欧州がリスクベースのAI規制を提案、AIに対する信頼と理解の醸成を目指す

欧州連合(EU)の欧州委員会が、域内市場のリスクの高い人工知能(AI)の利用に関するリスクベースの規制案を公表した。

この案には、中国式の社会信用評価システム、身体的・精神的被害を引き起こす可能性のあるAI対応の行動操作手法など、人々の安全やEU市民の基本的権利にとって危険性の高さが懸念される一部のユースケースを禁止することも含まれている。法執行機関による公共の場での生体認証監視の利用にも制限があるが、非常に広範な免除を設けている。

今回の提案では、AI使用の大部分は(禁止どころか)いかなる規制も受けていない。しかし、いわゆる「高リスク」用途のサブセットについては「ex ante(事前)」および「ex post(事後)」の市場投入という特定の規制要件の対象となる。

また、チャットボットやディープフェイクなど、一部のAIユースケースには透明性も求められている。こうしたケースでは、人工的な操作を行っていることをユーザーに通知することで、潜在的なリスクを軽減できるというのが欧州委員会の見解だ。

この法案は、EUを拠点とする企業や個人だけでなく、EUにAI製品やサービスを販売するすべての企業に適用することを想定しており、EUのデータ保護制度と同様に域外適用となる。

EUの立法者にとって最も重要な目標は、AI利用に対する国民の信頼を醸成し、AI技術の普及を促進することだ。欧州の価値観に沿った「卓越したエコシステム」を開発したいと、欧州委員会の高官は述べている。

「安全で信頼できる人間中心の人工知能の開発およびその利用において、欧州を世界クラスに高めることを目指します」と、欧州委員会のEVP(執行副委員長)であるMargrethe Vestager(マルグレーテ・ベステアー)氏は記者会見で提案の採択について語った

「一方で、私たちの規制は、AIの特定の用途に関連する人的リスクおよび社会的リスクに対処するものです。これは信頼を生み出すためです。また、私たちの調整案は、投資とイノベーションを促進するために加盟国が取るべき必要な措置を概説しています。卓越性を確保するためです。これはすべて、欧州全域におけるAIの浸透を強化することを約束するものです」。

この提案では、AI利用の「高リスク」カテゴリー、つまり明確な安全上のリスクをともなうもの、EUの基本的権利(無差別の権利など)に影響を与える恐れのあるものに、義務的な要件が課されている。

最高レベルの使用規制対象となる高リスクAIユースケースの例は、同規制の附属書3に記載されている。欧州委員会は、AIのユースケースの開発とリスクの進化が続く中で、同規制は委任された法令によって拡充する強い権限を持つことになると述べている。

現在までに挙げられている高リスク例は、次のカテゴリーに分類される。

  • 自然人の生体認証およびカテゴリー化
  • クリティカルなインフラストラクチャの管理と運用
  • 教育および職業訓練
  • 雇用、労働者管理、および自営業へのアクセス
  • 必要不可欠な民間サービスおよび公共サービスならびに便益へのアクセスと享受
  • 法執行機関; 移民、亡命、国境統制の管理; 司法および民主的プロセスの運営

AIの軍事利用に関しては、規制は域内市場に特化しているため、適用範囲から除外されている。

リスクの高い用途を有するメーカーは、製品を市場に投入する前に遵守すべき一連の事前義務を負う。これには、AIを訓練するために使用されるデータセットの品質に関するものや、システムの設計だけでなく使用に関する人間による監視のレベル、さらには市販後調査の形式による継続的な事後要件が含まれる。

その他の要件には、コンプライアンスのチェックを可能にし、関連情報をユーザーに提供するためにAIシステムの記録を作成する必要性が含まれる。AIシステムの堅牢性、正確性、セキュリティも規制の対象となる。

欧州委員会の関係者らは、AIの用途の大部分がこの高度に規制されたカテゴリーの範囲外になると示唆している。こうした「低リスク」AIシステムのメーカーは、使用に際して(法的拘束力のない)行動規範の採用を奨励されるだけだ。

特定のAIユースケースの禁止に関する規則に違反した場合の罰則は、世界の年間売上高の最大6%または3000万ユーロ(約39億4000万円)のいずれか大きい方に設定されている。リスクの高い用途に関連する規則違反は4%または2000万ユーロ(約26億3000万円)まで拡大することができる。

執行には各EU加盟国の複数の機関が関与する。提案では、製品安全機関やデータ保護機関などの既存(関連)機関による監視が想定されている。

このことは、各国の機関がAI規則の取り締まりにおいて直面するであろう付加的な作業と技術的な複雑性、そして特定の加盟国において執行上のボトルネックがどのように回避されるかという点を考慮すると、各国の機関に十分なリソースを提供することに当面の課題を提起することになるだろう。(顕著なことに、EU一般データ保護規則[GDPR]も加盟国レベルで監督されており、一律に厳格な施行がなされていないという問題が生じている)。

EU全体のデータベースセットも構築され、域内で実装される高リスクシステムの登録簿を作成する(これは欧州委員会によって管理される)。

欧州人工知能委員会(EAIB)と呼ばれる新しい組織も設立される予定で、GDPRの適用に関するガイダンスを提供する欧州データ保護委員会(European Data Protection Board)に準拠して、規制の一貫した適用をサポートする。

AIの特定の使用に関する規則と歩調を合わせて、本案には、EUの2018年度調整計画の2021年アップデートに基づく、EU加盟国によるAI開発への支援を調整するための措置が盛り込まれている。具体的には、スタートアップや中小企業がAIを駆使したイノベーションを開発・加速するのを支援するための規制用サンドボックスや共同出資による試験・実験施設の設置、中小企業や公的機関がこの分野で競争力を高めるのを支援する「ワンストップショップ」を目的とした欧州デジタルイノベーションハブのネットワークの設立、そして域内で成長するAIを支援するための目標を定めたEU資金提供の見通しなどである。

