欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
こんにちは、丸山満彦です。
すでに多くのメディアがとりあげられているのですが、欧州のAI法と、サイバーレジリエンス法が、欧州議会で採択(adopt)されましたね...
欧州理事会で採択されると、確定しますね。
一方、日本でも
総務省と経済産業省によって、AI事業者ガイドラインがほぼ決まり...ましたよね...
ただ、こちらは事業者に対する話であって、社会にAIをどのように実装するのか?という話ではないですね...法執行機関や軍がどのように利用するのか?という観点も本来的にはあってもよいかもです...
そうなると、省庁のガイドラインではなく、法律ということになるのでしょうね...民主主義、基本的人権という観点から考えると本来的には民間人の利用より、政府の利用についての検討が重要なような気もしますけどね...
一方、サイバーレジリエンス法にたいするものとして、経済産業省がIoT製品に対するセキュリティ適合性評価制度を検討し、意見募集をしていますよね...
こちらも法制化ではなくガイドラインですね...米国のようなマーケットを使ったインセンティブも十分ではないような気もしますが、認証好きといわれる日本企業なので、認証制度をつくれば普及するのかもしれません...
このあたりの違いは、EUの価値観にふれているこのブログのこの記事とかも...
プレス...
AI法...
・2024.03.13 Artificial Intelligence Act: MEPs adopt landmark law
Artificial Intelligence Act: MEPs adopt landmark law | 人工知能法 欧州議会が画期的な法律を採択 |
・Safeguards on general purpose artificial intelligence | ・汎用人工知能に関するセーフガード |
・Limits on the use of biometric identification systems by law enforcement | ・法執行機関による生体認証システムの使用制限 |
・Bans on social scoring and AI used to manipulate or exploit user vulnerabilities | ・ソーシャル・スコアリングや、ユーザーの脆弱性を操作または悪用するために使用されるAIを禁止する。 |
・Right of consumers to launch complaints and receive meaningful explanations | ・消費者が苦情を申し立て、有意義な説明を受ける権利 |
On Wednesday, Parliament approved the Artificial Intelligence Act that ensures safety and compliance with fundamental rights, while boosting innovation. | 水曜日、議会は、安全性と基本的権利の遵守を確保し、イノベーションを促進する人工知能法を承認した。 |
The regulation, agreed in negotiations with member states in December 2023, was endorsed by MEPs with 523 votes in favour, 46 against and 49 abstentions. | 2023年12月に加盟国との交渉で合意されたこの規則は、賛成523票、反対46票、棄権49票で欧州議会により承認された。 |
It aims to protect fundamental rights, democracy, the rule of law and environmental sustainability from high-risk AI, while boosting innovation and establishing Europe as a leader in the field. The regulation establishes obligations for AI based on its potential risks and level of impact. | 同規則は、リスクの高いAIから基本的権利、民主主義、法の支配、環境の持続可能性を守るとともに、イノベーションを促進し、欧州をこの分野のリーダーとして確立することを目的としている。同規則は、AIの潜在的リスクと影響度に基づき、AIに対する義務を定めている。 |
Banned applications | 禁止されるアプリケーション |
The new rules ban certain AI applications that threaten citizens’ rights, including biometric categorisation systems based on sensitive characteristics and untargeted scraping of facial images from the internet or CCTV footage to create facial recognition databases. Emotion recognition in the workplace and schools, social scoring, predictive policing (when it is based solely on profiling a person or assessing their characteristics), and AI that manipulates human behaviour or exploits people’s vulnerabilities will also be forbidden. | 新規則は、市民の権利を脅かす特定のAIアプリケーションを禁止している。これには、敏感な特徴に基づくバイオメトリクス分類システムや、顔認識データベースを作成するためのインターネットやCCTV映像からの顔画像の非標的なスクレイピングなどが含まれる。職場や学校での感情認識、ソーシャルスコアリング、予測的取り締まり(人物のプロファイリングや特性の評価のみに基づく場合)、人間の行動を操作したり、人々の脆弱性を悪用したりするAIも禁止される。 |
Law enforcement exemptions | 法執行機関の適用除外 |
The use of biometric identification systems (RBI) by law enforcement is prohibited in principle, except in exhaustively listed and narrowly defined situations. “Real-time” RBI can only be deployed if strict safeguards are met, e.g. its use is limited in time and geographic scope and subject to specific prior judicial or administrative authorisation. Such uses may include, for example, a targeted search of a missing person or preventing a terrorist attack. Using such systems post-facto (“post-remote RBI”) is considered a high-risk use case, requiring judicial authorisation being linked to a criminal offence. | 法執行機関によるバイオメトリクス識別システム(RBI)の使用は、網羅的に列挙された狭義の状況を除き、原則として禁止される。「リアルタイム」 RBI は、厳格な保護措置が満たされる場合、例えば、その使用が時間的・地理的範囲に限定され、特 定の事前の司法または行政の認可を受ける場合にのみ、導入することができる。このような用途には、例えば、行方不明者の標的を絞った捜索や、テロ攻撃の防止などが含まれる。このようなシステムを事後的に使用すること(「事後リモートRBI」)は、リスクの高いユースケースとみなされ、犯罪に結びつく司法認可を必要とする。 |
