全世界年間売上高の3%に達する(第99条(4)項)。
最下位の階層は、通知機関または国内の所管当局に対して不正確、不完全、または誤解を招く情報を提供した場合に適用される。制裁金は最大750万ユーロまたは全世界年間売上高の1%に達する(第99条(5)項)。
中小企業およびスタートアップについては、AI法は制裁金を割合と絶対額のいずれか低い方に上限を設けており、大企業への扱いと比べて一定の比例的な軽減措置を設けている。
比較のため、GDPR第83条(5)項は最上位の制裁金階層を2,000万ユーロまたは全世界年間売上高の4%を上限としている。EU AI法の禁止慣行の階層は、両方の指標についてより高い上限を設けており、これは、AIに関する最も深刻なリスクが、ある意味で最も深刻なデータ保護違反よりも危険であるという立法者の判断を反映したものである。実務上、第5条の禁止事項に違反する組織は、それらの禁止事項が通常、生体データや行動データの大規模な処理を伴うため、ほぼ間違いなくGDPRの執行も同時に受けることになる。
実務上のコンプライアンス対応
EU域内で事業を行う、またはEU居住者を対象とする組織は、今すぐ次のステップに取り組むべきである。
使用中のすべてのAIシステムを、リスク階層の枠組みに照らして棚卸しする。第5条の禁止区分に該当しうるシステムを特定し、2025年2月2日以降求められているとおり使用を停止しているかを確認する。
GPAI提供者の場合:学習データの概要、著作権遵守方針、技術文書が整備されており、第53条から第55条の要件を満たしていることを確認する。モデルが10の25乗FLOPsを超える計算量で学習された場合は、第55条に基づくシステミックリスク義務が適用されるかを確認する。
ハイリスクシステムの提供者および導入者の場合:2026年8月2日の適用開始日に先立ち、今から第10条のデータガバナンス文書の作成に着手する。これには学習データの選定基準、バイアス検証の記録、およびバイアス是正のための第10条(5)項の特別カテゴリー例外を利用した場合の文書化が含まれる。
公的機関または公共サービスに準じるサービスの事業者である導入者の場合:第27条に基づくFRIAのプロセスを、既存のGDPR DPIAプロセスと並行して実施できるよう計画する。両方の評価は異なる法的枠組みを扱うものであるが、多くの場合同じ技術文書を活用することになる。
すべてのAIシステムの導入について、AI法とGDPRの双方に照らして個別に見直す。一方への準拠が他方への準拠を保証するものではない。GDPR上の適法根拠を有するシステムであっても禁止区分に該当する場合があり、ハイリスクの閾値を下回るシステムであっても、GDPRのDPIAを要するハイリスクな個人データ処理を伴う場合がある。
AI法に関する規制当局からの照会窓口となる担当者を指定し、第71条に基づくEUデータベースが稼働した際にはハイリスクシステムを登録する。
関連ガイド
Frequently Asked Questions
EU AI法は、AIシステムについてGDPRに取って代わるものか。
取って代わるものではない。規則(EU)2024/1689の前文第10項は、AI法がGDPRを含む既存のEU[データ保護法](/us-laws/data-privacy-laws)の適用に影響を及ぼさないことを明示している。個人データを処理するAIシステムは、AI法とGDPRの双方を個別に満たさなければならない。両者は別個でありながら重複する制度である。GDPRは個人データがどのように処理されるかを規律し、AI法はAIシステム自体がもたらすリスクを規律する。
第5条の禁止慣行のうち、すでに施行されているものはどれか。
第5条に基づく8種類の禁止慣行はすべて2025年2月2日から施行されている。具体的には、(a)重大な害を引き起こす形で行動を実質的に歪めるサブリミナルまたは操作的な手法、(b)子どもや障害者など特定の集団の脆弱性を利用するAI、(c)無関係な文脈で不利益な扱いにつながる、公的または民間主体によるソーシャルスコアリング、(d)客観的な事実による裏付けなしにプロファイリングや性格特性のみに基づく犯罪リスク評価、(e)認識用データベースの構築または拡張のための顔画像の無差別な収集、(f)医療目的または安全目的を除く、職場および教育機関での感情認識、(g)人種、宗教、性的指向などの保護対象特性を推定するための生体データによる分類、(h)重大犯罪、差し迫ったテロ、被害者捜索に関する限定的な司法許可の例外を除く、法執行目的の公共空間におけるリアルタイム遠隔生体識別である。
基本的人権影響評価(FRIA)とは何か。GDPRのDPIAとどう異なるのか。