域内市場委員のThierry Breton(ティエリー・ブレトン)氏は、投資は本案の極めて重要な部分であると述べている。「デジタル・ヨーロッパとホライズン・ヨーロッパのプログラムの下で、年間10億ユーロ(約1300億円)を解放します。それに加えて、今後10年にわたって民間投資とEU全体で年間200億ユーロ(約2兆6300億円)の投資を生み出したいと考えています。これは私たちが『デジタルの10年』と呼んでいるものです」と同氏は今回の記者会見で語った。「私たちはまた、次世代EU[新型コロナウイルス復興基金]におけるデジタル投資の資金として1400億ユーロ(約18兆4000億円)を確保し、その一部をAIに投資したいと考えています」。

AIの規則を形成することは、2019年末に就任したUrsula von der Leyen(ウルズラ・フォン・デア・ライエン)EU委員長にとって重要な優先事項だった。2018年の政策指針「EUのためのAI(Artificial Intelligence for Europe)」に続くホワイトペーパーが2020年発表されている。ベステアー氏は、今回の提案は3年間の取り組みの集大成だと述べた。

ブレトン氏は、企業がAIを適用するためのガイダンスを提供することで、法的な確実性と欧州における優位性がもたらされると提言している。

「信頼【略】望ましい人工知能の開発を可能にするためには、信頼が極めて重要だと考えます」と同氏はいう。「(AIの利用は)信頼でき、安全で、無差別である必要があります。それは間違いなく重要ですが、当然のことながら、その利用がどのように作用するかを正確に理解することも求められます」。

「必要なのは、指導を受けることです。特に新しいテクノロジーにおいては【略】私たちは『これはグリーン、これはダークグリーン、これはおそらく若干オレンジで、これは禁止されている』といったガイドラインを提供する最初の大陸になるでしょう。人工知能の利用を考えているなら、欧州に目を向けてください。何をすべきか、どのようにすべきか、よく理解しているパートナーを得ることができます。さらには、今後10年にわたり地球上で生み出される産業データの量が最も多い大陸に進出することにもなるのです」。

「だからこそこの地を訪れてください。人工知能はデータに関するものですから―私たちはガイドラインを提示します。それを行うためのツールとインフラも備えています」。

本提案の草案が先にリークされたが、これを受けて、公共の場での遠隔生体認証による監視を禁止するなど、計画を強化するよう欧州議会議員から要請があった。

関連記事
EUがAIのリスクベース規則の罰金を全世界年間売上高の最大4%で計画、草案流出で判明
欧州議会議員グループが公共の場での生体認証監視を禁止するAI規制を求める

最終的な提案においては、遠隔生体認証監視を特にリスクの高いAI利用として位置づけており、法執行機関による公の場での利用は原則として禁止されている。

しかし、使用は完全に禁止されているわけではなく、法執行機関が有効な法的根拠と適切な監督の下で使用する場合など、例外的に利用が認められる可能性があることも示唆されている。

脆弱すぎると非難された保護措置

欧州委員会の提案に対する反応には、法執行機関による遠隔生体認証監視(顔認識技術など)の使用についての過度に広範な適用除外に対する批判の他、AIシステムによる差別のリスクに対処する規制措置が十分ではないという懸念が数多くみられた。

刑事司法NGOのFair Trialsは、刑事司法に関連した意義ある保護措置を規制に盛り込むには、抜本的な改善が必要だと指摘した。同NGOの法律・政策担当官であるGriff Ferris(グリフ・フェリス)氏は、声明の中で次のように述べている。「EUの提案は、刑事司法の結果における差別の固定化の防止、推定無罪の保護、そして刑事司法におけるAIの有意義な説明責任の確保という点で、抜本的な改革を必要としています」。

「同法案では、差別に対する保護措置の欠如に加えて、『公共の安全を守る』ための広範な適用除外において刑事司法に関連するわずかな保護措置が完全に損なわれています。この枠組みには、差別を防止し、公正な裁判を受ける権利を保護するための厳格な保護措置と制限が含まれていなければなりません。人々をプロファイリングし、犯罪の危険性を予測しようとするシステムの使用を制限する必要があります」。

欧州自由人権協会(Civil Liberties Union for Europe[Liberties])も、同NGOが主張するような、EU加盟国による不適切なAI利用に対する禁止措置の抜け穴を指摘している。

「犯罪を予測したり、国境管理下にある人々の情動状態をコンピューターに評価させたりするアルゴリズムの使用など、問題のある技術利用が容認されているケースは数多く存在します。いずれも重大な人権上のリスクをもたらし、EUの価値観を脅かすものです」と、上級権利擁護担当官のOrsolya Reich(オルソリヤ・ライヒ)氏は声明で懸念を表明した。「警察が顔認識技術を利用して、私たちの基本的な権利と自由を危険にさらすことについても憂慮しています」。

ドイツ海賊党の欧州議会議員Patrick Breyer(パトリック・ブレイヤー)氏は、この提案は「欧州の価値」を尊重するという主張の基準を満たしていないと警告した。同氏は、先のリーク草案に対して基本的権利の保護が不十分だと訴える書簡に先に署名した40名の議員のうちの1人だ。

「EUが倫理的要件と民主的価値に沿った人工知能の導入を実現する機会をしっかり捕捉しなれけばなりません。残念なことに、欧州委員会の提案は、顔認識システムやその他の大規模監視などによる、ジェンダーの公平性やあらゆるグループの平等な扱いを脅かす危険から私たちを守るものではありません」と、今回の正式な提案に対する声明の中でブレイヤー氏は語った。

「公共の場における生体認証や大規模監視、プロファイリング、行動予測の技術は、私たちの自由を損ない、開かれた社会を脅かすものです。欧州委員会の提案は、公共の場での自動顔認識の高リスクな利用をEU全域に広めることになるでしょう。多くの人々の意思とは相反します。提案されている手続き上の要件は、煙幕にすぎません。これらの技術によって特定のグループの人々を差別し、無数の個人を不当に差別することを容認することはできません」。