Obligations for high-risk systems | リスクの高いシステムに対する義務 |
Clear obligations are also foreseen for other high-risk AI systems (due to their significant potential harm to health, safety, fundamental rights, environment, democracy and the rule of law). Examples of high-risk AI uses include critical infrastructure, education and vocational training, employment, essential private and public services (e.g. healthcare, banking), certain systems in law enforcement, migration and border management, justice and democratic processes (e.g. influencing elections). Such systems must assess and reduce risks, maintain use logs, be transparent and accurate, and ensure human oversight. Citizens will have a right to submit complaints about AI systems and receive explanations about decisions based on high-risk AI systems that affect their rights. | その他のリスクの高いAIシステム(健康、安全、基本的権利、環境、民主主義、法の支配に重大な害を及ぼす可能性があるため)についても、明確な義務が定められている。リスクの高いAI利用の例としては、重要インフラ、教育・職業訓練、雇用、不可欠な民間・公共サービス(医療、銀行など)、法執行、移民・国境マネジメント、司法、民主的プロセス(選挙への影響など)における特定のシステムが挙げられる。このようなシステムは、リスクをアセスメントして削減し、使用ログを維持し、透明性と正確性を確保し、人間の監視を保証しなければならない。市民は、AIシステムに関する苦情を提出し、権利に影響を及ぼすリスクの高いAIシステムに基づく決定について説明を受ける権利を有する。 |
Transparency requirements | 透明性の要件 |
General-purpose AI (GPAI) systems, and the GPAI models they are based on, must meet certain transparency requirements, including compliance with EU copyright law and publishing detailed summaries of the content used for training. The more powerful GPAI models that could pose systemic risks will face additional requirements, including performing model evaluations, assessing and mitigating systemic risks, and reporting on incidents. | 汎用AI(GPAI)システムとそのベースとなるGPAIモデルは、EUの著作権法を遵守し、トレーニングに使用されたコンテンツの詳細な要約を公開するなど、一定の透明性要件を満たさなければならない。システミック・リスクを引き起こす可能性のあるより強力なGPAIモデルは、モデル評価の実施、システミック・リスクのアセスメントと低減、インシデントに関する報告などの追加要件に直面することになる。 |
Additionally, artificial or manipulated images, audio or video content (“deepfakes”) need to be clearly labelled as such. | さらに、人為的または操作された画像、音声、映像コンテンツ(「ディープフェイク」)は、そのように明確に表示される必要がある。 |
Measures to support innovation and SMEs | イノベーションと中小企業を支援する措置 |
Regulatory sandboxes and real-world testing will have to be established at the national level, and made accessible to SMEs and start-ups, to develop and train innovative AI before its placement on the market. | 革新的なAIを開発し、市場に投入する前に訓練するために、規制上のサンドボックスと実世界でのテストを国レベルで確立し、中小企業や新興企業が利用できるようにする必要がある。 |
Quotes | 引用 |
During the plenary debate on Tuesday, the Internal Market Committee co-rapporteur Brando Benifei (S&D, Italy) said: “We finally have the world’s first binding law on artificial intelligence, to reduce risks, create opportunities, combat discrimination, and bring transparency. Thanks to Parliament, unacceptable AI practices will be banned in Europe and the rights of workers and citizens will be protected. The AI Office will now be set up to support companies to start complying with the rules before they enter into force. We ensured that human beings and European values are at the very centre of AI’s development”. | 火曜日の本会議討論で、域内市場委員会の共同報告者であるブランド・ベニフェイ(S&D、イタリア)は次のように述べた: 「リスクを削減し、機会を創出し、識別的と闘い、透明性をもたらすために、我々はついに人工知能に関する世界初の拘束力のある法律を手に入れた。議会のおかげで、欧州では容認できないAIの実践が禁止され、労働者と市民の権利が保護されることになる。今後、AI事務局が設置され、規則発効前に企業が規則の遵守を開始できるよう支援する。我々は、人間と欧州の価値観がAI開発の中心にあることを確実にした」と述べた。 |
