詳細 | EUの人工知能法案が進行中：公共の場での顔認識の禁止を求める、市場シェアを獲得するために厳しい監視が必要

最近、EUの人工知能規制に新たな展開がありました。

欧州データ保護委員会（EDPB）と欧州データ保護監督機関（EDPS）は6月21日、今年4月にEUが発表した人工知能規制案に関する共同意見を発表し、顔認識、歩き方、指紋、DNA、音声、その他の生物学的または行動的信号を含む、公共の場での個人の特徴を自動的に識別するための人工知能の使用を禁止するようさらに求めた。

共同意見では、多くの点でデータ保護も強調され、加盟国のデータ保護当局（DPA）を国家監督機関として指定することを推奨し、EAIBにさらなる自治権を与えることを提案している。

この意見は最終的な AI 規制にどの程度の影響を与えるでしょうか?厳格なEU法の目的は何ですか?私たちはそこから何を学ぶことができるでしょうか?複数の専門家は21世紀ビジネスヘラルドの記者に対し、規制は多くの要素を考慮しており、意見が一致すれば法律が強化される可能性があるが、EUの立法の目的や基準値については意見が分かれていると語った。

いずれにせよ、人工知能は今後ますますデジタル変革の重要なサポートとなり、生態環境の重要な一部となるため、人工知能に関する法的ガバナンスの枠組みと自律システムの研究と構築は、すべての国にとって必須となるでしょう。

公共の場での顔認識の禁止を求める

今年4月にEUが提案したAI規制案（以下、草案）と同様に、リアルタイム遠隔生体認証技術も今回の共同意見の焦点となっている。

「EUがここで議論している顔認証は、リアルタイム遠隔生体認証技術の一種であり、私たちが狭義に考えるものとは異なる。EUが特に嫌う『公共の場での監視』という概念を強調している」。対外経済貿易大学デジタル経済・法律イノベーション研究センターの徐克執行長は、21世紀ビジネスヘラルドの記者に対し、店舗に顔認証用のカメラを設置するのもこの範疇に入ると例を挙げた。危険なのは、個人が知らないうちに、あるいは同意を明確に表明することができないまま監視されているという事実です。しかし、住宅地や学校に入るために顔をスキャンするなど、近距離での顔認識はEUの規制の範囲外です。

これまでの草案は、EU域内での無差別な大規模監視を全面的に禁止しており、法律で認められた範囲内で行方不明の子供の発見、テロ攻撃の脅威の除去、特定の犯罪容疑者の追跡という3つの特別な状況のみが例外とされていた。違反者には3,000万ユーロまたは年間収益の6％の行政罰金が科せられる。しかし、これらの規制は依然としてテクノロジーに余地を残していると非難されており、欧州議会議員39名が共同で抗議の書簡を出した。

EDP​​BとEDPSは共同意見の中で、顔認識、歩き方、指紋、DNA、音声、クリック音、その他の生物学的または行動的信号を含む、公共の場での人間の特徴を自動的に識別するためのAIの使用をEUが完全に禁止するよう求めた。さらに共同意見では、人種、性別、政治的または性的指向などによる人の分類や社会信用スコアリングに利用することを禁止することや、人工知能を使って自然人の感情を推測することを禁止することも勧告している。

「自由を維持し、人間中心のAIの法的枠組みを構築したいのであれば、公共の場での顔認識の使用を全面的に禁止することが必要な出発点です」と、EDPBのアンドレア・イェリネク会長とEDPSのヴォイチェフ・ヴィエヴィオロウスキ局長は、公共の場での遠隔生体認証の使用は、人々が匿名でいられなくなることを意味し、リアルタイム顔認識などのアプリケーションは人々の基本的権利と自由を侵害するため、規制当局は直ちに予防措置を講じる必要があると述べた。

偶然にも、英国のICO規制当局も最近、リアルタイム顔認識技術に注目している。情報コミッショナーのエリザベス・デンハム氏は6月18日のブログ投稿で、公共の場で人々の顔がリアルタイムでスキャンされ処理されることによるプライバシーリスクと、リアルタイムの顔認識とソーシャルメディアやその他のビッグデータとの組み合わせについて懸念を表明した。

「ICOによるリアルタイム顔認識に関する6回の調査では、その主な用途として公共の安全問題への対応や個人を対象としたパーソナライズ広告などが含まれていたが、導入されていたシステムはいずれもデータ保護法に完全に準拠しておらず、それらのシステムではこの技術の使用が中止されている」と彼女は述べた。

