« 金融庁 分散型金融システムのトラストチェーンにおける技術リスクに関する研究 | Main | NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル »

2022.06.18

英国 Ada Lovelance 協会: EUのAI法について説明 (2022.04.11)

こんにちは、丸山満彦です。

ITやAIについての研究機関である英国のAda Lovelance Institute(エイダ・ラブレンス協会)が、EUのAI法についての説明文を2022年4月に公表していましたね。。。

この時点では、成立は2023年の前半かなぁ。。。という感じのようですね。。。

Ada Lovelance Institute

・2022.04.11 Expert explainer: The EU AI Act Proposal

コンパクトな内容なので、読みやすいです。。。

目次的なもの。。。

Expert explainer: The EU AI Act Proposal 専門家による解説。EUのAI法提案
Introduction はじめに
o   Timeline o タイムライン
International significance 国際的な意義
o   9 key points o 9つのキーポイント
Scope スコープ
o   Who is subject to obligations under the Act? o 誰がこの法律の対象か?
Structure: a ‘risk-based’ approach 構造:「リスクベース」アプローチ
o   1. Unacceptable risk o 1. 許容できないリスク
o   2. High risk o 2. 高リスク
o   3. Limited risk o 3. 限定的なリスク
o   4. Minimal risk o 4. 最小限のリスク
 ‘Essential requirements’ for high-risk AI  高リスクのAIに対する「必須要件」
o   1. Data and data governance (Article 13) o 1. データ及びデータガバナンス(第13条)
o   2. Human oversight (Article 14) o 2.人間による監視(第14条)
Conformity assessment (pre-marketing) and enforcement (post-marketing) 適合性評価(市販前)及び実施(市販後)
o   Pre-market o 市販前
o   Post-market o 市販後
About the author 執筆者について
Expert opinion: Regulating AI in Europe 専門家の意見 欧州におけるAIの規制
People, risk and the unique requirements of AI 人、リスク、そしてAI特有の要求事項
Ada in Europe エイダ協会とは
Footnotes 脚注

 

サマリー的なもの。。。

9 key points 9つのポイント
1. The Act sets out harmonised rules for the development, placing on the market, and use of AI in the European Union (EU). 1. この法律は、欧州連合(EU)におけるAIの開発、市場での販売、使用に関する調和のとれた規則を定めたものである。
2. The Act draws heavily on the model of certification of ‘safe’ products used for many non-AI products in the New Legislative Framework (NLF) (see below) and is part of a set of EU draft proposals to regulate AI, including the Machinery Regulation and the announced but not yet released product liability reforms. 2. この法律は、新法規フレームワーク(NLF)(下記参照)の中で多くの非AI製品に用いられている「安全」製品の認証モデルを多分に活用しており、機械規則や、発表されたがまだ公表されていない製造物責任改革を含む、AI規制に関する一連のEU草案の一部である。
3. The Act needs to be read in the context of other major packages announced by the EU such as the Digital Services Act (DSA), the Digital Markets Act (DMA) and the Digital Governance Act (DGA). The first two primarily regulate very large commercial online platforms such as notably Google, Amazon, Facebook and Apple (GAFA). 3. この法律は、デジタルサービス法(DSA)、デジタル市場法(DMA)、デジタルガバナンス法(DGA)など、EUが発表した他の主要パッケージとの関連で読む必要がある。最初の2つは主に、Google、Amazon、Facebook、Apple(GAFA)など、非常に大規模な商業オンラインプラットフォームを規制するものである。
4. These well-known tech giants although prominently fuelled by ‘AI’, are not the focus of the Act: instead, it is mainly, though not exclusively, aimed at public sector and law enforcement AI.[2] 4. これらの有名なハイテク企業は「AI」によって大きく成長したが、この法律の焦点ではない。代わりに、この法律は主に公共部門と法執行機関のAI [2] を対象としている。
5. The Act does not replace but will overlap with the protections offered by the General Data Protection Regulation (GDPR),[3] although the former’s scope is more expansive and not restricted to personal data.  5. この法律は、一般データ保護規則(GDPR)[3]が提供する保護に取って代わるものではないが、こん法律がより範囲が広く、個人データに限定されていないため、オーバーラップすることになると考えられる。 
6. Parts of the Act related to manipulation and deception also draw on the Unfair Commercial Practices Directive (UCPD).[4] 6. この法律の不正操作と欺瞞に関する部分は、不公正商行為指令(UCPD)[4] も参照している。
7. Existing consumer law and national laws, such as on tort, are also relevant. 7. 既存の消費者法や不法行為に関する法律などの国内法も関連している。
8. Like the GDPR, the territorial jurisdiction of the Act is expansive: governing not just users of AI in the EU,[5] but providers who place on the market or into service AI systems in the EU. Thus, despite Brexit, the Act will be crucial to the UK AI industry’s aspirations as exporters to the EU or providers of ‘AI-as-a-Service’.[6] 8. GDPRと同様、この法律の管轄範囲は広く、EU域内のAIのユーザー [5] だけでなく、EU域内のAIシステムを市場に出したり、サービスを提供したりするプロバイダーにも適用される。したがって、この法律は、Brexitにもかかわらず、EUへの輸出業者や「AI-as-a-Service」のプロバイダーとして英国のAI産業が目指すものにとって極めて重要である[6]。
9. The Act’s extraterritorial reach is backed by big fines akin to the GDPR (maximum 6% global annual turnover). 9. この法律の域外適用範囲は、GDPRと同様の大きな罰金(最大で世界の年間売上高の6%)に裏付けられている。
Note: 脚注:
[2] Note that the Act does not affect the application of the (current) E-Commerce Directive or (future) DSA; Article 2(5).  [2] なお、この法律は、(現行の)電子商取引指令や(将来の)DSA(第2条第5項)の適用には影響を及ぼさない。 
[3] Hence already the issue of a report on interaction of the Act with the GDPR by European Data Protection Supervisor and European Data Protection. See: EDPB-EDPS. (2021). Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Available at :[pdf] [3] そのため、欧州データ保護監督庁と欧州データ保護は、この法律とGDPRの相互作用に関する報告書を既に発表している。参照。EDPB-EDPS. (2021). 人工知能に関する調和された規則を定めた欧州議会及び理事会の規則の提案に関する共同意見5/2021(人工知能法). [pdf] で入手可能。 
[4] European Commission. Unfair Commercial Practices Directive. Available at : [web] .  [4] 欧州委員会. Unfair Commercial Practices Directive(不公正商行為指令). 利用可能なサイト:[web] . 
[5] NB note special use of ‘user’ here, article 3(4), discussed below.  [5] NB note special use of 'user' here, article 3(4), discussed below. 
[6] Cobbe, J. and Singh, J. (2021). ‘Artificial Intelligence as a Service: Legal Responsibilities, Liabilities, and Policy Challenges.’ Computer Law and Security Review, volume 42. Available at: [web] .  [6] Cobbe, J. and Singh, J. (2021). 'Artificial Intelligence as a Service: 法的責任、責任、および政策の課題」。Computer Law and Security Review, volume 42. [web] で入手可能。 