Civil Liberties Committee co-rapporteur Dragos Tudorache (Renew, Romania) said: “The EU has delivered. We have linked the concept of artificial intelligence to the fundamental values that form the basis of our societies. However, much work lies ahead that goes beyond the AI Act itself. AI will push us to rethink the social contract at the heart of our democracies, our education models, labour markets, and the way we conduct warfare. The AI Act is a starting point for a new model of governance built around technology. We must now focus on putting this law into practice”. | 自由人権委員会の共同報告者であるドラゴス・トゥドラチェ氏(ルーマニア、Renew)は、次のように述べた: 「EUは実現した。私たちは、人工知能の概念を、私たちの社会の基礎を形成する基本的価値観と結びつけた。しかし、AI法そのものにとどまらず、多くの課題が横たわっている。AIは、私たちの民主主義、教育モデル、労働市場、戦争遂行方法の核心にある社会契約の再考を私たちに迫るだろう。AI法は、テクノロジーを中心とした新たなガバナンス・モデルの出発点である。我々は今、この法律を実践に移すことに集中しなければならない」。 |
Next steps | 次のステップ |
The regulation is still subject to a final lawyer-linguist check and is expected to be finally adopted before the end of the legislature (through the so-called corrigendum procedure). The law also needs to be formally endorsed by the Council. | この規則はまだ弁護士と言語学者による最終チェックを受けており、立法府が終了する前に最終的に採択される見込みである(いわゆる正誤表手続きによる)。また、同法は正式に理事会の承認を得る必要がある。 |
It will enter into force twenty days after its publication in the official Journal, and be fully applicable 24 months after its entry into force, except for: bans on prohibited practises, which will apply six months after the entry into force date; codes of practise (nine months after entry into force); general-purpose AI rules including governance (12 months after entry into force); and obligations for high-risk systems (36 months). | 発効は官報公布の20日後となり、発効から24ヵ月後に完全に適用される。ただし、禁止行為の禁止(発効から6ヵ月後に適用)、実践規範(発効から9ヵ月後)、ガバナンスを含むAI汎用規則(発効から12ヵ月後)、ハイリスクシステムに関する義務(36ヵ月後)は例外となる。 |
Background | 背景 |
The Artificial Intelligence Act responds directly to citizens’ proposals from the Conference on the Future of Europe (COFE), most concretely to proposal 12(10) on enhancing EU’s competitiveness in strategic sectors, proposal 33(5) on a safe and trustworthy society, including countering disinformation and ensuring humans are ultimately in control, proposal 35 on promoting digital innovation, (3) while ensuring human oversight and (8) trustworthy and responsible use of AI, setting safeguards and ensuring transparency, and proposal 37 (3) on using AI and digital tools to improve citizens’ access to information, including persons with disabilities. | 人工知能法は、欧州未来会議(COFE)の市民提案に直接対応するもので、具体的には、戦略的分野におけるEUの競争力強化に関する提案12(10)、偽情報への対応や人間が最終的にコントロールできるようにすることを含む、安全で信頼できる社会に関する提案33(5)に対応する、 デジタル・イノベーションの促進に関する第35号議案(3)人間の監視を確保しつつ、(8)信頼できる責任あるAIの利用、セーフガードの設定と透明性の確保、および、障害者を含む市民の情報へのアクセスを改善するためのAIとデジタルツールの利用に関する第37号議案(3)である。 |
Further information | 詳細情報 |
Link to adopted text (13.03.2024) | 採択文書(13.03.2024)へのリンク |
Plenary debate (12.03.2024) | 本会議討論(12.03.2024) |
Procedure file | 手続きファイル |
EP Research Service: compilation of studies on Artificial Intelligence | EPリサーチ・サービス: 人工知能に関する研究のまとめ |
Result of roll-call votes (13.03.2024) | 採決結果(13.03.2024) |
Committee on the Internal Market and Consumer Protection | 域内市場・消費者防御委員会 |
Committee on Civil Liberties, Justice and Home Affairs | 自由・司法・内務委員会 |
・2024.03.13 採択文書
・[PDF]
・[DOCX]
次は、
サイバーレジリエンス法...