米国では、政府機関や大学キャンパスで顔認識の禁止が実施されている。サンフランシスコ市が2019年5月に警察やその他の政府機関による顔認識技術の使用を禁止する条例を発令して以来、サマービル市、オークランド市、ボストン市、ニューヨーク市、バージニア市などいくつかの都市が同様の禁止令を発令している。アマゾン、マイクロソフト、IBMなどの大企業も顔認識事業を一時停止している。

データ保護の重視

EUのデータ規制機関として、EDPBとEDPSは共同意見の中で多くの点でデータ保護を強調しました。

たとえば、一般データ保護規則 (GDPR)、EU データ保護代表規則 (EUDPR)、データ保護執行指令 (LED) などの既存の EU データ保護法が、AI 規則草案の範囲内での個人データのあらゆる処理に適用されることを明確にする必要があります。

AI規制の草案では、AIアプリケーションを「許容不能、高、限定、低」の4つのリスクレベルに分類し、それぞれ異なる規制の対象となります。共同意見では、リスクに基づく分類アプローチへの支持を表明したが、「基本的権利リスク」はEUのデータ保護枠組みと整合する必要があり、自然人グループの社会的リスクを評価し、軽減することを推奨した。さらに、個人データ保護を含む EU の法的義務の遵守は、CE マーク (EU 安全認証マーク) を取得した製品が欧州市場に参入するための前提条件とみなされます。

「人工知能という技術自体がデータに依存している」と徐克氏は述べ、生体認証はセンシティブ個人情報と呼ばれる特殊なタイプのデータだと語った。

北京師範大学国家サイバー法・ガバナンスセンターの呉神国執行ディレクターは、EUのデータ保護法制は常に包括的であり、共同意見は単にこの立場を再確認するだけだと見ている。これは、EUがデータ保護を基本的権利として重視していることを反映しているだけでなく、将来のデジタルガバナンスに向けて、さまざまな機関間で十分な調整と調整を行うというEUの姿勢も示しています。

EDP​​B と EDPS は、法的規定に加えて、データ規制機関の「権限の拡大」も望んでいる。

草案第59条でAI規制の円滑な実施を確保するために要求されている国家管轄当局の指定に関しては、共同意見では加盟国の個人情報保護当局（DPA）を国家監督当局として指定することを推奨している。 DPA はすでに GDPR および LED に基づいて法律を施行しているため、この措置により統一された規制アプローチと一貫した法的解釈が確保されます。

共同意見はまた、草案が欧州委員会を欧州人工知能委員会（EAIB）で主導的な役割を担うと定めていることに疑問を呈し、これはいかなる政治的影響も受けない欧州のAI機関を設立する必要性に反すると主張し、EAIBが独立して行動できるようより大きな自治権を与えることを提案した。

「これは3つのレベルで影響を及ぼすだろう。第一に、法執行姿勢、規制スタンス、および既存のデータ保護機関の法執行ツールの適用範囲がさらに拡大される。関連して、データ保護における比較的厳格な規制姿勢も人工知能の分野に拡大される。第三に、人工知能の将来のガバナンスルールは、主にデータガバナンスルールに基づくか、データガバナンスルールを中心に展開されるだろう」とウー・シェンクオ氏は述べた。

彼は、人工知能を統制するための実現可能なアイデアが 3 つあると指摘しました。1 つは計算能力を制御すること、2 つ目はアルゴリズムに重点を置くこと、3 つ目はデータに注意を払うことです。これら 3 つは人工知能の基本的な構成要素です。共同意見から判断すると、EDPB と EDPS はデータ保護の観点から人工知能のガバナンス エコロジーに影響を与えることを望んでいます。

「データから始めることで、既存システムの利点をフルに活用でき、比較的成熟した人的・組織的サポートも得られる。さらに、影響力の面では、データをコントロールすることで世界のデジタルエコシステムを揺るがすこともできる。これが欧州連合の強みだ」と呉神国氏は語った。

AI規制にどれほどの影響を与えるでしょうか?