欧州のデジタル権利団体Edriも「差別的な監視技術」に関する提案の中にある「憂慮すべきギャップ」を強調した。「この規制は、AIから利益を得る企業の自己規制の範囲が広すぎることを許容しています。この規制の中心は、企業ではなく人であるべきです」と、EdriでAIの上級政策責任者を務めるSarah Chander(サラ・チャンダー)氏は声明で述べている。

Access Nowも初期の反応で同様の懸念を示しており、提案されている禁止条項は「あまりにも限定的」であり、法的枠組みは「社会の進歩と基本的権利を著しく損なう多数のAI利用の開発や配備を阻止するものではない」と指摘している。

一方でこうしたデジタル権利団体は、公的にアクセス可能な高リスクシステムのデータベースが構築されるなどの透明性措置については好意的であり、規制にはいくつかの禁止事項が含まれているという事実を認めている(ただし十分ではない、という考えである)。

消費者権利の統括団体であるBEUCもまた、この提案に対して即座に異議を唱え、委員会の提案は「AIの利用と問題の非常に限られた範囲」を規制することにフォーカスしており、消費者保護の点で脆弱だと非難した。

「欧州委員会は、消費者が日々の生活の中でAIを信頼できるようにすることにもっと注力すべきでした」とBEUCでディレクターを務めるMonique Goyens(モニーク・ゴヤンス) 氏は声明で述べている。「『高リスク』、『中リスク』、『低リスク』にかかわらず、人工知能を利用したあらゆる製品やサービスについて人々の信頼の醸成を図るべきでした。消費者が実行可能な権利を保持するとともに、何か問題が起きた場合の救済策や救済策へのアクセスを確保できるよう、EUはより多くの対策を講じるべきでした」。

機械に関する新しい規則も立法パッケージの一部であり、AIを利用した変更を考慮した安全規則が用意されている(欧州委員会はその中で、機械にAIを統合している企業に対し、この枠組みに準拠するための適合性評価を1度実施することのみを求めている)。

Airbnb、Apple、Facebook、Google、Microsoftなどの大手プラットフォーム企業が加盟する、テック業界のグループDot Europe(旧Edima)は、欧州委員会のAIに関する提案の公表を好意的に受け止めているが、本稿執筆時点ではまだ詳細なコメントを出していない。

スタートアップ権利擁護団体Allied For Startupsは、提案の詳細を検討する時間も必要だとしているが、同団体でEU政策監督官を務めるBenedikt Blomeyer(ベネディクト・ブロマイヤー)氏はスタートアップに負担をかける潜在的なリスクについて警鐘を鳴らしている。「私たちの最初の反応は、適切に行われなければ、スタートアップに課せられる規制上の負担を大幅に増加させる可能性があるということでした」と同氏はいう。「重要な問題は、欧州のスタートアップがAIの潜在的な利益を享受できるようにする一方で、本案の内容がAIがもたらす潜在的なリスクに比例するものかという点です」。

その他のテック系ロビー団体は、AIを包み込む特注のお役所仕事を期待して攻撃に出るのを待っていたわけではないだろうが、ワシントンとブリュッセルに拠点を置くテック政策シンクタンク(Center for Data Innovation)の言葉を借りれば、この規制は「歩き方を学ぶ前に、EUで生まれたばかりのAI産業を踏みにじる」ものだと主張している。

業界団体CCIA(Computer & Communications Industry Association)もまた「開発者やユーザーにとって不必要なお役所仕事」に対して即座に警戒感を示し、規制だけではEUをAIのリーダーにすることはできないと付け加えた。

本提案は、欧州議会、および欧州理事会経由の加盟国による草案に対する見解が必要となる、EUの共同立法プロセスの下での膨大な議論の始まりである。つまり、EUの機関がEU全体のAI規制の最終的な形について合意に達するまでに、大幅な変更が行われることになるだろう。

欧州委員会は、他のEU機関が直ちに関与することを期待し、このプロセスを早急に実施できることを望んでいると述べるにとどまり、法案が採択される時期については明言を避けた。とはいえ、この規制が承認され、施行されるまでには数年かかる可能性がある。

【更新】本レポートは、欧州委員会の提案への反応を加えて更新された。

カテゴリー:パブリック / ダイバーシティ
タグ:EU人工知能チャットボットディープフェイク透明性GDPR欧州データ保護委員会生体認証顔認証

画像クレジット:DKosig / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

EUがAIのリスクベース規則の罰金を全世界年間売上高の最大4%で計画、草案流出で判明

人工知能の利用をめぐる規則草案を作成中の欧州連合の議員らが、違反したユースケースについて全世界の年間売上高の最大4%(もしくは2000万ユーロ[約26億円]のどちらか高額な方)を罰金として検討していることがわかった。公式の発表が見込まれるAI規則の草案が流出し、Politico(ポリティコ)が報じたことで判明した。

AI規制をめぐる計画はしばらく前から予想されていた。2020年2月には欧州委員会がホワイトペーパーを公開し「高リスク」とされる人工知能の利用を規制する計画の概略を発表した。

当時、EUの議員は分野ベースでの検討を進めていた。エネルギーや人材採用といった特定の分野をリスク領域と想定していたのだ。しかし、流出した草案を見るとこのアプローチは見直されたようで、今回、AIリスクに関する議論は特定の業界や分野には限定されていない。

焦点は代わりに、分野に関係なく高リスクのAI利用に関するコンプライアンス要件に向けられている(武器や軍事的な利用は明確に除外されているが、それはこの領域がEU条約の対象から外れているため)。とはいえ「高リスク」の定義については、この草案だけではまだ不明瞭だ。

ここでの欧州委員会の最大の目標は、AIの社会的信用を高めることにある。そのために「EUバリュー」に染まったシステムによってコンプライアンスチェックと均衡化を図り、いわゆる「信用できる」 「人間主体」のAI開発を促進するという。そこで「高リスク」と見なされていないAI応用のメーカーも、本委員会の言葉を借りると「高リスクのAIシステムに適用される必須条件の自発的な適用を促進するため」に行動規範を導入することが推奨されている。

本規則のもう1つの焦点は、連合内のAI開発を支える方策の制定だ。加盟国に規制のサンドボックス制度を定めるよう迫ることで、スタートアップや中小企業が市場展開前の段階で優先的にAIシステムの開発とテストの支援を受けられるようにする。

草案では、所轄官庁が「当局の監督と是正に全面的に従いながらも、サンドボックスに加わる事業体の人工知能プロジェクトについて自由裁量権と均整化の権限を与えられる」としている。

高リスクのAIとは?