・2024.03.12 Cyber Resilience Act: MEPs adopt plans to boost security of digital products
Cyber Resilience Act: MEPs adopt plans to boost security of digital products | サイバー・レジリエンス法: 欧州議会はデジタル製品のセキュリティを強化する計画を採択する |
・More robust cybersecurity for all products with digital elements | ・デジタル要素を含むすべての製品に対し、より強固なサイバーセキュリティを提供する。 |
・Covers everyday products like connected doorbells, baby monitors and Wi-Fi routers | ・コネクテッド・ドアベル、ベビーモニター、Wi-Fiルーターなどの日常的な製品を対象とする。 |
・Security updates to be applied automatically when technically feasible | ・技術的に可能な場合、セキュリティアップデートを自動的に適用する。 |
On Tuesday, Parliament approved new cyber resilience standards to protect all digital products in the EU from cyber threats. | 火曜日、欧州議会は、EU域内のすべてのデジタル製品をサイバー脅威から守るための新しいレジリエンス標準を承認した。 |
The regulation, already agreed with Council in December 2023, aims to ensure that products with digital features are secure to use, resilient against cyber threats and provide enough information about their security properties. | すでに2023年12月にEU理事会と合意しているこの規制は、デジタル機能を備えた製品の安全な使用、サイバー脅威に対するレジリエンス、セキュリティ特性に関する十分な情報の提供を保証することを目的としている。 |
Important and critical products will be put into different lists based on their criticality and the level of cybersecurity risk they pose. The two lists will be proposed and updated by the European Commission. Products deemed to pose a higher cybersecurity risk will be examined more stringently by a notified body, while others may go through a lighter conformity assessment process, often managed internally by the manufacturers. | 重要な製品や重要な製品は、その重要性とサイバーセキュリティリスクのレベルに応じて、異なるリストに分類される。この2つのリストは欧州委員会が提案し、更新される。より高いサイバーセキュリティ・リスクをもたらすとみなされた製品は、被認証団体によってより厳格に審査されることになるが、それ以外の団体は、多くの場合製造事業者が内部で管理する、より軽い適合性評価プロセスを経ることになるかもしれない。 |
During the negotiations, MEPs made sure that products such as identity management systems software, password managers, biometric readers, smart home assistants and private security cameras are covered by the new rules. Products should also have security updates installed automatically and separately from functionality updates. | 交渉の間、欧州議会議員は、ID管理システムソフトウェア、パスワードマネージャー、バイオメトリックリーダー、スマートホームアシスタント、プライベートセキュリティカメラなどの製品が新規則の対象となることを確認した。また、製品には機能アップデートとは別に、セキュリティアップデートが自動的にインストールされるべきである。 |
MEPs also pushed for the European Union Agency for Cybersecurity (ENISA) to be more closely involved when vulnerabilities are found and incidents occur. The agency will be notified by the member state concerned and receive information so it can assess the situation and, if it identifies a systemic risk, will inform other member states so they are able to take the necessary steps. | 欧州議会議員はまた、脆弱性が発見されインシデントが発生した場合、欧州連合サイバーセキュリティ機関(ENISA)がより密接に関与するよう求めた。同機関は、関係加盟国から通知を受け、状況を評価できるよう情報を受け取り、システムリスクを識別した場合は、他の加盟国に通知し、必要な措置を講じることができるようにする。 |
To emphasise the importance of professional skills in the cybersecurity field, MEPs also introduced education and training programmes, collaborative initiatives, and strategies to enhance workforce mobility in the regulation. | また、サイバーセキュリティ分野における専門スキルの重要性を強調するため、欧州議会議員らは、教育・訓練プログラム、共同イニシアティブ、労働力の流動性を高める戦略も同規則に導入した。 |