AI法第27条に基づくFRIAは、ハイリスクAIシステムが、プライバシー、データ保護、差別の禁止、司法手続における権利を含む、EU憲章によって保護される基本的人権の全体に及ぼすリスクを評価するものである。GDPR第35条に基づくデータ保護影響評価(DPIA)は、個人データの処理から生じるデータ主体へのリスクに特化して着目する。いずれも、個人データを伴うハイリスクAIの導入によって発動するが、法的根拠および求められる内容が異なる別個の文書である。公的機関またはこれに準ずる民間事業者である導入者は、ハイリスクAIシステムを導入する前に両方を完了させる必要がある場合がある。
ハイリスクAIに関する義務は実際にいつから適用されるのか。
第10条のデータガバナンス、第26条の導入者の義務、第27条のFRIAを含む、ハイリスクAIに関する義務の大半は、附属書IIIに列挙された独立型ハイリスクシステムについて2026年8月2日から適用される。附属書Iの分野別法制の対象となる規制製品(医療機器、機械類など)に組み込まれたハイリスクAIシステムについては、2027年8月2日まで延長された移行期間が設けられている。2026年6月時点ではこれらの規定はまだ施行されておらず、組織は積極的に準備を進めるべきである。
AI法の制裁金は、GDPRの制裁金とどう比較されるか。
AI法の最上位の制裁金階層は、第5条の禁止慣行への違反について最大3,500万ユーロまたは全世界年間売上高の7%に達する。GDPRの最上位階層は最大2,000万ユーロまたは全世界年間売上高の4%である。いずれも絶対額と割合のうち高い方が適用される。AI法にはさらに、ハイリスクシステムの不遵守について最大1,500万ユーロまたは3%の中間階層、当局への誤解を招く情報提供について最大750万ユーロまたは1%の下位階層がある。第5条の禁止事項に違反する組織は、それらの慣行がほぼ常に生体データや行動データの大規模な処理を伴うため、通常GDPRの執行も同時に受けることになる。
AI法第10条は、学習データについて何を求めているか。
第10条は、ハイリスクAIシステムの提供者に対し、学習用、検証用、テスト用データセットを文書化し、規律することを求めている。これには、選定基準および収集方法の記録、潜在的なバイアスに関するデータの検証、データの欠落の特定、および可能な限りデータに誤りがなく完全であることの確保が含まれる。第10条(5)項は、バイアスの検出と是正のために厳密に必要な範囲に限り、学習用データセットにおけるGDPR上の特別カテゴリーの個人データの処理を認める限定的な例外を設けている。これらの義務は2026年8月2日から適用され、GDPRのデータ最小化および目的制限の要件を補完するものであって、これに取って代わるものではない。
法執行および司法分野のAIシステムについて、AI法を執行するのは誰か。
AI法第74条(8)項は、法執行、移民・庇護手続、司法運営に用いられるハイリスクAIシステムについて、各国のデータ保護当局を所管の市場監視当局として指定している。その他のハイリスク分野については、加盟国が別途国内の所管当局を指定する。EUレベルでは、EU AI事務局がGPAIモデルを監督し、EDPBおよびEDPSがAI法とデータ保護法の関係について助言的なガイダンスを提供する。
大規模言語モデルの開発者など、汎用AIの提供者は今すぐ遵守する必要があるのか。
その通りである。AI法第51条から第55条に基づくGPAI義務は2025年8月2日からすでに施行されている。すべてのGPAI提供者は、学習データの概要を公表し、著作権遵守方針を実施し、技術文書を公表しなければならない。システミックリスクを有すると評価されるモデル(10の25乗FLOPsを超える計算量で学習されたもの)の提供者には、追加の安全性評価、インシデント報告、サイバーセキュリティに関する要件が課される。学習データの処理に関するGDPR上の義務は、これらのAI法の要件と並行して引き続き適用される。
Sources and References
- 欧州議会及び理事会規則(EU)2024/1689(EU AI法)、公式テキスト、EUR-Lex(eur-lex.europa.eu)
- 規則(EU)2016/679(GDPR)、公式テキスト、EUR-Lex(eur-lex.europa.eu)
- 欧州委員会、AI法規制枠組みの概要(digital-strategy.ec.europa.eu)(digital-strategy.ec.europa.eu)
- 欧州データ保護会議(EDPB)、AIおよび生体データに関するガイドラインおよび意見(edpb.europa.eu)
- 欧州データ保護監督機関(EDPS)、人工知能監督ページ(edps.europa.eu)
- 欧州AI事務局、EU AI事務局公式ポータル(digital-strategy.ec.europa.eu)(digital-strategy.ec.europa.eu)