計画中の規則では、人工知能の利用を予定する事業体が、特定のユースケースが「高リスク」かどうかを見極め、それゆえ市場展開前に義務付けられているコンプライアンス評価を実施すべきかを判断しなければならないとされている。

草案の備考によると「AIシステムのリスク分類は、その利用目的にもとづいて決定される。該当のAIシステムの利用目的を具体的な状況や利用条件を含めて検討し、その利用が何らかの危険を及ぼすかどうか、またその場合、潜在的な危険の重大度と発生可能性がどのくらいか、この2つを考慮することで決定される」。

草案は「本規則に従って高リスクと分類されたAIシステムは、必ずしも各分野の法律において『高リスク』とされるシステムまたは商品とは限らない」とも言及している。

高リスクのAIシステムに関連する「危険」の例を草案のリストから挙げると「人の負傷または死、所有物への損害、社会への大規模な悪影響、重要な経済的および社会的活動の通常運用に不可欠なサービスを大きく混乱すること、経済、教育、または就業の機会への悪影響、公共サービスおよび何らかの公的支援の利用に対する悪影響、(欧州市民の)基本的権利への悪影響」などが含まれている。

高リスクの利用についても、いくつかの例が取り上げられている。例えば人材採用システム、教育機関または職業訓練機関へのアクセスを提供するシステム、緊急のサービス派遣システム、信用度評価、税金で賄われる社会福祉の配分決定に関係するシステム、犯罪の防止・発見・起訴に関連して適用される意思決定システム、そして裁判官のサポート目的で使用される意思決定システムなどだ。

つまり、リスク管理システムを制定し、品質管理システムを含めた市場展開前の調査を実施するなどコンプライアンス要件が満たされている限り、規制計画によってこうしたシステムがEU市場で禁じられることはないだろう。

その他の要件はセキュリティ分野の他、AIのパフォーマンスの一貫性確保に関するものだ。「重大なインシデントや、義務違反を含むAIシステムの誤作動」については、どのようなものであれ発覚後15日以内に監督機関に報告することが規定されている。

草案によると「高リスクのAIシステムも、必須条件への準拠を条件として連合市場に出す、あるいは運用することができる」。

「連合市場に出されている、あるいは運用されている高リスクのAIシステムを必須条件に準拠させる際は、AIシステムの利用目的を考慮し、提供元が定めるリスク管理システムに従って行うべきである」。

「これらに加え、提供元が定めるリスク制御管理策は、すべての必須条件を適用した場合の効果および起こり得る相互作用を鑑み、また関連する整合規格や共通仕様書など一般的に認められている最高の技術水準を考慮して定めるべきである」

禁止されるプラクティスと生体認証

流出した草案によると、計画中の法令の第4項では一部のAI「プラクティス」が禁止条項に挙げられている。例えば、大規模な監視システム、さらには差別につながりかねない一般の社会的なスコアリングシステムへの(商業目的での)適用などだ。

人間の行動、意思決定、または意見を有害な方向へ操るために設計されたAIシステム(ダークパターン設計のUIなど)も、第4項で禁止されている。個人データを使用し、人や集団の弱さをターゲットとして有害な予測をするシステムも同様だ。

一般の読者の方は、本規則が人のトラッキングをベースとする行動ターゲティング広告、つまりFacebook(フェイスブック)やGoogle(グーグル)といった企業のビジネスモデルで用いられるプラクティスを一挙に禁止しようとしているのではないかと推測されるかもしれない。しかし、そのためには広告テクノロジーの巨大企業らに、自社のツールをユーザーに有害な影響を及ぼすツールだと認めてもらわなければならない。

対して、彼らの規制回避戦略は真逆の主張にもとづいている。フェイスブックが行動ターゲティング広告を「関連」広告と呼んでいるのもそのためだ。この草案は、EU法を定着させようとする側と、自社に都合のいい解釈をしようとする巨大テクノロジー企業らとの(今よりも)長きにわたる法廷での戦いを招くものとなるかもしれない。

禁止プラクティスの根拠は、草案の前文にまとめられている。「人工知能が特別に有害な新たな操作的、中毒的、社会統制的、および無差別な監視プラクティスを生みかねないことは、一般に認知されるべきことである。これらのプラクティスは人間の尊厳、自由、民主主義、法の支配、そして人権の尊重を重視する連合の基準と矛盾しており、禁止されるべきである」。

本委員会が公共の場での顔認証の利用禁止を回避したことは、注目に値するだろう。2020年の初めに流出した草案ではこの点が考慮されていたが、2020年のホワイトペーパー公開前には禁止とは別の方向へかじを切ったようだ。

流出した草案では、公共の場での「遠隔生体認証」が「公認機関の関与を通じてより厳格な適合性評価手順を踏む」対象に挙げられている。つまり、その他ほとんどの高リスクのAI利用とは異なり(これらはセルフアセスメントによる要件順守が認められている)、データ保護の影響評価を含む「テクノロジーの利用によって生じる特定のリスクに対応するための承認手続き」が必要だということだ。

「また、評価の過程で、承認機関は定められた目的でシステムを利用する際の誤差によって生じる危険(とりわけ年齢、民族、性別、または障害に関するもの)の頻度とその重大度を考慮しなければならない」と草案は述べている。「その他、特に民主的プロセスへの参加や市民参加、さらには参照データベース内の人々のインクルージョンに関する手段、必要性、および比例について、その社会的影響を考慮しなければならない」。

