AIイラストに関連する著作権についての連載コラム5記事目です。
コラムを書いてくださるのは、著作権と契約に関する法務サービスを提供する「メル行政書士事務所」代表の佐藤洸一さんです。

第1回：【コラム】機械学習と原作者の著作権について
第2回：【コラム】著作隣接権とは
第3回：【コラム】著作権とは・著作権の概要
第4回：中国におけるGenerative AI規制の現状


メル行政書士事務所
公式サイト：https://www.mel-legaloffice.com/
Twitter：@MELgyoseishoshi

はじめに

パイオニアとしてのEU

EUは、人権保障、個人情報保護や環境保全等の領域において、国際的に先駆的に規制を導入し、その後の各国の制度設計に大きな影響を及ぼしています。日本における個人情報保護法改正も、国・地方・独立行政法人等の分権的規制を統一する目的の他、EUのGDPRへの対応が大きな課題となって推進され、また「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」（令和二年法律第三十八号）のように、EUの法規制を参考に制度設計された法規制も少なからず存在します。

AIに対する規制においてもこうした傾向は例外ではなく、EUは既に2021年4月21日の段階で欧州議会及び欧州連合理事会に対する欧州委員会提案として「人工知能に関する整合的規則の制定と既存のEU法に対する修正に関する欧州員会提案」（以下「AI規制案」）を公表しています。これは法的拘束力を有する文書ではありませんが、欧州議会等でこの提案が採択され新たにEU法として施行された場合、域外適用を通して日本の事業者にも影響が及ぶことが予想されます。

EUによるAI規制案の目的

AI規制案は、「本提案の主な目的は、特にAI技術を利用した製品・役務の開発およびAI技術そのものの連合市場への投入・使用に関する整合性のある規制を設計することにより、EU市場の適切な機能を確保することである」としており、特定の類型のAIによる人権侵害の予防という規制的な目的の他、AIの研究開発と投資・EUの市場拡大の促進という産業政策的な目的も掲げています。

すなわちAIの使用の抑制のみではなく、その促進も目的とする規制であるため、その執行にあたっても、SME（Small and Medium Sized enterprise：中小企業）等への一定の配慮がなされるものと予想されています。本稿においては、EUによるこうしたAI規制の現状と展望についてAI規制法、DSA、DMA、GDPRという複数の規則を横断して検討し、その全体像を概観します。

AI規制法の概要

AI規制法（AI Act）とは

2023年5月11日、欧州議会は、AI規制法の立法状況について、以下のようにプレスリリースしました。
EU域内市場委員会と自由権規約委員会は、人工知能に関する史上初のルールに関する交渉指令案を、賛成84票、反対7票、棄権12票で採択しました。欧州委員会の提案に対する修正案で、欧州委員会は、AIシステムが人間によって監督され、安全で、透明性が高く、追跡可能で、非差別的で、環境に優しいことを保証することを目的としている。*
AI規制法は、上記のようにAIの利用に関するEU初の包括的な規則であり、2023年下旬に成立が見込まれています。本規制の特徴は、「リスクベースアプローチ」と呼ばれる方法論であり、許容できないリスクを伴うAIは原則禁止とし、ハイリスクAIに関しては、そのAIの仕様とAIを提供する事業者について、一定の要件（リスクマネジメントシステムの導入、データガバナンス等）と義務（品質管理システムの構築、適合性評価の実施等）が課せられ、その他の「限定的リスクAI」については、一定事項の表示義務等が課せられるという構成となっている点です。

*”AI Act: a step closer to the first rules on Artificial Intelligence”. News European Parliament. 2023/5/11. https://www.europarl.europa.eu/news/en/press-room/20230505IPR84904/ai-act-a-step-closer-to-the-first-rules-on-artificial-intelligence

AI 規制法により禁止されるAI

AI規制法により「許容できないリスクを伴うAI」として禁止されるのは、①サブリミナルな手法により対象者を身体的又は精神的に、無意識的に侵害し、その行動を歪めるおそれがあるAI、②身体的又は精神的な障害若しくは年齢等の要因による個人の有する脆弱性を利用し、対象者の行動を歪めるおそれがあるAI、③公的機関等により対象者の社会行動に基づいて信頼性評価等を行い、（評価の基礎となった社会行動と無関係な局面又は不均衡に重大な局面において）対象者に不利益を与える恐れがあるAI、④法執行のためにするリアルタイムでの遠隔生態認証システムの四類型です。これらのAIについては、AI規制法が施行された場合、EU市場に出荷することができません。*

*” Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS”. EUR-LEX. 2021/4/21. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52021PC0206

AI規制法におけるハイリスクAI

AI規制法により「ハイリスクAI」とされるのは、①医療機器、機械、おもちゃその他、特定の製品に使用されるAI、②生態認証分野において遠隔リアルタイム認証等を用途とするAI、重要なインフラストラクチャー分野において管理上の安全装置又は交通管理、水道供給等を用途とするAIその他、特定の分野（８分野）における特定の用途（21用途）に用いられるAIです。これらのハイリスクAIに該当する場合、第三者による適合性評価等を受ける必要があります。

AI規制法における限定リスクAI

AI規制法により「限定リスクAI」とされるのは、①チャットボット等、人間と対話することを目的とするAI、②感情認識システム又は生態認証システム、③実在する人物や場所、出来事等に著しく類似するコンテンツを生成するディープフェイク生成AIの3類型であり、これらのAIについては、そのAIの対象者が、それらがAIによるものであること等を知り得るような措置を取らなければならないこととされます。

DSA（The Digital Services Act）によるAI規制の概要

DSA（The Digital Services Act）とは

デジタルサービス法（DSA）とは、2022年10月4日に欧州理事会において可決されたEUにおける電子商取引に関する包括的な規則です（2024年2月17日完全施行予定）。電子商取引を提供する事業者に関しては、従来からBtoB取引については、「事業者に対するオンライン仲介サービスに関する公平性と透明性の促進に関する規則（regulation on promoting fairness and transparency for business users of online intermediation services）」により部分的に規制され、BtoC取引に関しては、GDPRにより部分的に規制されていましたが、本規則はBtoBとBtoCの両面について包括的に規制するものとなります。EU理事会のプレスリリースによれば、
デジタルサービス法は、EUで最も画期的な水平規制の一つであり、世界の他の規制当局の「ゴールドスタンダード」になる可能性があると確信しています。より安全で説明責任のあるオンライン環境のための新しい基準を設定することで、DSAは、オンラインプラットフォームとユーザー、そしてEU内外における規制当局の間の新しい関係の始まりを示すものです。*
とされており、世界に先駆けた制度であることが宣言されています。実際に、日本において上述の「透明化法」がDSAを範として制定されました。

* “DSA: Council gives final approval to the protection of users' rights online”. Council of the EU and the European Council. 2022/10/4. https://www.consilium.europa.eu/en/press/press-releases/2022/10/04/dsa-council-gives-final-approval-to-the-protection-of-users-rights-online/

DSAの規制内容

DSAは、①オンライン仲介サービス②ホスティングサービス③オンラインプラットフォーム④超巨大オンラインプラットフォーム（VLOPs/VLOSEs）の四類型の規制対象事業者について、透明性に関する報告義務、違法コンテンツの排除義務、利用者保護を課すものです。零細・小規模事業者には一定の免除がある一方、ユーザー数に基づき欧州委員会が指定するVLOPS/VLOSEsには、定期的なリスク評価とリスク対策の実施、危機管理に関する欧州委員会の介入権限等が追加的に課されています。

レコメンダー・システムの透明性

AIに関する規制としては、オンラインプラットフォーマーとVLOPs/VLOSEsは、レコメンダー・システムを提供する場合、DSAに基づき、①使用される主要なパラメータ、②サービスの受信者がこれらの主要なパラメータを変更または影響するためのオプションをユーザーに表示する必要があり、さらに①サービスの受領者に提案される情報を決定する上で最も重要な基準、②それらのパラメータの相対的重要性の理由を開示するべきこととしています。ユーザーの行動履歴に基づいてレコメンドを行うレコメンド・アルゴリズムの仕様に関し、ユーザーに選択権とそのための考慮要素を提供する義務を課すものとなります。*

*”Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act)”. EUR-LEX. 2022/10/27. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32022R2065

DMA（The Digital Markets Act）によるAI規制の概要

DMA（The Digital Markets Act）とは

デジタル市場法（DMA）とは、DSAとともに「The Digital Services Act package」を構成する規則として、2022年11月1日に発行した、デジタル市場に関する競争法（事業者の市場独占を防止し、公正な市場環境の形成を目的とする法律）です。GAFAをはじめとするゲートキーパー（GK）とされる大規模オンラインプラットフォーマーが、エンドユーザーとビジネスサイドとの間のゲートキーパーすなわち門番となり、ユーザーの囲い込みやデジタル市場のイニシアティブを握っていることに対する競争法的な観点からの規制となります。

自社商品の優遇禁止

DSAにおけるリコメンド・システムに関する規制と類似する規制として、ランキング・システムにおけるGKによる自社商品の優遇禁止が挙げられます。DMAは第6条 第5項において「ゲートキーパーは、ランキングおよび関連するインデックス作成とクローリングにおいて、ゲートキーパー自らが提供する商品役務を、第三者の同様の商品役務よりも有利に扱ってはならないものとする。ゲートキーパーは、このようなランキングに透明で公正かつ非差別的な条件を適用しなければならない。」*としており、GKがプラットフォーマーとして支配力を利用して他の市場で不当に優位となることが制限されています。

*”Regulation (EU) 2022/1925 of the European Parliament and of the Council of 14 September 2022 on contestable and fair markets in the digital sector and amending Directives (EU) 2019/1937 and (EU) 2020/1828 (Digital Markets Act)”. EUR-LEX. 2022/10/22. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R1925

GDPRによるAI規制の概要

GDPRとは

GDPR（General Data Protection Regulation）すなわち「EU一般データ保護規則」とは、2018年5月25日に施行されたEU圏における個人情報の取り扱いに関する規則です。EU域内の個人情報をEU域外に越境移転する限りにおいて、日本など他国に所在する事業者にも域外適用されます。日本における個人情報保護法に該当し、主な相違点として、GDPRにおいては日本法にはない「透明性」という基本原則がある他、同意の取得方法やデータ主体の権利等についてより一層詳細な規制が施されています。

プロファイリングに関する権利

GDPRにおけるAIに関する規制として、プロファイリングに関するデータ主体（個人情報の本人）の権利に関する規定があります。プロファイリングとは、特定の個人や集団の特性、行動パターン、傾向などを分析し、それらを基に将来の傾向を予測するプロセスを指します。具体的には、ある特定の行動や特性を持つ個体が存在するときは、その他の個体も同じまたは類似の特性や行動を示す可能性があると予測します。

自動的意思決定に異議を唱える権利

こうしたプロファイリングがアルゴリズムやAIによって行われ、自動的に意思決定がされることは、場合によっては対象者の人格的な権利の侵害になることが懸念されます。GDPR第22条は、こうした自動的意思決定にのみによって、対象者の重大な権利利益を左右する意思決定をすることを禁止しています。具体的には、同条第3項において、プロファイリングの対象者は、「プロファイリングを実行する側の人的介入を得る権利、自分の意見を表明する権利および決定に異議を唱える権利」を有するとされています。

EUにおけるAI規制の現状に関するまとめ

EUにおける透明性（Transparency）」原則

EU圏においても、前回投稿記事で述べた中国同様、ジェネラティブAIその他のAIに関し、先駆的な取り組みとして、その包括的な規制を試みている点において共通します。EUにおけるAI規制について特筆すべき点としては、EUの立法においてはGDPRをはじめ、伝統的に「透明性（Transparency）」原則が重視されており、AI規制もその例外ではなく、人間の知らないままにAIにより不利益な取り扱いがなされることに対する保護措置や、AIの用途や目的を対象者にあらかじめ開示するべきことに重点が置かれています。

こうした「透明性」原則は、日本法にはあまり知られていない概念ですが、今後EUにおける立法が進展し、それが欧州議会の言葉を借りれば国際的な「ゴールデンスタンダード」となった場合、こうした考え方も普及する可能性があります。

越境適用

EUの「規則」は加盟国における立法措置を要することなくＥＵ域内に直接適用されるとともに、GDPRをはじめ、EU域内で事業を展開する場合、日本に所在する事業者も無縁ではありません。上述したようにEU域内におけるAI製品の出荷には、異なる観点から定められた複数の規則が適用される可能性があり、十分な調査が必要となるでしょう。

今後の展望

EUにおけるAI規制は、上述の透明性原則や「リスクベースアプローチ」のように、AIの人間に対する相互作用に着目して規制する構成となっており、AIの用途や機能的な側面に重点を置いた規制となっていくことが予想されます。一方でChatGPTをはじめかつての「汎用知性」と呼ばれる形態のAIに機能的に近似するAIも登場しており、将来的には、AIを提供する事業者のガバナンス等に対する規制のみならず、こうしたAIの仕様そのものに対する規制も一層強化されていくかもしれません。