Quote | 引用 |
Lead MEP Nicola Danti (Renew, IT) said: “The Cyber Resilience Act will strengthen the cybersecurity of connected products, tackling vulnerabilities in hardware and software alike, making the EU a safer and more resilient continent. Parliament has protected supply chains ensuring that key products such as routers and antiviruses are a priority for cybersecurity. We have ensured support for micro and small enterprises, better involvement of stakeholders, and addressed the concerns of the open-source community, while staying ambitious. Only together will we be able to tackle successfully the cybersecurity emergency that awaits us in the coming years.” | ニコラ・ダンチ欧州議会議員(刷新、IT)は次のように述べた: 「サイバーレジリエンス法は、コネクテッド製品のサイバーセキュリティを強化し、ハードウェアとソフトウェアの脆弱性に取り組むことで、EUをより安全でレジリエンスの高い大陸にする。議会は、ルーターやアンチウイルスなどの主要製品がサイバーセキュリティの優先事項であることを保証し、サプライチェーンを保護してきた。私たちは、野心的であり続けながら、零細・小規模エンタープライズへの支援を確保し、利害関係者の関与を高め、オープンソースコミュニティの懸念に対処してきた。今後数年間に待ち受けるサイバーセキュリティの緊急事態に成功裏に取り組むことができるのは、我々だけである。" |
Next steps | 次のステップ |
The legislation was approved with 517 votes in favour, 12 against and 78 abstentions. It will now have to be formally adopted by Council, too, in order to come into law. | 法案は、賛成517票、反対12票、棄権78票で承認された。この法案が成立するためには、今後、理事会でも正式に採択される必要がある。 |
Background | 背景 |
New technologies come with new risks, and the impact of cyber-attacks through digital products has increased dramatically in recent years. Consumers have fallen victim to security flaws linked to digital products such as baby monitors, robot-vacuum cleaners, Wi-Fi routers and alarm systems. For businesses, the importance of ensuring that digital products in the supply chain are secure has become pivotal, considering three in five vendors have already lost money due to product security gaps. | 新しい技術には新しいリスクがつきものであり、デジタル製品を介したサイバー攻撃の影響は近年劇的に増加している。消費者は、ベビーモニター、ロボット掃除機、Wi-Fiルーター、警報システムなどのデジタル製品に関連したセキュリティ欠陥の犠牲になっている。企業にとっては、サプライチェーンにおけるデジタル製品の安全性を確保することが重要な事業者となっており、すでに5社に3社のベンダーが製品のセキュリティ・ギャップのために損失を被っている。 |
Further information | 詳細情報 |
Adopted text (12.03.2024) | 採択テキスト(12.03.2024) |
Video recording of the debate (11.03.2024) | 討論会のビデオ録画 (11.03.2024) |
Committee on Industry, Research and Energy | 産業・研究・エネルギー委員会 |
Procedure file | 手続きファイル |
EP research briefing | EP研究ブリーフィング |
Legislative train | 立法流れ |
・2024.03.12 採択文書
・[PDF]
・[DOCX]
参考
● まるちゃんの情報セキュリティ気まぐれ日記
AI法
・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意
・2022.12.08 EU理事会 AI法に関する見解を採択
・2022.09.30 欧州委員会 AI責任指令案
・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出
・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26
・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね
サイバーレジリエンス法 (CRA)
・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択
・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...
« 総務省・経済産業省のAI事業者ガイドライン第1.0版はほぼきまりましたかね... | Main | 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14) »
Comments