「主として個人の安全に悪影響を与えかねない」AIシステムもまた、コンプライアンスの手順の一環として高水準の規制関与を受ける必要がある。

すべての高リスクAIの適合性評価に用いるシステムについては引き続き検討が続いており、草案では「本規則への準拠に影響しかねない変更がAIシステムに生じた場合、あるいはAIシステムの利用目的に変更が生じた場合には、新たに適合性評価を実施することが適切である」としている。

「市場に出された、あるいは運用を開始した後にも「学習」を続ける(機能の実行方法を自動的に適応する)AIシステムについては、アルゴリズムおよびパフォーマンスに生じた変化が適合性評価の時点で事前に特定および評価されていない場合、新たにAIシステムの適合性評価を実施する」とのことだ。

規則に準拠する企業へ与えられる報酬は「CE」マークの取得だ。このマークによってユーザーの信頼を獲得し、連合の単一市場全体で摩擦のないサービスを提供できる。

「高リスクのAIシステムを連合内で自由に利用するには、CEマークを取得して本規則との適合を示す必要がある」と草案は続ける。「加盟国は本規則で定められた要件に準拠するAIシステムの市場展開または運用を妨げる障害を生んではならない」。

ボットとディープフェイクの透明性確保

提供元は、商品の市場展開前に(ほぼセルフでの)評価を実施し、コンプライアンス義務(モデルのトレーニングに使用するデータセットの品質確保、記録の保持・文書化、人間による監視、透明性の確保、正確性の確保など)を果たし、市場展開後も継続的に監視を続けることが要求されている。このように「高リスク」のAIシステムを安全に市場に出すべく、いくつかのプラクティスを法的に禁止し、EU全体での規則適用に用いるシステムの確立を模索すると同時に、草案では人をだます目的で使用されているAIのリスクを縮小しようとする動きがある。

具体的には、自然人とやり取りをする目的で使用されるAIシステム(ボイスAI、チャットボットなど)、さらには画像、オーディオ、または動画コンテンツを生成または操作する目的で使用されるAIシステム(ディープフェイク)について「透明性確保のための調和的な規定」を提案しているのだ。

「自然人とやり取りをする、またはコンテンツを生成する目的で使用されるAIシステムは、高リスクに該当するか否かに関わらず、なりすましや詐欺といった特定のリスクを含む可能性がある。状況によっては、これらのシステムの利用は高リスクのAIシステム向けの要件および義務とは別に、透明性に関する特定の義務の対象となるべきである」と草案は述べている。

「とりわけ、自然人はAIシステムとやり取りする場合、それが状況や文脈から明確に分かる場合を除き、その旨は通知されるべきである。さらに、実在の人物、場所、出来事との明確な共通点がある画像、オーディオ、または動画コンテンツを生成あるいは操作する目的でAIシステムを使用し、そのコンテンツが一般人によって本物と誤解されるものである場合は、ユーザーは人工知能の生産物にそれぞれ表示を付け、人工物の作成元を開示することで、該当コンテンツが人工的に作成されたあるいは操作されたことを開示しなければならない」。

「表示に関するこの義務は、該当コンテンツが治安の維持や正当な個人の権利または自由(例えば風刺、パロディー、芸術と研究の自由の行使、さらにはサードパーティーの適切な権利および自由を保護するための題材)の行使のために必要な場合には適用されない」。

実施の詳細は?

このAI規則案はまだ委員会によって正式に発表されてはいないため、詳細が変更される可能性はあるが、2018年に施行されたEUのデータ保護規則の実施がいまだに不十分なことを踏まえると、(複雑な場合が多い)人工知能の具体的な利用を規制するまったく新しいコンプライアンス層の導入がどこまで効果的に監視し、違反を取り締まれるのかは疑問だ。

高リスクのAIシステムを市場に出す際の責任(かつ、高リスクのAIシステムを委員会が維持予定のEUデータベースに登録することなど、さまざまな規定への準拠責任)はそのシステムの提供元にある一方で、規則案では規制の実施を加盟国に一任している。つまり、各国にある1つまたは複数の所轄官庁に監視規則の適用を管理するよう任命する責任は、それぞれの加盟国にあるということだ。

その実態は、EU一般データ保護規則(GDPR)の先例からすでに見えているだろう。委員会自体も、連合全体でGDPRの実施が一貫したかたちで、あるいは精力的に行われていないことを認めている。疑問点は、駆け出しのAI規則が同じ フォーラムショッピングの運命をたどらないようにできるのかという点だ。

「加盟国は、本規則の条項が確実に実践されるよう必要な手段をすべて取らなければならない。これには、違反に対して効果的かつバランスのとれた、行動抑止効果のある罰則を規定することが含まれる。具体的な違反については、加盟国は本規則で定められた余地と基準を考慮に入れるべきである」と草案は述べている。

委員会は、加盟国の実施が見られない場合の介入について補足説明をしている。とはいえ、実施方法について短期的な見通しがまったくないことを考えると、先例と同じ落とし穴があることは否めないだろう。

将来の実施失敗を阻止するため、委員会は次のように最終手段を定めている。「本規則の目標は連合内での人工知能の市場展開、運用開始、および利用に関する信頼のエコシステムを構築するための環境を整えることである。それゆえ、加盟国がこれを十分に達成することができず、措置の規模または効果を鑑みた結果連合レベルでの実施の方がよりよい成果を達成できると考えられる場合、連合は欧州連合基本条約第5項に定められた権限移譲の原則に従う範囲で、措置を講じることができる」。

AIの監視計画には、GDPRの欧州データ保護委員会と類似のEuropean Artificial Intelligence Board(欧州人工知能委員会)を設立することが含まれている。この委員会はEUの議員に向けて、禁止されているAIプラクティスや高リスクのシステムのリストなどに関して重要な推奨事項や意見を述べ、欧州データ保護委員会と同じように規則の適用を支援していくこととなる。

カテゴリー:パブリック / ダイバーシティ
タグ:人工知能EU顔認証生体認証

画像クレジット:piranka / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

欧州議会議員グループが公共の場での生体認証監視を禁止するAI規制を求める

40名の議員からなる欧州議会の超党派グループは、人工知能(AI)に関する立法案を強化し、公共の場所における顔認証やその他の生体認証による監視を完全に禁止することを委員会に求めている。

また、このグループは、個人を特定できる特徴(性別、性的区別、人種・民族、健康状態、障害など)を自動認証することも禁止するよう議会に要求し、このようなAIの利用は大きな人権リスクをともない、差別を助長する恐れがあると警告している。

欧州委員会は、AIの「高リスク」アプリケーションを規制するフレームワークのプロポーザルを発表するとされているが、中央ヨーロッパ夏時間4月13日、Politico(ポリティコ)がその草案をリークした。先にレポートしたように、リークされた草案は、この問題に対する国民の関心の強さを認めているにもかかわらず、公共の場での顔認証やその他の生体認証を行う遠隔識別テクノロジーの使用を禁止する事項は含んでいない。

議員グループは欧州委員会に宛てた書簡で「一般にアクセスできる公共空間における生体認証の大量監視テクノロジーは、多数の無実の市民を不当にレポートし、過小評価グループ(ある地域において、全世界における人口比よりも小さな割合しかもたないグループ)を組織的に差別し、自由で多様性のある社会を委縮させると広く批判されています。だからこそ、禁止が必要なのです」と述べ、その内容も公開されている。

議員グループは、予測的ポリシングアプリケーションや、生体特徴を利用した無差別な監視・追跡など、個人を特定できる特徴を自動的に推定することによる差別のリスクについても警告している。

「これはプライバシーやデータ保護の権利を侵害し、言論の自由を抑圧し、(権力側の)腐敗を暴くことを困難にするなどの弊害をもたらし、すべての人の自律性、尊厳、自己表現を脅かします。特に、LGBTQI+コミュニティ、有色人種、その他の差別されているグループに深刻な損害を与える可能性があります」と議員グループと記し、EU市民の権利と、差別のリスク(そして、AIで強化された差別的なツールによるリスク)からコミュニティの権利を守るために、AIプロポーザルを修正して、こういった行為を違法化するよう欧州委員会に求めている。

「AIプロポーザルは性別、性的区別、人種・民族、障害、その他の個人を識別できる保護すべき特徴の自動識別を禁止するチャンスです」と議員たちは続ける。

リークされた欧州委員会プロポーザルの草案では、無差別大量監視という課題に取り組んでおり、こういった行為の禁止や、汎用の社会的信用スコアリングシステムを非合法化することも提案されている。

しかし、議員グループはさらに踏み込んだ議論を求め、リークされた草案の文言の弱点を警告し、プロポーザルの禁止案を「システムに暴露される人の多寡にかかわらず、ターゲットのない無差別な大量監視をすべて禁止する」ように変更することを提案している。

また、公共機関(または公共機関のために活動する商業団体)に対しては大量監視を禁止しないという提案にも警鐘を鳴らし、現行のEU法や、EU最高裁の解釈を逸脱する危険性を指摘している。

書簡には「私たちは、第4条第2項の案に強く抗議します。この案では、公的機関はもちろんのこと、公的機関に代わって活動する民間の行為者であっても、『公共の安全を守るため』に(大量監視の禁止の)対象とならないとされます」と書かれている。「公共の安全とは、まさに大量の監視を正当化するためのものであり、実務的に有用性があり、裁判所が個人データの無差別大量処理に関する法律(例、データ保持指令)を一貫して無効にしてきた場でもあります。禁止の対象とならない可能性は排除する必要があります」。

「第2項は、これまで司法裁判所が大量監視を禁止していると判断してきた他の二次的な法律を逸脱すると解釈される可能性もあります」と続ける。「提案されているAI規制は、データ保護の法体系に起因する規制と一体となって適用されるものであり、それに代わるものではないことを明確にする必要があります。リークされた草案には、そのような明確さがありません」。

議員グループは欧州委員会のコメントを求めているが、今後予定されているAI規制案の正式発表を前に、欧州委員会がコメントを出すことはなさそうだ。

今後、AIプロポーザルに大幅な修正が加えられるかどうかは不明だ。しかし、この議会グループは、基本的人権が共同立法の議論の重要な要素であること、そして、非倫理的なテクノロジーに正面から取り組まないルールであれば「信頼性の高い」AIを確実するためのフレームワークという議会の主張は信用できないと、いち早く警告している。

カテゴリー:パブリック / ダイバーシティ
タグ:EU生体認証顔認証人工知能・AI

画像クレジット:Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

アマゾンが手のひら決済「Amazon Oneスキャナー」をスーパーWhole Foodsに導入

Amazon(アマゾン)は新しい生体認証デバイス「Amazon Oneスキャナー」をWhole Foods店舗に導入する。小売大手Amazonは2021年秋、買い物客が手のひらをスキャンして店舗に入ることができるようにするAmazon Oneスキャナーを発表していた。顧客の手のひらの特徴はAmazonのキャッシュレスストアAmazon Goのような小売店の決済メカニズムに紐づけることができる。Amazon Go店舗では顧客は買い物して従来の精算プロセスを経ることなく店を後にできる。そして今、Whole FoodsでAmazon Oneスキャナーが精算時の決済手法として加わろうとしている。

つまり、顧客は購入の際、現金やクレジットカード、デビットカードで支払う代わりにリーダーに手のひらをかざすことを選択できる。

さしあたって、Amazon OneスキャナーはシアトルのマディソンブロードウェイにあるWhole Foodsの店舗に導入されるが、数カ月内にシアトル広域にあるさらに7つの店舗で展開される計画だとAmazonは話す。シアトルはAmazonが広範に展開する前に新しいテクノロジーを試すテストマーケットとなる。

2020年9月の導入以来、Amazon OneスキャナーはすでにAmazon Go、Amazon Go Grocery、Amazon Books、Amazon 4-star、Amazon Pop UpなどシアトルエリアにあるいくつかのAmazon店舗に導入された。「何千人」もの顧客が手のひらの特徴を登録したと同社は話す。

関連記事:アマゾンが手のひらをかざして入店・決済できるスキャナー「Amazon One」をシアトルの2店舗に導入

Whole Foods店舗への導入では、顧客はキオスク、あるいは参加店舗にあるデバイスでAmazon Oneに申し込むことができる。登録は片方の手のひら、あるいは両手のひらのどちらかを選ぶことができる。スキャナーは独特の手のひらの特徴を登録するのにコンピュータービジョンテクノロジーを使っていて、手のひらの特徴は客がデバイスに挿した決済用クレジットカードに紐づけられる。

異なるロケーションでAmazon Oneに登録した既存客は、サービスを使いたい店舗で再度クレジットカードを挿し込む必要がある、とAmazonは説明した。

加えて、顧客はWhole Foodsでの買い物でPrime会員割引を受けられるようにするために、将来Amazon Oneデバイス経由でAmazon One IDをAmazonアカウントとリンクさせることができる。

「Whole Foods Marketでは顧客のために買い物エクスペリエンスを改善すべく、新しくイノベーティブな方法を常に模索しています」とWhole Foods Marketのテクノロジー担当シニアバイスプレジデント兼テクノロジー最高責任者Arun Rajan(アラン・ラジャン)氏は導入についての声明で述べた。「Amazonと緊密に連携を取りながら、Prime会員割引、オンライングローサリー配達とピックアップ、無料の返品のようなメリットを顧客に提供してきました。決済の選択肢としてAmazon Oneを今日から加えることをうれしく思います。シアトルのマディソンブロードウェイの店舗にまず導入し、この決済手法を今後他店舗でも展開しながら顧客の意見を聞くのを楽しみにしています」と付け加えた。

もちろん、Amazonの生体テクノロジーでの追跡記録を考えると、デバイスには懸念もつきまとう。同社は生体顔認証サービスを米国の法執行機関に販売した。顔認証テクノロジーはデータプライバシー訴訟の対象だった。そしてRingカメラ会社は引き続き警察と提携している。またAlexaの音声録音を削除するというオプションを顧客は持たず、音声録音は無期限に保存されていることも明らかになった(Amazonは後にそれを変更した。そして公平のためにいうと、GoogleAppleも顧客の音声データを誤って取り扱っていた)。

関連記事
Alexaの音声記録は無期限に保存するとアマゾンが米議員に回答
GDPR発効後初となる中止命令を受けたグーグルの音声AIレビュー
Siriの録音が定期的に契約企業に送られて分析されていた

ちょうど4月20日、Amazonはロンドンエリアの美容室で別の小売とARテクノロジーをテストすることを発表した。このテストには顧客のイメージをとらえるカメラが含まれる。「顧客のデータ」の保持はしないと述べたが、美容室で集められる非パーソナルデータについての質問には答えなかった。

4月21日の発表の中で、AmazonはAmazon Oneデバイスが「複数のセキュリティコントロールによって守られていて、手のひらの画像はAmazon Oneデバイスに保存されることは決してない」と説明している。画像は暗号化されて、Amazonが顧客の手のひらの特性を作るクラウドのAmazon One専用の安全なエリアに送られる、とも話している。同社はまた、デバイスあるいはone.amazon.comでAmazon Oneから脱会する方法を顧客に提供する。脱会ではすべての決済が完了したときに生体情報も削除する。

関連記事:AmazonがARなどのリテールテクノロジーをテストをロンドンにオープンしたヘアサロンで開始

カテゴリー:その他
タグ:AmazonAmazon OneシアトルWhole Foods生体認証店舗

原文へ

(文:Sarah Perez、翻訳:Nariko Mizoguchi

スウェーデンのデータ監視機関が警察によるClearview AIの使用は違法と判断

スウェーデンのデータ保護機関であるIMYは、物議を醸している顔認識ソフトウェアClearview AIを違法に使用し、同国の犯罪データ法に違反したとして警察当局に罰金25万ユーロ(約3200万円)を科した。

執行の一環として警察当局は、今後個人データの処理でデータ保護規則と規制を破ることがないよう、スタッフにさらなるトレーニングと教育を実施しなければならない。

IMYはまた、自身の個人データがClearviewに送られた人に通知するよう命じた。IMYによると、守秘義務規則でそうするようになっている。

調査により警察が数多くのケースで顔認識ツールを使い、何人かのスタッフが承認を得ずにツールを使ったことが明らかになった。

今月初め、カナダのプライバシー当局はClearviewが人々の写真を顔認識データベースにのせるために人々に知らせることなく、あるいは許可を得ることなく写真を収集し、法律に違反したと判断した。

IMYは、警察がClearview AIの使用に関する数多くのケースでデータ管理者としての義務を果たさなかったと結論づけました。警察は、このケースの個人データの処理が犯罪データ法に準拠して実行されたことを裏付け、証明するような十分な組織的手段を実行しませんでした。Clearview AIを使ったとき、警察は顔認識のための生体データを違法に処理し、この処理ケースで必要とされるデータ保護影響アセスメントを実施しませんでした」とデータ保護当局はプレスリリースに書いている。

IMYの決定全文はここで閲覧できる(スウェーデン語)。

「警察当局が特に法執行目的の場合においていかに個人データを処理するか、明らかに定義された規則と規制があります。スタッフにそうした規則を認識させるのは警察の責任です」とIMYの法務アドバイザーElena Mazzotti Pallard氏は声明で述べた。

IMYによると、罰金(現地通貨で250万スウェーデンクローナ)は総合的な評価をもとに決定されたが、ウェーデンの法律での違反罰金限度額には遥か及ばない額であることには疑問が残る。監視機関は1000万スウェーデンクローナになると指摘している(規則を知らなかった、あるいは不適切な手順だったことは罰金を減らす理由ではなく、なぜ警察がより大きな額の罰金を回避したのかは完全に明らかになっていない、と当局の決定は指摘している)。

データ当局は、Clearviewがまだ情報を保存しているかどうかなど、警察によって写真がClearviewに送られた人々のデータに何が起こったのかをはっきりとさせることはできなかったと述べた。なので、データ当局は、Clearviewが確実にデータ削除するための措置を講じるよう警察に命令した。

IMYは、現地の報道を受けて議論を呼んでいるテクノロジーの警察による使用を調査したと述べた。

ちょうど1年前、ニューヨークタイムズ紙は米国拠点のClearview AIが何十億枚という顔写真のデータベースを抱えている、と報じた。ここには、公開されているソーシャルメディアの投稿のスクレイピングや、本人の認識や同意なく扱いに慎重を要する生体データの取り込みなどが含まれた。

欧州のデータ保護法は生体認証のような特別なカテゴリーのデータの処理に高いハードルを設けている。

警察による商業顔認証データベースの特別な使用は、ローカルのデータ保護法に全く注意が払われていないようだが、明らかにそのハードルを満たしていない。

先月、自身の生体データが同意なく処理されたというドイツ在住者からの苦情を受けて、ハンブルグのデータ保護当局がClearviewに対する調査を行ったことが明らかになった。

ハンブルグの当局は、個人が明白に同意していない限り個人を特定する目的で生体データを処理することを禁じているGDPRの第9条(1)を引用し、Clearviewの処理が法に反しているとした。

しかしながらドイツの当局は、個人の苦情の数理的ハッシュ値(生体プロフィールを示すもの)の削除を命じたにすぎなかった。

写真そのものの削除は命じなかった。また、欧州のプライバシー啓発グループnoybが求めていて、そうしようと思えばできた欧州の住人の写真の収集を禁止する汎EU命令は出さなかった。

noybはEUの全住人に、Clearviewに自身のデータのコピーを要求し、同社が保存しているデータを削除するよう、そしてデータベースに含まれることに対して反対するよう求めるためにClearview AIのウェブサイトにあるフォームを使うよう促している。noybはまた、Clearviewが自身のデータを持っていることが判明した個人に、同社に対する苦情を地域のDPAに提出することを推奨している。

EU議員は人工知能の応用を規制するためのリスクベースの枠組みを作成中だ。法案は今年進められる見込みだが、委員会はEUのGDPRにすでに盛り込まれているデータ保護を勘案しながら取り組むことにしている。

今月初め、議論を巻き起こしているClearviewはカナダのプライバシー当局よって違法と判断された。カナダの当局は、同社がカナダ人のデータの収集の停止やこれまでに収集した画像の削除を含む勧告に従わなければ「他のアクションを起こす」と警告した。

Clearviewは昨夏にカナダの顧客への同社のテック提供を停止した、と述べた。

同社はまたイリノイ州の生体情報保護法に準拠した集団訴訟にも直面している。

英国と豪州のデータ保護監視機関は昨夏、Clearviewの個人データ取り扱いに関する共同調査を発表した。

カテゴリー:
タグ:

画像クレジット: Design Cells / Getty Images

[原文へ]

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

大日本印刷が指紋センサー搭載FeliCaカードを開発、2021年度内の製品化を予定

大日本印刷が指紋センサー搭載FeliCaカードを開発、2021年度内の製品化を予定

大日本印刷(DNP)が指紋認証を搭載したFeliCaカードを開発しました。実証実験を重ね、2021年度内の製品化を予定しています。

同カードは、あらかじめ指紋を登録した個人が、登録した指でカード上の指紋センサーに触れながらカードをリーダーにかざすことで、入館や決済を可能とする製品です。

厳格な情報管理や勤務管理に用いる社員証や、高額な残高をチャージした電子マネーカードなどが他人の手に渡っても、指紋による本人認証が通らないため、悪用を防止するメリットがあります。

大日本印刷が指紋センサー搭載FeliCaカードを開発、2021年度内の製品化を予定

大日本印刷が指紋センサー搭載FeliCaカードを開発、2021年度内の製品化を予定

赤丸が指紋センサー

指紋の読み取りにはFeliCaの起電力を利用し、認証もカード内で完結するため、追加の装置やシステム開発は不要。既存のカード運用システムをそのまま利用できます。大規模な導入コストをかけずに、短期間で高セキュリティの環境構築が可能になります。

赤丸が指紋センサー

指紋データはカード内に登録・保存されるため、指紋データを保管するためのサーバー構築も不要。企業側で指紋データを持つ必要がなく、個人情報漏洩のリスクもないといいます。

DNPは同カードの利用例として、下記を挙げています。

  • オフィスや工場のFeliCa対応のセキュリティ機器を導入している拠点に、指紋認証機能付き社員証を導入
  • 個人情報や機密情報取扱者など特定の社員の入退管理や複合機認証を指紋認証で強化
  • マンションなどの住居において指紋認証機能付きFeliCaカードをキー(鍵)として導入し、玄関ドアの防犯性を強化
  • 電子マネー事業者において高額チャージ利用者向けや紛失時などの不正利用防止の付帯サービス

Engadget日本版より転載)

関連記事
アマゾンが手のひらを読み取る生体認証システムの採用店舗を拡大、いずれオフィスや他社店舗にも
プライバシー規約で炎上中のWhatsAppがWeb・デスクトップ版に生体認証オプションを追加
Android用Chromeのオートフィル機能で生体認証が利用可能に
シングルサインオンのOpenAM最新版でSafari 14経由の生体認証ログインを確認、パスワードレス認証が可能に

カテゴリー:セキュリティ
タグ:指紋認証生体認証 / バイオメトリクス大日本印刷 / DNP(企業)FeliCa日本(国・地域)