EUのAI法制化の進展を振り返ると、EDPBとEDPSの共同意見はほんの小さなエピソードに過ぎないのかもしれない。

2018年3月には、EUのシンクタンクとして知られる欧州政治戦略センターが「人工知能の時代：人間中心の欧州戦略に向けて」と題する報告書を発表し、人工知能分野におけるEUの最新の発展状況を解説した。同年4月、欧州委員会はEUの人工知能への道筋を提案した政策文書「EU人工知能」を発行した。

2019年にEUの人工知能に関するハイレベル専門家グループは「信頼できるAIに関するガイドライン」を策定し、2020年には「信頼できるAI評価リスト」を策定しました。欧州連合は2020年2月に「人工知能白書」を発表し、AIの研究開発と監督に関する一連の政策措置や「信頼できるAIフレームワーク」を提案した。 EUが人工知能に関する規制案を提案したのは今年4月21日になってからだった。

EUの立法プロセスによれば、AI規制の最終版は早くても来年まで公開されないだろう。それで、この共同意見はどれほど大きな反響を呼ぶことができるのでしょうか?

徐克氏は、草案そのものは複数の政党間の妥協の産物だと述べた。もともと、昨年末に明らかになった関連情報では、リアルタイム遠隔生体認証は一定期間内に禁止または中止することが求められていた。しかし、各方面から抵抗を受け、最終草案は後退した。全面禁止にはならなかったが、評価の実施や慎重な手続きの実施など、多くの制約条件が提示された。

ウー・シェンクオ氏は、AI規制を起草するチームとEUデータ保護法を起草するチームは異なるが、それぞれの考慮事項も異なると考えている。しかし、EUにおけるデータ保護の機能当局として、EDPBとEDPSは、さまざまなEUデータ保護規制の実施に懸念を抱いており、現在有効な規制に基づいて彼らが提示する意見は、未来志向の人工知能とその規制に大きな影響を与えます。

同氏はさらに、人工知能の発展の観点からは比較的緩やかな規制環境が必要だが、現在のEUのデータ保護法制度は比較的厳しく、それがEU内で分裂と緊張を引き起こしていると分析した。 「これはまた、既存のシステムの制約下で人工知能の発展に必要な余地をどのように提供するか、あるいは残すかについてEUの立法者に試練を与えるものであり、それは高度な立法上の知恵を反映している。」

上海交通大学データ法研究センターの執行ディレクターである何元氏も、EDPBとEDPSの勧告がAI規制に及ぼす重要な影響を認識した。 「今後は規制が厳しくなる。特に、公共の場での遠隔顔認識技術の利用に対する『例外』は厳格化が進むだろう。政府がこの技術で経営効率を上げたいと考えているなら、それはありそうにない」

しかし彼はまた、より厳しい規制は完全な禁止を意味するのではなく、むしろ手続き上の制約をますます厳しくし、遵守要件を改善することを意味するかもしれないと強調した。

あるいは国内産業の市場を獲得するため

デジタル経済の時代において、人工知能は急速に発展しています。中国電子学会の2020年の予測によると、世界の人工知能市場は2022年に1630億元に達するだろう。

2021年1月25日、米国の科学技術イノベーションシンクタンクである情報技術イノベーション財団（ITIF）は、「人工知能レースの勝者は誰か？」と題するレポートを発表しました。中国、EU、それとも米国？ 2021年版の報告書では、人材、研究、応用、データ・ハードウェアなど6つの主要指標を構成し、100点満点で採点し、米国、中国、欧州連合の人工知能能力を体系的に分析している。

報告書によると、米国は人工知能の総合分野で依然として大きくリードしており（44.6ポイント）、中国はいくつかの重要な分野で米国との差を縮め続けている（32.0ポイント）、欧州連合は依然として遅れをとっている（23.3ポイント）。

「EUの人工知能規制は世界最先端であり、人工知能のガバナンスが包括的かつ体系的な立法方式で実施されたのは初めてだ」と呉神国氏はコメントした。一方では国民の基本的権利を保障し、他方では国際競争力のある企業の発展をある程度遅らせ、自国の人工知能産業の発展のための時間と市場スペースを稼ぐためでもある。

「EUは立法や法執行の面で豊富な経験と事例を蓄積しているが、市場における地位は中国や米国に劣り、技術や企業管理の面で自主的な資源を持っていない。法的手段が唯一の選択肢となる。制度的波及効果を発揮し、中国や米国を含むデータ産業や生態系に影響を与えることができる」と呉神国氏はさらに分析した。

また何元氏は、EUの人工知能分野の立法は、実はGDPR制定の理念と一致していると述べた。厳格な規制法と規則は道徳的に優位に立つことを可能にし、中国、米国などの国々との交渉で優位に立つことができる。

同時に、これはEUの中小企業に対する政府の隠れた補助金に相当する。 「中小企業は大企業ほど規制の影響を強く受けないため、大手外国企業はEU市場に参入する際にコンプライアンスコストを増やさなければならない」と何元氏は述べた。

徐克は別の意見を述べた。 AI規制の範囲は遠隔監視に限定されており非常に狭いが、顔認識などの技術の応用はこれをはるかに超える範囲に及ぶと彼は考えている。

リモート監視であっても、基礎となるデータによってサポートされている必要があります。そうでない場合、人物を捕捉することはできても、個人の身元情報を取得することはできません。したがって、規制は政府に限定され、企業への影響は限定的です。

「人工知能はGDPRとは異なります。国内企業のみを管轄し、国境を越えた管轄権はありません。データの国境を越えた管轄権には2つの重要な手段があります。1つは、データがEUから流出できず、EUがデータ自体を管理していることです。2つ目は、EU貿易に参入したい場合は、GDPRに準拠する必要があることです。」徐氏は、ここにブリュッセル効果があると説明しました。企業は通常、一貫した基準に従ってデータを保護および管理します。そのため、EUの管轄権を通じて、EU外の企業に間接的に影響を与える可能性があります。

同氏は、EUの立法の中核は、自らの人工知能の価値を促進、実施、維持することであり、強い経済的目的はないと指摘した。

このことから私たちは何を学ぶことができるでしょうか?

我が国では、遠隔リアルタイム監視などの顔認識技術の悪用も深刻です。例えば、営業所での顔認識の頻繁な露出、315 GalaのKohler Sanitary Wareなどの商人が顧客の顔認識情報を盗むためにカメラを設置するなど、関連する法律が施行されているか、議題になっています。

例えば、個人情報保護法案第27条では、画像収集や個人識別装置の設置は公共の安全維持に必要な公共の場所に限定し、明確に表示しなければならないとしている。顔認識に関する国家標準の草案では、公共の場で顔認識データを収集する際には、データ主体に積極的に協力を求め、知らないうちに顔データが収集されることを防ぐ必要があるとも指摘されている。

天津、南京、杭州、深センなどでも、規制上の顔認識技術が相次いで販売されている。深センを例にとると、「深セン経済特区公安映像情報システム管理条例（草案）」ではカメラの設置が厳しく制限されている。ホテルの客室、病棟、寮、公衆浴場、トイレ、更衣室、授乳室など、市民のプライバシーが漏洩する可能性のある場所やエリアへのシステム設置は禁止されています。公共の安全のためのビデオ画像情報システムを導入する組織や個人は、自らのセキュリティ ニーズを満たすためにのみ導入する必要があります。

私の国にとって、EU の法律はどのような基準値を持っていますか?

徐克氏は、これが我が国がより厳しく規制し、遠隔監視を可能な限り限定するきっかけとなったと述べた。 「個人情報の透明性を高めるため、顔認証の目的や方法、内容、権利行使の方法、データの保存期間などを国民に知らせるQRコードを設置することを提案する」

何元氏は、EUの人工知能に対する厳格な規制はEUの産業発展の選択に基づいており、我が国がそれに従う必要はないと考えている。

「現在のEUの立法は画一的な方向に進んでいます。EUはGDPRの策定を振り返っても、この問題を認識していました。彼らは『審判は試合に勝つことはできない』と提唱し、アスリートとして競技に参加することを望んでいました。」何元氏は、「自由市場、強化された監督」モデルの方が中国の発展に適していると述べた。厳格な禁止ではなくコンプライアンスの観点から出発し、企業を監督してデータコンプライアンスシステムを確立し、コーポレートガバナンスシステムを改善し、リスクの発生を防ぐ。

Wu Shen Kuo氏は、参考として使用できる3つの側面を提案しました。 1つ目は、EUが特定のシナリオに合わせて利益均衡ルールを設計したことです。2つ目は、規制当局を明確に設定し、我が国の「九龍が水を司る」という規制構造を変えたことです。3つ目は、典型的な法執行事例の作成に特に重点を置き、条文の規定だけでなく、法執行プロセス中の法律規定のさらなる解釈にも注意を払ったことです。

「人工知能はますますデジタル変革の重要なサポートと重要な生態環境になりつつあるため、人工知能の法的ガバナンスフレームワークと自律システムをできるだけ早く研究し構築することは非常に意義深い。また、グローバルなデジタルガバナンスルールと戦略的指揮権を獲得するための重要なツールにもなる。人工知能の立法研究に力を入れなければならない。2年後、データが日常のルールになると、個人情報保護やデータ立法について語られることはほとんどなくなり、人工知能はより大きなリスクと脅威に直面することになるだろう」と呉神国氏は述べた。