 

義務の対象

Who is subject to obligations under the Act? 同法に基づく義務の対象者は?
Predominantly, ‘providers’ of systems who develop an AI system with a view to placing it on to the market or putting it into service under their own name or trademark (Article 3). 主に、AIシステムを開発し、自己の名称又は商標の下で市場に流通させることを目的とするシステムの「提供者」である(第3条)。
But obligations also, or alternatively, fall in different ways on ‘users’, defined here rather contra-intuitively to mean any natural or legal person ‘using an AI system under its authority’, e.g. a local authority putting in a fraud detection scheme, or an employer putting in an automated hiring system. This is not the ‘ultimate end user’ of the system, or the ‘data subject’ in the GDPR and there is no word in the Act for this person. しかし、「ユーザー」にも、あるいはその代わりに、さまざまな形で義務が課される。ここでいう「ユーザー」とは、直感にかなり反していて、「その権限の下でAIシステムを使用するあらゆる自然人または法人」、たとえば、不正検知システムを導入する地方自治体や、自動雇用システムを導入する雇用主などのことである。これはシステムの「最終的なエンドユーザー」でもなければ、GDPRにおける「データ主体」でもなく、この人物に関する言葉はこの法律にはない。
Obligations also fall on importers and distributors (Articles 26–28) in a way similar to the product safety regime, with the intent of stopping dangerous products built outside the EU from entering it. The primary actor on whom obligations are placed is nonetheless the provider. また、EU域外で製造された危険な製品がEUに入るのを阻止する目的で、製品安全体制と同様の方法で、輸入業者や販売業者にも義務が課せられる(第26条〜第28条)。とはいえ、義務を負わされる主な関係者は提供者である。
While this scheme has worked relatively well for tangible products, where the manufacturer of a product is the analogue of the provider in the Act, this top-down allocation of duties will be more challenged in a world of ‘upstream’ AI services, which can be re-used downstream in a wide variety of unforeseeable contexts. We discuss this and ‘general purpose’ AI in particular, below. この方式は、製品の製造者が法における提供者の類似体である有形製品については比較的うまく機能しているが、このトップダウンの義務配分は、下流で多種多様な予測不可能な文脈で再利用されうる「上流」のAIサービスの世界ではより困難となるであろう。以下、この点、特に「汎用」AIについて論じる。

 

リスクベースの構造

Structureofrisk1024x510

出典:Ada Lovelance Institute: Expert explainer: The EU AI Act Proposal

 

 

・[PDF]

20220618-54743

 

 

 

関連

・2022.03.31 People, risk and the unique requirements of AI

・2022.03.31 Expert opinion: Regulating AI in Europe

 

AI法案(2021.11.29)

・2021.11.29 [PDF] Interinstitutional File: 2021/0106(COD)

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

 

|

« 金融庁 分散型金融システムのトラストチェーンにおける技術リスクに関する研究 | Main | NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 金融庁 分散型金融システムのトラストチェーンにおける技術リスクに関する研究 | Main | NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル »