趣味と仕事の備忘録

セキュリティとか料理とか写真とか

オンラインホワイトボード(アイディアプロセッサ)系のサービスの検討

会社では、なかなか便利にMuralを使っている。昔、Inspirationというソフトウェアがあったのだけれど、その感覚で使っている。

個人的な用途でも使いたいと思うのだが、仕事と私用(社外活動)は分けて使いたいのだが、検討してみると、なかなか思い切れない価格。

ゲストを使わずに、ビジターで運用するのが現実的かもしれない

利用環境

おおよその利用形態はこんな感じ

  • メインのユーザー:1名(自分)
  • 主要なメンバー:3名程
    • シートを起こすとか、アカウント周り以外はメインのユーザーに相当する権限を持ちたい
  • 編集を許可したいユーザー:10名程度
    • 編集できれば良い
  • アクセス制御:上記ユーザーにアクセスを限定したい
    • いざとなったら、Anonymousアクセスを許るすことも検討
  • ドメイン:バラバラ(それぞれ所属が異なる)

Mural

app.mural.co

f:id:PlusSum:20220412090531p:plain
Mural 価格

  • 必要なライセンス
    • Guestsが使うには、Businessが必要(最小10アカウント)
  • 費用
    • 月額:$71.96*10 = $719.1
    • 年額:$719.1*12 = $8,629.2 = 1,035,504円(120円/$)

Guestをあきらめて Team+にしてみる

  • 必要なライセンス
    • Team+(最小1アカウント)
  • 費用
    • 月額:$39.96*1 = $39.96
    • 年額:$39.96*12 = $479.52 = 57,542円(120円/$)

Miro

miro.com

f:id:PlusSum:20220412091619p:plain
Miro 価格

  • 必要なライセンス
    • Guestsが使うには、Businessが必要(最小5アカウント)
  • 費用
    • 月額:$16*5 = $80
    • 年額:$80*12=$960 = 115,200円(120円/$)

ゲストをあきらめてTeamにしてみる

  • 必要なライセンス
    • Team(最小2アカウント)
  • 費用
    • 月額:$8*2 = $16
    • 年額:$16*12=$192 = 23,040円(120円/$)

draw.io (diagrams.net)

OSSのダイアグラム作成ツールで、オンラインでもオフライン(ダウンロード)でも利用できる。

www.diagrams.net

qiita.com

Windows 10でコピペがうまくいかない

最近、コピーをしたつもりが出来ておらず、ひとつ前のコピーをslackに貼ってしまうという恥ずかしい事故が多発している。
CTRL+Cをやりすぎてキーボードがおかしくなったかと考え、比較的あたらしいキーボードに変えてみたが、結果はあまり変わらない。
これのトラブルがはっきりと出るのが、海外の記事をDeepLにコピペで翻訳するときで、なかなかコピーできずにイライラする。
もしかして、何かの仕様が変わったかと思って検索してみると、同じ問題で困っている人が結構いる模様。

こちらは、Edgeの設定の問題。海外の記事の場合は、Edgeを使っていることも多いので、この対策でうまくいきそう。

・・・ UPDATE:うまくいきませんでした(2022/03/23)

設定 -> 共有、コピーして貼り付け -> "Webページ内でのリンクをコピーするときに、上で選択した形式を使用する"

zeropasoakita.livedoor.blog

こちらはまだ、試していないが以下のコマンドを打つことで解決すると紹介されている

>|echo off | clip|


don-don.0am.jp

この話題とは関係ないけど、clipコマンドはWSLの出力結果もクリップボードに入れられる便利なコマンド。

qiita.com
|

戦場のスマホ問題

情報セキュリティにかかわっている立場から見ると、ウクライナでロシア兵がスマホを使っているように見えることが不思議でしょうがない。
民間のデータセンターでも、スマホの持ち込みを禁止にするのに、軍事作戦行動中にスマホ持たせるってほんと?と考え記事を調べてみた。
軍事麺は素人なので、我ながら用語の理解などの正確性を欠くと思われる。興味のある方はソースを確認のこと。

調べた範囲でのサマリ

  • 現在は作戦行動中のスマホは禁止されている(2-1)
    • 過去には兵士のスマホから色々と情報が漏れていたことがあった(2-2, 2-3)
    • 禁止されてはいるが、こっそり使っていることもあると推測(ソースを再発見できず)
  • ロシア兵のウクライナでの通信は、ウクライナの携帯電話網を使っているらしい(1-4)
    • このため、戦地でスマホを使った通話が行われる模様
    • ERAと呼ばれる暗号通信網を構築していたが、ウクライナの3G施設を攻撃したことで利用できなくなり、非暗号通信というか普通の携帯電話になった模様
    • ウクライナの携帯電話網を完全に破壊しないのは、自分たちが使う必要があるためと考えられる。

Facebookでいただいたコメント

正確ではないですが、いただいたコメントの抜粋です。

  • 軍用通信に通常、民生用携帯電話網は使用しない
  • ウクライナ国内で奪ったSIMを利用することはありうる

1 ロシア軍はウクライナスマホを使っているのか

1-1 ロシア将官ら異例の5人戦死 スマホで連絡、筒抜け―英情報筋 2022/03/22

調べてみようと思ったきっかけの一つがこちらの記事。
相手国の領内で、作戦行動中の軍がスマホ使うのだろうか。

前線部隊の指揮官と後方の司令部がスマートフォンで連絡しているケースもあり、「通信内容が丸ごと傍受されているに等しい」と話した。

www.jiji.com

1-2 Phone of terminated Russian Soldier... 2022/03/01

もうひとつ、なにか引っ掛かっていたのがこちら。
現場でスマホ使ってるのかな?

Phone of terminated Russian Soldier... Messages are translated; “Mom, I am in Ukraine. There is a real war there. I am so scared, we are attacking everything, even civilians.” A Russian soldier texting with his mother. Heartbreaking to read this.
死亡したロシア兵の電話... メッセージは翻訳されています(注 ロシア語から英語へ)。「お母さん、私はウクライナにいます。本当の戦争がそこにある。とても怖い。私たちはすべてを攻撃している。民間人さえも。" ロシア兵が母親とメールしている様子です。これを読むと胸が痛む。

www.reddit.com

たぶん、この件も同じ内容

www.businessinsider.jp

1-3 Captured Russian soldier sobs on phone to his mum 2022/03/04

こちらの記事のように、ウクライナ側のスマホで連絡を取るのならわかる

www.news.com.au

1-4 Ukraine: Russian military's own encrypted phones impacted after destroying 3G/4G towers, allowing comms to be intercepted 2022/03/08

なるほどと思うのがこちらの記事

Ukraine: Russian military's own encrypted phones impacted after destroying 3G/4G towers, allowing comms to be intercepted
Russia built a 'secure' phone that relied on stable infrastructure in a warzone
ウクライナ ロシア軍独自の暗号化電話は、3G/4Gタワーを破壊した後、通信傍受を可能にする影響を与えた
ロシアは紛争地帯で安定したインフラに依存した「安全な」携帯電話を構築した

読み取りにくい記事なのだけれど、このような内容と理解。
この通りだとすれば、ウクライナの通信施設に壊滅的な打撃を与えられないかも理解できる。

  • ウクライナでのロシア軍は商用電話回線を使っている
  • Era暗号電話と呼ばれる仕組みを作っていた(たぶん、3Gを利用)
  • しかし、ウクライナの3G設備への攻撃を行ったことにより、Era暗号電話が使えなくなった
  • このため、暗号化されていない通信回線を使うことを余儀なくされた

www.datacenterdynamics.com

2 事件というか経緯がわかりやすく書かれている投稿

2-1 ロシア、軍人のスマホ使用を禁止へ 2019/02/22

www.technologyreview.jp

2-2 スマホを使っただけなのに。兵士が任務中にスマホ・携帯を使うとどうなる? 2020/09/27

milirepo.sabatech.jp

2-3 ロシアは軍人のスマホ使用を禁止したのですか? 2021/10/11

jp.quora.com

ロシア兵の自撮りも…ウクライナ侵攻から見える“情報戦”にひろゆき氏「軍が何かやらせてるという考えは陰謀論」 2022/02/26

「ロシアでTikTokが流行していて、部隊の動きなどが次々と投稿されている。ロシアは情報戦で“偽装”を重視してきたが、今回はスマートフォンの位置情報からグーグルマップで『部隊が川に橋を架けた』と判明した例もあった。秘密裏に軍事力を展開するのが難しい時代になっている」とコメントを寄せた。
・・・・・・・・

Kaoruさんの友人の妹さんが(ロシア軍の侵攻が始まる前に)北の街に出かけて行ってTinderを開いた話を聞いた。Tinderの検索距離を50kmに拡大したら、そこには同い年くらいのロシア人の男の子たちが何人もいて、プロフィールで軍歴があることも分かった。

news.yahoo.co.jp

3 その他の情報戦

gigazine.net

Google Fonts/Analystic とGDPRに関する記事のまとめ

色々と気になる、Google Fonts/Analysticと とGDPR関係について、取り上げられている記事をまとめてみました。

オーストリア Google Analytics 2022/01/13

it.srad.jp

以下、上記記事の抜粋

こちらの記事は01/17
オーストリアのデータ保護機関 (DSB) は Schrems II 事件に関する EU 司法裁判所の判断に照らし、Google Analytics の使用が EU の一般データ保護規則 (GDPR) に違反するとの判断を示している。   この判断を受け、オランダのデータ保護機関 (AP) も 13 日、オランダにおける Google Analytics の使用が禁じられる可能性があると発表した。AP は現在 Google Analytics の使用に関する 2 件の苦情を調査しており、調査完了後に引き続き使用できるかどうかの判断を示す計画とのことだ。

techcrunch.com

その結果、オーストリアDPAは、問題のウェブサイト(netdoktor.atという健康に焦点を当てたサイト)が、Google Analyticsを導入した結果、訪問者のデータを米国に輸出していたことが、EU圏外へのデータ移転に関する一般データ保護規則(GDPR)の第5章に違反すると判断しました。

オランダにおける Google Analytics の使用が禁じられる可能性 2022/01/13

www.autoriteitpersoonsgegevens.nl

以下、上記記事の抜粋

Hoe kan ik bij Google Analytics de privacy van mijn websitebezoekers beschermen? Gebruikt u Google Analytics, dan verwerkt u met de analytische cookies persoonsgegevens van uw websitebezoekers. Dat heeft dus gevolgen voor hun privacy. U moet hierbij in principe zowel voldoen aan de Telecommunicatiewet (uw bezoekers informeren en om toestemming vragen) als aan de Algemene verordening gegevensbescherming (AVG).

Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan

Google Analyticsでウェブサイト訪問者のプライバシーを保護するにはどうすればよいですか?

Google Analyticsを使用する場合、分析用Cookieでウェブサイト訪問者の個人データを処理していることになります。このことは、彼らのプライバシーに影響を及ぼします。原則として、電気通信事業法(訪問者への周知と許可取得)と一般データ保護規則(AVG)の両方を遵守する必要があります。

注意:Google Analyticsの使用は近々禁止される可能性があります。

ドイツ企業101社のGoogle Analystic利用 2022/01/20

gigazine.net

以下、上記記事の抜粋

オーストリアのデータ保護当局であるDatenschutzbehörde(DSB)が、あるドイツの企業によるGoogleアナリティクスの使用がEU法に違反しているという判断を下しました。

・・・中略・・・

しかし、その後EUおよび欧州経済領域(EEA)加盟国の企業101社でSCCに反したデータの運用が行われていると指摘されるようになります。今回問題となったドイツ企業がEUおよびEEA内で初めて違法と判断されたことで、ほかの100社にも同様の判決が下されると見られています。

DSBは具体的な企業名を伏せた上で「問題のドイツ企業の運用は、アメリカの諜報機関による監視とアクセスの可能性が排除されず、GDPRに従った適切なレベルの保護が保証されていなかった。SCCはEU法を順守するのに十分ではない」という判断を下し、GoogleアナリティクスがSCCに準拠していてもGDPR違反の疑いは排除されないと論じています。

ベルギーによる「IABヨーロッパ」に対する制裁金 2022/02/07

news.yahoo.co.jp

以下、上記記事の抜粋

ベルギーのデータ保護機関(BE DPA)は2月2日、ネット広告の技術標準などを手がける米業界団体の欧州部門「IABヨーロッパ」に対し、欧州連合EU)のプライバシー保護法制「一般データ保護規則(GDPR)」に違反していたとして、制裁金25万ユーロと、収集データの削除を命じた。

「IAB」は米ニューヨークに本部を置く、ネット広告の業界団体。ネット広告に関する技術標準や調査などを手がけ、45カ国、700以上のメディア、ブランド、広告会社、IT企業などが加盟する。「IABヨーロッパ」はその欧州の地域組織だ。

問題となったのは、「IABヨーロッパ」が中心となって策定した規格「透明性と同意のフレームワーク(TCF)」だ。2018年4月に運用が開始され、2019年8月に改訂されたのが現行版(v2.0)だ。

現行の「透明性と同意のフレームワーク(TCF)」による個人データの処理(ユーザーの設定情報の取得など)は、公正性と適法性の原則に根本的に違反しており、GDPRに不適合となる。ユーザーは同意を求められるが、大半の人々は、パーソナル化された広告表示のために、自分のプロフィールが1日に何度も売買されていることを知るよしもない。これはTCFに関するものであり、リアルタイム入札システム全体に関するものではないが、本日の我々の決定は、インターネットユーザーの個人情報保護に大きな影響を及ぼすだろう。

ドイツ Google Fonts で100ユーロ 2022/02/09

qiita.com

以下、上記記事の抜粋

ドイツのミュンヘン地方裁判所は、あるWebサイトの運営者が、ユーザの個人情報を本人の同意なしにフォントライブラリを経由してGoogleに提供したとして、100ユーロの賠償を命じました。

LG München: 3 O 17493/20 vom 20.01.2022 | 3. Zivilkammer Papierfundstellen: GRUR-RS 2022, 612 BeckRS 2022, 612

Gegenstand
Unterlassungsanspruch und Schadensersatz (hier 100 €) wg. Weitergabe von IP-Adresse an Google durch Nutzung von Google Fonts

主文
Google Fontsの使用によりIPアドレスGoogleに開示されたことによる差止請求と損害賠償(本件では100ユーロ)。

フランスデータ保護当局 Google AnalyticsGDPRに違反すると判断 2022/02/13

yro.srad.jp

CNIL では米国へのデータ送信を懸念する EU およびその他の欧州経済域計 30 か国における苦情計 101 件を非営利組織 NOYB から受け取っており、各国のデータ保護当局と協力して Google Analytics が収集するデータと米国に送信する条件を調査したという。

・・・中略・・・

必要に応じて現在の条件での Google Analytics 機能の使用をとりやめることや、EU 外にデータを転送しないツールに変更することを含め、1 か月以内に GDPR を順守するよう命じた。CNIL は Web サイトのビジター数測定には匿名の統計データのみを生成するツールの使用を推奨しており、ユーザーの合意を得なくても合法的に使用できるツールの判定プログラムも開始しているとのことだ。

www.jpan.wiki

Facebook 「いいね!」ボタン 2019/08/02

EU司法裁判所、Facebookの「いいね」ボタンを設置したサイトは個人情報収集・送信の共同責任者になるとの判断 | スラド IT

The operator of a website that features a Facebook ‘Like’ button can be a controller jointly with Facebook in respect of the collection and transmission to Facebook of the personal data of visitors to its website

Facebookの「いいね!」ボタンを備えたウェブサイトの運営者は、そのウェブサイトへの訪問者の個人データの収集およびFacebookへの送信に関して、Facebookと共同で管理者とみなすことができます。

勝手翻訳:LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52021PC0206&from=EN

ヨーロッパの旗EUROPEAN COMMISSION

ブリュッセル, 21.4.2021

COM(2021) 206ファイナル

2021/0106(COD)

提案

欧州議会および欧州理事会の規則の提案

人工知能に関する調和のとれた規則(人工知能法)を規定し、特定の組合立法を改正する。

{SEC(2021) 167 final} - {SWD(2021) 84 final} - {SWD(2021) 85 final}。

説明用メモ

1.提案の背景

1.1.本提案の理由と目的

本説明書は、人工知能に関する調和のとれた規則を定める規則(人工知能法)の提案に付随するものである。人工知能(AI)は、急速に進化している技術群であり、産業や社会活動のあらゆる分野において、経済的・社会的に幅広い利益をもたらすことができる。予測の改善、オペレーションとリソース配分の最適化、サービス提供のパーソナライゼーションにより、人工知能の利用は、社会的・環境的に有益な結果をサポートし、企業や欧州経済に重要な競争力を提供することができる。このような行動は、気候変動、環境と健康、公共部門、金融、モビリティ、内務、農業など、影響の大きい分野で特に必要とされている。しかし、AIの社会経済的なメリットをもたらす要素や技術は、個人や社会に新たなリスクや負の影響をもたらすこともあります。技術的変化の速さと起こりうる課題を踏まえ、EUはバランスのとれたアプローチに努めることを約束します。EUの技術的リーダーシップを維持し、EUの価値観、基本的権利、原則に従って開発・機能する新技術から欧州人が恩恵を受けられるようにすることは、EUの利益につながる。

この提案は、フォン・デア・ライエン大統領が2019年から2024年の欧州委員会の政治的ガイドライン「A Union that strives for more」1の中で、欧州委員会がAIの人間的・倫理的意味合いに関する欧州の協調的アプローチのための法案を提出すると発表した政治的コミットメントを実現するものである。この発表を受けて、欧州委員会は2020年2月19日、「AIに関する白書-卓越性と信頼性のための欧州的アプローチ」2を発表した。この白書では、AIの導入を促進することと、そのような技術の特定の用途に関連するリスクに対処することという2つの目的を達成する方法について、政策オプションを提示している。本提案は、信頼できるAIのための法的枠組みを提案することで、信頼のエコシステムを発展させるという2つ目の目的を実現することを目的としています。本提案は、EUの価値観と基本的権利に基づいており、人々や他のユーザーにAIを使ったソリューションを受け入れる自信を与えると同時に、企業によるソリューションの開発を促すことを目的としています。AIは人々のためのツールであり、人間の幸福度を高めることを究極の目的として、社会に貢献する力となるべきである。したがって、EU市場で入手可能なAIや、EU域内の人々に影響を与えるAIに関するルールは、人間中心のものであるべきであり、人々が、技術が安全かつ基本的権利の尊重を含む法律に準拠した方法で使用されていることを信頼できるようにする必要があります。白書の発表後、欧州委員会は幅広い関係者による協議を開始したが、多数の関係者が大きな関心を寄せ、AIの利用拡大によって生じる課題や懸念に対処するための規制的介入を大きく支持した。

また、本提案は、欧州議会および欧州理事会からの明確な要請にも応えている。欧州議会および欧州理事会は、人工知能システム(以下、AIシステム)の内部市場が十分に機能し、AIのメリットとリスクの両方がEUレベルで適切に対処されることを保証するための立法措置を繰り返し表明している。これは、欧州理事会3が述べているように、EUが安全で信頼できる倫理的な人工知能の開発において世界的なリーダーとなるという目的を支持し、欧州議会4が特に要求しているように、倫理原則の保護を確実にするものである。

2017年、欧州理事会は、「人工知能...などの問題を含む新たなトレンドに対応するための危機感」を持つと同時に、高水準のデータ保護、デジタルの権利、倫理基準を確保することを求めました5。欧州で作られた人工知能の開発と利用に関する調整計画に関する2019年の結論6において、欧州理事会は、欧州市民の権利が十分に尊重されることの重要性をさらに強調し、既存の関連法を見直して、AIがもたらす新たな機会と課題に目的に適うようにすることを求めています。また、欧州理事会は、ハイリスクとみなすべきAIアプリケーションを明確に決定することを求めている7 。

さらに、2020年10月21日に発表された最新の結論では、基本的権利との適合性を確保し、法的ルールの執行を促進するために、特定のAIシステムの不透明性、複雑性、偏り、ある程度の予測不可能性、および部分的に自律的な行動に対処することが求められている8。

欧州議会もまた、AIの分野でかなりの作業を行っています。2020年10月、欧州議会は、倫理9、責任10、著作権11など、AIに関連する多くの決議を採択しました。2021年には、刑事問題におけるAI12、教育・文化・視聴覚分野におけるAI13に関する決議が採択されました。人工知能、ロボットおよび関連技術の倫理的側面の枠組みに関する欧州議会決議」は、欧州委員会に対し、AIの機会と利益を活用するだけでなく、倫理原則の保護を確保するための立法措置を提案するよう特に勧告している。この決議には、AI、ロボット工学および関連技術の開発、展開、使用に関する倫理的原則に関する規制の立法案の文章が含まれています。TFEU第225条に基づいて欧州議会が採択した決議に関してフォン・デア・ライエン大統領が政治的ガイドラインで表明した政治的コミットメントに従い、本提案は、比例性、補完性、よりよい法の制定の原則を十分に尊重した上で、前述の欧州議会の決議を考慮している。

このような政治的背景の下、欧州委員会は、以下の具体的な目的を持って、人工知能に関する規制の枠組みを提案する。

  • 欧州連合EU)の市場に投入され、使用される人工知能システムが安全であり、基本的権利およびEUの価値に関する既存の法律を尊重していることを保証する。

  • AIへの投資とイノベーションを促進するための法的確実性を確保する。

  • AIシステムに適用される基本的権利および安全要件に関する現行法のガバナンスおよび効果的な執行を強化する。

  • 合法的で安全かつ信頼性の高いAIアプリケーションのための単一市場の発展を促進し、市場の断片化を防ぐ。

これらの目的を達成するために、本提案では、AIに関連するリスクや問題に対処するための必要最小限の要件に限定し、技術開発を不当に制約したり妨げたりすることなく、また、AIソリューションを市場に投入する際のコストを不釣り合いに増加させることのない、AIに対するバランスのとれた比例的な水平規制アプローチを提示しています。本提案は、堅牢かつ柔軟な法的枠組みを設定しています。一方では、AIシステムが準拠すべき原則ベースの要件を含む基本的な規制の選択において、包括的で将来性のあるものとなっています。一方で、本提案は、取引に不必要な制限を設けない、明確なリスクベースの規制アプローチを中心とした比例的な規制システムを導入しています。これにより、法的介入は、正当な懸念理由があるか、近い将来にそのような懸念が合理的に予想される具体的な状況に合わせて行われます。同時に、この法的枠組みには、技術の進化や新たな懸念事項の出現に応じて動的に適応できるような柔軟なメカニズムが含まれている。

本提案は、EUにおけるAIシステムの開発、市場投入、使用について、リスクに応じたアプローチによる調和のとれたルールを定めています。また、将来を見据えた単一のAIの定義を提案しています。特定の特に有害なAI行為は、EUの価値観に反するものとして禁止されており、法執行を目的とした遠隔生体認証システムの特定の使用に関しては、特定の制限と保護措置が提案されている。提案では、人の健康や安全、基本的権利に重大なリスクをもたらす「ハイリスク」のAIシステムを定義するために、しっかりとしたリスク手法を定めている。これらのAIシステムは、信頼できるAIのための一連の水平方向の必須要件に準拠し、適合性評価の手続きを経てから、EU市場に投入されることになります。また、AIシステムのライフサイクル全体を通して、安全性と基本的権利を保護する既存の法律の尊重を確保するために、予測可能で比例的かつ明確な義務が、AIシステムのプロバイダーとユーザーに課せられます。一部の特定のAIシステムについては、特にチャットボットや「ディープフェイク」が使用されている場合など、最低限の透明性義務のみが提案されています。

提案された規則は、既存の構造を基盤とした加盟国レベルでのガバナンスシステムと、欧州人工知能委員会の設立によるEUレベルでの協力メカニズムを通じて実施されます。また、イノベーションを支援するために、特にAI規制のサンドボックスや、規制負担を軽減し、中小企業(SME)やスタートアップ企業を支援するための追加措置も提案されている。

1.2.政策分野における既存の政策条項との整合性

本提案の水平方向の性質から、ハイリスクのAIシステムが既に使用されているか、近い将来使用される可能性がある分野に適用される既存のEU法との完全な整合性が必要である。

また、EU基本権憲章や、データ保護、消費者保護、無差別、男女平等に関する既存の二次的な組合法との整合性も確保されている。本提案は偏見のないものであり、一般データ保護規則(Regulation (EU) 2016/679)および法執行指令(Directive (EU) 2016/680)を、特定のハイリスクAIシステムの設計、開発、使用に適用される一連の調和された規則、および遠隔生体認証システムの特定の使用に対する制限で補完するものである。さらに、本提案は、アルゴリズムによる差別のリスクを最小化することを目的とした特定の要件で、無差別に関する既存のEU法を補完するものであり、特にAIシステムの開発に使用されるデータセットの設計と品質に関連して、AIシステムのライフサイクル全体を通じたテスト、リスク管理、文書化、人間による監督の義務を補完するものである。この提案は、EUの競争法の適用を妨げるものではありません。

製品の安全部品であるハイリスクのAIシステムに関しては、本提案は、一貫性を確保し、重複を避け、追加負担を最小限にするために、既存の部門別安全法に統合される。特に、新法制枠組み(NLF)法の対象となる製品(機械、医療機器、玩具など)に関連するハイリスクのAIシステムについては、本提案で定められたAIシステムの要件は、関連するNLF法に基づく既存の適合性評価手続きの一環として確認される。要求事項の相互関係に関しては、AIシステムに特有の安全リスクが本提案の要求事項によってカバーされることが意図されている一方で、NLF法は最終製品の全体的な安全性を確保することを目的としており、したがって、AIシステムの最終製品への安全な統合に関する特定の要求事項を含む可能性がある。本提案と同日に採択される機械規則の提案は、このアプローチを完全に反映したものである。関連するオールドアプローチ法(航空、自動車など)でカバーされる製品に関連するハイリスクのAIシステムについては、本提案は直接適用されない。しかし、本提案で示されたハイリスクのAIシステムに対する事前必須要件は、これらの法律の下で関連する施行法または委任法を採択する際に考慮されなければならない。

規制対象の信用機関が提供または使用するAIシステムについては、AIシステムが信用機関の内部ガバナンスシステムに関連してある程度暗黙のうちに規制されている場合に、本提案と欧州連合の金融サービス法に基づく義務の首尾一貫した執行を確保するために、欧州連合の金融サービス法の監督を担当する当局を本提案の要件を監督するための主務官庁として指定すべきである。一貫性をさらに高めるために、本提案に基づく適合性評価手続きとプロバイダの手続き上の義務の一部は、信用機関の活動へのアクセスとプルデンシャル監督に関する指令2013/36/EUに基づく手続きに統合されている14。

また、本提案は、e-Commerce Directive 2000/31/EC15 で規定されている仲介サービスを含む、サービスに関して適用される欧州連合の法律や、欧州委員会が最近提案したデジタルサービス法(DSA)16とも整合している。

欧州連合大規模ITシステム運用管理機関(eu-LISA)が管理する「自由・安全・正義」分野の大規模ITシステムの構成要素であるAIシステムに関しては、本規則の適用日から1年が経過する前に市場に投入された、またはサービスが開始されたAIシステムには本提案は適用されない。ただし、これらの法律行為の置き換えまたは修正により、当該AIシステムまたはAIシステムの設計または意図された目的に重大な変更が生じた場合はこの限りではない。

1.3.他のEU政策との整合性

本提案は、「AI白書」で検討されているように、AIの開発と使用によって引き起こされる問題に対処するための、より広範で包括的な措置パッケージの一部である。したがって、分野別製品法の改正(機械指令、一般製品安全指令など)や、AIシステムを含む新技術に関連する責任問題に対処する取り組みなど、これらの問題に対処することを目的とした欧州委員会の他の進行中または計画中の取り組みとの整合性と補完性が確保されている。それらのイニシアチブは、法的な明確性をもたらし、欧州におけるAIに対する信頼のエコシステムの発展を促進するために、本提案を基礎とし、これを補完するものである。

本提案は、コミュニケーション「Shaping Europe's digital future(欧州のデジタルな未来の形成)」17で発表された政策の方向性と目標の3つの柱の1つである「人々のために機能する技術」の促進に貢献するという点で、欧州委員会のデジタル戦略全体にも合致している。これは、AIが人々の権利を尊重し、信頼を得られる方法で開発されることを保証するための、首尾一貫した効果的かつ妥当な枠組みを定めたものであり、欧州をデジタル時代に適合させ、今後10年間を「デジタルの10年」とするものである18。

さらに、AI主導のイノベーションの推進は、データガバナンス法19、オープンデータ指令20、およびデータに関するEU戦略21の下でのその他の取り組みと密接に関連しており、これらの取り組みは、高品質のデータ主導型AIモデルの開発に不可欠なデータの再利用、共有、プールのための信頼できるメカニズムとサービスを確立するものである。

また、本提案は、グローバルな規範や基準の形成を支援し、EUの価値観や利益に合致した信頼できるAIを促進するためのEUの役割を大幅に強化するものである。この提案は、AIに関連する問題について、第三国を含む外部パートナーや国際的なフォーラムにさらに関与するための強力な基盤を欧州連合に提供するものである。

2.法的根拠、補完性および比例性

2.1.法的根拠

本提案の法的根拠は、まず、欧州連合の機能に関する条約(TFEU)第114条にあり、同条は域内市場の確立と機能を確保するための措置の採択を規定している。

本提案は、EUのデジタル単一市場戦略の中核をなすものである。本提案の主な目的は、特にAI技術を利用した、あるいはスタンドアロンのAIシステムとして提供される製品やサービスの開発、EU市場への投入、利用に関する調和のとれたルールを設定することにより、域内市場の適切な機能を確保することである。一部の加盟国では、AIの安全性を確保し、基本的人権の義務を遵守して開発・使用するための国内ルールをすでに検討している。これは、i) 特にAI製品・サービスの要件、そのマーケティング、使用、責任、公的機関による監督など、本質的な要素に関する域内市場の断片化、ii) 既存および新規のルールが域内のAIシステムにどのように適用されるかについて、AIシステムの提供者と利用者の双方にとって法的確実性が大幅に低下する、という2つの主要な問題を引き起こす可能性があります。製品やサービスが国境を越えて広く流通していることを考えると、これらの2つの問題は、EUの整合性のある法律によって最もよく解決できる。

実際、本提案では、特定のAIシステムを市場に出す前に、その設計・開発に適用される共通の必須要件を定義しており、これは調和された技術基準を通じてさらに運用される。また、本提案は、AIシステムが市場に投入された後の状況にも対応しており、事後管理の方法を調和させています。

さらに、本提案には、個人データの処理に関する個人の保護に関する特定の規則が含まれており、特に、法執行を目的として一般にアクセス可能な空間での「リアルタイム」の遠隔生体認証のためのAIシステムの使用が制限されていることを考慮すると、これらの特定の規則に関する限り、本規則はTFEU第16条に基づくことが適切である。

2.2.補完性(非独占的な権限の場合)

大規模かつ多様なデータセットに依存することが多く、域内市場で自由に流通するあらゆる製品やサービスに組み込まれる可能性があるAIの性質は、本提案の目的を加盟国だけでは効果的に達成できないことを意味する。さらに、潜在的に乖離した国内規則のパッチワークが出現すると、AIシステムに関連する製品やサービスのEU域内でのシームレスな流通が妨げられ、異なる加盟国間での基本的権利やEUの価値の安全性と保護を確保する効果はないだろう。問題に対処するための各国のアプローチは、さらなる法的不確実性と障壁を生み出し、AIの市場への導入を遅らせるだけである。

本提案の目的は、単一市場がさらに細分化されて、AIを組み込んだ商品やサービスの自由な流通を妨げるような、潜在的に矛盾した国家的な枠組みになることを避けるために、EUレベルでよりよく達成することができる。信頼できるAIに対する欧州の強固な規制の枠組みは、公平な競争の場を確保し、すべての人々を保護するとともに、AIにおける欧州の競争力と産業基盤を強化することにもなる。また、欧州連合レベルでの共通の行動のみが、欧州連合のデジタル主権を守り、グローバルなルールや基準を形成するためのツールや規制力を活用することができる。

2.3.プロポーショナリティ

本提案は、既存の法的枠組みに基づいており、リスクベースのアプローチを採用し、AIシステムが基本的な権利や安全性に高いリスクをもたらす可能性がある場合にのみ規制負担を課すため、目的達成のために比例して必要である。ハイリスクではない他のAIシステムについては、例えば、人間と対話する際のAIシステムの使用を示す情報の提供など、非常に限定された透明性の義務が課されているだけです。ハイリスクのAIシステムについては、高品質のデータ、文書化、トレーサビリティー、透明性、人間による監視、正確性、堅牢性などの要件が、AIがもたらす基本的権利や安全性へのリスクを軽減するために必要であり、他の既存の法的枠組みではカバーできません。調和のとれた基準とそれを支えるガイダンスおよびコンプライアンスツールは、事業者およびユーザーが本提案で定められた要件を遵守することを支援し、そのコストを最小限に抑える。事業者が負担するコストは、達成される目的、および事業者が本提案から期待できる経済的および評判上の利益に比例する。

2.4.手段の選択

法的手段として規則を選択したのは、AIの定義、特定の有害なAI対応行為の禁止、特定のAIシステムの分類など、新しい規則を統一的に適用する必要性があるためである。TFEU第288条に基づき、規則を直接適用することで、法的な断片化を減らし、合法的で安全かつ信頼できるAIシステムの単一市場の発展を促進することができます。特に、ハイリスクに分類されるAIシステムに関する調和のとれた一連の中核的要件と、それらのシステムの提供者および利用者の義務を導入することにより、基本的権利の保護を改善し、事業者および消費者に法的確実性を提供することで、これを実現します。

同時に、規則の規定は過度に規定的なものではなく、このイニシアティブの目的、特に市場監視システムの内部組織化とイノベーションを促進する措置の採用を損なわない要素については、様々なレベルの加盟国の行動の余地を残している。

3.事後評価、利害関係者との協議、影響評価の結果

3.1.ステークホルダー協議

本提案は、欧州委員会の利害関係者との協議に関する一般原則と最低基準を適用し、すべての主要な利害関係者との広範な協議の結果である。

2020年2月19日に「人工知能白書」の発表と同時にオンラインでのパブリックコンサルテーションが開始され、2020年6月14日まで行われた。そのコンサルテーションの目的は、白書に対する意見や感想を集めることであった。対象となったのは、政府、地方自治体、営利・非営利団体、社会的パートナー、専門家、学者、市民など、官民を問わず関心を持つすべての関係者です。欧州委員会は、寄せられたすべての回答を分析した後、結果の要約と個々の回答をウェブサイト22で公開した。

合計で1215件の回答が寄せられ、そのうち352件が企業または企業団体・協会、406件が個人(92%がEUの個人)、152件が学術・研究機関、73件が公的機関からのものであった。市民社会の声は、160名の回答者(うち、消費者団体9名、非政府組織129名、労働組合22名)、「その他」として72名の回答者が参加しました。352名の企業・産業界の代表者のうち、222名が企業・産業界の代表者で、そのうち41.5%が零細・中小企業でした。残りは企業団体でした。全体では、企業・産業の回答者の84%がEU-27からの回答でした。質問にもよりますが、回答者のうち81人から598人がコメントを挿入するための自由記述欄を使用しました。ポジションペーパーは、アンケート回答に加えて(400件以上)、あるいは単独で(50件以上)、450件以上がEUサーベイのウェブサイトを通じて提出された。

全体として、行動の必要性については、ステークホルダーの間で概ね合意が得られている。大多数の利害関係者は、法律上のギャップが存在すること、あるいは新しい法律が必要であることに同意している。しかし、いくつかのステークホルダーは、重複、相反する義務、過剰な規制を避けるよう欧州委員会に警告している。技術的に中立で妥当な規制の枠組みの重要性を強調するコメントが多く寄せられた。

ステークホルダーの多くは、AIの定義を狭く、明確かつ正確にすることを求めている。また、ステークホルダーは、AIの用語の明確化以外にも、「リスク」、「ハイリスク」、「低リスク」、「遠隔生体認証」、「危害」を定義することが重要であると強調しています。

回答者のほとんどは、リスクベースのアプローチを明確に支持しています。リスクベースのフレームワークを使用することは、すべてのAIシステムを一律に規制するよりも良い選択肢であると考えられました。リスクと脅威の種類は、セクターごと、ケースバイケースのアプローチに基づいて決定されるべきである。また、リスクは、権利や安全への影響を考慮して算出されるべきである。

レギュラトリー・サンドボックスは、AIの普及に非常に役立つ可能性があり、特定のステークホルダー、特にビジネス・アソシエーションから歓迎されています。

エンフォースメントモデルについて意見を述べた人のうち、特に経済団体の50%以上が、ハイリスクのAIシステムに対する事前のリスク自己評価と事後のエンフォースメントの組み合わせに賛成しています。

3.2.専門知識の収集と活用

本提案は、学識経験者、企業、社会的パートナー、非政府組織、加盟国、市民を含むステークホルダーの2年間にわたる分析と密接な関与の上に成り立っている。準備作業は2018年に、欧州委員会の「人工知能に関する戦略」の実施について欧州委員会に助言することを任務とした、52人の著名な専門家からなる包括的で幅広い構成の「AIに関するハイレベル専門家グループ(HLEG)」を設置することから始まった。2019年4月、欧州委員会は、ステークホルダーから寄せられた500件以上の意見を考慮して改訂された「信頼できるAIのためのHLEG倫理ガイドライン」24に定められた主要要件23を支持した。この主要要件は、欧州をはじめとする多くの民間・公的組織が策定した数多くの倫理コードや原則に見られるように、AIの開発と利用は特定の本質的な価値志向の原則によって導かれるべきであるという、広く共通したアプローチを反映したものである。ALTAI(Assessment List for Trustworthy Artificial Intelligence)25は、350以上の組織を対象とした試験的なプロセスで、これらの要件を実用化しました。

さらに、約4,000人のステークホルダーがAIの技術的・社会的影響について議論するためのプラットフォームとしてAIアライアンス26が設立され、毎年AI総会が開催されています。

AI白書では、この包括的なアプローチをさらに発展させ、450以上の追加ポジションペーパーを含む1250以上のステークホルダーからのコメントを募りました。その結果、欧州委員会は開始時の影響評価を発表し、130件以上の意見が寄せられました27。さらに、ステークホルダー向けのワークショップやイベントも開催され、その結果が影響評価の分析や本提案での政策選択の裏付けとなった28。また、影響評価に反映させるため、外部調査も実施しました。

3.3.影響評価

欧州委員会は、その「より良い規制」という方針に沿って、欧州委員会の規制監視委員会が検討した本提案の影響評価を実施しました。2020年12月16日に規制精査委員会との会合が開かれ、その後、否定的な意見が出された。コメントに対応するために影響評価を大幅に修正し、影響評価を再提出した後、規制監視委員会は2021年3月21日に肯定的な意見を出した。規制監視委員会の意見、勧告、およびそれらがどのように考慮されたかの説明は、影響評価の附属書1に示されている。

欧州委員会は、本提案の一般的な目的である、欧州連合における信頼できるAIの開発と利用のための条件を整えることにより、単一市場の適切な機能を確保するという目的を達成するために、さまざまな政策オプションを検討した。

規制介入の程度が異なる4つの政策オプションが評価された。

  • オプション1:自主的なラベリングスキームを設定するEUの立法手段。

  • オプション2:セクター別の「アドホック」なアプローチ

  • オプション3: 比例的なリスクベースのアプローチに従った水平的なEU立法文書。

  • オプション3+: リスクに応じたアプローチに従ったEUの水平法制+非ハイリスクAIシステムの行動規範。

  • オプション4:リスクの高低にかかわらず、すべてのAIシステムに必須の要件を定める水平型EU立法文書。

欧州委員会の確立した手法に従い、各政策オプションは、経済的・社会的影響、特に基本的権利への影響に重点を置いて評価された。望ましい選択肢は選択肢3+で、ハイリスクのAIシステムのみを対象とした規制の枠組みであり、ハイリスクではないAIシステムのすべての提供者が行動規範に従う可能性がある。要求事項は、データ、文書化とトレーサビリティ、情報の提供と透明性、人間による監督、堅牢性と正確性に関するもので、ハイリスクのAIシステムには必須となる。その他のAIシステムに行動規範を導入する企業は、自主的に導入することになります。

好ましい選択肢は、本提案の目的に最も効果的な方法で対処するのに適していると考えられました。優先オプションは、AIの開発者およびユーザーに対して、制限されているが効果的な一連の行動を要求することで、基本的な権利の侵害や人々の安全性の侵害のリスクを制限し、そのような侵害が発生するリスクが高いシステムのみに要件を絞ることで、効果的な監督と執行を促進します。その結果、コンプライアンスコストを最小限に抑えることができ、価格やコンプライアンスコストの上昇による不必要な普及の遅れを回避することができます。中小企業にとっての不利益の可能性に対処するため、この選択肢には、規制のサンドボックスの創設や、適合性評価に関連する手数料を設定する際に中小企業の利益を考慮する義務など、中小企業のコンプライアンスを支援し、そのコストを削減するためのいくつかの条項が含まれている。

好ましい選択肢では、AIに対する人々の信頼が高まり、企業は法的確実性を得ることができ、加盟国は単一市場を分断しかねない一方的な行動を取る理由がなくなる。信頼性の向上による需要の増加、法的確実性による利用可能なオファーの増加、AIシステムの国境を越えた移動に対する障害の不在の結果、AIの単一市場はおそらく繁栄するであろう。欧州連合は、AI技術を組み込んだ革新的なサービスや製品、あるいは単独のAIシステムからなる、急成長するAIエコシステムを引き続き発展させ、その結果、デジタル・オートノミーが向上します。

市民の安全や基本的権利に高いリスクをもたらすAIアプリケーションを開発・使用する企業や公的機関は、特定の要件や義務を遵守しなければならないだろう。これらの要件を遵守すると、平均的なハイリスクのAIシステムを供給するために、約6000ユーロから7000ユーロのコストがかかり、2025年には約170000ユーロになるという。また、AIユーザーにとっては、ユースケースに応じて適切な人間による監視を確保するために費やす時間の年間コストが発生する。これらのコストは、年間で約5000ユーロから8000ユーロと見積もられている。検証コストは、ハイリスクのAIのサプライヤーの場合、さらに3000ユーロから7500ユーロになる可能性がある。ハイリスクに分類されないAIアプリケーションを開発・使用する企業や公的機関は、最小限の情報提供義務しか負わない。しかし、他の企業と一緒になって、適切な要件に従うための行動規範を採用し、自社のAIシステムが信頼できるものであることを保証するという選択も可能である。このような場合、コストはせいぜいハイリスクのAIシステムと同じくらいになるでしょうが、おそらく低いでしょう。

異なるカテゴリーの利害関係者(経済事業者/企業、適合性評価機関、標準化機関、その他の公的機関、個人/市民、研究者)に対する政策オプションの影響については、本提案を裏付ける影響評価の付属書3で詳細に説明されている。

3.4.規制の適合性と簡素化

本提案は、ハイリスクのAIシステムの提供者と利用者に適用される義務を定めている。そのようなシステムを開発してEU市場に投入するプロバイダーにとっては、法的確実性を創出し、AI関連のサービスや製品の国境を越えた提供に障害が生じないようにする。AIを利用する企業にとっては、顧客の信頼を高めることになる。各国の行政機関にとっては、AIの利用に対する国民の信頼を促進し、執行メカニズムを強化します(欧州の調整メカニズムを導入し、適切な能力を提供し、文書化、トレーサビリティ、透明性に関する新たな要件によりAIシステムの監査を容易にします)。さらに、この枠組みでは、規制上のサンドボックスや、リスクの高いAIシステムの小規模なユーザーやプロバイダーが新しいルールを遵守することを支援する具体的な措置など、イノベーションを支援する措置を想定しています。

また、本提案は、AIにおける欧州の競争力と産業基盤の強化を具体的に目指しています。AIシステムに適用される既存の分野別連合法(製品やサービスに関するものなど)との完全な整合性が確保されており、これにより、新規則の施行がさらに明確になり、簡素化される。

3.5.基本的権利

特定の特徴(不透明性、複雑性、データへの依存、自律的な行動など)を持つAIの使用は、EU基本権憲章(以下、憲章)に謳われている多くの基本権に悪影響を及ぼす可能性がある。本提案は、これらの基本的権利を高いレベルで保護することを目的としており、明確に定義されたリスクベースのアプローチを通じて、様々なリスクの原因に対処することを目指しています。本提案は、信頼できるAIに対する一連の要求と、バリューチェーンの全参加者に対する比例義務により、同憲章で保護されている権利、すなわち、人間の尊厳に対する権利(第1条)、私生活の尊重と個人情報の保護(第7条および第8条)、無差別(第21条)、男女の平等(第23条)の保護を強化・促進する。また、表現の自由(第11条)および集会の自由(第12条)の権利が阻害されることを防ぎ、有効な救済手段および公正な裁判を受ける権利、防御権および推定無罪(第47条および第48条)、ならびに善良な管理者の一般原則の保護を確保することを目的としています。さらに、特定の領域に適用されることで、本提案は、公正で公平な労働条件に対する労働者の権利(第31条)、高水準の消費者保護(第28条)、児童の権利(第24条)、障害者の統合(第26条)など、多くの特別なグループの権利にプラスの影響を与える。また、高水準の環境保護および環境の質の向上に関する権利(第37条)も、人々の健康と安全に関連して関連している。事前テスト、リスク管理、人間による監視の義務は、教育・訓練、雇用、重要なサービス、法執行、司法などの重要な分野において、AIによる誤った、あるいは偏った判断のリスクを最小限にすることで、他の基本的権利の尊重を促進します。万が一、基本的権利の侵害が発生した場合には、AIシステムの透明性と追跡可能性を確保し、強力な事後管理を行うことで、影響を受けた人々への効果的な救済が可能となります。

本提案では、リスクの高いAI技術が開発・使用される際に、健康、安全、消費者保護、その他の基本的権利の保護といった公共の利益に関わる最優先の理由(「責任あるイノベーション」)の遵守を確保するために、事業遂行の自由(第16条)および芸術・科学の自由(第13条)にいくつかの制限を課しています。それらの制限は比例しており、深刻な安全リスクや基本的権利の侵害の可能性を防止・緩和するために必要な最小限のものに限定されています。

また、透明性向上の義務は、個人が実効的な救済を受ける権利を行使するために必要な最低限の情報と、監督・執行機関の任務に沿った監督・執行機関に対する必要な透明性のみに限定されるため、知的財産権の保護に関する権利(第17条2項)に不均衡な影響を与えることはありません。あらゆる情報の開示は、非公開のノウハウおよびビジネス情報(企業秘密)の不法な取得、使用および開示に対する保護に関する指令2016/943を含む、当該分野の関連法規を遵守して実施されます。実質的な義務の遵守状況を調査するために、公的機関や届出機関が機密情報やソースコードへのアクセスを与えられる必要がある場合、それらの機関は拘束力のある機密保持義務を負うことになります。

4.予算への影響

加盟国は、法律上の要求事項の実施を担当する監督機関を指定しなければならない。その監督機能は、例えば適合性評価機関や市場監視などの既存の取り決めに基づいて構築することができるが、十分な技術的専門知識と人的・財政的資源が必要となる。各加盟国の既存の体制にもよりますが、1加盟国あたり1〜25名のフルタイム・イクイバルが必要となるでしょう。

関係するコストの詳細な概要は、本提案にリンクされている「財務報告書」に記載されている。

5.その他の要素

5.1.実施計画およびモニタリング、評価、報告の仕組み

本提案が特定の目的を効果的に達成するためには、しっかりとしたモニタリングと評価の仕組みを提供することが重要である。欧州委員会は、本提案の効果を監視する役割を担う。欧州委員会は、リスクの高いAIの単独申請をEU全体の公的データベースに登録するシステムを構築する。この登録により、主務官庁、ユーザー、その他の利害関係者は、ハイリスクのAIシステムが本提案で定められた要件を満たしているかどうかを確認し、基本的権利に高いリスクをもたらすAIシステムに対する監視を強化することができる。このデータベースを提供するために、AIプロバイダーは、自社のシステムとそのシステムに対して実施された適合性評価に関する意味のある情報を提供することが義務付けられます。

さらに、AIプロバイダーは、基本的人権に関する義務の違反となる重大な事件や不具合を認識した時点で、各国の管轄当局に報告するとともに、AIシステムのリコールや市場からの撤退を行うことが義務付けられます。その後、各国の管轄当局は、事件・故障の調査を行い、必要な情報をすべて収集し、適切なメタデータとともに欧州委員会に定期的に送信する。欧州委員会は、事故に関するこの情報を、AIの市場全体に関する包括的な分析によって補完する。

欧州委員会は、提案されたAIフレームワークが適用された日から5年後に、その評価と見直しを行った報告書を発表する。

5.2.提案の具体的な条項の詳細説明

5.2.1.範囲と定義(タイトルI)

タイトルIは、規制の対象と、AIシステムの市場投入、サービス開始、使用を対象とする新規則の適用範囲を定義しています。また、本規則全体で使用される定義も記載されています。この法的枠組みにおけるAIシステムの定義は、AIに関連する急速な技術および市場の発展を考慮して、可能な限り技術的に中立で将来性のあるものとすることを目指しています。必要とされる法的確実性を提供するために、タイトルIは付属書Iによって補完されている。付属書Iには、AI開発のためのアプローチと技術の詳細なリストが含まれており、新たな技術開発に合わせて欧州委員会が適応できるようになっている。また、AIのバリューチェーンにおける主要な参加者を、AIシステムの提供者と利用者のように明確に定義し、公平な競争条件を確保するために、公的事業者と民間事業者の両方を対象としています。

5.2.2.人工知能の禁止行為(タイトルⅡ)について

タイトルIIは、禁止されるAIのリストを確立しています。この規制は、リスクベースのアプローチを採用しており、(i)許容できないリスクを生み出すAIの使用、(ii)高いリスク、(iii)低いまたは最小限のリスクを生み出すAIの使用を区別しています。タイトルIIの禁止行為リストは、基本的な権利を侵害するなど、EUの価値観に反するとして使用が容認できないと考えられるすべてのAIシステムで構成されています。禁止行為は、意識を超えたサブリミナルな手法で人を操作したり、子どもや障害者など特定の弱者の脆弱性を悪用して、本人や他人に心理的・身体的危害を加える可能性のある方法で行動を著しく歪めたりする可能性が大きいものを対象としています。AIシステムによって促進される可能性のある、成人に影響を与えるその他の操作的または搾取的な行為は、既存のデータ保護法、消費者保護法、デジタルサービス法によってカバーされる可能性があります。これらの法律は、自然人が適切に情報を与えられ、自分の行動に影響を与える可能性のあるプロファイリングやその他の行為の対象とならないように自由に選択できることを保証します。また、この提案では、公的機関が行う一般的な目的のためのAIによるソーシャルスコアリングを禁止しています。最後に、法執行を目的とした公共のアクセス可能な空間での「リアルタイム」の遠隔生体認証システムの使用も、特定の限定的な例外が適用されない限り、禁止されています。

5.2.3.ハイリスクAIシステム(タイトルIII)

タイトルIIIは、自然人の健康と安全または基本的権利に高いリスクをもたらすAIシステムに関する特定の規則を含んでいる。リスクベースのアプローチに基づき、これらのハイリスクAIシステムは、一定の必須要件と事前の適合性評価に従うことを条件に、欧州市場での販売が許可されます。ハイリスクのAIシステムの分類は、既存の製品安全法に沿って、AIシステムの意図された目的に基づいています。したがって、ハイリスクの分類は、AIシステムが実行する機能だけではなく、そのシステムが使用される特定の目的と方法にも依存します。

タイトルIIIの第1章では、分類規則を定め、ハイリスクのAIシステムを2つの主要なカテゴリーに分類しています。

  • 三者による事前適合性評価の対象となる製品の安全コンポーネントとして使用されるAIシステム。

  • 主に基本的権利に影響を与えるその他の独立したAIシステムで、附属書IIIに明示的に記載されているもの。

この附属書IIIのハイリスクAIシステムのリストには、すでにリスクが顕在化しているか、近い将来に顕在化する可能性のある限られた数のAIシステムが含まれています。AIの新たな用途やアプリケーションに規制が適応できるように、欧州委員会は、一連の基準とリスク評価方法を適用することで、あらかじめ定義された特定の分野で使用されるハイリスクのAIシステムのリストを拡大することができる。

第2章では、データとデータガバナンス、文書化と記録保存、透明性とユーザーへの情報提供、人間による監視、堅牢性、正確性、セキュリティに関連して、ハイリスクのAIシステムに対する法的要件を定めている。提案されている最低要件は、多くの勤勉な事業者にとってすでに最先端のものであり、2年間にわたる準備作業の結果であり、HLEG29の倫理ガイドラインから派生したもので、350以上の組織30によって試験的に導入されました。また、他の国際的な勧告や原則ともほぼ一致しており、提案されているAIフレームワークEUの国際貿易パートナーが採用しているものと互換性があることを保証しています。これらの要求事項への適合を達成するための正確な技術的ソリューションは、規格やその他の技術仕様によって提供されるか、あるいはAIシステムの提供者の裁量により、一般的な工学的または科学的知識に従って開発される。この柔軟性は、AIシステムの提供者が、この分野の最先端と技術的・科学的進歩を考慮して、要求を満たす方法を選択することができるという点で、特に重要です。

第3章では、ハイリスクのAIシステムの提供者に対して、明確な水平方向の義務を課しています。また、ユーザーおよびAIのバリューチェーンを構成するその他の参加者(輸入業者、販売業者、認定された代理人など)に対しても、相応の義務が課せられています。

第4章では、通知機関が独立した第三者として適合性評価手順に関与するための枠組みを設定し、第5章では、ハイリスクAIシステムの種類ごとに従うべき適合性評価手順を詳細に説明しています。適合性評価のアプローチは、経済事業者と、時間をかけて能力を高めていく必要のあるノーティファイドボディの負担を最小限にすることを目的としています。新しい法的枠組みの法律で規制されている製品(機械、玩具、医療機器など)の安全コンポーネントとして使用されるAIシステムは、コンポーネントである製品と同じ事前・事後コンプライアンスとエンフォースメントのメカニズムの対象となります。重要な違いは、事前・事後のメカニズムが、分野別の法律で定められた要求事項だけでなく、本規則で定められた要求事項への準拠も保証することである。

付属書IIIで言及されている独立したハイリスクAIシステムに関しては、新しいコンプライアンスとエンフォースメントのシステムが構築されます。これは、第三者による適合性評価の対象となる遠隔生体認証システムを除き、提供者による内部統制チェックを通じて実施される新法制フレームワークの法律のモデルを踏襲しています。規制介入の初期段階であること、AI分野が非常に革新的であり、監査のための専門知識が蓄積されつつあることを考慮すると、内部チェックによる包括的な事前適合性評価と強力な事後エンフォースメントの組み合わせは、これらのシステムにとって効果的かつ合理的な解決策となり得る。リスクの高い「スタンドアロン型」AIシステムの内部チェックによる評価を行うには、事前に規制の全要件に完全かつ効果的に準拠し、適切に文書化されていることと、強固な品質・リスク管理システムおよび市販後のモニタリングに準拠していることが必要です。提供者は、関連する適合性評価を行った後、これらのスタンドアロン型ハイリスクAIシステムを、欧州委員会が管理するEUデータベースに登録することで、国民の透明性と監視を高め、所轄官庁による事後の監督を強化することになる。一方、既存の製品安全法との整合性を考慮して、製品の安全部品であるAIシステムの適合性評価は、関連する分野の製品安全法の下で既に確立されている第三者適合性評価手順を用いたシステムに従う。AIシステムに大幅な変更があった場合には、新たな事前適合性再評価が必要となります(特に、提供者が技術文書で事前に決定し、事前適合性評価の時点で確認した内容を超える変更)。

5.2.4.特定のAIシステムの透明性に関する義務(タイトルIV)

タイトルIVは、特定のAIシステムについて、それがもたらす特定の操作リスクを考慮している。透明性の義務は、(i)人間と対話するシステム、(ii)生体データに基づいて感情を検出したり、(社会的)カテゴリーとの関連性を判断するために使用されるシステム、(iii)コンテンツを生成または操作するシステム(「ディープフェイク」)に適用されます。人がAIシステムと対話したり、自動化された手段で感情や特性が認識されたりする場合、人はその状況を知らされなければならない。本物のコンテンツに酷似した画像、音声、映像コンテンツを生成または操作するためにAIシステムが使用される場合、正当な目的(法の執行、表現の自由)のための例外を除いて、コンテンツが自動化された手段によって生成されたことを開示する義務があるべきである。これにより、人は十分な情報を得た上で選択したり、所定の状況から退くことができる。

5.2.5.イノベーションを支援するための施策(タイトルV)

タイトルVは、イノベーションに適し、将来性があり、破壊に強い法的枠組みを構築するという目的に貢献しています。この目的のために、タイトルVは、各国の主務官庁に規制のサンドボックスを設置することを奨励し、ガバナンス、監督、責任の観点から基本的な枠組みを設定しています。AIレギュラトリー・サンドボックスは、主務官庁と合意したテスト計画に基づいて、革新的な技術を一定期間テストするための管理された環境を構築します。タイトルVには、中小企業やスタートアップ企業の規制負担を軽減するための措置も含まれています。

5.2.6.ガバナンスと実施(タイトル VI、VII、VII)

タイトルVIは、EUおよび各国レベルのガバナンスシステムを設定している。EUレベルでは、本提案は、加盟国と欧州委員会の代表者で構成される欧州人工知能委員会(「委員会」)を設立する。理事会は、各国の監督当局と欧州委員会の効果的な協力に貢献し、欧州委員会に助言と専門知識を提供することで、本規則の円滑で効果的かつ調和のとれた実施を促進する。また、加盟国間でのベストプラクティスの収集と共有も行う。

国レベルでは、加盟国は、本規則の適用および実施を監督するために、1つまたは複数の国の管轄当局を指定しなければならず、その中には国の監督当局も含まれる。欧州データ保護監督官は、欧州連合の機関、組織、団体が本規則の適用範囲に含まれる場合、それらを監督するための主務官庁となります。

タイトルVIIは、主に基本的権利に影響を与える独立したハイリスクのAIシステムに関するEU全体のデータベースを構築することにより、欧州委員会および各国当局の監視業務を促進することを目的としている。このデータベースは欧州委員会が運営し、AIシステムの提供者がデータを提供する。AIシステムの提供者は、システムを市場に出す前、あるいはサービスを開始する前に、システムを登録することが求められる。

タイトルVIIIでは、AIシステムの提供者に対して、市場投入後のモニタリングや報告、AI関連の事故や故障に関する調査などの義務を定めている。また、市場監視当局は、すでに市場に投入されたハイリスクのAIシステムすべてについて、市場を管理し、義務や要件の遵守状況を調査する。市場監視当局は、市場監視に関する規則(EU)2019/1020に基づくすべての権限を有する。事後エンフォースメントでは、AIシステムが市場に投入された後、AIシステムが予期せぬリスクを発生させ、それが迅速な対応を必要とする場合に、公的機関が介入するための権限とリソースを確保する必要がある。また、事業者が規制に基づく関連義務を遵守しているかどうかも監視する。本提案は、加盟国レベルで追加の機関や当局を自動的に創設することを想定していない。したがって、加盟国は既存の分野別当局を任命し(その専門性を活用し)、その当局に規制の規定を監視・施行する権限を委ねることができる。

これらはすべて、加盟国における基本的権利に関する義務の事後的な執行に関する既存のシステムおよび権限の配分を損なうものではない。また、必要に応じて、市場監視当局に対して、技術的手段を用いてハイリスクAIシステムのテストを実施するよう要請することができます。

5.2.7.行動規範(タイトルIX)

タイトルIXは、ハイリスクではないAIシステムの提供者が、(タイトルIIIで定められた)ハイリスクAIシステムに対する必須要件を自発的に適用することを奨励することを目的とした、行動規範作成のための枠組みを構築します。非ハイリスクAIシステムの提供者は、自ら行動規範を作成し、実施することができます。これらの行動規範には、例えば、環境の持続可能性、障害者のアクセシビリティ、AIシステムの設計・開発への利害関係者の参加、開発チームの多様性などに関する自主的な約束を含めることができる。

5.2.8.最終規定(タイトルX、XI、XII)

タイトルXは、すべての当事者が情報やデータの機密性を尊重する義務を強調し、規制の実施中に得られた情報の交換に関する規則を定めています。また、タイトルXには、規定に違反した場合の効果的、比例的、抑止的な罰則を通じて、規制の効果的な実施を確保するための措置が含まれています。

タイトルXIは、委任権と実施権の行使に関する規則を定めている。本提案は、欧州委員会に、必要に応じて、規制の均一な適用を確保するための実施法や、付属書IからVIIのリストを更新または補完するための委任法を採択する権限を与えている。

タイトルXIIには、欧州委員会が付属書IIIの更新の必要性を定期的に評価し、規制の評価と見直しに関する定期的な報告書を作成する義務が含まれている。また、すべての関係者が円滑に実施できるよう、規制の適用開始日に差別化された経過期間を設けるなど、最終的な規定を定めている。

2021/0106 (コード)

提案

欧州議会および欧州理事会の規則の提案

人工知能に関する調和のとれた規則(人工知能法)を規定し、特定の組合立法を改正する。

欧州議会欧州連合理事会

欧州連合の機能に関する条約(Treaty on the Functioning of the European Union)、特にその第16条および第114条を考慮して。

欧州委員会からの提案を考慮して。

立法措置案を各国議会に送付した後に

欧州経済社会委員会の意見を尊重する。

地域委員会(Committee of the Regions)の意見を考慮すること32。

通常の立法手続きに従って行動すること。

以下の通りである。

(1)この規則の目的は、特に人工知能の開発、マーケティング、利用について、EUの価値観に合致した統一的な法的枠組みを定めることにより、域内市場の機能を向上させることである。本規則は、健康、安全、基本的権利の高水準の保護など、公益上の多くの優先的な理由を追求し、AIをベースとした商品およびサービスの国境を越えた自由な移動を確保することにより、加盟国が、本規則によって明示的に許可されない限り、AIシステムの開発、マーケティングおよび使用に制限を課すことを防止するものである。

(2)人工知能システム(AIシステム)は、国境を越えた場合も含め、経済・社会の複数の分野に容易に導入でき、EU全体で流通する。一部の加盟国では、人工知能の安全性を確保し、基本的権利の義務を遵守して開発・使用するための国内規則の採用をすでに検討している。国内規則が異なると、域内市場の断片化を招き、AIシステムを開発・使用する事業者の法的確実性が低下する可能性がある。したがって、欧州連合機能条約(TFEU)第114条に基づき、事業者の統一的な義務を規定し、公益の最優先事由と人の権利を域内市場全体で統一的に保護することを保証することにより、域内市場におけるAIシステムおよび関連製品・サービスの自由な流通を妨げる乖離を防止するとともに、域内全体で一貫した高水準の保護を確保する必要がある。本規則が、法執行を目的とした公的にアクセス可能な空間における「リアルタイム」の遠隔生体認証のためのAIシステムの使用制限に関する個人データの処理に関して、個人の保護に関する特定の規則を含んでいる限り、それらの特定の規則に関する限り、本規則はTFEU第16条に基づくことが適切である。それらの具体的な規則とTFEU第16条に依拠することを考慮すると、欧州データ保護委員会に相談することが適切である。

(3)人工知能は、急速に進化している技術群であり、産業や社会活動の全領域にわたって、経済的・社会的に幅広い利益に貢献することができる。予測の改善、オペレーションとリソース配分の最適化、個人や組織が利用できるデジタルソリューションのパーソナライズにより、人工知能の利用は、企業に重要な競争力を提供し、ヘルスケア、農業、教育・訓練、インフラ管理、エネルギー、輸送・物流、公共サービス、セキュリティ、司法、資源・エネルギーの効率化、気候変動の緩和・適応など、社会的・環境的に有益な成果を支援することができます。

(4)同時に、人工知能は、その具体的な応用や使用に関する状況に応じて、リスクを発生させたり、EU法で保護されている公共の利益や権利に害を及ぼす可能性があります。そのような害は、物質的または非物質的であるかもしれない。

(5)したがって、域内市場における人工知能の開発、利用、導入を促進するためには、人工知能に関する調和のとれた規則を定めたEUの法的枠組みが必要であり、それは同時に、健康や安全、基本的権利の保護といった、EU法によって認識され保護されている公共の利益の高水準の保護を満たすものである。この目的を達成するために、特定のAIシステムの市場への投入およびサービス開始を規制する規則を定め、それによって域内市場の円滑な機能を確保し、それらのシステムが商品およびサービスの自由な移動の原則の恩恵を受けることができるようにすべきである。これらの規則を定めることにより、本規則は、欧州理事会33が表明しているように、安全で信頼できる倫理的な人工知能の開発において世界的なリーダーとなるという欧州連合の目的を支持し、欧州議会34が特に要求しているように、倫理原則の保護を保証するものである。

(6)AIシステムの概念は、法的確実性を確保するために明確に定義されるべきであり、同時に、将来の技術開発に対応するための柔軟性も備えていなければならない。この定義は、ソフトウェアの主要な機能的特性、特に、人間が定義した一定の目的のために、コンテンツ、予測、勧告、決定などの出力を生成する能力に基づくべきであり、この能力は、物理的次元であれ、デジタル次元であれ、システムが相互作用する環境に影響を与えるものである。AIシステムは、様々なレベルの自律性を持って動作するように設計することができ、システムが物理的に製品に組み込まれているか(組み込み型)、製品に組み込まれずに機能を果たしているか(非組み込み型)に関わらず、スタンドアローンベースで、または製品のコンポーネントとして使用することができます。AIシステムの定義は、その開発に使用される具体的な技術やアプローチのリストによって補完されるべきであり、そのリストは、市場や技術の発展に照らして、欧州委員会が委任法を採択して修正することにより、常に最新の状態に保たれるべきである。

(7)本規則で使用されるバイオメトリックデータの概念は、欧州議会及び理事会35の規則(EU)2016/679の第4条(14)、欧州議会及び理事会36の規則(EU)2018/1725の第3条(18)、欧州議会及び理事会37の指令(EU)2016/680の第3条(13)で定義されているバイオメトリックデータの概念と一致しており、一貫して解釈されるべきである。

(8)本規則で使用される遠隔バイオメトリック識別システムの概念は、機能的には、使用されるバイオメトリックデータの特定の技術、プロセスまたはタイプに関係なく、人のバイオメトリックデータと参照データベースに含まれるバイオメトリックデータとの比較を通じて、対象となる人が存在し識別できるかどうかを事前に知ることなく、離れた場所で自然人を識別することを意図したAIシステムとして定義されるべきである。このような特性の違いや使用方法、リスクの違いを考慮して、遠隔地のバイオメトリクス認証システムは「リアルタイム」と「ポスト」に分けて考える必要があります。リアルタイム」システムの場合は、生体情報の取得、比較、本人確認のすべてが瞬時に、あるいはほぼ瞬時に、あるいはいかなる場合でも大幅な遅延なく行われます。この点において、軽微な遅延を規定することにより、問題となるAIシステムの「リアルタイム」使用に関する本規則の規則を回避する余地があってはならない。リアルタイム」システムでは、カメラや同様の機能を持つ他のデバイスによって生成されたビデオ映像など、「ライブ」または「ライブに近い」素材を使用します。一方、「ポスト」システムでは、バイオメトリックデータはすでに取得されており、比較や識別は大幅な遅延を経てから行われます。これには、クローズド・サーキット・テレビ・カメラやプライベート・デバイスによって生成された写真やビデオ映像など、関係する自然人に関してシステムが使用される前に生成されたものが含まれる。

(9)本規則において、公的にアクセス可能な空間という概念は、当該場所が私有地であるか公的に所有されているかに関わらず、公衆がアクセス可能なあらゆる物理的な場所を指すものと理解されるべきである。したがって、この概念は、私的な場所であり、法執行機関を含む第三者が特別に招待または許可されていない限り、通常は自由にアクセスできない場所、例えば、自宅、プライベートクラブ、オフィス、倉庫、工場などは対象となりません。オンラインスペースは物理的な空間ではないため、対象外となります。ただし、入場券や年齢制限など、特定の空間にアクセスするための一定の条件が適用されることがあっても、その空間が本規則の意味するところのパブリックアクセスではないということにはなりません。したがって、道路、政府の建物の関連部分、ほとんどの交通インフラなどの公共スペースに加えて、映画館、劇場、店舗、ショッピングセンターなどのスペースも通常は公共アクセス可能です。ただし、ある空間が公共の場でアクセス可能かどうかは、個々の状況を考慮してケースバイケースで判断されるべきである。

(10)EU全体で公平な競争の場を確保し、個人の権利と自由を効果的に保護するために、この規則によって確立された規則は、AIシステムの提供者に対しては、その提供者がEU内に設立されているか第三国に設立されているかに関わらず、無差別に適用されるべきであり、また、EU内に設立されたAIシステムの利用者に対しても適用されるべきである。

(11)デジタル的な性質を考慮すると、ある種のAIシステムは、EU内で市場に出されていない、使用されていない、あるいは使用されていない場合でも、本規則の適用範囲に入るべきである。これは例えば、組合内に設立された事業者が、ハイリスクと認定され、その影響が組合内に所在する自然人に影響を与えるAIシステムによって実行される活動に関連して、組合外に設立された事業者に特定のサービスを契約する場合である。このような状況では、組合外の事業者が使用するAIシステムは、組合内で合法的に収集され、組合から転送されたデータを処理し、その処理の結果得られたAIシステムの出力を組合内の契約事業者に提供することができますが、その際、そのAIシステムは組合内で市場に出されたり、サービスに供されたり、使用されたりすることはありません。本規則の迂回を防止し、欧州連合に所在する自然人の効果的な保護を確保するために、本規則は、第三国で設立されたAIシステムの提供者および利用者にも、それらのシステムが生成する出力が欧州連合で使用される範囲で適用されるべきである。しかしながら、情報や証拠を交換する外国のパートナーとの協力に関する既存の取り決めや特別なニーズを考慮して、本規則は、EUまたはその加盟国との法執行・司法協力のために国内または欧州レベルで締結された国際協定の枠組みで行動する場合、第三国の公的機関および国際機関には適用されないべきである。このような協定は、加盟国と第三国との間で二国間で締結されているか、または欧州連合、ユーロポールおよびその他のEU機関と第三国および国際機関との間で締結されている。

(12)本規則は、AIシステムの提供者または使用者として行動する際に、EUの機関、事務所、団体および機関にも適用されるべきである。軍事目的のために排他的に開発または使用されるAIシステムは、その使用が欧州連合条約(TEU)のタイトルVに基づいて規制される共通外交・安全保障政策の排他的な権限に該当する場合、本規則の適用範囲から除外されるべきである。本規則は欧州議会及び理事会の指令2000/31/EC[デジタルサービス法により改正された]に定められた仲介サービスプロバイダの責任に関する規定を損なうものではない。

(13)健康、安全および基本的権利に関する公共の利益の一貫した高水準の保護を確保するために、すべてのハイリスクのAIシステムに対する共通の規範的基準を確立すべきである。それらの基準は、欧州連合の基本的権利の憲章と一致し、非差別的であり、欧州連合の国際貿易の約束に沿ったものでなければならない。

(14)AIシステムに対して釣り合いのとれた効果的な拘束力のある規則を導入するためには、明確に定義されたリスクベースのアプローチをとるべきである。そのアプローチでは、AIシステムが発生させるリスクの強さと範囲に合わせて、規則の種類と内容を調整する必要があります。したがって、特定の人工知能の使用を禁止し、リスクの高いAIシステムの要件と関連事業者の義務を規定し、特定のAIシステムの透明性の義務を規定する必要があります。

(15)人工知能の多くの有益な利用法とは別に、その技術は誤用されることもあり、操作的、搾取的、社会的コントロールの慣行のための斬新で強力なツールを提供する。そのような行為は、人間の尊厳、自由、平等、民主主義、法の支配の尊重という連合の価値観や、無差別の権利、データ保護とプライバシー、子どもの権利などの連合の基本的な権利と矛盾するため、特に有害であり、禁止されるべきである。

(16)人間の行動を歪め、それによって身体的・心理的な害が生じる可能性があることを意図した特定のAIシステムを市場に出したり、使用したりすることは禁止されるべきである。このようなAIシステムは、個人が感知できないサブリミナル成分を導入したり、子どもや年齢、身体的・精神的な障害による人々の脆弱性を利用したりするものです。これらのAIシステムは、人の行動を実質的に歪める意図を持って、その人や他の人に危害を加えたり、加える可能性のある方法で行います。人間の行動の歪曲が、AIシステムの外部要因であり、提供者や利用者のコントロールの及ばないものである場合には、その意図は推定されません。このようなAIシステムに関する正当な目的のための研究は、そのような研究が、自然人を害するような人間と機械の関係におけるAIシステムの使用に相当せず、そのような研究が、科学研究のための認識された倫理基準に従って実施されるならば、禁止によって妨げられるべきではない。

(17)公的機関またはその代理として、一般的な目的で自然人の社会的スコアリングを行うAIシステムは、差別的な結果や特定のグループの排除につながる可能性がある。それらは、尊厳と無差別の権利、および平等と正義の価値を侵害する可能性があります。このようなAIシステムは、複数の文脈における社会的行動や、既知または予測される個人的または人格的特性に基づいて、自然人の信頼性を評価または分類します。このようなAIシステムから得られる社会的スコアは、データが最初に生成または収集された文脈とは無関係な社会的文脈において、自然人またはそのグループ全体を不利益または不利に扱うこと、あるいは社会的行動の重大性に不釣り合いまたは正当化されない不利益な扱いをもたらす可能性がある。したがって、そのようなAIシステムは禁止されるべきである。

(18)法執行を目的とした公共のアクセス可能な空間における自然人の「リアルタイム」遠隔生体認証のためのAIシステムの使用は、人口の大部分の私生活に影響を与え、常に監視されているという感覚を呼び起こし、集会の自由やその他の基本的権利の行使を間接的に阻害する可能性があるという点で、関係者の権利と自由を特に侵害するものと考えられる。さらに、「リアルタイム」で作動するこのようなシステムの使用に関連して、影響の即時性とさらなるチェックや修正の機会が限られていることは、法執行活動に関係する人々の権利と自由に対するリスクを高めている。

(19)従って、法執行目的でのこれらのシステムの使用は、包括的に列挙された3つの狭義の状況を除き、実質的な公共の利益を達成するために厳密に必要であり、その重要性がリスクを上回る場合には禁止されるべきである。これらの状況には、行方不明の子供を含む潜在的な犯罪被害者の捜索、自然人の生命または身体的安全に対する特定の脅威、テロ攻撃、理事会枠組み決定2002/584/JHA 38に言及された犯罪の犯人または容疑者の検出、特定、識別または訴追が含まれる。ただし、これらの犯罪が、当該加盟国において最長3年以上の拘留刑または拘留命令で処罰され、かつ当該加盟国の法律で定義されている場合に限る。このように、国内法で定められた親権判決や拘留命令の基準値は、「リアルタイム」の遠隔生体認証システムの使用を正当化するのに十分なほど重大な犯罪であることを保証するものです。さらに、理事会の枠組み決定2002/584/JHAに記載されている32の犯罪のうち、実際にはいくつかの犯罪が他の犯罪よりも関連性が高いと思われる。というのも、「リアルタイム」遠隔バイオメトリクス認証に頼ることは、記載されている異なる犯罪の加害者または容疑者の検出、位置特定、識別または起訴を実際に追求するために、程度の差こそあれ、必要かつ適切であると予測されるからであり、被害または起こりうる負の結果の深刻さ、可能性、規模の差を考慮している。

(20)これらのシステムが責任ある適切な方法で使用されることを保証するためには、網羅的に列挙された狭義の3つの状況のそれぞれにおいて、特定の要素が考慮されるべきであることを確立することも重要である。特に、要求を生じさせた状況の性質と、関係者全員の権利と自由に対する使用の結果、および使用に伴って提供される保護措置と条件に関しては、そのように考慮される。また、法執行を目的とした公共のアクセス可能な空間における「リアルタイム」の遠隔生体認証システムの使用は、特に脅威、被害者または加害者に関する証拠または兆候を考慮して、時間的および空間的に適切な制限を受けるべきである。人物の参照データベースは、上記の3つの状況のそれぞれの使用ケースに応じて適切なものでなければならない。

(21)法執行を目的とした公的にアクセス可能な空間での「リアルタイム」遠隔生体認証システムの各使用には、加盟国の司法当局または独立行政機関による明示的かつ具体的な認可が必要である。このような認可は、正当に正当化された緊急の状況、すなわち問題のシステムを使用する必要性が、使用を開始する前に認可を得ることが効果的かつ客観的に不可能であるような状況を除き、原則として使用前に得られるべきである。このような緊急事態においては、使用は必要最小限に制限されるべきであり、国内法で決定され、法執行機関自身が個々の緊急使用のケースに応じて指定するような、適切な保護措置と条件に従うべきである。さらに、法執行機関は、このような状況では、できるだけ早く認可を得ることを求める一方で、より早く認可を求めることができなかった理由を説明すべきである。

(22)さらに、本規則が定める包括的な枠組みの中で、本規則に従った加盟国の領域内での使用は、当該加盟国が国内法の詳細な規則の中で当該使用を許可する可能性を明示的に規定することを決定した場合に限り、可能であると規定することが適切である。したがって、加盟国は、この規則に基づき、そのような可能性を全く規定しないか、あるいは、この規則で特定された認可された使用を正当化できる目的の一部に関してのみ、そのような可能性を規定する自由を有している。

(23)法の執行を目的とした、公共のアクセス可能な空間における自然人の「リアルタイム」遠隔バイオメトリック識別のためのAIシステムの使用は、必然的にバイオメトリックデータの処理を伴う。TFEU第16条に基づく、一定の例外を条件として当該使用を禁止する本規則の規則は、指令(EU)2016/680の第10条に含まれるバイオメトリックデータの処理に関する規則に関して lex specialis として適用されるべきであり、その結果、当該使用とそれに関わるバイオメトリックデータの処理が網羅的に規制されることになる。したがって、当該使用及び処理は、本規則が定める枠組みに適合する限りにおいてのみ可能であるべきであり、管轄当局が法執行の目的で行動する場合には、当該枠組みの外に、指令(EU)2016/680の第10条に記載されている理由に基づいて、当該システムを使用し、それに関連して当該データを処理する余地は存在しない。この文脈において、本規則は、指令2016/680の第8条に基づく個人データの処理の法的根拠を提供することを意図していない。ただし、管轄当局を含め、法執行以外の目的で一般にアクセス可能な空間での「リアルタイム」遠隔生体認証システムの使用は、本規則が定める法執行目的での当該使用に関する具体的な枠組みの対象とすべきではない。したがって、法執行以外の目的のためのそのような使用は、この規則およびそれに効力を及ぼす可能性のある国内法の適用可能な詳細規則に基づく認可の要件の対象となるべきではない。

(24)この規則で規制されている法執行を目的とした公的にアクセス可能な空間での「リアルタイム」遠隔生体認証システムの使用に関連するもの以外の、生体認証のためのAIシステムの使用に関連する生体データおよびその他の個人データの処理。それらのシステムが法執行以外の目的で公的にアクセス可能な空間において管轄当局によって使用される場合も含めて、規制(EU)2016/679の第9条(1)、規制(EU)2018/1725の第10条(1)および指令(EU)2016/680の第10条から生じるすべての要件を引き続き遵守するべきである。

(25)TEU及びTFEUに附属する自由・安全・正義の領域に関するイギリス及びアイルランドの立場に関する第21議定書の第6a条に従い、アイルランドは第5条第1項第(d)号に定める規則に拘束されない。(また、アイルランドは、TFEU第16条に基づいて採択された本規則の第5条第1項、第d項、第2項および第3項に定める規則であって、TFEU第3部タイトルVの第4章または第5章の範囲内の活動を行う際の加盟国による個人データの処理に関する規則、および、TFEU第16条に基づいて定められた規定の遵守を必要とする刑事問題における司法協力または警察協力の形態を規定する規則に拘束されません。

(26)デンマークは、TEU及びTFEUに附属するデンマークの地位に関する議定書第22号の第2条及び第2a条に従い、TFEU第16条に基づいて採択された本規則の第5条(1)、第(d)、第(2)及び第(3)項に定める規則、又はその適用を条件として、TFEU第3部タイトルVの第4章又は第5章の範囲内の活動を実施する際の加盟国による個人データの処理に関する規則に拘束されません。

(27)ハイリスクのAIシステムは、一定の必須要件に準拠している場合にのみ、EU市場に投入され、サービスが開始されるべきである。これらの要求事項は、ハイリスクのAIシステムが、EUで入手可能であるか、またはその出力がEUで使用される場合に、EU法によって認識され保護されている重要なEUの公共の利益に許容できないリスクをもたらさないことを保証するものでなければならない。ハイリスクと認定されたAIシステムは、欧州連合内の人々の健康、安全、基本的権利に著しい有害な影響を与えるものに限定されるべきであり、そのような制限は、国際貿易に対する潜在的な制限がある場合には、それを最小限にするものである。

(28)AIシステムは、特にそのようなシステムが製品のコンポーネントとして動作する場合、人の健康と安全に有害な結果をもたらす可能性がある。域内市場における製品の自由な移動を促進し、安全かつその他の点で適合した製品のみが市場に入ることを保証するためのEU整合化法の目的に沿って、AIシステムを含むデジタルコンポーネントに起因して製品全体で発生する可能性のある安全リスクを適切に防止・軽減することが重要である。例えば、製造業や介護の分野では、自律型ロボットが増えていますが、複雑な環境下でも安全に動作し、機能を果たすことができなければなりません。同様に、生命と健康に関わる健康分野では、高度化する診断システムや人間の判断をサポートするシステムは、信頼性が高く正確でなければなりません。AIシステムをハイリスクと分類する際には、憲章で保護されている基本的権利にAIシステムがもたらす悪影響の程度が特に重要となる。これらの権利には、人間の尊厳、私生活および家族生活の尊重、個人情報の保護、表現および情報の自由、集会および結社の自由、および無差別、消費者保護、労働者の権利、障害者の権利、効果的な救済および公正な裁判を受ける権利、防御および無罪推定の権利、善良な管理者の権利などが含まれます。これらの権利に加えて、EU憲章第24条および国連子どもの権利条約(デジタル環境に関してはUNCRC一般意見第25号でさらに詳しく述べられている)に規定されているように、子どもには特定の権利があり、いずれも子どもの脆弱性を考慮し、子どもの幸福のために必要な保護とケアを提供することが求められていることを強調することが重要である。また、AIシステムが人の健康と安全に関連して引き起こす可能性のある害の重大性を評価する際には、憲章に謳われ、連合の政策で実施されている高水準の環境保護に対する基本的権利も考慮されるべきである。

(29)製品またはシステムの安全部品であるか、またはそれ自体が欧州議会および理事会規則 (EC) No 300/200839 、欧州議会および理事会規則 (EU) No 167/201340 の範囲内にある製品またはシステムであるハイリスクの AI システムに関しては、以下のようになります。欧州議会および欧州理事会の規則(EU)No168/2013 41 、欧州議会および欧州理事会の指令2014/90/EU 42 、欧州議会および欧州理事会の指令(EU)2016/797 43 、欧州議会および欧州理事会の規則(EU)2018/858 44 。欧州議会及び理事会の規則(EU)2018/1139 45 、欧州議会及び理事会の規則(EU)2019/2144 46 、欧州委員会が、各セクターの技術的及び規制的な特異性に基づいて、また、既存のガバナンス、適合性評価及び執行のメカニズム及びそこに確立された当局に干渉することなく、本規則に定められたハイリスクのAIシステムに対する必須要件を、それらの法律に基づいて将来の関連する委任法又は実施法を採択する際に考慮することを保証するために、それらの法律を修正することが適切である。

(30)製品の安全コンポーネントである、またはそれ自体が製品であり、特定のEU調和法の適用範囲内にあるAIシステムについては、当該製品が当該EU調和法に従って第三者適合性評価機関による適合性評価手続きを受けている場合、本規則に基づきハイリスクに分類することが適切である。特に、そのような製品は、機械、玩具、リフト、爆発の可能性のある大気中での使用を意図した機器および保護システム、無線機器、圧力機器、娯楽用クラフト機器、索道設備、気体燃料を燃焼する機器、医療機器、体外診断用医療機器である。

(31)本規則によるAIシステムのハイリスク分類は、必ずしも、AIシステムを安全構成要素とする製品、または製品としてのAIシステム自体が、製品に適用される関連するEU調和法で確立された基準の下で「ハイリスク」とみなされることを意味してはならない。これは特に、「欧州議会及び理事会の規則(EU)2017/745」47と「欧州議会及び理事会の規則(EU)2017/746」48の場合であり、中リスク及びハイリスクの製品に対して第三者による適合性評価が提供されている。

(32)単体のAIシステム、つまり製品の安全部品であるAIシステムやそれ自体が製品であるAIシステム以外のハイリスクのAIシステムについては、その意図された目的に照らして、起こりうる危害の重大性とその発生確率の両方を考慮して、人の健康と安全または基本的権利に危害を与えるリスクが高く、規則で指定されたいくつかの具体的に事前定義された分野で使用される場合、ハイリスクに分類することが適切であるとしている。これらのシステムの識別は、ハイリスクAIシステムのリストの将来の改訂の際にも想定されている同じ方法論と基準に基づいています。

(33)自然人の遠隔生体認証を目的としたAIシステムの技術的な不正確さは、偏った結果をもたらし、差別的な影響をもたらす可能性があります。これは、年齢、民族、性別、障害に関しては特に関係があります。したがって、「リアルタイム」および「ポスト」の遠隔バイオメトリクス認証システムは、ハイリスクに分類されるべきである。このようなリスクを考慮して、両タイプの遠隔バイオメトリクス認証システムには、ロギング機能と人間による監視に関する特定の要件を課すべきである。

(34)重要インフラの管理・運営に関しては、道路交通や水・ガス・暖房・電気の供給の管理・運営における安全部品として使用されることを目的としたAIシステムは、その故障や誤動作が大規模に人の生命や健康を危険にさらし、社会的・経済的活動の通常の実施にかなりの支障をきたす可能性があるため、ハイリスクに分類することが適切である。

(35)教育または職業訓練に使用されるAIシステム、特に教育・職業訓練機関へのアクセスを決定したり割り当てたりするため、または教育の一部または前提条件としてのテストで人を評価するために使用されるAIシステムは、人の人生の教育的・職業的なコースを決定し、その結果、生計を確保する能力に影響を与える可能性があるため、ハイリスクであるとみなされるべきである。このようなシステムは、不適切に設計・使用された場合、教育・訓練を受ける権利や、差別されない権利を侵害し、歴史的な差別のパターンを永続させる可能性があります。

(36)雇用、労働者管理、自営業へのアクセスにおいて使用されるAIシステム、特に人の募集と選択、昇進と解雇の決定、仕事に関連した契約関係にある人の仕事の割り当て、監視または評価に使用されるAIシステムも、これらの人の将来のキャリアの見通しと生活にかなりの影響を与える可能性があるため、ハイリスクに分類されるべきである。関連する業務上の契約関係には、従業員と、欧州委員会ワークプログラム2021で言及されているプラットフォームを通じてサービスを提供する者が含まれるべきである。そのような人たちは、原則として、本規則の意味におけるユーザーとはみなされないはずである。採用プロセスや、仕事に関連した契約関係にある人の評価、昇進、保持において、このようなシステムは、例えば女性、特定の年齢層、障害者、特定の人種や民族、性的指向の人に対する差別の歴史的パターンを永続させる可能性がある。また、これらの人々のパフォーマンスや行動を監視するために使用されるAIシステムは、データ保護やプライバシーに関する彼らの権利に影響を与える可能性があります。

(37)AIシステムの使用が特別な配慮に値するもう一つの分野は、人々が社会に完全に参加するため、あるいは生活水準を向上させるために必要な、特定の本質的な私的および公的サービスや利益へのアクセスと享受です。特に、自然人のクレジットスコアや信用度を評価するためのAIシステムは、住宅、電気、通信サービスなどの財源や必須サービスへのアクセスを決定するものであるため、ハイリスクのAIシステムに分類されるべきである。このような目的で使用されるAIシステムは、人やグループの差別につながり、例えば人種や民族、障害、年齢、性的指向などに基づく差別の歴史的パターンを永続させたり、新たな形の差別的影響を生み出す可能性がある。影響の規模が非常に限られていることと、市場で入手可能な代替手段を考慮すると、小規模なプロバイダーが自分で使用するためにサービスを開始する場合、信用力評価と信用スコアリングを目的としたAIシステムを除外することが適切である。公的機関から公的支援の給付やサービスを申請したり、受けたりする自然人は、一般的にそれらの給付やサービスに依存しており、責任ある機関との関係では弱い立場にある。AIシステムが、そのような給付やサービスを当局が拒否、削減、取り消し、または返還すべきかどうかを決定するために使用される場合、それらは人の生活に大きな影響を与え、社会的保護、無差別、人間の尊厳、有効な救済を受ける権利などの基本的な権利を侵害する可能性があります。したがって、これらのシステムはハイリスクに分類されるべきである。しかしながら、本規則は、行政における革新的なアプローチの開発と使用を妨げるべきではありません。これらのシステムが法人および自然人に高いリスクをもたらさないことを条件に、準拠した安全なAIシステムの幅広い使用から利益を得ることができます。最後に、緊急初動サービスの派遣や優先順位の設定に使用されるAIシステムも、人とその財産の生命と健康にとって非常に危機的な状況で判断を下すため、ハイリスクに分類されるべきである。

(38)AIシステムの特定の使用を伴う法執行機関による行動は、かなりの程度の力の不均衡を特徴とし、監視、逮捕、自然人の自由の剥奪、さらには憲章で保証された基本的権利に対するその他の悪影響をもたらす可能性がある。特に、AIシステムが高品質のデータで訓練されていない場合、その正確性や堅牢性の点で十分な要件を満たしていない場合、あるいは市場に出す前、あるいはその他の方法でサービスを開始する前に、適切に設計およびテストされていない場合、差別的な、あるいはその他の不正な、あるいは不当な方法で人々を選別する可能性があります。さらに、効果的な救済を受ける権利、公正な裁判を受ける権利、防御権、無罪推定など、重要な手続き上の基本的権利の行使が、特にそのようなAIシステムが十分に透明性、説明可能性、文書化されていない場合には、妨げられる可能性があります。したがって、悪影響を回避し、国民の信頼を維持し、説明責任と効果的な救済を確保するために、正確性、信頼性、透明性が特に重要な法執行機関での使用を意図した多くのAIシステムをハイリスクに分類することが適切である。問題となっている活動の性質とそれに関連するリスクを考慮すると、これらのハイリスクAIシステムには、特に法執行機関が個々のリスク評価に使用することを意図したAIシステム、ポリグラフおよび同様のツール、または自然人の感情的状態を検出することを意図したAIシステム、「ディープフェイク」を検出することを意図したAIシステム、刑事訴訟における証拠の信頼性を評価することを意図したAIシステムが含まれるべきである。自然人のプロファイリングに基づく実際のまたは潜在的な犯罪の発生または再発の予測、自然人またはグループの性格特性や特徴、過去の犯罪行動の評価、犯罪の検出、調査、起訴の過程でのプロファイリング、および自然人に関する犯罪分析のため。税務・税関当局による行政手続きに使用されることを特に意図したAIシステムは、法執行機関が犯罪の予防、検知、調査、起訴の目的で使用するハイリスクのAIシステムとはみなされないはずです。

(39)移民、庇護、国境管理の管理に使用されるAIシステムは、しばしば特に脆弱な立場にあり、管轄の公的機関の行動の結果に依存している人々に影響を与える。したがって、これらの文脈で使用されるAIシステムの正確性、無差別性および透明性は、影響を受ける人々の基本的権利、特に自由な移動、無差別、私生活および個人データの保護、国際的な保護および適切な管理に対する権利の尊重を保証するために特に重要である。したがって、移民、庇護、国境管理の分野で任務を担う管轄の公的機関が、ポリグラフや同様のツールとして、または自然人の感情状態を検出するために使用することを目的としたAIシステムを、ハイリスクのものとして分類することが適切である。自然人の関連文書の真正性を検証するため、ステータスを申請する自然人の適格性を確立する目的に関して、亡命、ビザ、滞在許可証の申請および関連する苦情の審査のために、管轄の公的機関を支援するため。本規則が対象とする移民、庇護および国境管理の分野におけるAIシステムは、欧州議会および理事会の指令2013/32/EU49、欧州議会および理事会の規則(EC)No 810/200950およびその他の関連法規が定める関連手続き要件に準拠すべきである。

(40)司法と民主主義プロセスの管理を目的とした特定のAIシステムは、民主主義、法の支配、個人の自由、ならびに効果的な救済と公正な裁判を受ける権利に大きな影響を与える可能性があることを考慮して、ハイリスクに分類されるべきである。特に、潜在的なバイアス、エラー、不透明性のリスクに対処するために、事実と法律の調査と解釈、および具体的な一連の事実への法律の適用において、司法当局を支援することを意図したAIシステムをハイリスクと認定することが適切である。しかし、このような認定は、司法判断、文書またはデータの匿名化または偽名化、担当者間のコミュニケーション、管理タスクまたは資源の割り当てなど、個々のケースにおける実際の司法行政に影響を与えない純粋に補助的な管理活動を目的とするAIシステムには適用されるべきではない。

(41)本規則でAIシステムがハイリスクに分類されたという事実は、そのシステムの使用が、個人データの保護、ポリグラフや類似のツールの使用、自然人の感情状態を検出するための他のシステムなど、EU法の他の行為や、EU法と互換性のある国内法の下で、必ずしも合法であることを示すものと解釈されるべきではない。このような使用は、本憲章ならびに二次的な組合法および国内法の適用法から生じる適用要件にのみ従って継続されるべきである。本規則は、特別なカテゴリーの個人データを含む個人データの処理に関する法的根拠を提供するものと理解すべきではない。

(42)ユーザーと影響を受ける人のために、EU市場に置かれた、またはその他の方法でサービスを開始したハイリスクのAIシステムからのリスクを軽減するために、システムの使用目的を考慮し、提供者が確立するリスク管理システムに従って、一定の必須要件を適用すべきである。

(43)ハイリスクのAIシステムには、使用するデータセットの品質、技術文書と記録保持、透明性と利用者への情報提供、人間による監視、堅牢性・正確性・サイバーセキュリティに関する要件を適用すべきである。それらの要件は、システムの意図された目的に照らして適用可能な、健康、安全、基本的権利に対するリスクを効果的に軽減するために必要であり、他のより貿易制限の少ない措置が合理的に利用できないため、不当な貿易制限を回避することができる。

(44)ハイリスクのAIシステムが意図された通りに安全に性能を発揮し、それが組合法で禁止されている差別の原因とならないようにする観点から、多くのAIシステムの性能、特にモデルのトレーニングを含む技術が使用される場合には、高品質のデータが不可欠である。高品質のトレーニング、検証、およびテスト用データセットには、適切なデータガバナンスと管理方法の実施が必要です。トレーニング、検証、およびテスト用のデータセットは、システムの意図された目的に照らして、十分に関連性があり、代表的で、エラーがなく、完全でなければならない。また、ハイリスクAIシステムが使用されることが意図されている人または人のグループに関することを含め、適切な統計的特性を有するべきである。特に、トレーニング、検証およびテスト用データセットは、その意図された目的に照らして必要な範囲で、AIシステムの使用が意図されている特定の地理的、行動的または機能的環境または文脈に特有の特徴、特性または要素を考慮しなければなりません。AIシステムの偏りから生じる可能性のある差別から他者の権利を保護するために、ハイリスクのAIシステムに関する偏りの監視、検出、修正を確実に行うために、実質的な公共の利益の問題として、プロバイダは特別なカテゴリーの個人データも処理できるようにすべきである。

(45)ハイリスクのAIシステムの開発のために、提供者、届出機関、デジタル・イノベーション・ハブ、試験実験施設、研究者などの他の関連団体などの特定のアクターは、本規則に関連するそれぞれの活動分野において、高品質のデータセットにアクセスし、利用することができるべきである。欧州委員会が設立した欧州共通のデータスペースや、公益のために企業間や政府とのデータ共有を促進することは、AIシステムのトレーニング、検証、テストのための高品質なデータへの信頼性、説明責任、無差別なアクセスを提供するために有効である。例えば、健康分野では、欧州の健康データスペースは、プライバシー保護、安全性、適時性、透明性、信頼性のある方法で、適切な制度的ガバナンスを用いて、健康データへの無差別なアクセスと、それらのデータセットに対する人工知能アルゴリズムのトレーニングを促進する。データへのアクセスを提供または支援する部門別を含む関連する管轄当局は、AIシステムのトレーニング、検証、テストのための高品質なデータの提供も支援することができる。

(46)ハイリスクのAIシステムがどのように開発され、そのライフサイクルを通じてどのように機能するかについての情報を持つことは、本規則に基づく要求事項の遵守を検証するために不可欠です。そのためには、AIシステムが関連する要求事項に適合しているかどうかを評価するために必要な情報を含む技術文書の記録と入手が必要です。そのような情報には、システムの一般的な特性、能力および限界、アルゴリズム、データ、トレーニング、テストおよび使用されるバリデーションプロセス、ならびに関連するリスクマネジメントシステムに関する文書が含まれるべきです。技術文書は常に最新の状態に保たれるべきです。

(47)ある種のAIシステムが自然人には理解できない、あるいは複雑すぎるという不透明さに対処するために、ハイリスクのAIシステムには一定の透明性を要求すべきである。ユーザーは、システムの出力を解釈し、それを適切に使用することができなければならない。したがって、ハイリスクのAIシステムは、関連する文書や使用説明書を添付し、必要に応じて、基本的権利や差別に対する潜在的なリスクに関連するものを含む、簡潔で明確な情報を含むべきである。

(48)ハイリスクのAIシステムは、自然人がその機能を監督できるような方法で設計・開発されるべきである。この目的のために、適切な人間による監視手段は、システムの提供者が、そのシステムを市場に出す前、またはサービスを開始する前に特定されるべきである。特に、適切な場合には、そのような手段は、システムが、システム自身によって覆すことができない組み込まれた運用上の制約を受け、人間のオペレータに反応することを保証し、また、人間の監督が割り当てられた自然人が、その役割を遂行するために必要な能力、訓練および権限を有することを保証すべきである。

(49)ハイリスクのAIシステムは、そのライフサイクルを通じて一貫した性能を発揮し、一般的に認められている技術水準に従い、精度、堅牢性、サイバーセキュリティの適切なレベルを満たすべきである。精度のレベルと精度の指標は、ユーザーに伝えられるべきである。

(50)技術的な堅牢性は、ハイリスクのAIシステムにとって重要な要件である。AIシステムは、システムの限界に関連したリスク(例えば、エラー、欠陥、不整合、予期せぬ状況)や、AIシステムのセキュリティを侵害し、有害な、あるいは望ましくない行動を引き起こす可能性のある悪意のある行動に対して、耐性があるべきであるとしています。これらのリスクに対する保護ができないと、例えば、AIシステムが生成する誤った判断や誤ったまたは偏った出力により、安全性に影響を与えたり、基本的権利に悪影響を与えたりする可能性があります。

(51)サイバーセキュリティは、悪意のある第三者がシステムの脆弱性を利用して、AIシステムの使用、挙動、性能を変更したり、セキュリティ特性を侵害しようとする試みに対して、AIシステムの回復力を確保する上で重要な役割を果たします。AIシステムに対するサイバー攻撃は、学習データセット(例:データポイズニング)や学習モデル(例:敵対的攻撃)などのAI特有の資産を利用したり、AIシステムのデジタル資産や基盤となるICTインフラの脆弱性を利用したりします。したがって、リスクに見合ったレベルのサイバーセキュリティを確保するために、ハイリスクのAIシステムの提供者は、基礎となるICTインフラも適切に考慮した上で、適切な措置を講じるべきである。

(52)EU 調和法の一環として、ハイリスクの AI システムの上市、使用開始、および使用に適用される 規則は、製品の認定および市場監視に関する要件を定めた欧州議会および理事会規則(EC)No 765/2008 と整合性を持って規定されるべきである。製品のマーケティングのための共通フレームワークに関する欧州議会および理事会決定 No 768/2008/EC 52 および製品の市場監視とコンプライアンスに関する欧州議会および理事会規則(EU)2019/1020 53 (「製品のマーケティングに関する新しい法的フレームワーク」)。

(53)ハイリスクAIシステムの市場への投入またはサービス開始の責任は、その自然人または法人がシステムを設計または開発した人であるかどうかにかかわらず、提供者と定義される特定の自然人または法人が負うことが適切である。

(54)提供者は、健全な品質管理システムを確立し、必要な適合性評価手順の達成を確保し、関連文書を作成し、強固な市販後の監視システムを確立しなければならない。ハイリスクAIシステムを自ら使用する公的機関は、分野の特性、当該公的機関の能力と組織を考慮して、必要に応じて、国または地域レベルで採用された品質管理システムの一部として、品質管理システムの規則を採用し、実施することができる。

(55)関連する新法体系の分野別法令が適用される製品の安全部品であるハイリスクAIシステムが、製品から独立して市場に出されたり、使用されたりしない場合、関連する新法体系の法令で定義される最終製品の製造者は、本規則で定められた提供者の義務を遵守し、特に最終製品に組み込まれたAIシステムが本規則の要求事項に適合することを保証しなければならない。

(56)本規則の施行を可能にし、事業者にとって公平な競争の場を作るために、また、デジタル製品を利用可能にする様々な形態を考慮して、あらゆる状況下で、EUに設立された者がAIシステムの適合性に関するすべての必要な情報を当局に提供できることを保証することが重要である。したがって、輸入者が特定できない場合、EU外に設立されたプロバイダーは、AIシステムをEU内で利用可能にする前に、書面による委任により、EU内に設立された公認の代理人を任命しなければならない。

(57)新法制フレームワークの原則に沿って、法的確実性を確保し、関連事業者による規制遵守を容易にするために、輸入業者や販売業者などの関連経済事業者に対する具体的な義務を設定すべきである。

(58)AIシステムの性質や、現実の環境におけるAIシステムの性能の適切な監視を確保する必要性など、その使用に伴う安全性や基本的権利に対するリスクを考慮すると、ユーザーに特定の責任を設定することが適切である。ユーザーは、特に、リスクの高いAIシステムを使用説明書に従って使用すべきであり、AIシステムの機能のモニタリングや記録保持に関して、必要に応じて他の一定の義務を規定すべきである。

(59)AIシステムの使用者は、個人的な非職業的活動の過程で使用される場合を除き、AIシステムが運用されている自然人または法人、公共機関、代理店、その他の団体であることを想定することが適切である。

(60)人工知能バリューチェーンの複雑性に鑑み、関連する第三者、特にソフトウェア、ソフトウェアツール及びコンポーネント、事前学習済みモデル及びデータの販売及び供給に関わる者、又はネットワークサービスの提供者は、本規則に基づく義務及び本規則に基づいて設立された管轄当局への遵守を可能にするために、提供者及び利用者と適宜協力すべきである。

(61)標準化は、本規則の遵守を確保するための技術的ソリューションをプロバイダーに提供するために、重要な役割を果たすべきである。欧州議会・理事会規則(EU) No 1025/2012に定義されている整合規格への準拠は、プロバイダーが本規則の要求に適合していることを証明する手段となるべきである。ただし、欧州委員会は、整合規格が存在しない、あるいは不十分な分野では、共通の技術仕様を採用することができる。

(62)ハイリスクのAIシステムの高い信頼性を確保するために、それらのシステムは、市場に出す前、またはサービスを開始する前に、適合性評価を受けるべきである。

(63)事業者の負担を最小限にし、重複の可能性を回避するために、新法枠組アプローチに従った既存のEU調和法が適用されている製品に関連するハイリスクAIシステムについては、それらのAIシステムの本規則の要求事項への適合は、当該法律の下で既に予見されている適合性評価の一部として評価されるべきであることが適切である。したがって、本規則の要求事項の適用は、関連する特定の新法制枠組法の下での適合性評価の特定の論理、方法論または一般的な構造に影響を与えるべきではない。このアプローチは、本規則と[機械規則]の相互関係に完全に反映されている。機械の安全機能を確保するAIシステムの安全リスクは、本規則の要求事項によって対処されますが、[機械規則]の特定の要求事項は、機械全体の安全性を損なわないように、AIシステムの機械全体への安全な統合を保証します。機械規則]は、本規則と同じAIシステムの定義を適用している。

(64)製品安全の分野における専門の市販前認証機関のより豊富な経験と、関係するリスクの性質の違いを考慮すると、少なくとも本規則の適用の初期段階では、製品に関連するAIシステム以外のハイリスクのAIシステムに対する第三者適合性評価の適用範囲を制限することが適切である。ただし、人の遠隔生体認証に使用することを意図したAIシステムについては、禁止されていない範囲で適合性評価への通知機関の関与が予見されるのみである。

(65)人の遠隔バイオメトリック識別に使用されることを意図したAIシステムの第三者適合性評価を実施するために、通知機関は、特に独立性、能力及び利益相反がないことに関する一連の要件に準拠していることを条件に、この規則に基づいて、国の管轄当局によって指定されるべきである。

(66)Union harmonisation legislationで規制されている製品に対して一般的に確立されている実質的な変更の概念に沿って、システムの本規則への適合に影響を与える可能性のある変更が発生した場合、またはシステムの意図された目的が変更された場合には、AIシステムは新たに適合性評価を受けることが適切である。また、市場に出された後、あるいはサービスが開始された後も「学習」を続ける(つまり、機能の実行方法を自動的に調整する)AIシステムについては、提供者が事前に決定し、適合性評価の時点で評価されたアルゴリズムとその性能の変更は、実質的な変更を構成しないことを定める規則が必要である。

(67)ハイリスクのAIシステムは、域内市場で自由に移動できるように、本規則への適合性を示すCEマークを付けるべきである。加盟国は、本規則に定められた要求事項に適合し、CEマーキングを付したハイリスクAIシステムの市場への投入または使用開始に対して、不当な障害を設けてはならない。

(68)特定の状況下では、革新的な技術の迅速な入手は、人の健康と安全および社会全体にとって極めて重要な場合がある。したがって、公共の安全、自然人の生命と健康の保護、工業用および商業用財産の保護という例外的な理由により、加盟国は適合性評価を受けていないAIシステムの市場への配置またはサービスの開始を認可することが適切である。

(69)人工知能分野における欧州委員会および加盟国の活動を促進し、国民に対する透明性を高めるために、関連する既存の欧州連合調和法の範囲内にある製品に関連するものを除き、ハイリスクのAIシステムの提供者は、欧州委員会が設立・管理するEUデータベースにハイリスクのAIシステムを登録することを義務付けるべきである。欧州議会と理事会の規則(EU)2018/1725に基づき、欧州委員会が当該データベースの管理者となるべきである55。展開されたときに、データベースの完全な機能性を確保するために、データベースの設定手順には、欧州委員会による機能仕様の精緻化と独立した監査報告書が含まれるべきである。

(70)自然人との対話やコンテンツの生成を意図した特定のAIシステムは、ハイリスクと認定されるか否かにかかわらず、なりすましや欺瞞の特定のリスクをもたらす可能性がある。したがって、特定の状況下では、これらのシステムの使用は、ハイリスクAIシステムの要件および義務を損なうことなく、特定の透明性義務の対象となるべきである。特に、自然人は、状況や使用の背景から明らかな場合を除き、AIシステムと対話していることを通知されるべきである。さらに、自然人は、感情認識システムまたはバイオメトリック分類システムにさらされているときに通知されるべきである。このような情報および通知は、障害者がアクセス可能な形式で提供されるべきである。さらに、AIシステムを使用して、実在の人物、場所、または事象にかなり類似しており、人に本物であると偽って見せるような画像、音声、または映像コンテンツを生成または操作するユーザーは、人工知能の出力に適宜ラベルを付け、その人工的な起源を開示することによって、コンテンツが人工的に作成または操作されたことを開示すべきである。

(71)人工知能は、急速に発展している技術群であり、責任あるイノベーションと適切なセーフガードやリスク軽減策の統合を確保しつつ、新しい形の規制監督と実験のための安全な空間を必要とする。イノベーションに優しく、将来性があり、破壊に強い法的枠組みを確保するために、1つ以上の加盟国の国家管轄当局は、革新的なAIシステムが市場に出回る前に、またはその他の方法でサービスを開始する前に、厳格な規制監督の下で革新的なAIシステムの開発とテストを促進するために、人工知能規制サンドボックスを設立するよう奨励されるべきである。

(72)規制用サンドボックスの目的は、革新的なAIシステムが本規則及びその他の関連するEU及び加盟国の法律に適合していることを確実にするために、開発及び市販前の段階で管理された実験及び試験環境を確立することにより、AIのイノベーションを促進すること、イノベーターの法的確実性及びAI利用の機会、新たなリスク及び影響に対する所轄官庁の監視及び理解を強化すること、及び中小企業及び新興企業の障壁を取り除くことを含め、市場へのアクセスを促進することであるべきである。EU全体での統一的な実施と規模の経済を確保するためには、規制用サンドボックスの実施に関する共通ルールと、サンドボックスの監督に関わる関連当局間の協力の枠組みを確立することが適切である。本規則は、規則(EU)2016/679の第6条(4)、規則(EU)2018/1725の第6条に沿って、また指令(EU)2016/680の第4条(2)を損なうことなく、AI規制サンドボックス内で公益のために特定のAIシステムを開発するために他の目的で収集した個人データを使用するための法的根拠を提供すべきである。サンドボックスの参加者は、適切なセーフガードを確保し、管轄当局の指導に従い、サンドボックスでの開発・実験中に発生する可能性のある安全性や基本的権利に対するハイリスクを軽減するために迅速かつ誠実に行動することを含め、管轄当局に協力する必要があります。サンドボックスの参加者の行為は、規制2016/679の第83条(2)項および指令2016/680の第57条に基づいて行政罰金を課すかどうかを管轄当局が決定する際に考慮されるべきである。

(73)イノベーションを促進・保護するためには、AIシステムの小規模な提供者や利用者の利益が特に考慮されることが重要である。この目的のために、加盟国は、意識向上や情報伝達など、これらの事業者を対象としたイニシアティブを開発すべきである。さらに、小規模事業者の特定の利益とニーズは、ノーティファイドボディが適合性評価料金を設定する際に考慮されなければならない。必須文書や当局とのコミュニケーションに関連する翻訳費用は、プロバイダやその他の事業者、特に小規模な事業者にとって大きなコストとなる可能性がある。加盟国は、関連プロバイダーの文書およびオペレーターとのコミュニケーションのために決定され受け入れられる言語の一つが、可能な限り多くの国境を越えたユーザーに広く理解されるものであることを保証すべきであろう。

(74)市場における知識や専門性の欠如に起因する実施上のリスクを最小限にするため、また、プロバイダーや届出機関が本規則に基づく義務を遵守することを容易にするため、欧州委員会および加盟国が国内またはEUレベルで設立したAIオンデマンド・プラットフォーム、欧州デジタル・イノベーション・ハブ、試験・実験施設は、本規則の実施に貢献する可能性がある。それぞれの使命と能力分野の中で、特に技術的・科学的支援を提供者や届出機関に提供することができる。

(75)欧州委員会は、可能な限り、関連するEU調和法に従って設立または認定され、当該EU調和法の対象となる製品または機器の適合性評価に関連して業務を遂行する団体、グループまたは研究所の試験・実験施設へのアクセスを容易にすることが適切である。これは特に、規則(EU)2017/745及び規則(EU)2017/746に基づく医療機器の分野における専門家パネル、専門家ラボ及び基準ラボの場合である。

(76)本規則の円滑で効果的かつ調和のとれた実施を促進するために、欧州人工知能委員会を設立すべきである。理事会は、本規則で確立された要件に関する技術仕様や既存の規格など、本規則の実施に関連する事項について意見、勧告、助言または指導を発行すること、人工知能に関連する特定の質問について欧州委員会に助言を提供し、支援することを含む、多くの諮問業務を担当すべきである。

(77)加盟国は、本規則の適用と施行において重要な役割を担っている。この点において、各加盟国は、この規則の適用と実施を監督する目的で、1つ以上の国内管轄当局を指定する必要がある。加盟国側の組織効率を高め、加盟国及びEUレベルで一般市民やその他の関係者との公式な連絡先を設定するために、各加盟国において1つの国家機関を国家監督機関として指定すべきである。

(78)ハイリスクのAIシステムの提供者が、ハイリスクのAIシステムの使用経験を、システムや設計・開発プロセスの改善のために考慮したり、可能な是正措置をタイムリーに取ることができるようにするために、すべての提供者は、市販後モニタリングシステムを導入すべきである。このシステムは、市場に投入された後、あるいはサービスが開始された後も「学習」を続けるAIシステムから生じる可能性のあるリスクに、より効率的かつタイムリーに対処できるようにするためにも重要です。この観点から、プロバイダーは、AIシステムの使用に起因する深刻なインシデントや基本的権利を保護する国内法およびEU法への違反を関連当局に報告するシステムを持つことも要求されるべきである。

(79)EU調和法である本規則が定める要件及び義務の適切かつ効果的な執行を確保するために、規則(EU) 2019/1020によって確立された製品の市場監視及びコンプライアンスのシステムを全面的に適用すべきである。その任務に必要な場合、平等機関を含む基本的権利を保護する連邦法の適用を監督する国の公的機関または団体も、本規則に基づいて作成されたあらゆる文書にアクセスするべきである。

(80)金融サービスに関するEUの法律には、規制対象の金融機関がAIシステムを利用する場合を含め、金融サービスを提供する過程で適用される内部ガバナンスおよびリスク管理の規則・要件が含まれている。本規則に基づく義務と、EU金融サービス法の関連規則・要件の首尾一貫した適用・執行を確保するために、規制・監督対象の金融機関が提供・使用するAIシステムに関して、市場監視活動を含む本規則の実施を監督する目的で、金融サービス法の監督・執行を担当する当局(該当する場合には欧州中央銀行を含む)を所轄官庁に指定すべきである。本規則と、欧州議会及び理事会の指令2013/36/EU56に基づき規制される信用機関に適用される規則との間の整合性をさらに高めるために、適合性評価手続きと、リスク管理、販売後のモニタリング及び文書化に関連するプロバイダーの手続き上の義務の一部を、指令2013/36/EUに基づく既存の義務と手続きに統合することも適切である。重複を避けるために、プロバイダの品質管理システムおよびハイリスクAIシステムのユーザに課せられる監視義務が指令2013/36/EUによって規制される信用機関に適用される範囲で、これらに関連して限定的な適用除外も想定すべきである。

(81)本規則の要件に従ったハイリスクAIシステム以外のAIシステムの開発は、欧州連合における信頼できる人工知能のより大きな導入につながる可能性がある。ハイリスクではないAIシステムの提供者は、ハイリスクAIシステムに適用される必須要件の自発的な適用を促進することを目的とした行動規範の作成を奨励されるべきである。また、提供者は、例えば、環境の持続可能性、障害者のアクセス性、AIシステムの設計・開発への利害関係者の参加、開発チームの多様性などに関する追加的な要件を自主的に適用することを奨励すべきである。欧州委員会は、AI開発のためのデータの国境を越えた交換を妨げている技術的障壁の低減を促進するために、分野別を含め、データアクセスインフラ、異なるタイプのデータのセマンティックおよび技術的な相互運用性に関するイニシアティブを開発することができる。

(82)本規則によればハイリスクではなく、したがって本規則に定められた要件に準拠する必要がない製品に関連するAIシステムが、それにもかかわらず市場に出されたりサービスに供されたりする際に安全であることが重要である。この目的に貢献するために、欧州議会欧州理事会の指令2001/95/EC 57がセーフティネットとして適用される。

(83)EU及び国家レベルでの管轄当局の信頼できる建設的な協力を確保するために、本規則の適用に関わる全ての関係者は、その任務を遂行する際に得られる情報及びデータの機密性を尊重するべきである。

(84)加盟国は、本規則の規定が実施されることを保証するために、その侵害に対する効果的、比例的、かつ説得力のある罰則を定めることを含め、あらゆる必要な措置をとるべきである。特定の具体的な侵害については、加盟国は本規則に定められたマージンと基準を考慮に入れるべきである。欧州データ保護監督官は、本規則の適用範囲内にある欧州連合の機関、代理店及び団体に罰金を課す権限を有するべきである。

(85)規制の枠組みが必要に応じて適応できるようにするために、AIシステムを定義するための付属書Iで言及されている技術とアプローチ、付属書IIで言及されている欧州連合の調和法、付属書IIIで言及されているハイリスクのAIシステムを修正するために、TFEU290条に従った法律を採択する権限を欧州委員会に委ねるべきである。付属書IVに記載されている技術文書に関する規定、付属書Vに記載されているEU適合宣言の内容、付属書VIおよびVIIに記載されている適合性評価手順に関する規定、および品質管理システムの評価と技術文書の評価に基づく適合性評価手順を適用すべきハイリスクAIシステムを定める規定を修正する。欧州委員会が準備作業において、専門家レベルを含めた適切な協議を行い、それらの協議を「より良い法律作りに関する2016年4月13日の組織間協定」で定められた原則に従って実施することが特に重要である58。特に、委任行為の準備への平等な参加を確保するために、欧州議会と理事会は加盟国の専門家と同時にすべての文書を受け取り、その専門家は委任行為の準備を扱う欧州委員会の専門家グループの会合に体系的にアクセスすることができる。

(86)この規則の実施のための均一な条件を確保するために、実施権限を欧州委員会に付与すべきである。これらの権限は、欧州議会欧州理事会の規則(EU) No 182/2011に基づいて行使されるべきである59。

(87)本規則の目的は、加盟国では十分に達成できず、むしろ行動の規模や効果により、EUレベルでよりよく達成できるため、EUはTEU第5条に定められた補完性の原則に基づき、措置を採用することができる。同条に定められた比例の原則に従い、この規則はその目的を達成するために必要な範囲を超えない。

(88)この規則は...[OP - 第85条で定められた日付を挿入してください]から適用されるべきである。しかし、ガバナンスと適合性評価システムに関連するインフラはその日までに運用されるべきであり、したがって、通知機関とガバナンス構造に関する規定は...[OP - 日付を挿入してください - この規則の発効から3ヶ月後]から適用されるべきである。また、加盟国は、行政罰を含む罰則に関する規則を定めて欧州委員会に通知し、この規則の適用日までに適切かつ効果的に実施されるようにしなければならない。したがって、罰則に関する規定は[OP-日付を入れてください-この規則の発効から12ヶ月後]から適用されるべきである。

(89)欧州データ保護監督官及び欧州データ保護委員会は、規則(EU)2018/1725の第42条(2)に従って諮問を受け、[...]に関する意見を届けた。

は本規則を採択した。

タイトルI 一般規定

第1条 対象事項

この規則は以下を規定する。

(a)欧州連合における人工知能システム(「AIシステム」)の市場投入、サービス開始、使用に関する調和された規則。

(a)特定の人工知能に関する行為の禁止。

(b)ハイリスクのAIシステムに対する特定の要件と、そのようなシステムの運用者に対する義務。

(c)自然人との対話を目的としたAIシステム、感情認識システム、生体情報分類システム、画像・音声・映像コンテンツの生成・操作に使用されるAIシステムに関する調和された透明性規則

(d)市場監視・モニタリングに関する規則

第2条 適用範囲

1.本規則は以下に適用される。

(a)EU域内でAIシステムを市場に出す、またはサービスを提供するプロバイダー。

(b)欧州連合内にあるAIシステムのユーザー。

(c)第三国に設置されたAIシステムの提供者および使用者であって、そのシステムによって生成された出力が欧州連合内で使用される場合。

2.以下の法律の適用範囲内にある、製品またはシステムの安全部品である、またはそれ自体が製品またはシステムであるハイリスクのAIシステムについては、本規則の第84条のみが適用される。

(a) Regulation (EC) 300/2008;

(b) Regulation (EU) No 167/2013。

(c)Regulation (EU) No 168/2013。

(d)指令 2014/90/EU

(e)指令(EU)2016/797。

(f)規則(EU) 2018/858。

(g)規則(EU)2018/1139。

(h)規則(EU) 2019/2144。

3.本規則は、専ら軍事目的で開発または使用されるAIシステムには適用されないものとします。

4.本規則は、第三国の公的機関、および第1項に基づき本規則の範囲に入る国際組織には適用されないものとし、これらの機関または組織が、EUまたは1つ以上の加盟国との法執行および司法協力に関する国際協定の枠組みでAIシステムを使用する場合に適用される。

5.本規則は、欧州議会及び理事会の指令2000/31/ECの第2章第4節60[デジタルサービス法の対応する規定に置き換えられる]に規定される仲介サービス提供者の責任に関する規定の適用に影響を与えないものとする。

第3条 定義

本規則の目的のために、以下の定義が適用される。

(1)「人工知能システム」(AIシステム)とは、付属書Iに記載された1つ以上の技術およびアプローチを用いて開発され、人間が定義した所定の目的に対して、コンテンツ、予測、推奨、または相互作用する環境に影響を与える決定などの出力を生成することができるソフトウェアをいう。

(提供者」とは、有償・無償を問わず、AIシステムを開発する、または自己の名称もしくは商標の下で市場に投入したりサービスを開始したりすることを目的としてAIシステムを開発させる自然人もしくは法人、公的機関、代理店、その他の団体をいいます。

(3) 「小規模事業者」とは、欧州委員会勧告2003/361/EC61の意味における零細企業または小企業である事業者をいう。

(4)「ユーザー」とは、AIシステムが個人的な非専門的活動の過程で使用される場合を除き、自然人または法人、公的機関、代理店またはその他の団体がその権限の下でAIシステムを使用することをいいます。

(5)「公認代理人」とは、欧州連合内に設立された自然人または法人であって、AIシステムの提供者から書面による委任を受け、本規則で定められた義務および手続きをそれぞれ代行して行う者をいいます。

(6) 「輸入者」とは、欧州連合外に設立された自然人または法人の名称または商標が付されたAIシステムを市場に出す、または使用する欧州連合内に設立された自然人または法人をいいます。

(7)「販売店」とは、提供者および輸入者以外のサプライチェーン上の自然人または法人で、AIシステムの特性に影響を与えることなくEU市場で利用できるようにする者をいいます。

(8)「事業者」とは、提供者、使用者、公認代理人、輸入者および販売業者をいう。

(9) 「市場に出す」とは、AIシステムを最初にEU市場で利用可能にすることを意味します。

(10) "市場で利用可能にする "とは、商業活動の過程で、対価を得ているか否かを問わず、組合市場での配布または使用のためにAIシステムを提供することを意味します。

(11)『使用開始』とは、最初に使用するためのAIシステムをユーザーに直接提供すること、または意図された目的のために組合市場で自ら使用することを意味します。

(12)「意図された目的」とは、AIシステムが提供者によって意図された用途を意味し、具体的な使用状況や条件を含み、提供者が使用説明書、宣伝・販売資料、声明、技術文書などで提供した情報に明記されています。

(13)「合理的に予見可能な誤使用」とは、AIシステムの意図された目的に従わず、合理的に予見可能な人間の行動または他のシステムとの相互作用から生じる可能性のある方法で、AIシステムを使用することをいいます。

(14)「製品またはシステムの安全部品」とは、製品またはシステムの安全機能を果たす、またはその故障や誤動作が人や財産の健康と安全を脅かす製品またはシステムの部品を意味します。

(15)「使用説明書」とは、ハイリスクAIシステムが使用されることを意図した特定の地理的、行動的または機能的な環境を含め、特にAIシステムの意図された目的および適切な使用方法をユーザーに知らせるために提供される情報を意味します。

(16)「AIシステムの回収」とは、利用者に提供されたAIシステムを提供者に返還することを目的とした措置をいいます。

(17)「AIシステムの撤退」とは、AIシステムの配布、展示、提供を防止するための措置をいいます。

(18)「AIシステムの性能」とは、意図された目的を達成するAIシステムの能力を意味します。

(19) 「通知機関」とは、適合性評価機関の評価、指定及び通知、並びにその監視のために必要な 手続きを設定し、実施する責任を負う国家機関をいう。

(20)「適合性評価」とは、AIシステムに関する本規則のタイトルIII、第2章に定められた要求事項が満たされているかどうかを検証するプロセスを意味します。

(21) 「適合性評価機関」とは、試験、認証及び検査を含む、第三者による適合性評価活動を行う機関をいう。

(22) 「通知機関」とは、本規則およびその他の関連するEU調和法に従って指定された適合性評価機関をいう。

(23) 「実質的な変更」とは、AIシステムの市場投入または稼働後の変更であって、本規則のタイトルIII、第2章に定められた要求事項へのAIシステムの適合性に影響を与えるもの、またはAIシステムが評価された意図された目的の変更をもたらすものをいいます。

(24)「CE適合マーキング」とは、提供者が、AIシステムが本規則のタイトルIII、第2章に定められた要求事項およびその貼付を規定した製品の販売条件を調和させるその他の適用可能なEU法(以下「EU調和法」)に適合していることを示すマーキングをいいます。

(25) 「市場後モニタリング」とは、AIシステムの提供者が、必要な是正措置または予防措置を直ちに講じる必要性を特定する目的で、市場に出した、またはサービスを開始したAIシステムの使用から得られた経験を積極的に収集し、検討するために行うすべての活動をいう。

(26)「市場監視当局」とは、規則(EU)2019/1020に従い、活動を実施し、措置を講じる国家機関をいう。

(27) 「整合規格」とは、Regulation (EU) No 1025/2012 の Article 2(1)(c) で定義された欧州規格をいう。

(28) 「共通仕様書」とは、標準規格以外の文書であって、本規則に基づいて設定された特定の要件および義務を遵守するための手段を提供する技術的ソリューションを含むものをいう。

(29) 「学習データ」とは、ニューラルネットワークの重みを含む、学習可能なパラメータを適合させて AI システムを学習するために使用されるデータをいう。

(30)「検証データ」とは、学習されたAIシステムの評価を行うため、またオーバーフィッティングを防ぐために、学習不可能なパラメータや学習プロセスを調整するために使用されるデータを意味します。ただし、検証データセットは、別個のデータセットであっても、学習データセットの一部であっても、固定または可変の分割であっても構いません。

(31) 「テストデータ」とは、学習され検証されたAIシステムを独立して評価するためのデータであり、市場に出す前、またはサービスを開始する前に、そのシステムの期待される性能を確認するためのものです。

(32) 「入力データ」とは、AIシステムが出力を行うために、AIシステムに提供されたデータまたはAIシステムが直接取得したデータを意味します。

(33) 「バイオメトリックデータ」とは、自然人の身体的、生理的または行動的特徴に関する特定の技術的処理の結果として得られる個人データであり、顔画像や乳房鏡データなど、自然人の固有の識別を可能にするまたは確認するものをいう。

(34)「感情認識システム」とは、自然人の生体データに基づいて自然人の感情や意図を識別または推測することを目的としたAIシステムをいう。

(バイオメトリック分類システム」とは、自然人をそのバイオメトリックデータに基づいて、性別、年齢、髪の色、目の色、入れ墨、民族的出身、性的・政治的指向などの特定のカテゴリーに割り当てることを目的としたAIシステムをいう。

(36) 「遠隔生体認証システム」とは、遠隔地にいる自然人を、その人の生体データと参照データベースに含まれる生体データとを比較することにより識別することを目的としたAIシステムであって、そのAIシステムの利用者が、その人が存在しているかどうか、識別できるかどうかを事前に知らないものをいう。

(37) 「リアルタイム」遠隔生体認証システムとは、生体情報の取得、比較、識別がすべて遅延なく行われる遠隔生体認証システムを意味します。即座に本人確認ができるだけでなく、迂回を避けるために限定された短時間の遅延も含まれます。

(38) 「ポスト」リモートバイオメトリクス認証システム 「リアルタイム」リモートバイオメトリクス認証システム以外のリモートバイオメトリクス 認証システムをいう。

(39) 「公的にアクセス可能な空間」とは、アクセスに一定の条件が適用されるか否かにかかわらず、公 にアクセス可能な物理的な場所を意味する。

(40) 「法執行機関」とは、以下を意味する。

(a)公共の安全に対する脅威の保護および防止を含む、刑事犯罪の防止、捜査、発見、起訴、または刑事罰の執行を行う権限を有する公的機関。

(b)公共の安全への脅威に対する保護と予防を含む、刑事犯罪の予防、捜査、検出、起訴、または刑事罰の執行の目的で、公権力を行使することを加盟国の法律によって委託されたその他の団体または組織。

(41) 「法の執行」とは、公共の安全に対する脅威の防止・予防を含む、刑事犯罪の防止・調査・検知・起訴または刑事罰の執行のために法執行機関が行う活動をいう。

(42)「国家監督機関」とは、加盟国が、この規則の実施および適用、当該加盟国に委託された活動の調整、欧州委員会との単一の窓口としての役割、および欧州人工知能委員会における加盟国の代表としての責任を割り当てる機関をいう。

(国の管轄当局」とは、国の監督当局、通知当局、市場監視当局をいう。

(重大事件」とは、直接的または間接的に以下のいずれかにつながる、つながったかもしれない、またはつながる可能性のある事件をいう。

(a)人の死亡、または人の健康、財産、環境への深刻な損害。

(b)重要インフラの管理・運営に重大かつ不可逆的な混乱が生じること。

第4条 付属書Iの改正

欧州委員会は、付属書Iに記載されている技術やアプローチのリストを、そこに記載されている技術やアプローチと類似した特徴を持つ市場や技術の発展に合わせて更新するために、第73条に基づいて委任法を採択する権限を有する。

タイトルII 人工知能の禁止行為

1.以下の人工知能行為は禁止する。

(a)人の意識を超えたサブリミナル技術を用いて、人の行動を物質的に歪め、その人や他人に身体的・心理的な危害を与える、または与える可能性のあるAIシステムを市場に出したり、サービスを提供したり、使用したりすること。

(b)年齢、身体的または精神的な障害による特定のグループの脆弱性を利用して、そのグループに属する人の行動を実質的に歪め、その人または他の人に身体的または精神的な損害を与える、または与える可能性のある方法で、AIシステムを市場に出したり、サービスを提供したり、使用したりすること。

(c)自然人の社会的行動、既知または予測される個人的または人格的特性に基づいて、一定期間における自然人の信頼性を評価または分類するために、公的機関またはその代理でAIシステムを市場に出し、使用し、その社会的スコアが以下のいずれかまたは両方につながること。

(i)データが最初に生成または収集された状況とは無関係な社会的状況において、特定の自然人またはそのグループ全体を不利益または不利に扱うこと。

(ii)特定の自然人またはそのグループ全体に対して、その社会的行動またはその重大性に対して不当または不釣り合いな不利益または不利な扱いをすること。

(d)以下の目的のために厳密に必要な場合を除き、法執行を目的とした公的にアクセス可能な空間での「リアルタイム」遠隔生体認証システムの使用。

(i)行方不明の子供を含む、特定の潜在的犯罪被害者を対象とした捜索。

(ii)自然人の生命や身体の安全に対する具体的、実質的かつ差し迫った脅威、またはテロ攻撃の防止。

(iii)理事会枠組決定2002/584/JHA 62の第2条(2)に言及され、当該加盟国において、当該加盟国の法律で定められた最長3年以上の拘禁刑または拘禁命令で処罰される犯罪の犯人または容疑者の検出、位置特定、身元確認、起訴のため。

2.第1項d)で言及された目的のいずれかのための法執行を目的とした公共アクセス可能な空間における「リアルタイム」遠隔生体認証システムの使用は、以下の要素を考慮しなければならない。

(a)可能な使用をもたらす状況の性質、特にシステムの使用がない場合に引き起こされる被害の深刻さ、可能性、規模。

(b)システムの使用が関係者の権利と自由に与える影響、特にその影響の重大性、可能性、規模。

さらに、第1項d)で言及された目的のいずれかのための法執行を目的とした公的にアクセス可能な空間における「リアルタイム」遠隔生体認証システムの使用は、特に時間的、地理的および個人的な制限に関して、使用に関する必要かつ適切な保護措置および条件を遵守しなければならない。

3.第1項(d)および第2項に関して、公共のアクセス可能な空間における「リアルタイム」遠隔生体認証システムの法執行を目的とした個々の使用は、使用が行われる加盟国の司法当局または独立した行政当局によって付与された事前認可の対象となり、理由のある要求に基づいて、第4項で言及された国内法の詳細な規則に従って発行されるものとする。ただし、正当に正当化された緊急事態においては、許諾を得ずにシステムの使用を開始することができ、使用中または使用後にのみ許諾を求めることができる。

管轄の司法当局または行政当局は、提示された客観的証拠または明確な示唆に基づき、問題となっている「リアルタイム」遠隔バイオメトリクス認証システムの使用が、要請で特定された第1項の(d)に規定された目的の1つを達成するために必要であり、かつそれに釣り合っていると納得した場合にのみ、認可を与えなければならない。要求を決定するにあたり、管轄の司法当局または行政当局は、第2項で言及された要素を考慮しなければならない。

4.加盟国は、第1項のポイント(d)、第2項および第3項に記載された制限および条件の下で、法執行を目的とした公的にアクセス可能な空間における「リアルタイム」遠隔生体認証システムの使用を全面的または部分的に許可する可能性を規定することを決定することができる。当該加盟国は、その国内法において、第3項で言及された権限の要求、発行、行使、およびそれに関する監督について、必要な詳細規則を定めるものとする。これらの規則は、第1項のポイント(d)に記載された目的のうち、ポイント(iii)に記載された刑事犯罪を含むどの目的に関して、管轄当局が法執行の目的でシステムを使用する権限を与えられるかについても規定しなければならない。

タイトルIII ハイリスクAIシステム

第1章 AIシステムのハイリスク分類

第6条 ハイリスクAIシステムの分類規則

1.AIシステムが(a)及び(b)で言及された製品から独立して市場に投入されるか、または使用されるかに関わらず、以下の条件の両方が満たされた場合、そのAIシステムはハイリスクとみなされます。

(a)AIシステムは、付属書IIに記載されている欧州連合の整合化法の対象となる製品の安全部品として使用されることが意図されているか、またはそれ自体が製品であること。

(b)AIシステムを安全部品とする製品、または製品としてのAIシステム自体が、付属書IIに記載されているEU調和法に基づき、製品の市場投入または使用開始を目的として、第三者による適合性評価を受ける必要があること。

2.第1項のハイリスクAIシステムに加えて、付属書IIIに記載されたAIシステムもハイリスクとみなされる。

第7条 付属書IIIの改正

1.欧州委員会は、以下の条件の両方が満たされている場合、ハイリスクのAIシステムを追加して附属書IIIのリストを更新するために、第73条に基づく委任法を採択する権限を有する。

(a)当該AIシステムは、付属書IIIのポイント1から8に記載されている分野のいずれかで使用されることが意図されている。

(b)当該AIシステムが、その重大性および発生確率において、附属書IIIで既に言及されているハイリスクAIシステムがもたらす危害または悪影響のリスクと同等またはそれ以上の、健康および安全への危害または基本的権利への悪影響のリスクをもたらすものであること。

2.第1項の目的で、AIシステムが、附属書IIIで既に言及されているハイリスクAIシステムがもたらす害のリスクと同等以上の健康・安全への害のリスクまたは基本的権利への悪影響のリスクをもたらすかどうかを評価する場合、欧州委員会は以下の基準を考慮しなければならない。

(a)AIシステムの意図された目的。

(b)AIシステムがどの程度使用されているか、または使用される可能性があるか。

(c)AIシステムの使用が、各国の所轄官庁に提出された報告書または文書化された申し立てによって証明されたように、すでに健康と安全に害を及ぼしたり、基本的権利に悪影響を及ぼしたり、またはそのような害や悪影響の具体化に関連して重大な懸念を生じさせている程度。

(d)特にその強度と複数の人に影響を与える能力の観点から見た、当該被害または悪影響の潜在的な範囲。

(e)潜在的に危害または悪影響を受けている人が、特に現実的または法的な理由により、その結果からオプトアウトすることが合理的に不可能であるために、AIシステムで生成される結果に依存している程度。

(f)潜在的に被害を受けたり悪影響を与えたりする人が、特に力の不均衡、知識、経済的・社会的状況、年齢などの理由により、AIシステムの利用者との関係で脆弱な立場にある程度。

(g)AIシステムで生成された結果が容易に元に戻せる程度。ただし、人の健康または安全に影響を与える結果は、容易に元に戻せるものとはみなされない。

(h)既存の組合法が以下を規定している程度。

(i)損害賠償請求を除く、AIシステムがもたらすリスクに関連した効果的な救済措置。

(ii)それらのリスクを防止し、または実質的に最小化するための効果的な措置。

第2章 ハイリスクのAiシステムに対する要求

第8条 要求事項の遵守

1.ハイリスクAIシステムは、本章に定める要求事項を遵守しなければならない。

2.ハイリスクAIシステムの意図する目的および第9条のリスクマネジメントシステムは、これらの要求事項への適合を確保する際に考慮されなければならない。

第9条 リスクマネジメントシステム

1.ハイリスクAIシステムに関しては、リスクマネジメントシステムを構築し、実施し、文書化し、維持しなければならない。

2.リスクマネジメントシステムは、ハイリスクAIシステムのライフサイクル全体を通して行われる継続的な反復プロセスで構成され、定期的な体系的更新を必要とするものとする。それは以下のステップで構成されるものとする。

(a)各ハイリスクAIシステムに関連する既知及び予見可能なリスクの特定及び分析。

(b)ハイリスクAIシステムがその意図された目的に従い、かつ、合理的に予見可能な誤使用の条件下で使用された場合に生じる可能性のあるリスクの推定および評価。

(c)第61条で言及された市販後モニタリングシステムから収集されたデータの分析に基づく、その他の発生しうるリスクの評価。

(d)次項の規定に従い、適切なリスク管理措置を採用すること。

3.2項の(d)で言及されているリスク管理措置は、この第2章で規定されている要求事項を組み合わせて適用することで生じる効果および起こりうる相互作用を十分に考慮しなければならない。また、関連する整合規格又は共通仕様に反映されているものを含め、一般的に認められている技術の状況を考慮しなければならない。

4.第2項(d)で言及されたリスクマネジメント対策は、ハイリスクAIシステムがその意図された目的に沿って、または合理的に予見可能な誤用の条件下で使用されることを前提に、各ハザードに関連する残留リスクおよびハイリスクAIシステムの全体的な残留リスクが許容可能であると判断されるものでなければなりません。それらの残留リスクは、ユーザーに伝達されなければならない。

最も適切なリスク管理手段を特定する際には、以下の点を確保しなければならない。

(a)適切な設計・開発により、可能な限りリスクを排除・低減すること。

(b)適切な場合には、排除できないリスクに関連して、適切な緩和および管理手段の実施。

(c)特に本条第2項(b)で言及されたリスクに関して、第13条に従って適切な情報を提供すること、および必要に応じてユーザーにトレーニングを行うこと。

ハイリスクAIシステムの使用に関するリスクを排除または低減する際には、使用者が期待する技術的知識、経験、教育、訓練、およびシステムの使用が意図されている環境を十分に考慮しなければならない。

5.ハイリスクのAIシステムは、最も適切なリスク管理手段を特定する目的でテストを行うものとする。テストは、ハイリスクのAIシステムが、意図された目的のために一貫して動作し、本章に定められた要求事項に準拠していることを確認するものとする。

6.テスト手順は、AIシステムの意図された目的を達成するのに適したものでなければならず、その目的を達成するために必要な範囲を超える必要はありません。

7.ハイリスクのAIシステムのテストは、必要に応じて、開発過程のどの時点であっても、また、いかなる場合であっても、市場への投入またはサービス開始の前に実施するものとする。テストは、ハイリスクAIシステムの意図する目的に適した、事前に定義された測定基準及び確率的な閾値に対して行われるものとする。

8.第1項から第7項に記載されたリスク管理システムを実施する際には、ハイリスクAIシステムが児童によってアクセスされる可能性があるかどうか、または児童に影響を与える可能性があるかどうかを特に考慮するものとする。

9.指令2013/36/EUにより規制される信用機関については、第1項から第8項までに記載される側面は、当該指令の第74条に従って当該機関が確立するリスク管理手続の一部とする。

第10条 データおよびデータガバナンス

1.データによるモデルの学習を含む技術を利用するハイリスクのAIシステムは、第2項から第5項までに言及される品質基準を満たす学習、検証およびテスト用データセットに基づいて開発されるものとする。

2.トレーニング、バリデーション及びテスト用データセットは、適切なデータガバナンス及び管理を行うものとする。これらの慣行は、特に以下の点を考慮するものとする。

(a)関連する設計の選択。

(b)データ収集。

(c)アノテーション、ラベリング、クリーニング、エンリッチメント、アグリゲーションなど、関連するデータ準備処理作業。

(d)特にデータが測定および表現することになっている情報に関する、関連する仮定の策定。

(e)必要とされるデータセットの利用可能性、量、適合性の事前評価。

(f)偏りの可能性を考慮した検討。

(g)データギャップや欠陥の可能性の特定、およびそれらのギャップや欠陥にどのように対処するか。

3.トレーニング、バリデーション及びテスト用のデータセットは、関連性があり、代表性があり、 エラーがなく、完全なものでなければならない。これらのデータセットは、適切な統計的特性を有していなければならない。これには、ハイリスクAIシステムの使用が意図されている人または人のグループに関して、該当する場合が含まれる。データセットのこれらの特性は、個々のデータセットのレベルで満たされるか、またはそれらの組み合わせで満たされる。

4.トレーニング、検証およびテスト用データセットは、意図された目的に必要な範囲で、ハイリスクAIシステムの使用が意図されている特定の地理的、行動的または機能的環境に特有の特性または要素を考慮しなければならない。

  1. ハイリスクAIシステムに関連して偏りの監視、検出および修正を確実に行う目的で厳密に必要な範囲で、当該システムの提供者は、規則(EU)2016/679の第9条(1)、指令(EU)2016/680の第10条、および規則(EU)2018/1725の第10条(1)に言及する特別なカテゴリーの個人データを処理することができます。自然人の基本的権利および自由のための適切な保護措置(再利用の技術的制限、および偽名化、または匿名化が追求する目的に著しく影響を与える可能性がある場合の暗号化など、最先端のセキュリティおよびプライバシー保護措置の使用を含む)を条件とする。

6.ハイリスクAIシステムがパラグラフ2に準拠していることを保証するために、モデルのトレーニングを含む技術を利用したもの以外のハイリスクAIシステムの開発には、適切なデータガバナンスおよび管理手法を適用するものとする。

第11条 技術文書

ハイリスクAIシステムの技術文書は、そのシステムが市場に出される前、またはサービスが開始される前に作成され、常に最新の状態に保たれなければならない。

技術文書は、ハイリスクAIシステムが本章に定める要求事項に適合していることを証明し、AIシステムがこれらの要求事項に適合しているかどうかを評価するために必要なすべての情報を、各国の主務官庁および通知機関に提供するように作成されなければなりません。この文書には、最低限、付属書 IV に記載された要素が含まれていなければなりません。

2.附属書IIのセクションAに記載された法律が適用される製品に関連するハイリスクAIシステムが市場に出されるか、または使用される場合、附属書IVに記載されたすべての情報およびこれらの法律で要求される情報を含む単一の技術文書が作成されなければならない。

3.欧州委員会は、技術的進歩に照らして、技術文書がシステムの本章に定める要求事項への適合性を評価するために必要なすべての情報を提供することを保証するために、必要に応じて附属書IVを修正するために、第73条に従って委任法を採択する権限を有する。

第12条 記録保持

1.ハイリスクAIシステムは、ハイリスクAIシステムの動作中にイベントの自動記録(「ログ」)を可能にする機能を備えて設計・開発されなければならない。それらの記録機能は、承認された規格または共通仕様に準拠するものとする。

2.ログ機能は、システムの意図された目的に適した、ライフサイクルを通じたAIシステムの機能のトレーサビリティーを確保すること。

3.特に、ロギング機能は、AIシステムが第65条(1)の意味でのリスクをもたらす可能性のある状況の発生に関して、ハイリスクのAIシステムの動作を監視することを可能にし、第61条で言及されている市販後の監視を容易にするものとする。

4.付属書IIIの第1項(a)に記載されたハイリスクのAIシステムについては、ログ機能は少なくとも以下を提供しなければならない。

(a)システムの各使用期間の記録(各使用の開始日時、終了日時)。

(b)入力データがシステムによってチェックされた基準データベース。

(c)検索の結果、一致した入力データ。

(d)第14条(5)で言及されている、結果の検証に関わった自然人の識別情報。

第13条 透明性およびユーザーへの情報提供

1.ハイリスクのAIシステムは、ユーザーがシステムの出力を解釈し、適切に使用することができるように、その動作が十分に透明であることを保証するような方法で設計および開発されなければならない。適切な種類と程度の透明性は、本タイトルの第3章に記載されたユーザと提供者の関連する義務の遵守を達成することを目的として確保されなければならない。

2.ハイリスクのAIシステムには、適切なデジタル形式等の使用説明書を添付しなければならず、それには、ユーザーにとって関連性があり、アクセス可能で、理解可能な、簡潔で、完全で、正しく、明確な情報が含まれていなければならない。

3.第2項で言及される情報は、以下を明記するものとする。

(a)提供者の身元と連絡先、および必要に応じてその公認代理人の連絡先。

(b)ハイリスクAIシステムの特性、能力、及び性能の限界を含む。

(i)その意図された目的。

(ii)ハイリスクAIシステムがテスト及び検証され、期待される第15条で言及される精度、堅牢性及びサイバーセキュリティのレベル、並びに期待される精度、堅牢性及びサイバーセキュリティのレベルに影響を及ぼす可能性のある既知及び予見可能な状況。

(iii)意図された目的に沿った、または合理的に予見可能な誤用の条件下でのハイリスクAIシステムの使用に関連する、健康と安全または基本的権利へのリスクにつながる可能性のある、既知または予見可能な状況。

(iv)システムが使用されることが意図されている人または人のグループに関するその性能

(v)適切な場合には、入力データの仕様、またはAIシステムの意図された目的を考慮して使用されるトレーニング、検証およびテストデータセットに関するその他の関連情報。

(c)最初の適合性評価の時点で提供者が事前に決定した、ハイリスクAIシステム及びその性能に対する変更(もしあれば)。

(d)利用者によるAIシステムの出力の解釈を容易にするために実施された技術的手段を含む、第14条で言及された人的監視手段。

(e)ハイリスクのAIシステムの予想される寿命と、ソフトウェアの更新を含め、AIシステムの適切な機能を確保するために必要なメンテナンスおよびケアの手段。

第14条 人間による監視

1.ハイリスクAIシステムは、AIシステムが使用されている期間中、自然人による効果的な監督が可能なように、適切なヒューマン・マシン・インターフェース・ツールを含む方法で設計・開発されなければならない。

2.人間による監視は、ハイリスクのAIシステムが意図された目的に従って使用された場合、または合理的に予見可能な誤使用の条件下で使用された場合に生じる健康、安全または基本的権利に対するリスクを防止または最小化することを目的とする。

3.人間による監視は、以下の手段のいずれかまたはすべてを通じて確保されなければならない。

(a)ハイリスクAIシステムが市場に投入される前、またはサービスが開始される前に、提供者によって特定され、技術的に実行可能な場合は、ハイリスクAIシステムに組み込まれること。

(b)ハイリスクAIシステムを市場に出したり、サービスを開始する前に提供者が特定し、ユーザが実施することが適切であるもの。

4.第3項で言及された措置は、状況に応じて、人的監督が割り当てられた個人が以下を行うことを可能にするものとする。

(a)ハイリスクのAIシステムの能力と限界を十分に理解し、その動作を適切に監視することができ、異常、機能不全、予期せぬパフォーマンスの兆候を検出し、可能な限り早急に対処することができること。

(b)特に、自然人が行うべき意思決定のための情報や提案を提供するために使用されるハイリスクAIシステムについては、ハイリスクAIシステムが生成する出力に自動的に依存したり、過度に依存したりする傾向(「自動化バイアス」)の可能性を認識すること。

(c)ハイリスクAIシステムの出力を、特にシステムの特性と利用可能な解釈ツールおよび方法を考慮して、正しく解釈することができること。

(d)いかなる特定の状況においても、ハイリスクAIシステムを使用しないこと、またはハイリスクAIシステムの出力を無視、無効、または逆にすることを決定することができること。

(e)ハイリスクAIシステムの動作に介入したり、「停止」ボタンなどでシステムを中断することができること。

5.附属書IIIのポイント1(a)で言及されたハイリスクAIシステムについては、第3項で言及された措置は、さらに、少なくとも2人の自然人によって検証および確認されない限り、システムから得られた識別情報に基づいてユーザが行動または決定を行わないことを保証するようなものでなければならない。

第15条 精度、堅牢性およびサイバーセキュリティ

1.ハイリスクのAIシステムは、その意図された目的に照らして、適切なレベルの精度、堅牢性およびサイバーセキュリティを達成し、そのライフサイクルを通じてこれらの点で一貫した性能を発揮するような方法で設計および開発されなければならない。

2.ハイリスクAIシステムの精度レベルおよび関連する精度指標は、付属の使用説明書で宣言されなければならない。

3.ハイリスクAIシステムは、特に自然人または他のシステムとの相互作用により、システムまたはシステムが動作する環境内で発生する可能性のあるエラー、欠陥または不整合に関して、回復力があること。

ハイリスクAIシステムの堅牢性は、バックアップまたはフェイルセーフ計画を含む技術的な冗長性ソリューションによって達成することができます。

4.ハイリスクAIシステムは、市場に投入された後、またはサービスが開始された後に学習を継続する場合、将来の操作の入力として使用される出力による偏った出力(「フィードバック・ループ」)が適切な緩和手段によって適切に対処されるように開発されなければならない。

4.ハイリスクのAIシステムは、無権限の第三者がシステムの脆弱性を利用してその使用や性能を変更しようとする試みに関して、弾力性があるものでなければならない。

ハイリスクAIシステムのサイバーセキュリティを確保するための技術的ソリューションは、関連する状況とリスクに応じて適切なものでなければならない。

AI特有の脆弱性に対処するための技術的解決策には、必要に応じて、学習データセットを操作しようとする攻撃(「データポイズニング」)、モデルに誤りを生じさせるように設計された入力(「敵対的事例」)、またはモデルの欠陥を防止し制御するための手段を含まなければならない。

第3章 ハイリスクAIシステムの提供者および使用者、ならびにその他の当事者の義務

第16条 ハイリスクAIシステムの提供者の義務

ハイリスクAIシステムの提供者は、以下を行うものとする。

(a)ハイリスクAIシステムが、本タイトルの第2章に定める要求事項に適合していることを保証する。

(b)第17条に準拠した品質管理システムを導入すること。

(c) ハイリスクAIシステムの技術文書を作成すること。

(d)自己の管理下にある場合、ハイリスクAIシステムが自動的に生成したログを保管すること。

(e)ハイリスクAIシステムが、市場に出回る前、またはサービスを開始する前に、関連する適合性評価手続きを受けることを保証すること。

(f) 第51条で言及された登録義務を遵守すること。

(g) ハイリスクAIシステムが本タイトルの第2章に定められた要求事項に適合していない場合、必要な是正措置をとること。

(h)AIシステムを入手可能にした、または使用を開始した加盟国の国家主管庁、および該当する場合には通知機関に、不適合および講じた是正措置を通知すること。

(i)第49条に従い、本規則への適合を示すために、ハイリスクAIシステムにCEマーキングを貼付すること。

(j)国家主管庁の要求に応じて、ハイリスクAIシステムが本タイトルの第2章に定められた要求事項に適合していることを証明すること。

第17条 品質管理システム

ハイリスクAIシステムの提供者は、本規則への適合を確保するために、品質管理システムを導入しなければならない。当該システムは、書面による方針、手順及び指示の形で、体系的かつ整然とした方法で文書化され、少なくとも以下の側面を含むものとする。

(a)適合性評価手順の遵守及びハイリスクAIシステムの変更管理のための手順を含む、規制遵守のための戦略。

(b)ハイリスク人工知能システムの設計、設計管理及び設計検証に使用する技術、手順及び体系的な行動。

(c)ハイリスク人工知能システムの開発、品質管理および品質保証に用いる技術、手順および体系的行動

(d)ハイリスク人工知能システムの開発前、開発中、開発後に実施される審査、試験、検証の手順、およびそれらの実施頻度

(e)適用される規格を含む技術仕様、及び関連する整合規格が完全に適用されない場合には、ハイリスクAIシステムが本タイトルの第2章に定められた要求事項に適合することを保証するために使用される手段。

(f)データ収集、データ分析、データラベリング、データ保管、データろ過、データマイニング、データ集計、データ保持、およびハイリスクAIシステムの市場投入または使用開始の前に、またその目的のために実行されるデータに関するその他の操作を含む、データ管理のためのシステムおよび手順。

(g)第9条で言及されたリスク管理システム。

(h)第61条に従った市販後の監視システムの構築、実施および維持

(i)第62条に基づく重大な事故および故障の報告に関する手続き。

(j)国の主務官庁、データへのアクセスを提供または支援する部門別を含む主務官庁、通知機関、他の事業者、顧客またはその他の利害関係者とのコミュニケーションの取り扱い。

(k)すべての関連文書および情報の記録保持のためのシステムおよび手順。

(l)供給の安全性に関連する措置を含む資源管理

(m)本項に記載されたすべての側面に関して、経営者及びその他のスタッフの責任を定めた説明責任の枠組み。

2.第1項で言及された側面の実施は、プロバイダの組織の規模に比例するものとする。

3.指令2013/36/EUによって規制されている信用機関であるプロバイダーについては、品質管理システムを導入する義務は、当該指令の第74条に準拠した内部ガバナンスの取り決め、プロセス及びメカニズムに関する規則を遵守することによって満たされるとみなされるものとする。その際、本規則の第 40 条で言及されるあらゆる整合規格が考慮されるものとする。

第18条 技術文書を作成する義務

1.ハイリスクAIシステムの提供者は、付属書IVに従い、第11条で言及された技術文書を作成しなければならない。

2.指令2013/36/EUにより規制される信用機関である提供者は、当該指令の第74条に従い、内部ガバナンス、取り決め、プロセス及びメカニズムに関する文書の一部として、技術文書を維持するものとする。

第19条 適合性評価

1.ハイリスクのAIシステムの提供者は、そのシステムが市場に出回る前、又はサービスを開始する前に、第43条に従って関連する適合性評価手続きを受けることを保証しなければならない。適合性評価の結果、AIシステムが本タイトルの第2章に定められた要求事項に適合していることが証明された場合、提供者は、第48条に従って適合のEU宣言を作成し、第49条に従って適合のCEマーキングを貼付しなければなりません。

2.付属書 III のポイント 5(b)に言及されるハイリスク AI システムであって、指令 2013/36/EU によって規制される信用機関である提供者が市場に出す、またはサービスを開始するものについては、適合性評価は、当該指令の第 97 条から第 101 条に言及される手順の一部として実施されるものとする。

第20条 自動的に生成されるログ

1.ハイリスクAIシステムの提供者は、ユーザとの契約上の取り決め又は法律により当該ログが管理されている範囲内で、ハイリスクAIシステムにより自動的に生成されたログを保管するものとする。ログは、ハイリスクAIシステムの意図された目的およびEU法または国内法に基づく適用される法的義務に照らして適切な期間保管するものとする。

2.指令2013/36/EUにより規制される信用機関であるプロバイダーは、当該指令の第74条に基づく文書の一部として、そのハイリスクAIシステムにより自動的に生成されるログを保管するものとする。

第21条 是正措置(Corrective Action)

ハイリスクAIシステムの提供者は、自らが市場に投入した、又はサービスを開始したハイリスクAIシステムが本規則に適合していないと考える、又は考える理由がある場合には、当該システムを適合させるために必要な是正措置を直ちに講じ、必要に応じて当該システムを撤回し、又はリコールしなければならない。また、当該ハイリスクAIシステムの販売業者、必要に応じて認定代理店および輸入業者に適宜通知するものとします。

第22条 情報提供の義務

ハイリスクAIシステムが第65条(1)の意味におけるリスクを呈し、そのリスクがシステムの提供者に知られている場合、その提供者は、システムを利用できるようにした加盟国の国家主管庁、及び該当する場合には、ハイリスクAIシステムの証明書を発行した通知機関に、特に不適合及び講じた是正措置を直ちに通知しなければならない。

第23条 管轄当局との協力

ハイリスクAIシステムの提供者は、国内の所轄官庁の要求に応じて、ハイリスクAIシステムが本タイトルの第2章に定められた要求事項に適合していることを証明するために必要なすべての情報および文書を、当該加盟国が定める公用語で所轄官庁に提供しなければなりません。プロバイダは、国の管轄当局から理由のある要求があった場合、ユーザとの契約上の取り決めや法律によって管理されている範囲内で、ハイリスクAIシステムが自動的に生成したログへのアクセスを当該当局に提供しなければならない。

第24条 製品メーカーの義務

付属書IIのセクションAに記載された法律行為が適用される製品に関連するハイリスクAIシステムが、これらの法律行為に従って製造された製品とともに、製品製造者の名義で市場に出され、または使用される場合、製品製造者は、AIシステムが本規則を遵守する責任を負い、AIシステムに関する限り、本規則が提供者に課す義務と同じ義務を負うものとします。

第25条 認可された代理人

1.輸入者が特定できない場合、欧州連合外に設立されたプロバイダーは、書面による委任により、欧州連合内に設立された公認の代理店を任命しなければならない。

2.公認代理人は、提供者から受け取った委任状に記載された業務を遂行しなければならない。委任状は、権限のある代理人に以下の業務を遂行する権限を与えるものとする。

(a)EU適合宣言書及び技術文書のコピーを、第63条(7)で言及された国家主管庁及び国家当局が自由に使えるようにしておく。

(b)理由のある要求があった場合に、国家主務官庁に対して、ハイリスクAIシステムが本タイトルの第2章に定める要件に適合していることを証明するために必要なすべての情報及び文書を提供すること。これには、ハイリスクAIシステムが自動的に生成したログが、ユーザとの契約上の取り決めにより、またはその他の法律により提供者の管理下にある場合には、当該ログへのアクセスも含まれる。

(c)正当な理由のある要求があれば、管轄の国家機関がハイリスクAIシステムに関連して取るあらゆる行動に協力すること。

第26条 輸入者の義務

1.ハイリスクAIシステムの輸入者は、当該システムを市場に出す前に、以下のことを確認しなければならない。

(a)当該AIシステムの提供者が適切な適合性評価手続きを実施していること。

(b)提供者が附属書IVに従って技術文書を作成していること。

(c)システムに要求される適合マークが表示され、要求される文書及び使用説明書が添付されていること。

2.輸入者が、ハイリスクAIシステムが本規則に適合していないと考える、または考える理由がある場合、そのAIシステムが適合するようになるまで、そのシステムを市場に出してはならない。ハイリスクAIシステムが第65条(1)の意味でのリスクをもたらす場合、輸入者は、その旨をAIシステムの提供者および市場監視当局に通知しなければなりません。

3.輸入者は、ハイリスクAIシステムに、またはそれが不可能な場合には、その包装や添付書類に、自らの氏名、登録商標または登録マーク、および連絡先の住所を表示しなければならない。

4.輸入者は、ハイリスクAIシステムがその責任下にある間、必要に応じて、保管または輸送の条件が本タイトルの第2章に定める要求事項への適合を危うくしないことを保証するものとします。

5.輸入者は、国の管轄当局に対し、合理的な要求があれば、ハイリスクAIシステムが本タイトルの第2章に定める要求事項に適合していることを証明するために必要なすべての情報および文書を、国の管轄当局が容易に理解できる言語で提供しなければならない。また、プロバイダは、当該システムに関連して国の所轄官庁が行うあらゆる措置について、当該官庁に協力しなければならない。

第27条 ディストリビューターの義務

1.販売店は、ハイリスクAIシステムを市販する前に、ハイリスクAIシステムに必要なCE適合マークが表示されていること、必要な文書および使用説明書が添付されていること、システムの提供者および輸入者(該当する場合)が本規則に定められた義務を遵守していることを確認しなければなりません。

2.販売店は、ハイリスクAIシステムが本タイトルの第2章に定められた要求事項に適合していないと考える場合、またはそう考える理由がある場合には、そのシステムがこれらの要求事項に適合するようになるまで、ハイリスクAIシステムを市場に出してはなりません。さらに、システムが第65条(1)の意味でのリスクをもたらす場合、販売店は、システムの提供者または輸入者にその旨を通知しなければなりません。

3.販売店は、ハイリスクのAIシステムが販売店の責任下にある間、必要に応じて、保管又は輸送の条件がシステムの本タイトルの第2章に定める要求事項への適合を危うくしないことを保証するものとします。

4.市販したハイリスクAIシステムが本タイトルの第2章に定める要求事項に適合していないと考える、又は考える理由のある販売業者は、当該システムを要求事項に適合させるために必要な是正措置を取り、それを撤回又はリコールするか、又は必要に応じて提供者、輸入者又は関連事業者がこれらの是正措置を取ることを保証しなければなりません。ハイリスクAIシステムが第65条(1)の意味でのリスクをもたらす場合、販売者は、製品を提供している加盟国の国家主管庁にその旨を直ちに通知し、特に、不適合の詳細および講じた是正措置を伝えなければならない。

5.ハイリスクAIシステムの販売会社は、国家主管庁から合理的な要求があった場合、ハイリスクシステムが本タイトルの第2章に記載された要求に適合していることを証明するために必要なすべての情報および文書を、当該機関に提供するものとします。また、ディストリビュータは、当該国の主務官庁が取る措置について、当該官庁に協力しなければなりません。

第28条 ディストリビューター、輸入業者、ユーザーまたはその他の第三者の義務

1.流通業者、輸入業者、ユーザーまたはその他の第三者は、以下のいずれかの状況において、本規則の目的上、提供者とみなされ、第16条に基づく提供者の義務に従うものとします。

(a)自己の名前または商標でハイリスクAIシステムを市場に出し、またはサービスを開始する。

(b)既に市場に出回っているハイリスクAIシステムの使用目的を変更した場合。

(c)ハイリスクAIシステムに実質的な変更を加えた場合。

2.第1項の(b)または(c)の状況が発生した場合、最初にハイリスクAIシステムを市場に出した、またはサービスを開始した提供者は、本規則の目的上、もはや提供者とはみなされないものとする。

第29条 ハイリスクAIシステムのユーザーの義務

1.ハイリスクAIシステムの使用者は、第2項および第5項に従い、システムに付随する使用説明書に従って当該システムを使用しなければならない。

2.第1項の義務は、組合法または国内法に基づく他のユーザーの義務、および提供者が示す人的監視措置を実施する目的で自らの資源および活動を組織するユーザーの裁量を害するものではない。

3.第1項を損なうことなく、ユーザが入力データの管理を行う範囲において、当該ユーザは、入力データがハイリスクAIシステムの意図された目的に照らして適切であることを保証するものとする。

4.使用者は、使用説明書に基づいて、ハイリスクAIシステムの動作を監視するものとする。使用説明書に従った使用により、AIシステムが第65条第1項に規定されるリスクをもたらす可能性があると考える理由がある場合には、その旨を提供者または販売者に通知し、システムの使用を停止しなければならない。また、重大な事故や第62条にいう故障を発見した場合には、その旨を提供者または販売者に連絡し、AIシステムの使用を中断しなければなりません。ユーザーが提供者と連絡が取れない場合には、第62条を準用する。

指令2013/36/EUにより規制されている信用機関であるユーザーについては、第1サブパラグラフに定める監視義務は、当該指令の第74条に基づく内部ガバナンスの取り決め、プロセス及びメカニズムに関する規則を遵守することにより履行されるものとする。

5.ハイリスクAIシステムのユーザは、当該ログが自己の管理下にある範囲で、当該ハイリスクAIシステムが自動的に生成したログを保管するものとする。ログは、ハイリスクAIシステムの意図された目的および組合法または国内法に基づく適用される法的義務に照らして適切な期間保管するものとする。

指令2013/36/EUにより規制される信用機関であるユーザは、当該指令の第74条に従い、内部ガバナンスの取り決め、プロセス及びメカニズムに関する文書の一部として、ログを保管するものとする。

6.ハイリスクのAIシステムのユーザーは、第13条に基づき提供される情報を利用して、該当する場合には、規則(EU)2016/679の第35条又は指令(EU)2016/680の第27条に基づくデータ保護影響評価を実施する義務を遵守するものとする。

第4章 通知当局及び通知機関

第30条 通知する当局

1.各加盟国は、適合性評価機関の評価、指定、通知のための必要な手続きの設定と実施、およびその監視に責任を持つ通知機関を指定または設立する。

2.加盟国は、Regulation (EC) No 765/2008 で言及されている国家認定機関を通知機関として指定することができる。

3.通知機関は、適合性評価機関との間に利害関係が生じないように、また、その活動の客観性および公平性が保護されるように、設立、組織、運営されなければならない。

4.届出機関は,適合性評価機関の届出に関連する決定が,それらの機関の評価を実施した者とは異なる 権限のある者によって行われるような方法で組織されなければならない。

5.届出機関は,適合性評価機関が行う活動又はコンサルティング・サービスを商業的又は競争的に提供してはならない。

6.通知機関は、取得した情報の機密性を保護しなければならない。

7.届出機関は、その任務を適切に遂行するために、十分な数の有能な職員を配置しなければならない。

8.通知機関は、適合性評価が、提供者に不必要な負担をかけないように、また、企業の規模、事業を行う部門、その構造および問題となるAIシステムの複雑さの度合いを十分に考慮して、通知機関がその活動を行うようにしなければならない。

第31条 適合性評価機関の届出申請

適合性評価機関は、自らが設立された加盟国の通知機関に通知申請書を提出しなければならない。

2.届出申請書には、適合性評価機関が能力を有すると主張する適合性評価活動、適合性評価モジュール及び人工知能技術の説明、並びに適合性評価機関が第33条に定める要件を満たしていることを証明する国家認定機関が発行する認定証明書(存在する場合)を添付しなければならない。他の連合調和法に基づく申請通知機関の既存の指定に関連する有効な文書は,追加されなければならない。

当該適合性評価機関が認定証明書を提供できない場合,その適合性評価機関は,第 33 条に定められた要件への適合性の検証,承認及び定期的な監視に必要な証拠書類を通知機関に提供しなければならない。他の連合調和法に基づいて指定されている通知機関については,それらの指定に関連するすべての 文書及び証明書は,必要に応じて,この規則に基づく指定手続きを支援するために使用することができる。

32条 通知手順

1.通知当局は,第 33 条に定める要件を満足した適合性評価機関だけを通知することができる。

2.通知機関は、欧州委員会が開発・管理する電子通知ツールを用いて、欧州委員会および他の加盟国に通知する。

3.通知には、適合性評価活動、適合性評価モジュール、モジュール、及び当該人工知能技術の全詳細を含まなければならない。

4.当該適合性評価機関は、通知から1ヶ月以内に欧州委員会または他の加盟国から異議が申し立てられなかった場合に限り、通知機関の活動を行うことができる。

5.通知機関は、通知に対するその後の関連する変更を、欧州委員会および他の加盟国に通知する。

第33条 通知機関

1.届出機関は、第43条で言及された適合性評価手順に従い、ハイリスクAIシステムの適合性を検証する。

2.届出機関は、その業務を遂行するために必要な組織的要件、品質管理要件、資源要件、プロセス要件を満たさなければならない。

3.通知機関の組織構造、責任の割り当て、報告系統及び運営は、通知機関が行う適合性評価活動の実施及びその結果に対する信頼性を確保するようなものでなければならない。

4.通知機関は、適合性評価活動を行うハイリスクAIシステムの提供者から独立していなければならない。また、ノーティファイドボディは、評価対象となるハイリスクAIシステムに経済的利益を有する他の事業者、および事業者の競合他社からも独立していなければならない。

5.通知機関は、その活動の独立性、客観性及び公平性を保護するように組織化され、運営されなければならない。ノーティファイドボディは、公平性を保護するための構造及び手順を文書化して実施し、 組織、要員及び評価活動全体を通して公平性の原則を推進し適用しなければならない。

6.通知機関は,その職員,委員会,子会社,下請業者,あらゆる関連団体又は外部機関の職員 が,法律によって開示が要求される場合を除き,適合性評価活動の実施中に所有するようになった 情報の機密性を尊重することを保証する文書化された手順を実施しなければならない。通知機関の職員は、その活動が行われている加盟国の通知機関との関係を除き、この規則に基づく任務の遂行中に得たすべての情報について職業上の秘密を守る義務を負う。

7.通知機関は、企業の規模、事業部門、その構造、問題となるAIシステムの複雑さの程度を十分に考慮した活動を行うための手順を持たなければならない。

8.認定機関は、国内法に従って当該加盟国が責任を負うか、または当該加盟国が適合性評 価に直接責任を負う場合を除き、適合性評価活動のために適切な責任保険に加入しなければ ならない。

9.通知機関は、この規則の下で通知機関に課せられたすべての業務を、それらの業務が通知機関自身によって行われるか、または通知機関に代わってその責任の下で行われるかにかかわらず、最高度の職業的誠実さ及び特定の分野における必要な能力をもって遂行することができなければならない。

10.ノーティファイドボディは、外部の当事者が自らのために行うタスクを効果的に評価できるよう、十分な内部能力を有していなければならない。そのために、常に、各適合性評価手順及び指定されたハイリスクAIシステムの種類ごとに、通知機関は、関連する人工知能技術、データ及びデータ・コンピューティングに関する経験及び知識、並びに本タイトルの第2章に定められた要求事項を有する十分な管理、技術及び科学的要員を永続的に利用できるようにしなければならない。

  1. 通知機関は、第 38 条で言及されている調整活動に参加しなければならない。また、欧州の標準化組織に直接参加したり、代表者として参加したり、関連する規格を確実に把握し、最新の情報を提供しなければならない。

12.届出機関は、第30条で言及された届出機関が評価、指定、通知、監視及びサーベイランス活動を行うことができるように、また本章で概説された評価を容易にするために、プロバイダの文書を含むすべての関連文書を利用可能にし、要求に応じて提出しなければならない。

第34条 通知機関の子会社および通知機関による下請け業務

通知機関が適合性評価に関連する特定の業務を外注する場合又は子会社を利用する場合、通知機関は、外注先又は子会社が第33条に定める要件を満たしていることを確認し、それに応じて通知機関に通知しなければならない。

通知機関は,下請業者又は子会社が設立された場合には,それらの者が行う業務に対して全責任を負わなければならない。

3.事業者の同意がある場合に限り,業務を外注し,又は子会社に行わせることができる。

4.届出機関は,この規則に基づいて行われる下請業者又は子会社の資格の評価及び業務に関する関連文書を,届出機関の手元に置いておかなければならない。

第35条 この規則に基づいて指定された通知機関の識別番号およびリスト

1.欧州委員会は、通知機関に識別番号を割り当てる。一つの機関が複数のEU法に基づいて通知されている場合でも、単一の番号を割り当てるものとする。

2.欧州委員会は、この規則に基づいて通知された機関のリストを公開しなければならない。これには、その機関に割り当てられた識別番号と、その機関が通知された活動が含まれる。欧州委員会は、このリストが最新の状態に保たれるようにしなければならない。

第36条 通知の変更

1.通知機関が第33条に定められた要件をもはや満たしていない、または義務を履行していないとの疑いを持った場合、または通知を受けた場合、通知機関は遅滞なく、最大限の注意を払って問題を調査しなければならない。その際、通知機関は、提起された異議を当該通知機関に通知し、その意見を公表する可能性を与えなければならない。通知機関の調査が第33条に定められた要件をもはや満たしていない、または義務の履行を怠っているという結論に達した場合、通知機関は、その失敗の重大性に応じて、適切に通知を制限、停止または撤回しなければならない。また、それに応じて直ちに欧州委員会および他の加盟国に通知しなければならない。

2.通知の制限、停止または撤回の場合、または通知機関がその活動を停止した場合、通知機関は、当該通知機関のファイルが他の通知機関に引き継がれるか、または責任ある通知機関の要求に応じて利用できるようにするための適切な措置を講じなければならない。

第37条 通知機関の能力への挑戦

1.欧州委員会は、必要に応じて、通知機関が第33条に定められた要求事項を遵守しているかどうか疑う理由がある場合には、すべてのケースを調査しなければならない。

2.通知機関は、要求に応じて、当該通知機関の通知に関連するすべての関連情報を欧州委員会に提供しなければならない。

3.欧州委員会は、本条に基づく調査の過程で得られたすべての機密情報が機密に取り扱われることを保証する。

4.欧州委員会は、通知機関が第33条に定められた要件を満たしていない、またはもはや満たしていないことを確認した場合、通知を行う加盟国に対し、必要な場合は通知の撤回を含め、必要な是正措置を取ることを要請する理由のある決定を採択するものとする。当該実施行為は、第74条(2)で言及された審査手続に従って採択されるものとする。

第38条 通知機関の調整

1.欧州委員会は、この規則が対象とする分野に関して、この規則に基づくAIシステムの適合性評価手続きに携わる通知機関間の適切な調整と協力が、通知機関の部門別グループの形で整備され、適切に運用されることを確保しなければならない。

2.加盟国は、通知された機関が、直接または指定された代表者を介して、当該グループの作業に参加することを保証しなければならない。

第39条 第三国の適合性評価機関

EUが協定を締結している第三国の法律に基づいて設立された適合性評価機関は,この規則に基づいて通知された機関の活動を実施する権限を有することができる。

第5章 規格、適合性評価、証明書、登録

第40条 調和された基準

欧州連合官報に掲載された整合規格またはその一部に適合するハイリスクAIシステムは、これらの規格がこれらの要求事項をカバーしている限り、このタイトルの第2章に記載された要求事項に適合していると推定される。

第41条 共通仕様

1.第40条で言及された整合規格が存在しない場合、または関連する整合規格が不十分であると欧州委員会が考える場合、あるいは特定の安全または基本的権利に関する懸念に対処する必要がある場合、欧州委員会は、施行法により、本タイトルの第2章に定められた要件に関する共通仕様を採択することができる。これらの施行法は、第74条(2)で言及されている審査手続きに従って採択されなければならない。

2.欧州委員会は、第1項で言及された共通仕様書を作成する際には、関連する分野別組合法に基づいて設立された関連機関または専門家グループの意見を収集しなければならない。

3.第1項で言及された共通仕様に適合しているハイリスクAIシステムは、共通仕様がそれらの要件をカバーしている限りにおいて、本タイトルの第2章で定められた要件に適合していると推定される。

4.プロバイダは、第1項の共通仕様に適合しない場合、少なくとも同等の技術的解決策を採用したことを正当に説明しなければならない。

第42条 特定の要求事項への適合性の推定

1.意図された目的を考慮して、使用されることが意図されている特定の地理的、行動的および機能的環境に関するデータに基づいて訓練およびテストされたハイリスクAIシステムは、第10条第4項に定める要件に適合していると推定される。

2.欧州議会及び理事会63の規則(EU)2019/881に基づくサイバーセキュリティスキームの下で認証されているか、適合性の声明が発行されており、その参照先が欧州連合の官報に掲載されているハイリスクAIシステムは、サイバーセキュリティ認証もしくは適合性の声明またはその一部がそれらの要件をカバーしている限り、本規則第15条に定めるサイバーセキュリティ要件に準拠していると推定されるものとする。

第43条 適合性評価(Conformity Assessment)

1.附属書IIIのポイント1に記載されたハイリスクAIシステムについて、ハイリスクAIシステムが本タイトルの第2章に定められた要求事項に適合していることを実証する際に、提供者が第40条に言及された整合規格、または該当する場合には第41条に言及された共通仕様を適用した場合、提供者は以下の手順のいずれかに従わなければならない。

(a) 附属書 VI に記載されている内部統制に基づく適合性評価手順。

(b) 附属書 VII に記載されている,通知機関の関与の下での品質管理システムの評価及び技術 文書の評価に基づく適合性評価手順。

ハイリスクAIシステムが本タイトルの第2章に定められた要求事項に適合していることを証明する際に、提供者が第40条に言及された整合性のある規格を適用していないか、部分的にしか適用していない場合、またはそのような整合性のある規格が存在せず、第41条に言及された共通仕様が利用できない場合、提供者は附属書VIIに定められた適合性評価手順に従わなければならない。

附属書VIIに記載された適合性評価手順の目的のために、提供者はいずれかの通知機関を選択することができる。ただし、システムが法執行機関、入国管理局、庇護局、およびEUの機関、組織、代理店によって使用されることが意図されている場合は、第63条(5)または(6)で言及されている市場監視当局が通知機関として機能するものとする。

2.付属書IIIのポイント2から8に言及されているハイリスクのAIシステムについては、プロバイダは、通知機関の関与を規定していない付属書VIに言及されている内部統制に基づく適合性評価手順に従わなければならない。付属書 III のポイント 5(b)に言及されるハイリスクの AI システムで、指令 2013/36/EU によって規制される信用機関によって市場に出されるか、またはサービスに供されるものについては、適合性評価は、当該指令の第 97 条から第 101 条に言及される手順の一部として実施されるものとする。

3.附属書II、セクションAに記載されている法律行為が適用されるハイリスクのAIシステムについては、提供者は、それらの法律行為の下で要求される関連する適合性評価に従うものとする。本タイトルの第2章に定める要求事項は、これらのハイリスクAIシステムに適用され、その評価の一部となるものとします。付属書VIIのポイント4.3.、4.4.、4.5.及びポイント4.6の第5パラグラフも適用されるものとする。

当該アセスメントの目的のために、これらの法律行為に基づいて届出を行った届出機関は、これらの法律行為に基づく届出手続の中で、第33条(4)、(9)及び(10)に定める要件に対する届出機関の適合性が評価されていることを条件に、ハイリスクAIシステムが本タイトルの第2章に定める要件に適合しているかどうかを管理する権利を有する。

付属書 II のセクション A に記載された法律行為により、製品の製造者が、関連するすべての要 件をカバーするすべての整合規格を適用していることを条件に、第三者による適合性評価を選択す ることができる場合、その製造者は、本タイトルの第 2 章に規定された要件をカバーする整合規格、ま たは適用可能な場合は第 41 条に言及された共通仕様を適用している場合に限り、その選択肢を 利用することができる。

4.ハイリスクAIシステムは、大幅に変更された場合には、変更されたシステムがさらに配布されることを意図しているか、現在のユーザによって継続して使用されるかに関わらず、新たな適合性評価手順を受けなければならない。

市場に投入された後、またはサービスを開始した後に学習を継続するハイリスクAIシステムについては、最初の適合性評価の時点で提供者によって事前に決定され、附属書IVのポイント2(f)で言及された技術文書に含まれる情報の一部であるハイリスクAIシステムおよびその性能への変更は、実質的な変更を構成しないものとする。

5.欧州委員会は、技術的進歩に照らして必要となった適合性評価手続きの要素を導入するために、附属書VIおよび附属書VIIを更新する目的で、第73条に従って委任法を採択する権限を有する。

6.欧州委員会は、付属書IIIのポイント2から8に言及されているハイリスクのAIシステムを、付属書VIIまたはその一部に言及されている適合性評価手続きの対象とするために、パラグラフ1および2を修正する委任法を採択する権限を有する。欧州委員会は、そのようなシステムがもたらす健康、安全および基本的権利の保護に対するリスクを防止または最小化する上での、附属書VIの内部統制に基づく適合性評価手続の有効性、ならびに届出機関の間での適切な能力および資源の利用可能性を考慮して、そのような委任法を採択しなければならない。

第44条 証明書

付属書VIIに従って通知機関が発行する証明書は、通知機関が設立された加盟国が定める公用語EU言語)、または通知機関が受け入れ可能な公用語EU言語)で作成されるものとします。

2.証明書は、5年を超えない範囲で、その証明書に記載された期間、有効とする。提供者から申請があった場合、適用される適合性評価手続きに基づく再評価により、証明書の有効期間は5年を超えない範囲でさらに延長することができる。

3.通知機関が、AIシステムが本タイトルの第2章に定められた要求事項をもはや満たしていないと判断した場合、通知機関が定めた適切な期限内にシステムの提供者が適切な是正措置を講じることにより、これらの要求事項への適合が保証されない限り、通知機関は、比例の原則を考慮して、発行された証明書を一時停止もしくは撤回し、または制限を課さなければならない。通知機関は、その決定について理由を述べなければならない。

第45条 通知機関の決定に対する不服申し立て

加盟国は、通知機関の決定に対する不服申し立て手続きが、その決定に正当な利益を有する当事者に利用可能であることを保証しなければならない。

第46条 届出機関の情報提供義務

1.通知機関は、次の事項を通知機関に通知しなければならない。

(a)付属書VIIの要求に従って発行されたユニオン技術文書評価証明書、それらの証明書の補足、品質管理システムの承認。

(b) 付属書VIIの要求事項に従って発行されたユニオン・テクニカル・ドキュメント・アセスメント・サーティフィケートまたは品質管理システム承認の拒否、制限、一時停止または撤回。

(c)通知の範囲または条件に影響を与える状況。

(d)適合性評価活動に関して市場監視当局から受けた情報提供の要請。

(e)要請に応じて、届出の範囲内で行われた適合性評価活動、及び国境を越えた活動や下請けを含むその他の活動。

2.各ノーティファイドボディは、他のノーティファイドボディに以下を通知しなければならない。

(a)拒否、一時停止または撤回した品質マネジメントシステム承認、および要求に応じて発行した品質システム承認。

(b) 拒否、撤回、一時停止、またはその他の制限を行ったEU技術文書評価証明書またはその補足書、および要求に応じて発行した証明書および/または補足書。

3.各通知機関は、同じ人工知能技術を対象とした類似の適合性評価活動を行っている他の通知機関に、否定的な適合性評価結果および要求に応じて肯定的な適合性評価結果に関連する問題についての関連情報を提供しなければならない。

第47条 適合性評価手続からの逸脱

1.第43条の適用除外として、市場監視当局は、公共の安全、人の生命・健康の保護、環境保護、主要産業・インフラ資産の保護という例外的な理由により、当該加盟国の領域内で特定のハイリスクAIシステムを市場に出すこと、またはサービスを開始することを認可することができる。その認可は、必要な適合性評価手続きが行われている間の限られた期間とし、それらの手続きが完了した時点で終了するものとする。これらの手続きの完了は、不当な遅延なく行われなければならない。

2.第1項の認可は、市場監視当局が、ハイリスクAIシステムが本タイトルの第2章の要件に適合していると結論づけた場合にのみ発行される。市場監視当局は、第1項に従って発行された認可を、欧州委員会および他の加盟国に通知しなければならない。

3.第2項で言及された情報の受領から15暦日以内に、加盟国の市場監視当局が第1項に従って発行した認可に関して、加盟国または欧州委員会のいずれからも異議が提起されなかった場合、当該認可は正当なものとみなされる。

4.第2項に言及した通知の受領後15暦日以内に、他の加盟国の市場監視当局が発行した認可に対して加盟国から異議が申し立てられた場合、または欧州委員会が認可がEU法に違反していると判断した場合、または第2項に言及したシステムの適合性に関する加盟国の結論が根拠のないものであると判断した場合、欧州委員会は遅滞なく関連する加盟国と協議に入るものとする。これらを踏まえて、欧州委員会は認可が正当なものであるか否かを決定する。欧州委員会は、その決定を関連する加盟国および関連する事業者に通知する。

5.認可が正当でないと判断された場合は、関係加盟国の市場監視当局が認可を取り消すものとする。

6.第1項から第5項までの例外として、規則(EU) 2017/745および規則(EU) 2017/746の対象となる、機器の安全部品として使用されることを意図した、またはそれ自体が機器であるハイリスクAIシステムについては、規則(EU) 2017/745の第59条および規則(EU) 2017/746の第54条は、本タイトルの第2章に定められた要件への適合性評価からの除外に関しても適用されるものとする。

第48条 EU適合性宣言

1.提供者は、各AIシステムについて書面によるEU適合宣言書を作成し、AIシステムが市場に出された後、またはサービスが開始された後、10年間、国の管轄当局が自由に使用できるようにしておかなければならない。EU適合宣言書は、作成されたAIシステムを特定しなければなりません。EU適合宣言書のコピーは、要求に応じて関連する国内主管庁に提供されなければなりません。

2.EU適合宣言書は、問題となっているハイリスクAIシステムが本タイトルの第2章に記載されている要件を満たしていることを記載するものとします。EU適合宣言は、附属書Vに記載された情報を含み、EU公用語またはハイリスクAIシステムが利用可能となる加盟国が要求する言語に翻訳されなければならない。

3.ハイリスクAIシステムが、EU適合宣言を必要とする他のEU調和法の対象である場合、ハイリスクAIシステムに適用される全てのEU法に関して、単一のEU適合宣言を作成しなければならない。宣言書には、宣言書に関連するEU整合化法の特定に必要なすべての情報を含まなければならない。

4.提供者は、EU適合宣言書を作成することにより、本タイトルの第2章に記載されている要求事項の遵守に責任を負うものとします。提供者は、必要に応じてEU適合宣言を最新の状態に保つものとする。

5.欧州委員会は、技術的進歩に照らして必要となる要素を導入するために、附属書Vに定められたEU適合宣言の内容を更新する目的で、第73条に基づき委任法を採択する権限を有する。

第49条 適合性のCEマーキング

1.ハイリスクのAIシステムには、CEマーキングを目に見える形で、読みやすく、消えないように貼付しなければならない。ハイリスクAIシステムの性質上、それが不可能または保証されない場合は、必要に応じて、包装または付属文書に貼付しなければならない。

2.本条第 1 項で言及された CE マーキングは、規則 (EC) No 765/2008 の第 30 条で定められた一般原則に従うものとする。

3.該当する場合,CE マーキングの後には,第 43 条に規定された適合性評価手順に責任を持つ通知機関の識別番号を記載するものとする。識別番号は、ハイリスクAIシステムがCEマーキングの要件を満たしていることに言及した販促資料にも表示するものとする。

第50条 文書の保管

提供者は、AIシステムが市場に出された後、又は使用開始された後、10年を経過するまでの間、以下の書類を国の主務官庁が自由に扱えるように保管しなければならない。

(a)第11条で言及された技術文書。

(b)第17条の品質マネジメントシステムに関する文書。

(c) 該当する場合、通知機関によって承認された変更に関する文書。

(d) 該当する場合、通知機関が発行した決定書およびその他の文書

(e)第48条のEU適合宣言書

第51条 登録

第6条(2)で言及されたハイリスクAIシステムを市場に出す前、または使用を開始する前に、提供者または該当する場合には認定された代表者は、第60条で言及されたEUデータベースに当該システムを登録しなければならない。

タイトル4 特定のAIシステムの透明性義務

第52条 特定のAIシステムの透明性義務

1.提供者は、自然人との対話を意図したAIシステムが、状況や使用状況から明らかな場合を除き、自然人がAIシステムと対話していることを知らされるような方法で設計・開発されていることを保証しなければならない。この義務は、刑事犯罪の検知、予防、調査、起訴を行うことを法律で認められたAIシステムには適用されないものとします。ただし、これらのシステムは、一般の人々が刑事犯罪を通報できるようになっている場合を除きます。

2.感情認識システムまたは生体情報分類システムの利用者は、そのシステムにさらされている自然人に、システムの動作を知らせるものとする。この義務は、犯罪の検出、防止、調査のために法律で許可されている、生体情報の分類に使用されるAIシステムには適用されないものとする。

3.実在の人物、物体、場所、その他の実体や事象に著しく類似し、人に本物または真実であると偽って見せるような画像、音声または映像コンテンツ(「ディープフェイク」)を生成または操作するAIシステムのユーザーは、そのコンテンツが人為的に生成または操作されたものであることを開示しなければならない。

ただし、第1項は、刑事犯罪の検出、防止、調査、訴追のために法律で認められた利用である場合、またはEU基本権憲章で保障された表現の自由の権利および芸術・科学の自由の権利の行使に必要であり、かつ第三者の権利・自由に対する適切な保護措置を前提とする場合には適用されない。

4.第1項、第2項および第3項は、本規則のタイトルIIIに定められた要件および義務に影響を与えない。

タイトルV イノベーションを支援するための措置

第53条 AI規制のサンドボックス

1.1つまたは複数の加盟国の主務官庁または欧州データ保護監督官によって設立されたAI規制サンドボックスは、革新的なAIシステムの開発、テストおよび検証を促進する管理された環境を、特定の計画に基づいて市場に投入またはサービスを開始する前の限られた時間に提供するものとする。これは、サンドボックス内で監督される本規則の要件及び関連する場合には他の連合及び加盟国の法律の遵守を確保することを目的として、管轄当局による直接の監督及び指導の下で行われるものとする。

2.加盟国は、革新的なAIシステムが個人データの処理を伴うか、あるいは他の国家機関またはデータへのアクセスを提供または支援する主務官庁の監督権限に該当する範囲において、国内のデータ保護当局およびそれらの他の国家機関がAI規制のサンドボックスの運用に関連することを保証するものとする。

3.AI規制のサンドボックスは、所轄官庁の監督・是正権限に影響を与えない。3.当該システムの開発・テスト中に健康・安全および基本的権利に対する重大なリスクが確認された場合には、直ちに緩和措置を講じ、それができない場合には、当該緩和措置が講じられるまで開発・テストプロセスを中断するものとします。

4.AI規制のサンドボックスの参加者は、サンドボックスで行われた実験の結果として第三者に与えられた損害について、適用されるEUおよび加盟国の責任法に基づき責任を負うものとします。

5.AI規制のサンドボックスを設置した加盟国の管轄当局は、欧州人工知能委員会の枠組みの中で、その活動を調整し、協力するものとする。理事会と欧州委員会は、サンドボックス内で監督される本規則および他のEU法の適用、関連する場合にはその設定に関する優良事例、学んだ教訓および勧告を含む、これらのスキームの実施結果に関する年次報告書を提出しなければならない。

6.資格基準、申請・選定・参加・脱退の手続き、参加者の権利・義務を含む、AI規制のサンドボックスの運営方法・条件は、実施法に定められるものとする。それらの施行法は、第74条(2)の審査手続きに従って採択されるものとする。

第54条 AI規制のサンドボックスにおける公共の利益のための特定のAIシステムの開発のための個人データの追加処理

1.AI規制のサンドボックスにおいて、他の目的のために合法的に収集された個人データは、以下の条件のもと、サンドボックスにおける特定の革新的なAIシステムの開発及びテストの目的で処理されるものとする。

(a)革新的なAIシステムは、以下の1つ以上の分野における実質的な公共の利益を守るために開発されたものであること。

(i)主務官庁の管理と責任の下で、公共の安全に対する脅威の保護と防止を含む、刑事犯罪の防止、調査、検出、起訴、または刑事罰の執行のために開発されること。処理は、加盟国または連合の法律に基づくものとします。

(ii)病気の予防、管理、治療を含む、公共の安全と公衆衛生。

(iii)高レベルの保護と環境の質の向上。

(b) 処理されたデータは、タイトルIII第2章で言及された1つ以上の要件を満たすために必要であり、それらの要件は、匿名化された、合成された、またはその他の非個人データを処理することによって効果的に満たされない場合。

(c)サンドボックスでの実験中にデータ主体の基本的権利に対する高いリスクが発生したかどうかを特定するための効果的な監視メカニズム、およびそれらのリスクを速やかに軽減し、必要な場合は処理を停止するための対応メカニズムがあること。

(d)サンドボックスのコンテキストで処理される個人データは、参加者の管理下にある、機能的に分離され、保護されたデータ処理環境にあり、権限のある者のみがそのデータにアクセスできる。

(e)処理されたすべての個人データは、他の当事者によって送信、転送、またはその他の方法でアクセスされないこと。

(f)サンドボックスの文脈における個人データの処理は、データ対象者に影響を与える措置または決定につながらないこと。

(g)サンドボックスのコンテキストで処理された個人データは、サンドボックスへの参加が終了した時点、または個人データの保存期間が終了した時点で削除されること。

(h)サンドボックスにおける個人データの処理のログは、サンドボックスへの参加期間中および終了後1年間、本条または他のアプリケーションであるEUまたは加盟国の法律に基づく説明責任および文書化の義務を果たす目的で、必要な期間のみ保存されるものとします。

(i)AIシステムのトレーニング、テスト、バリデーションのプロセスと根拠についての完全かつ詳細な説明を、テスト結果とともに、付属書IVの技術文書の一部として保管する。

(j)サンドボックスで開発されたAIプロジェクトの簡単な概要、目的、期待される結果を主務官庁のウェブサイトに掲載すること。

2.第1項は、EUまたは加盟国の法律が、その法律に明示的に記載されている以外の目的での処理を除外することを妨げるものではありません。

第55条 小規模なプロバイダーおよびユーザーに対する措置

1.加盟国は、以下の措置を講じるものとする。

(a)小規模事業者及び新興企業に対し、適格条件を満たす限りにおいて、AI規制のサンドボックスへの優先的なアクセスを提供する。

(b) 小規模事業者及びユーザーのニーズに合わせて、本規則の適用に関する具体的な啓発活動を行う。

(c)必要に応じて、小規模事業者やユーザー、その他のイノベーターとのコミュニケーションのための専用チャンネルを設け、本規則の実施に関するガイダンスを提供し、問い合わせに対応する。

2.第43条に基づく適合性評価の手数料を設定する際には、小規模事業者の特定の利益やニーズを考慮し、その規模や市場規模に比例して手数料を減額するものとする。

タイトルVI 政府機関

第1章 欧州人工知能委員会

第56条 欧州人工知能理事会の設立

1.欧州人工知能委員会(以下「委員会」という)が設立される。

2.理事会は、以下を目的として、欧州委員会に助言および支援を行う。

(a)この規則の対象となる事項に関して、各国の監督官庁欧州委員会の効果的な協力に貢献すること。

(b) この規則が対象としている事項に関して、域内市場全体の新たな問題について、欧州委員会と各国の監督機関およびその他の主務官庁による指導と分析を調整し、それに貢献すること。

(c)この規則の一貫した適用を確保するために、国家監督当局と欧州委員会を支援する。

第57条 理事会の構成

1.理事会は、各国の監督官庁で構成され、監督官庁の長または同等の高官が代表となり、欧州データ保護監督官が代表となる。議論される問題が他の国の監督機関にも関連する場合は、他の国の監督機関を会議に招待することができる。

2.理事会は、欧州委員会の同意を得た上で、メンバーの単純過半数により手続き規則を採択する。手続規則には、第58条に記載された理事会の任務の遂行に関連する運営面も含まれるものとする。理事会は、特定の問題を検討する目的で、必要に応じて小グループを設置することができる。

3.理事会は、欧州委員会が議長を務めるものとする。欧州委員会は、この規則に基づく理事会の任務およびその手続き規則に従って、会合を招集し、議題を準備する。欧州委員会は、本規則に基づく理事会の活動に対し、管理上および分析上の支援を行うものとする。

4.理事会は、外部の専門家およびオブザーバーを理事会の会合に招待することができ、また、理事会の活動に適切な情報を提供するために、関心のある第三者との交流を行うことができる。そのために、欧州委員会は、理事会と他の連邦機関、事務所、代理店および諮問グループとの交流を促進することができる。

第58条 理事会の任務

第56条(2)に関連して欧州委員会に助言と援助を提供する場合、理事会は特に以下のことを行わなければならない。

(a)加盟国間で専門知識やベストプラクティスを収集し、共有する。

(b) 第53条で言及されている規制用サンドボックスの機能を含め、加盟国における統一された管理手法に貢献する。

(c)本規則の実施に関連する事項、特に以下の事項について、意見、勧告または書面による貢献を行う。

(i)タイトルIII、第2章に記載された要求事項に関する技術仕様または既存の規格。

(ii)第40条および第41条で言及されている整合規格または共通仕様の使用に関すること。

(iii)第71条で言及されている行政上の罰金の設定に関するガイドラインを含む、ガイダンス文書の作成に関すること。

第2章 国の主務官庁

第59条 国内主管庁の指定

1.この規則の適用と実施を確保する目的で、各加盟国が国内主管庁を設置または指定する。国内主管庁は、その活動および任務の客観性および公平性を保護するように組織されなければならない。

2.各加盟国は、国内主管庁の中から国内監督官庁を指定する。加盟国が複数の機関を指定する組織上および管理上の理由がある場合を除き、国家監督機関は通報機関および市場監視機関として機能するものとする。

3.加盟国は、複数の機関を指定した場合、その理由を欧州委員会に報告しなければならない。

4.加盟国は、この規則に基づく任務を遂行するために、国内の所轄官庁に適切な財政的および人的資源を提供することを保証しなければならない。特に、国の管轄当局は、人工知能技術、データおよびデータコンピューティング、基本的権利、健康と安全のリスク、および既存の基準と法的要件の知識についての深い理解を含む能力と専門知識を持つ十分な数の人員を常備しなければならない。

5.加盟国は、毎年、欧州委員会に対し、各国の管轄機関の財政的および人的資源の状況を、その適切性の評価とともに報告する。欧州委員会は、その情報を理事会に送付し、議論と可能な勧告を行うものとする。

6.委員会は、各国の主務官庁間の経験の交換を促進する。

7.各国の所轄官庁は、小規模事業者を含め、この規則の実施に関する指導・助言を行うことができる。7.各国所轄官庁が、他のEU法が適用される分野のAIシステムに関して指導・助言を行おうとする場合には、必要に応じて、当該EU法に基づく所轄官庁に相談するものとする。また、加盟国は、事業者との連絡のために1つの中央連絡先を設けることができる。

8.欧州連合の機関、代理店および団体が本規則の範囲に該当する場合、欧州データ保護監督官がその監督のための主務官庁となるものとする。

タイトルVII スタンドアローンハイリスクAIシステムのためのEUデータベース

第60条 スタンドアローンのハイリスクAIシステムのためのEUデータベース

1.欧州委員会は、加盟国と協力して、第51条に従って登録された第6条(2)にいうハイリスクAIシステムに関する第2項にいう情報を含むEUデータベースを構築し、維持するものとする。

付属書VIIIに記載されたデータは、提供者によってEUデータベースに入力されるものとする。欧州委員会は、提供者に対して技術的・管理的支援を行うものとする。

3.EUデータベースに含まれる情報は、一般にアクセスできるものとする。

4.EUデータベースには、本規則に基づいて情報を収集・処理するために必要な範囲でのみ、個人データが含まれる。その情報には、システムの登録に責任を持ち、提供者を代表する法的権限を持つ自然人の名前と連絡先が含まれるものとする。

5.欧州委員会は、EUデータベースの管理者となる。また、プロバイダーに対して適切な技術的・管理的支援を保証するものとする。

タイトルVIII 市場後の監視、情報共有、市場監視

第1章 市販後のモニタリング

第61条 提供者による市場後の監視およびハイリスクAIシステムの市場後の監視計画

1.提供者は、人工知能技術の性質およびハイリスクAIシステムのリスクに見合った方法で、市場後モニタリングシステムを構築し、文書化しなければならない。

2.市販後の監視システムは、ユーザーから提供された、または他の情報源を通じて収集された、ハイリスクAIシステムの性能に関する関連データを、その生涯を通じて積極的かつ体系的に収集、文書化、分析し、提供者がタイトルIII、第2章に定める要求事項に対するAIシステムの継続的な適合性を評価できるようにするものとする。

3.市販後モニタリングシステムは、市販後モニタリング計画に基づくものとする。市販後モニタリング計画は、付属書IVに記載された技術文書の一部とする。欧州委員会は、市販後モニタリング計画のテンプレートおよび計画に含まれるべき要素のリストを定める詳細規定を定めた実施法を採択するものとする。

4.付属書IIで言及された法律でカバーされるハイリスクのAIシステムについては、その法律の下で市販後モニタリングシステムおよび計画が既に確立されている場合、第1、2および3項に記載された要素は、必要に応じてそのシステムおよび計画に統合されるものとする。

最初のサブパラグラフは、指令2013/36/EUによって規制される信用機関が市場に出す、またはサービスを開始する、附属書IIIのポイント5(b)に言及するハイリスクAIシステムにも適用されるものとする。

第2章 インシデントおよび誤動作に関する情報の共有

第62条 重大なインシデントおよび誤動作の報告

1.EU市場に投入されたハイリスクAIシステムの提供者は、基本的権利の保護を意図したEU法に基づく義務の違反を構成する重大な事故または当該システムの誤作動を、当該事故または違反が発生した加盟国の市場監視当局に報告しなければならない。

このような通知は、プロバイダーがAIシステムと事件または機能不全との間に因果関係があること、またはそのような因果関係の合理的な可能性があることを立証した後に直ちに行うものとし、いかなる場合でも、プロバイダーが重大な事件または機能不全を認識してから15日以内に行うものとします。

2.市場監視当局は、基本的権利の保護を目的としたEU法上の義務の違反に関連する通知を受け取った場合、第64条(3)で言及された国家の公的機関または組織に通知しなければならない。欧州委員会は、第1項に定められた義務の遵守を促進するための専用のガイダンスを作成する。そのガイダンスは、遅くとも本規則の発効から12ヶ月後には発行されるものとする。

3.付属書IIIのポイント5(b)に言及されるハイリスクAIシステムであって、指令2013/36/EUにより規制される信用機関であるプロバイダーにより市場に出されるかサービスが開始されるもの、及び規則(EU)2017/745及び規則(EU)2017/746の対象となる装置の安全コンポーネントであるかそれ自体が装置であるハイリスクAIシステムについては、深刻なインシデント又は誤作動の通知は、基本的権利の保護を目的とするEU法上の義務の違反を構成するものに限定されるものとする。

第3章 施行について

第63条 EU市場におけるAIシステムの市場監視・管理

1.本規則の対象となるAIシステムには、規則(EU)2019/1020を適用する。ただし、本規則の効果的な施行を目的として、以下のとおりとする。

(a)規則(EU) 2019/1020に基づく経済事業者への言及は、本規則のタイトルIII、第3章で特定されるすべての事業者を含むものと理解される。

(b)規則(EU)2019/1020に基づく製品への言及は、本規則の適用範囲に含まれる全てのAIシステムを含むと理解されるものとする。

2.国家監督当局は、関連する市場監視活動の結果を定期的に欧州委員会に報告しなければならない。3.国家監督当局は、市場監視活動の過程で確認された、競争ルールに関するEU法の適用に関心を持つ可能性のある情報を、欧州委員会および関連する各国の競争当局に遅滞なく報告しなければならない。

3.附属書IIのセクションAに記載された法律行為が適用される製品に関連するハイリスクのAIシステムについては、本規則の目的のための市場監視当局は、それらの法律行為に基づいて指定された市場監視活動に責任を持つ当局とする。

4.金融サービスに関する欧州連合の法律で規制されている金融機関が市場に出し、サービスを開始し、または使用するAIシステムについては、本規則の目的上の市場監視当局は、当該法律に基づいて当該金融機関の金融監督を担当する関連当局とする。

5.システムが法執行目的で使用される限りにおいてポイント1(a)に記載されているAIシステム、附属書IIIのポイント6及び7について、加盟国は、指令(EU)2016/680又は規則2016/679に基づく管轄データ保護監督当局、又はそれらのシステムを稼働させるか使用する法執行機関、移民局若しくは亡命局の活動を監督する国の管轄当局のいずれかを本規則の目的のために市場監視当局として指定するものとする。

6.EUの機関、代理店および団体が本規則の適用範囲に入る場合、欧州データ保護監督官がその市場監視機関として機能するものとする。

7.加盟国は、この規則に基づいて指定された市場監視当局と、付属書IIに記載されたEU調和法または付属書IIIに言及されたハイリスクのAIシステムに関連する可能性のあるその他のEU法の適用を監督する他の関連する国家機関または組織との間の調整を促進するものとする。

第64条 データ及び文書へのアクセス

1.データ及び文書へのアクセス 市場監視当局は、その活動に関連して、アプリケーション・プログラミング・インターフェース(API)又はその他の適切な技術的手段及びリモートアクセスを可能にするツールを介して、提供者が使用するトレーニング、検証及びテストのデータセットへの完全なアクセスを認められるものとする。

2.ハイリスクAIシステムがタイトルIII第2章に定める要求事項に適合しているかどうかを評価するために必要な場合であって、合理的な要求がある場合には、市場監視当局は、AIシステムのソースコードへのアクセスを認められるものとする。

3.附属書IIIに言及されたハイリスクAIシステムの使用に関連して基本的権利を保護する組合法の下での義務の尊重を監督又は執行する国家の公的機関又は組織は、その管轄権の範囲内でその委任に基づく能力の遂行のために当該文書へのアクセスが必要である場合には、本規則に基づいて作成又は維持された文書を要求し、アクセスする権限を有する。関連する公的機関は、そのような要求があった場合、関係する加盟国の市場監視当局に通知しなければならない。

4.各加盟国は、この規則の発効後3ヶ月までに、第3項で言及された公的機関または組織を特定し、国家監督機関のウェブサイトでリストを公開しなければならない。加盟国は、リストを欧州委員会および他のすべての加盟国に通知し、リストを最新の状態に保つものとする。

5.第3項で言及された文書が、基本的権利の保護を目的としたEU法上の義務の違反が発生したかどうかを確認するのに不十分な場合、第3項で言及された公的機関または団体は、市場監視当局に対し、技術的手段によるハイリスクAIシステムのテストを組織するよう、理由のある要求を行うことができる。市場監視当局は、要請後の合理的な時間内に、要請した公的機関または団体の密接な関与のもとに、テストを組織しなければならない。

6.本条の規定に基づき、第3項に言及された国の公的機関または団体が入手したすべての情報および文書は、第70条に定められた守秘義務に従って取り扱われる。

第65条 国レベルでリスクをもたらすAIシステムを取り扱うための手順

1.リスクを提示するAIシステムは、人の健康若しくは安全又は基本的権利の保護に対するリスクに関する限り、規則(EU)2019/1020の第3条19点に定義されるリスクを提示する製品と理解されるものとする。

2.加盟国の市場監視当局は、AIシステムが第1項で言及されたリスクを提示すると考える十分な理由がある場合、本規則で定められたすべての要件および義務の遵守に関して、当該AIシステムの評価を実施するものとする。基本的権利の保護に対するリスクが存在する場合、市場監視当局は、第64条(3)で言及された関連する国の公的機関または団体にも通知しなければならない。関連事業者は、必要に応じて、市場監視当局及び第64条(3)で言及された他の国家公的機関又は団体に協力しなければならない。

市場監視当局は、その評価の過程で、AIシステムが本規則に定められた要求事項および義務に適合していないことを発見した場合、遅滞なく、関連事業者に対して、AIシステムを適合させるためのすべての適切な是正措置をとること、AIシステムを市場から撤退させること、またはリスクの性質に見合った合理的な期間内にAIシステムを回収することを要求するものとします。

市場監視当局は、それに応じて関連する通知機関に通知しなければならない。Regulation (EU) 2019/1020の第18条は、第2段落で言及された措置に適用されるものとする。

3.市場監視当局は、コンプライアンス違反が自国の領域に限定されないと判断した場合、欧州委員会および他の加盟国に、評価の結果および事業者に要求した措置を通知しなければならない。

4.事業者は、自らがEU全域で市販しているすべての当該AIシステムについて、すべての適切な是正措置を講じることを保証しなければならない。

5.AIシステムの運営者が、第2項で言及された期間内に適切な是正措置を講じない場合、市場監視当局は、AIシステムがその国内市場で入手可能となることを禁止または制限し、その市場から製品を撤退させ、またはリコールするためのすべての適切な暫定措置を講じなければならない。市場監視当局は、それらの措置を遅滞なく欧州委員会および他の加盟国に通知しなければならない。

6.第5項で言及された情報には、入手可能なすべての詳細、特に、不適合のAIシステムの識別に必要なデータ、AIシステムの出所、申し立てられた不適合の性質とそれに伴うリスク、講じられた国内措置の性質と期間、関連事業者が提示した論拠が含まれなければならない。特に、市場監視当局は、コンプライアンス違反が以下の1つ以上の原因であるかどうかを示さなければならない。

(a)タイトルIII、第2章に定められた要求事項をAIシステムが満たしていないこと。

(b)第40条および第41条で言及されている整合規格または共通仕様の欠点による適合性の推定。

7.手続を開始した加盟国の市場監視当局以外の加盟国の市場監視当局は、採択した措置および当該AIシステムの不適合に関連して利用可能な追加情報を遅滞なく欧州委員会および他の加盟国に通知しなければならず、通知された国内措置に不服がある場合には、異議を申し立てなければならない。

8.第5項で言及された情報の受領後3ヶ月以内に、加盟国が講じた暫定措置に関して加盟国または欧州委員会のいずれからも異議が提起されなかった場合、当該措置は正当であるとみなされる。これは、規則(EU) 2019/1020の第18条に基づく関係事業者の手続的権利を損なうものではない。

9.すべての加盟国の市場監視当局は、当該製品について、その市場からの撤退など、適切な制限的措置が遅滞なく取られることを保証しなければならない。

第66条 ユニオンセーフガード手続

1.第65条(5)に言及された通知の受領から3ヶ月以内に、他の加盟国が講じた措置に対して加盟国から異議が申し立てられた場合、または欧州委員会が当該措置が連邦法に反すると判断した場合、欧州委員会は遅滞なく関連する加盟国および事業者との協議に入り、国内措置を評価する。その評価の結果に基づいて、欧州委員会は、第65条(5)で言及された通知から9ヶ月以内に、国内措置が正当化されるか否かを決定し、当該決定を関係加盟国に通知する。

2.国家的措置が正当であると判断された場合、すべての加盟国は、不適合のAIシステムが自国の市場から撤退することを確実にするために必要な措置を講じ、それに応じて欧州委員会に報告しなければならない。国内措置が不当であると判断された場合、当該加盟国は当該措置を撤回するものとする。

3.国内措置が正当化され、AIシステムの不適合が、本規則の第40条および第41条で言及された整合規格または共通仕様の欠点に起因すると考えられる場合、欧州委員会は、規則(EU) No 1025/2012の第11条で規定された手順を適用する。

第67条 リスクをもたらす適合AIシステム

  1. 加盟国の市場監視当局は、第65条に基づく評価を行った結果、AIシステムが本規則に適合しているにもかかわらず、人の健康や安全、基本的権利の保護を目的としたEU法または国内法に基づく義務の遵守、あるいは公益保護の他の側面にリスクをもたらすと判断した場合、関連する事業者に対して、そのリスクを軽減するための措置を講じるよう求めなければならない。関連事業者は、関連事業者に対し、当該AIシステムが市場に投入されたとき、またはサービスが開始されたときに、もはやそのリスクをもたらさないことを保証するために、あらゆる適切な措置を講じること、リスクの性質に見合った合理的な期間内にAIシステムを市場から撤退させること、またはリコールすることを要求するものとします。

2.提供者またはその他の関連事業者は、第1項で言及された加盟国の市場監視当局が定める期限内に、自らがEU全域で市場に提供しているすべての当該AIシステムに関して、是正措置が取られることを保証しなければならない。

3.当該加盟国は、直ちに欧州委員会および他の加盟国に情報を提供する。その情報には、入手可能なすべての詳細、特に当該AIシステムの識別に必要なデータ、AIシステムの出所およびサプライチェーン、関連するリスクの性質、および講じられた国内措置の性質と期間が含まれるものとする。

4.欧州委員会は、遅滞なく、加盟国および関連事業者との協議に入り、講じられた国内措置を評価する。その評価の結果に基づき、欧州委員会はその措置が正当であるか否かを決定し、必要に応じて適切な措置を提案する。

5.欧州委員会は、その決定を加盟国に通知する。

第68条 正式な不遵守

1.加盟国の市場監視当局が以下のいずれかの所見を示した場合、関連する提供者に当該不遵守を解消するよう要求しなければならない。

(a) 第49条の規定に違反して適合マークが貼付されていること。

(b)適合性マークが貼付されていない。

(c)EU適合宣言書が作成されていない場合。

(d)EU適合宣言書が正しく作成されていない場合。

(e)適合性評価手順に関与する通知機関の識別番号(該当する場合)が貼付されていない。

2.第1項の不適合が継続する場合、当該加盟国は、ハイリスクAIシステムの市販を制限もしくは禁止し、または市場からの回収もしくは撤退を確実にするために、あらゆる適切な措置を講じなければならない。

タイトル9 行動規範

第69条 コード・オブ・コンダクト

1.欧州委員会および加盟国は、タイトルIII第2章に定められた要求事項を、ハイリスクAIシステム以外のAIシステムに自発的に適用することを促進することを目的とした行動規範の作成を奨励し、促進しなければならない。これは、システムの意図された目的に照らして、当該要求事項の遵守を確保するための適切な手段である技術仕様および解決策に基づくものである。

2.欧州委員会および理事会は、明確な目的と、その目的の達成度を測る重要業績評価指標に基づいて、例えば、環境の持続可能性、障害者のアクセス性、AIシステムの設計・開発への利害関係者の参加、開発チームの多様性などに関する要求事項を、AIシステムに自発的に適用することを促進することを目的とした行動規範の作成を奨励し、促進するものとする。

3.行動規範は、AIシステムの個々の提供者、提供者を代表する組織、またはその両方が、ユーザー、利害関係者およびその代表組織の関与を含めて作成することができます。行動規範は、関連するシステムの意図された目的の類似性を考慮して、1つまたは複数のAIシステムを対象とすることができる。

4.欧州委員会と理事会は、行動規範の作成を奨励・促進する際には、小規模プロバイダーや新興企業の具体的な利益やニーズを考慮しなければならない。

タイトルX 機密保持と罰則

第70条 機密保持

1.この規則の適用に関与する国内の主務官庁および通知機関は、特に以下を保護するような方法で、その任務および活動を遂行する際に得られる情報およびデータの機密性を尊重しなければならない。

(a)ソースコードを含む自然人又は法人の知的財産権、及びビジネス上の機密情報又はトレードシークレット(非公開のノウハウ及びビジネス情報(トレードシークレット)の不法な取得、使用及び開示に対する保護に関する指令2016/943の第5条で言及されている場合を除く)が適用される。

(b)本規則の効果的な実施、特に検査、調査または監査を目的としたもの、(c)公共および国家安全保障上の利益。

(c)刑事訴訟または行政訴訟の整合性。

2.第1項を損なうことなく、附属書IIIのポイント1、6および7に言及されているハイリスクAIシステムが法執行機関、移民局または亡命局によって使用されている場合、国家主管庁間および国家主管庁と欧州委員会との間で機密ベースで交換された情報は、そのような開示が公共および国家安全保障上の利益を危うくする場合には、発信元の国家主管庁と使用者との事前の協議なしに開示してはならない。

法執行機関、移民局または亡命局が附属書IIIのポイント1、6および7に言及されるハイリスクAIシステムの提供者である場合、附属書IVに言及される技術文書は、これらの当局の敷地内に留まるものとする。これらの当局は、第63条(5)および(6)で言及される市場監視当局が、要求に応じて、直ちに文書にアクセスし、またはそのコピーを入手できるようにしなければならない。適切なレベルのセキュリティ・クリアランスを有する市場監視当局のスタッフのみが、当該文書またはそのコピーへのアクセスを許されるものとする。

3.第1項および第2項は、情報交換および警告の普及に関する欧州委員会、加盟国および通知機関の権利および義務、ならびに加盟国の刑法に基づく情報提供に関する関係者の義務に影響を与えないものとする。

4.欧州委員会および加盟国は、必要に応じて、適切なレベルの機密性を保証する二国間または多国間の機密保持協定を締結している第三国の規制当局と機密情報を交換することができる。

第71条 罰則

1.加盟国は、本規則に定められた条件に従い、本規則の違反に適用される行政上の罰金を含む罰則に関する規則を定め、それらが適切かつ効果的に実施されることを保証するために必要なすべての措置を講じなければならない。規定された罰則は、効果的、比例的、かつ抑止的でなければならない。罰則は、小規模なプロバイダーやスタートアップの利益とその経済的な存続性を特に考慮したものでなければならない。

2.加盟国は、これらの規則および措置を欧州委員会に通知し、それらに影響を与えるその後の改正についても遅滞なく通知しなければならない。

3.以下の違反に対しては、最高30000000ユーロ、または違反者が企業の場合はその企業の前会計年度の全世界での年間総売上高の6%のいずれか高い方の行政罰が科される。

(a)第5条で言及された人工知能行為の禁止への不遵守

(b)AIシステムが第10条に定める要件に適合していないこと。

4.第5条および第10条以外の本規則に基づく要件または義務に対するAIシステムの不遵守は、最高20,000,000ユーロ、または違反者が企業である場合には、直前の会計年度における全世界の年間総売上高の4%のいずれか高い方の行政罰金の対象となります。

5.要請に応じて通知機関および国内の主務官庁に誤った、不完全な、または誤解を招くような情報を提供した場合、10,000,000ユーロまたは、違反者が企業の場合はその企業の前会計年度の全世界での年間総売上高の2%のいずれか高い方の金額の行政罰金が科せられる。

6.個々のケースで行政処分の金額を決定する際には、特定の状況に関連するすべての状況を考慮し、以下の点を十分に考慮しなければならない。

(a)侵害行為およびその結果の性質、重大性および継続期間。

(b)他の市場監視当局が同一の事業者に対し、同一の侵害行為に対して既に行政処分を行っているかどうか。

(c)侵害を犯した事業者の規模と市場占有率

7.各加盟国は、当該加盟国で設立された公的機関および団体に行政制裁金を課すことができるかどうか、またどの程度まで課すことができるかについて規則を定めるものとする。

8.各加盟国の法制度に応じて、行政制裁金に関する規則は、当該加盟国で適用される管轄の国内裁判所やその他の機関によって制裁金が課されるような形で適用することができる。これらの加盟国における当該規則の適用は、同等の効果を有するものとする。

第72条 欧州連合の組織、機関および団体に対する行政上の制裁金

1.欧州データ保護監督官は、本規則の適用範囲内にある欧州連合の機関、代理店および団体に行政上の罰金を課すことができる。行政制裁金を課すかどうかを決定し、個々のケースで行政制裁金の額を決定する際には、特定の状況のすべての関連する状況を考慮し、以下の点を十分に考慮しなければならない。

(a)侵害行為とその結果の性質、重大性、期間。

(b)侵害を是正し、侵害の起こりうる悪影響を緩和するための欧州データ保護監督官との協力(同一の主題に関して欧州データ保護監督官が以前に関係する連合機関または代理店または団体に対して命じた措置のいずれかを遵守することを含む)。

(c)当該組合機関・代理店・団体による過去の類似した侵害行為。

2.以下の違反行為に対しては、最高500,000ユーロの行政罰金が科せられる。

(a)第5条で言及された人工知能行為の禁止への不遵守。

(b)第10条に定める要件に対するAIシステムの不遵守。

3.第5条および第10条以外の本規則に基づく要件または義務へのAIシステムの不遵守は、最高250,000ユーロの行政罰金の対象となります。

4.欧州データ保護監督官は、本条に基づく決定を行う前に、欧州データ保護監督官が行う手続の対象となっている組合機関、代理店または団体に対し、侵害の可能性に関する事項について聴聞する機会を与えなければならない。欧州データ保護監督官は、関係者が意見を述べることができた要素及び状況にのみ基づいて決定を行うものとする。不服申立人がいる場合は、その手続きに密接に関連するものとする。

5.関係者の防御権は、手続において完全に尊重されるものとする。関係者は、個人データまたは企業秘密の保護に関する個人または企業の正当な利益を条件として、欧州データ保護監督官のファイルにアクセスする権利を有するものとする。

6.本条の制裁金の賦課により徴収された資金は、連邦の一般予算の収入とする。

タイトルXI 権限の委譲と委員会の手続き

第73条 委任の行使

1.委任された行為を採択する権限は、本条に定められた条件のもとで委員会に与えられる。

2.第4条、第7条(1)、第11条(3)、第43条(5)及び(6)並びに第48条(5)で言及された権限の委任は、[規則の発効]からの不確定な期間、委員会に付与される。

3.第4条、第7条(1)、第11条(3)、第43条(5)および(6)ならびに第48条(5)で言及されている権限の委譲は、欧州議会または理事会によっていつでも取り消すことができる。取り消しの決定は、その決定で指定された権限の委譲に終止符を打つものである。取り消しの決定は、欧州連合官報に掲載された日の翌日またはそれ以降に発効するものとする。この決定は、すでに有効な委任行為の有効性には影響しない。

4.欧州委員会は、委任法を採択した時点で、欧州議会と理事会に同時に通知しなければならない。

5.第4条、第7条(1)、第11条(3)、第43条(5)および(6)、第48条(5)に従って採択された委任法は、欧州議会および理事会への通知から3ヶ月以内に欧州議会および理事会のいずれからも異議が表明されなかった場合、または、その期間の満了前に欧州議会および理事会がともに異議を唱えない旨を欧州委員会に通知した場合にのみ、効力を発するものとする。この期間は、欧州議会または欧州理事会の発意により、3ヶ月延長される。

第74条 委員会の手続き

1.委員会は、委員会の支援を受けるものとする。当該委員会は、規則(EU) No 182/2011の意味における委員会とする。

2.本項に言及する場合、Regulation (EU) No 182/2011の第5条が適用される。

タイトルXII 最終規定

第75条 規則 (EC) No 300/2008 の修正

規則 (EC) No 300/2008 の第 4 条 (3) に、以下のサブパラグラフを追加する。

欧州議会および理事会*の規則(EU)YYY/XX[人工知能に関する]の意味における人工知能システムに関するセキュリティ機器の技術仕様および承認・使用の手順に関する詳細な措置を採用する際には、同規則のタイトルIIIの第2章に定められている要件を考慮しなければならない。


  • Regulation (EU) YYY/XX [on Artificial Intelligence] (OJ ...)."

第76条 規則(EU) No 167/2013の改正

規則(EU) No 167/2013 の第 17 条(5)に、以下のサブパラグラフを追加する。

欧州議会及び理事会*の規則(EU)YYY/XX[人工知能に関する]の意味における安全部品である人工知能システムに関する第1号に基づく委任行為を採択する際には、同規則のタイトルIII、第2章に定められた要件を考慮しなければならない。


  • Regulation (EU) YYY/XX [on Artificial Intelligence] (OJ ...)".

第77条 規則 (EU) No 168/2013 の改正

規則(EU) No 168/2013 の第 22 条(5)に、以下のサブパラグラフを追加する。

欧州議会及び理事会*の[人工知能]に関する規則(EU) YYY/XXの意味における安全部品である人工知能システムに関する第1号に基づく委任行為を採択する際には、同規則のタイトルIII、第2章に定められた要件を考慮しなければならない。


  • Regulation (EU) YYY/XX [on Artificial Intelligence] (OJ ...).".

第78条 指令2014/90/EUの修正

指令2014/90/EUの第8条には、以下の段落が追加される。

"4. 欧州議会及び理事会*の規則(EU)YYY/XX[人工知能に関する]の意味における安全部品である人工知能システムについては、第1項に基づく活動を実施する際、並びに第2項及び第3項に基づく技術仕様及び試験基準を採択する際、欧州委員会は当該規則のタイトルIII、第2章に定められた要件を考慮しなければならない。


  • Regulation (EU) YYY/XX [on Artificial Intelligence] (OJ ...).".

第79条 指令(EU)2016/797の修正

指令(EU)2016/797の第5条に、以下の段落が追加される。

"12. 欧州議会及び理事会*の規則(EU)YYY/XX[人工知能に関する]の意味における安全部品である人工知能システムに関する第1項に基づく委任行為及び第11項に基づく実施行為を採択する際には、当該規則のタイトルIII、第2章に定められている要件を考慮しなければならない。


  • Regulation (EU) YYY/XX [on Artificial Intelligence] (OJ ...)」と記載されています。

第80条 規則(EU)2018/858の改正

規則(EU)2018/858 の第 5 条に、以下の段落を追加する。

"4.欧州議会及び理事会の規則(EU)YYY/XX[人工知能に関する]の意味における安全部品である人工知能システムに関する第3項に基づく委任行為を採択する際には、同規則のタイトルIII、第2章に定められた要件を考慮しなければならない。


  • Regulation (EU) YYY/XX [on Artificial Intelligence] (OJ ...)」と記載されています。

第81条 規則(EU)2018/1139の改正

Regulation (EU) 2018/1139 は以下のように改正される。

(1) 第 17 条に、以下の段落を追加する。

"3. 第2項を損なうことなく、欧州議会及び理事会*の規則(EU)YYY/XX[人工知能に関する]の意味における安全部品である人工知能システムに関する第1項に基づく実施行為を採択する際には、同規則のタイトルIII、第2章に定められた要件を考慮しなければならない。


  • Regulation (EU) YYY/XX [on Artificial Intelligence] (OJ ...)".

(2) 第19条に、次の項を加える。

「Regulation (EU) YYY/XX [on Artificial Intelligence]の意味における安全部品である人工知能システムに関する第1項および第2項に基づく委任行為を採択する際には、同規則のタイトルIII、第2章に定められた要件を考慮しなければならない。

(3) 第43条に次の項を追加する。

「規則(EU)YYY/XX[人工知能に関する]の意味における安全部品である人工知能システムに関する第1項に基づく実施行為を採択する際には、同規則のタイトルIII、第2章に定める要件を考慮しなければならない。

(4) 第47条に、以下の段落を追加する。

"3. Regulation (EU) YYY/XX [on Artificial Intelligence]の意味における安全部品である人工知能システムに関する第1項および第2項に基づく委任行為を採択する際には、同規則のTitle III, Chapter 2に定められた要件を考慮しなければならない。

(5) 第57条に、次の段落を加える。

「Regulation (EU) YYY/XX [on Artificial Intelligence]の意味における安全部品である人工知能システムに関する実施行為を採択する際には、同規則のTitle III, Chapter 2に定められた要件を考慮しなければならない」。

(6) 第58条に、次の段落を加える。

"3. Regulation (EU) YYY/XX [on Artificial Intelligence]の意味における安全部品である人工知能システムに関する第1項及び第2項に基づく委任行為を採択する場合には、同規則のタイトルIII、第2章に定める要件を考慮しなければならない。

第82条 規則(EU)2019/2144の修正

規則(EU)2019/2144の第11条に、以下の段落を追加する。

"3. 欧州議会及び理事会*の規則(EU)YYY/XX[人工知能に関する]の意味における安全部品である人工知能システムに関する第2項に基づく実施行為を採択する際には、同規則のタイトルIII、第2章に定められた要件を考慮するものとする。


  • Regulation (EU) YYY/XX [on Artificial Intelligence] (OJ ...)」と記載されています。

第83条 既に市場に出されている、またはサービスに供されているAIシステム

1.本規則は、附属書IXに記載された法律行為によって構築された大規模ITシステムの構成要素であるAIシステムであって、[第85条(2)に言及された本規則の適用日から12ヶ月後]以前に市場に投入されたものには適用されないものとする。ただし、これらの法律行為の置き換えまたは修正が、当該AIシステムまたはAIシステムの設計または意図された目的に著しい変更をもたらす場合を除く。

この規則に定められた要件は、必要に応じて、附属書IXに記載された法律行為によって確立された各大規模ITシステムの評価において考慮されるものとする。

2.この規則は、[第85条(2)で言及されたこの規則の適用日]以前に市場に出された、またはサービスに供された、第1項で言及されたものを除くハイリスクのAIシステムに、その日から、それらのシステムがその設計または意図された目的において著しい変更を受ける場合に限り、適用されるものとする。

第84条 評価およびレビュー

1.欧州委員会は、この規則の発効後、年に一度、附属書IIIのリストの修正の必要性を評価する。

2.欧州委員会は、[第85条(2)で言及されたこの規則の適用日から3年後]までに、またその後4年ごとに、この規則の評価と見直しに関する報告書を欧州議会と理事会に提出しなければならない。報告書は公開されるものとする。

3.第2項で言及された報告書は、以下の事項に特に注意を払うものとする。

(a)この規則に基づいて各国の管轄当局に与えられた任務を効果的に遂行するための、各国の管轄当局の財政的および人的資源の状況。

(b)この規則の規定の違反に対して加盟国が適用している罰則、特に第71条(1)で言及されている行政上の罰金の状況。

4.欧州委員会は、第85条(2)で言及された本規則の適用日から3年以内およびその後4年ごとに、タイトルIII、第2章に定められた要件、および場合によってはハイリスクAIシステム以外のAIシステムに対するその他の追加要件の適用を促進するための行動規範の影響および効果を評価するものとする。

5.第1項から第4項の目的のために、理事会、加盟国および各国の管轄当局は、欧州委員会の要請に応じて情報を提供するものとする。

6.欧州委員会は、第1項から第4項までに言及された評価および見直しを行うにあたり、理事会、欧州議会、理事会、およびその他の関連機関または情報源の立場および知見を考慮するものとする。

7.欧州委員会は、必要に応じて、特に技術の発展を考慮し、情報社会の進展状況に照らして、この規則を改正する適切な提案を提出する。

第85条 発効および適用

1.この規則は、欧州連合の官報に掲載された日から20日目に発効する。

2.この規則は[規則の発効から24ヶ月後]から適用される。

3.第2項の規定の適用除外として

(a)タイトルIII、第4章およびタイトルVIは、[この規則の発効後3ヶ月]から適用される。

(b)第71条は[この規則の発効後12ヶ月]から適用される。

この規則は、その全体が拘束力を持ち、すべての加盟国において直接適用されるものとする。

ブリュッセルにて行う。

欧州議会のために 欧州理事会のために

大統領 大統領

立法上の財務報告

1.提案/イニシアティブの枠組み

1.1. 提案/イニシアチブのタイトル

1.2. 関係する政策領域(複数可

1.3. 提案/イニシアチブが関係するもの

1.4. 目的(複数可)

1.4.1.一般的な目的(複数可)

1.4.2. 特定の目的(複数可)

1.4.3. 期待される結果と影響(複数可

1.4.4. パフォーマンスの指標

1.5. 提案/イニシアティブの根拠

1.5.1. 短期的または長期的に満たすべき要件(イニシアチブの実施を展開するための詳細なタイムラインを含む

1.5.2. 1.5.2. 組合の関与の付加価値(調整の利益、法的確実性、より大きな有効性または補完性など、さまざまな要因から生じる可能性がある)。この点において、「組合の関与による付加価値」とは、組合の介入によってもたらされる価値であり、それは加盟国のみによって生み出されたであろう価値に追加されるものである。

1.5.3. 過去の同様の経験から得られた教訓

1.5.4. 多年財政フレームワークとの互換性、および他の適切な手段との相乗効果の可能性

1.5.5 再展開の余地を含む、利用可能な様々な資金調達手段の評価

1.6. 提案/イニシアティブの期間と財政的影響

1.7. 計画されている管理モード(複数可

2.管理手段

2.1. モニタリングと報告のルール

2.2. 管理および制御システム

2.2.1. 提案された管理方法、資金実施メカニズム、支払い方法、管理戦略の正当性の証明

2.2.2. 特定されたリスクと、そのリスクを軽減するために設定された内部統制システムに関する情報

2.2.3. 統制の費用対効果(「統制コスト」÷「管理されている関連資金の価値」の比率)の推定および正当化、ならびに予想されるエラーのリスクレベルの評価(支払時および閉鎖時)。

2.3.不正行為を防止するための対策

3.提案/イニシアティブの財務的影響の見積もり

3.1.影響を受ける多年次財政フレームワークの見出しおよび支出予算枠(複数可)。

3.2.提案が予算編成に与える財務上の影響の見積もり

3.2.1.業務上の充当金に対する推定影響の概要

3.2.2.業務上の充当金で賄われる推定アウトプット

3.2.3. 管理費への影響の概算額のまとめ

3.2.4.現行の多年度財務フレームワークとの互換性

3.2.5.第三者による貢献

3.3.収入への影響の概算

立法府の財務報告書

1.提案/イニシアチブの枠組み

1.1.提案/イニシアティブのタイトル

人工知能に関する調和のとれた規則(人工知能法)を定め、特定の連邦立法を改正する欧州議会および理事会規則

1.2.関係する政策分野

通信ネットワーク、コンテンツ、技術

内部市場、産業、起業家精神、中小企業。

予算への影響は、EU AI委員会への支援を含む、欧州委員会に委ねられた新たな任務に関するものである。

活動内容 活動:欧州のデジタルな未来の形成。

1.3.提案/イニシアチブは以下に関するものである。

X 新しい活動

パイロット・プロジェクトや準備段階のアクションの後に行われる新しいアクション

◻ 既存のアクションの延長線上にあるもの

◻︎新しいアクションに向けたアクション

1.4.目的(複数可)

1.4.1.一般的な目的

1.4.1.一般的な目的 介入の一般的な目的は、欧州連合における信頼できる人工知能の開発と使用のための条件を整えることにより、単一市場の適切な機能を確保することである。

1.4.2.特定の目的(複数可)

具体的目的No1

市場に投入され使用されるAIシステムが安全であり、基本的権利に関する既存の法律とEUの価値観を尊重することを保証するために、AIシステムに特有の要件と、すべてのバリューチェーン参加者に対する義務を設定する。

具体的目標No2

AIシステムをEU市場に投入・使用するために従わなければならない基本的な要件、義務、適合・遵守手順を明確にすることで、AIへの投資とイノベーションを促進するための法的確実性を確保する。

具体的目標No3

適合性評価と事後監視手続き、国レベルとEUレベルの間でのガバナンスと監督のタスクの分担について、新たな権限、リソース、明確なルールを関連当局に提供することで、AIシステムに適用される基本的権利と安全要件に関する既存の法律のガバナンスと効果的な執行を強化する。

具体的目標No4

基本的権利と安全性に関する既存の法律を遵守して、AIシステムがEU市場に置かれ使用されるための最低要件を設定するためのEUの行動をとることにより、合法的で安全かつ信頼できるAIアプリケーションのための単一市場の発展を促進し、市場の断片化を防止する。

1.4.3.期待される結果と影響

提案/イニシアティブが対象とする受益者/グループに与えるべき効果を明記する。

AIサプライヤーは、最小限かつ明確な要求事項により、法的確実性が生まれ、単一市場全体へのアクセスが確保されるという恩恵を受けるべきである。

AIユーザーは、購入したハイリスクのAIシステムが欧州の法律や価値観に適合しているという法的確実性から恩恵を受けるべきである。

消費者は、安全性や基本的権利の侵害のリスクを軽減することで利益を得るべきである。

1.4.4.パフォーマンスの指標

提案/イニシアティブの実施状況を監視するための指標を明示する。

指標1

重大インシデントまたは基本的権利の義務違反を構成するAIパフォーマンスの数(半年ごと)アプリケーションの分野別に、a)絶対値で、b)展開されたアプリケーションの割合で、c)関係する市民の割合で算出した。

指標2

a) EUにおけるAI投資総額(年間)

b) 加盟国別のAI投資総額(年間)

c) AIを利用している企業の割合(年間)

d) AIを利用している中小企業の割合(年間)

a)とb)は公式資料に基づいて算出し、民間の推計値と比較する。

c)およびd)は、定期的な企業調査によって収集される。

1.5.提案/イニシアチブの根拠

1.5.1.取り組みの実施に向けた詳細なスケジュールを含む、短期的または長期的に達成すべき要件

本規則は、その採択から1年半後には完全に適用されるべきである。ただし、それ以前にガバナンス構造の要素が整備されている必要がある。特に、加盟国は、既存の当局を任命し、および/または、法律で定められたタスクを実行する新しい当局を設立し、EU AI委員会が設立され、効果を発揮する必要があります。適用時期までに、欧州のAIシステムのデータベースが完全に作動していなければならない。そのため、採用プロセスと並行して、規制の発効時にはデータベースの開発が終了しているようにする必要がある。

1.5.2.組合の関与による付加価値(調整の利益、法的確実性、より大きな有効性又は相補性など、様々な要因から生じる可能性がある)。ここでいう「EUの関与による付加価値」とは、EUの介入によってもたらされた価値であり、加盟国のみで創出されたであろう価値に追加されるものである。

潜在的に乖離した国内規則のパッチワーク的な枠組みが出現すると、EU全域でのAIシステムのシームレスな提供が妨げられ、異なる加盟国間での基本的権利とEUの価値の安全と保護を確保する効果がない。AIに関するEU共通の立法措置は、域内市場を活性化させ、欧州の産業界にグローバルな競争力と、個々の加盟国だけでは達成できない規模の経済性をもたらす大きな可能性を秘めている。

1.5.3.過去の同様の経験から得られた教訓

電子商取引指令2000/31/ECは、単一市場の機能とデジタルサービスの監督のための中核的な枠組みを提供し、デジタルサービスに適用されるすべての要件を原則的にカバーする加盟国間の一般的な協力メカニズムのための基本構造を設定している。指令の評価では、この協力メカニズムのいくつかの側面に欠点があることが指摘されています。これには、加盟国からの回答のための明確な時間枠がないことや、相手国からの要求に対する一般的な応答性の欠如など、重要な手続き上の側面が含まれています。このため、国境を越えてデジタルサービスを提供するプロバイダーに関する懸念に対処する上で、加盟国間の信頼が長年にわたって欠如していました。指令の評価では、欧州レベルで差別化された一連のルールと要件を定義する必要性が示された。このため、本規則に定められた特定の義務を履行するには、EUレベルで特定の責任機関の調整を確保するガバナンス構造を備えた、EUレベルでの特定の協力メカニズムが必要となる。

1.5.4.多年次財政フレームワークとの整合性および他の適切な手段との相乗効果の可能性

人工知能に関する調和のとれた規則を定め、特定の連邦立法を改正する規則」は、既存の法律が提供する枠組みをはるかに超える、人工知能システムに適用される要件の新しい共通の枠組みを定めている。このため、本提案では、国内および欧州における新たな規制・調整機能を確立する必要がある。

他の適切な手段との可能な相乗効果に関しては、国レベルでの通知機関の役割は、他のEU規制の下で同様の機能を果たしている国の当局が行うことができる。

さらに、AIへの信頼を高め、AIの開発や導入への投資を促進することで、AIの普及促進を5つの優先事項の1つとしている「デジタル・ヨーロッパ」を補完するものである。

1.5.5.再配置の余地を含む、利用可能なさまざまな資金調達方法の評価

スタッフは再配置されます。この規制の目的である信頼できるAIの確保は、デジタルヨーロッパの重要な目的の1つである欧州におけるAIの開発と展開の加速に直接貢献することから、その他の費用はDEP.エンベロープから支援される。

1.6.提案/イニシアチブの期間と財政的影響

◻︎期間限定

◻︎有効期間:[DD/MM]YYYY年から[DD/MM]YYYY年まで

  • ◻ 1.6.2.2 財務上の影響 ◻︎コミットメントアプロプリエーションはYYYY年からYYYY年まで、ペイメントアプロプリエーションはYYYY年からYYYY年まで

X 制限のない期間

  • 1年から2年のスタートアップ期間での導入。

  • その後、本格的な運用を開始する。

1.7.計画されている管理方法 65

X 欧州委員会による直接管理

  • 欧州連合代表部のスタッフを含む、欧州連合の各部門による管理

  • ◻ 執行機関による管理

◻︎加盟国との共同管理

◻︎第三国またはその機関に予算執行業務を委託することによる間接的な管理

◻︎第三国または第三国が指定した機関。

◻︎国際機関およびその機関(指定される)。

◻︎EIBおよび欧州投資基金

  • ◻ EIBおよび欧州投資基金、◻︎金融規則第70条および第71条で言及されている機関。

◻︎公法上の機関

  • ◻ 十分な財政的保証を提供する限りにおいて、公共サービスを使命とする私法上の機関 ◻︎私法上の機関

  • ◻ 官民パートナーシップの実施を委託され、適切な財政的保証を提供する、加盟国の私法に準拠する機関

  • ◻ TEUタイトルVに従い、CFSPにおける特定の行動の実施を委託され、関連する基本法で特定された者。

  • 複数の管理モードが示されている場合は、「コメント」欄に詳細を記入してください。

コメント

2.管理手段

2.1.モニタリング及び報告の規則

頻度と条件を明記する。

本規則は、発効から5年後に見直しと評価を行う。欧州委員会は、評価結果を欧州議会、理事会、欧州経済社会委員会に報告する。

2.2.管理・統制システム(複数可)

2.2.1.提案されている管理方法、資金実施メカニズム、支払い方法、管理戦略の正当化

本規則は、安全性と基本的権利の尊重を確保しつつ、域内市場で人工知能システムを提供するための調和のとれた規則に関して、新たな方針を定めています。この新しい規則は、各国当局の活動を調整する新しい諮問グループの形で、この規則に基づく義務を国境を越えて適用するための整合性メカニズムを必要とします。

このような新しい任務に取り組むためには、欧州委員会のサービスを適切に提供することが必要である。新規則の施行には、10FTAの体制が必要になると見積もられている(理事会の活動の支援に5FTA、欧州連合の機関が導入したAIシステムの通知機関として活動する欧州データ保護監督官に5FTA)。

2.2.2.特定されたリスクおよびそのリスクを軽減するために設定された内部統制システムに関する情報

理事会のメンバーが事実に基づく分析を行う可能性を確保するために、理事会は欧州委員会の行政組織によって支援されるべきであり、必要に応じて追加の専門知識を提供するために専門家グループを設置することが想定されている。

2.2.3.管理の費用対効果(「管理コスト÷管理されている関連資金の価値」の比率)の推定と正当化、および予想されるエラーのリスクレベルの評価(支払い時および閉鎖時)。

会議の支出については、1件あたりの金額が低いため(例:会議に参加した代表者の旅費の返金)、標準的な管理手続きで十分と思われる。データベースの開発に関しては、契約帰属は集中的な調達活動によりDG CNECTに強力な内部統制システムが導入されている。

2.3.不正行為を防止するための措置

不正防止戦略などから、既存または想定される防止・保護策を明記する。

欧州委員会に適用される既存の不正防止策は、本規則に必要な追加予算をカバーする。

3.提案/イニシアティブの推定財務的影響

3.1.影響を受ける多年次財政フレームワークの見出しおよび支出予算枠

  • 既存の予算枠

多年次財政フレームワークの見出しと予算枠の順に記載する。

複数年の財政フレームワークの見出し

予算ライン

支出の種類 支出

貢献度

数 拡散/非拡散 66

EFTA諸国から 67

候補国から 68

第三国から

金融規制法第21条(2)(b)の意味における

7

20 02 06 管理費

非拡散

NO

NO

NO

NO

1

02 04 03 DEP 人工知能

デフ

YES

NO

NO

NO

1

02 01 30 01 デジタル・ヨーロッパ・プログラムのためのサポート支出

非拡散

YES

NO

NO

NO

3.2.提案の充当金に対する財務上の影響の見積もり

3.2.1.運用資金の支出に対する推定影響の概要

◻︎提案/イニシアティブは、運用資金の使用を必要としない。

  • X 提案/イニシアティブは、以下に説明するように、業務上の充当金の使用を必要とする。

百万ユーロ(小数点以下3桁まで)

複数年財政枠組みの見出し 枠組み

1

DG: CNECT

年 2022

年 2023

年 2024

年 2025

年 2026

年 2027 69

合計

予算ライン 70 02 04 03

コミットメント

(1a)

1.000

1.000

支払い

(2a)

0.600

0.100

0.100

0.100

0.100

1.000

予算枠

コミットメント

(1b)

支払い

(2b)

特定プログラムのエンベロープから調達された管理的性質の充当物 71

予算ライン 02 01 30 01

(3)

0.240

0.240

0.240

0.240

0.240

1.200

総括予算 DG CNECTのための

コミットメント

=1a+1b +3

1.240

0.240

0.240

0.240

2.200

支払い

=2a+2b

+3

0.840

0.340

0.340

0.340

0.340

2.200

コミットメント

(4)

1.000

1.000

支払い

(5)

0.600

0.100

0.100

0.100

0.100

1.000

  • 特定プログラム用エンベロープから調達された事務的性質の充当金合計

(6)

0.240

0.240

0.240

0.240

0.240

1.200

充当金合計 頭文字1の 多年度財務枠組みの見出し1の下での充当額

コミットメント

=4+ 6

1.240

0.240

0.240

.0.240

0.240

2.200

支払い

=5+ 6

0.840

0.340

0.340

0.340

0.340

2.200

その提案/イニシアチブが複数の見出しに影響を与える場合は、上記のセクションを繰り返してください。

  • オペレーショナル・アプロプリエーション合計(すべてのオペレーショナル・ヘッドイング)

コミットメント

(4)

支払い

(5)

  • 特定プログラム用エンベロープからの資金調達による行政的性質の充当総額(すべての業務別見出し)

(6)

充当金合計 多年度財政枠組みの見出し1から6までの 多年資金枠の見出し1から6までの充当総額 (参考値)

コミットメント

=4+ 6

支払い

=5+ 6

複数年の財政枠組みの見出し フレームワーク

7

行政支出」について

このセクションは、サービス間協議の目的でDECIDEにアップロードされる「立法財務諸表の附属書」(内規の附属書V)で最初に紹介される「行政的性質の予算データ」を用いて記入する。

EUR million (小数点以下3桁まで)

年 2023

年 2024

年 2025

年 2026

2027年

2027年以降 72

合計

DG: CNECT

  • 人的資源

0.760

0.760

0.760

0.760

0.760

0.760

3.800

  • その他の管理費

0.010

0.010

0.010

0.010

0.010

0.010

0.050

合計 DG CNECT

収支

0.760

0.760

0.760

0.760

0.760

0.760

3.850

欧州データ保護監督官

  • 人的資源

0.760

0.760

0.760

0.760

0.760

0.760

3.800

  • その他の管理費

EDPS合計

充当金

0.760

0.760

0.760

0.760

0.760

0.760

3.800

充当金合計 セクション7の 多年度資金枠組みの見出し7の下での充当総額

(コミットメント合計=支払い合計)

1.530

1.530

1.530

1.530

1.530

1.530

7.650

百万ユーロ(小数点以下第三位まで)

年 2022

年 2023

年 2024

年 2025

2026年

2027年

合計

充当金 見出し1から7までの 多年度財務枠組みの見出し1から7までの合計

コミットメント

2.770

1.770

1.770

1.770

1.770

9.850

ペイメント

2.370

1.870

1.870

1.870

1.870

9.850

3.2.2.業務委託費で賄われるアウトプットの推定値

コミットメント計上額(単位:百万ユーロ、小数点以下3桁まで)

目的とアウトプットを示す

年 2022

年 2023

年 2024

年 2025

年 2026

年 2027

以降 2027 73

合計

発行済株式数

タイプ

平均コスト

なし

コスト

いいえ

コスト

いいえ

コスト

コストなし

コスト

コストなし

コスト

コストなし

コスト

コストなし

コスト

Total No

コスト合計

SPECIFIC OBJECTIVE No 1 74 ...

データベース

1

1.000

1

1

1

1

1

0.100

1

1.000

ミーティング-アウトプット

10

0.200

10

0.200

10

0.200

10

0.200

10

0.200

10

0.200

50

1.000

コミュニケーション活動

2

0.040

2

0.040

2

0.040

2

0.040

2

0.040

2

0.040

10

0.040

特定目的第1号の小計

特定の目的のために No 2 ...

  • 出力

特定の目的のための小計 No.2

合計

13

0.240

13

0.240

13

0.240

13

0.240

13

0.240

13

0.100

65

2.200

3.2.3.行政処分への影響評価のまとめ

◻︎提案/イニシアティブは、行政的性質の充当を必要としない。

  • X 提案/イニシアティブは、以下に説明されているように、管理的性質の充当物の使用を必要とする。

EUR million (to 3 decimal places)

年 2022

年 2023

年 2024

年 2025

年 2026

年 2027

年以降

2027 75

合計

見出し7 多年度財務枠組みの

人的資源

1.520

1.520

1.520

1.520

1.520

1.520

7.600

その他の管理費

0.010

0.010

0.010

0.010

0.010

0.010

0.050

サブトータル HEADING 7 多年度財務枠組みの

1.530

1.530

1.530

1.530

1.530

1.530

7.650

見出し外 7 76 複数年の財務枠組みの

人的資源

その他の支出 管理的性質のもの

0.240

0.240

0.240

0.240

0.240

0.240

1.20

サブトータル HEADING 7の外 多年度財務枠組みの

0.240

0.240

0.240

0.240

0.240

0.240

1.20

合計

1.770

1.770

1.770

1.770

1.770

1.770

8.850

人的資源およびその他の管理的性質の支出に必要な充当金は、活動の管理にすでに割り当てられている、および/またはDG内で再配置されているDGからの充当金と、必要に応じて、年次割り当て手続きの下で、予算の制約に照らして管理DGに付与される可能性のある追加割り当てによって満たされる。

3.2.3.1.人的資源の必要性の見積もり

◻︎この提案/イニシアティブは人的資源の使用を必要としない。

  • X 提案/イニシアティブは、以下に説明するように、人的資源の使用を必要とする。

見積もりは、フルタイムの等価単位で表現すること

.

年 2023

2024年

2025年

2026

2027

2027年以降 77

  • 設立計画ポスト(職員・臨時職員)

20 01 02 01(本部および委員会の代表事務所)

10

10

10

10

10

10

20 01 02 03 (デレゲーション)

01 01 01 01(インダイレクト・リサーチ)

01 01 01 11 (直接研究)

その他の予算枠(具体的に)

  • 外部スタッフ(単位:Full Time Equivalent unit: FTE) 78

20 02 01 (AC, END, INT from the 'global envelope')

20 02 03 (代表団のAC、AL、END、INT、JPD)

XX 01 xx yy zz 79

01 01 01 02 (AC, END, INT - 間接的な研究)

01 01 01 12 (AC, END, INT - 直接研究)

その他の予算枠(具体的に)

合計

10

10

10

10

10

10

XXは、関連する政策分野または予算タイトルである。

必要とされる人的資源は、すでに行動の管理に割り当てられている、あるいは総局内で再配置されている総局のスタッフによって賄われ、必要に応じて、年次割り当て手続きの下で、予算の制約を考慮して管理総局に付与される追加の割り当ても行われることになる。

EDPSは必要なリソースの半分を提供することが期待される。

実施されるタスクの説明

職員および臨時職員

合計13~16回の会議を準備し、報告書を作成し、ハイリスクAIアプリケーションのリストの将来的な修正などに関する政策作業を継続し、加盟国当局との関係を維持するためには、4名のADFTEと1名のASTFTEが必要となります。

EU機関が開発したAIシステムについては、欧州データ保護監督官が責任を負う。過去の経験に基づいて、草案の下でEDPSの責任を果たすためには、5人のAD FTEが必要であると推定することができます。

外部スタッフ

3.2.4.現行の多年度財政フレームワークとの整合性

本提案/イニシャティブは

  • Xは、多年財政枠組み(MFF)の関連する見出しの中で、再配置により全額を賄うことができる。

リプログラムの必要はありません。

  • ◻︎は、MFFの関連する見出しの下で未割当のマージンを使用するか、またはMFF規則に定義されている特別な手段を使用する必要がある。

関連する見出しと予算枠、対応する金額、使用が提案されている手段を明示して、必要なことを説明する。

  • ◻ この場合、MFFの改訂が必要となる。

3.2.5.第3者機関との関係について

3.2.5.第三者による貢献

提案/イニシアティブの場合

  • Xは、第三者による共同出資を規定していない。

3.2.5.第三者からの資金提供: -◻︎第三者からの資金提供は以下のように見積もられる。

単位:百万ユーロ(小数点以下3桁まで)

年 N 80

年 N+1

年 N+2

年 N+3

影響の継続時間を示すために必要な年数を入力してください(ポイント1.6を参照)。

合計

共同出資者を指定する

共同出資した予算の合計

3.3.収益への影響の見積もり

  • ◻︎この提案/イニシアティブは、以下のような財務上の影響があります。

3.3.3.1 収入への影響 -◻︎この提案/イニシアティブは以下のような財務上の影響があります。

  • ◻ その他の収入への影響

3.3.3.1 収入への影響: -◻︎他の収入への影響

  • 収入が支出ラインに割り当てられている場合は、その旨を記入してください。

EUR million (to 3 decimal places)

予算収入ライン。

当会計年度に利用可能な収用金

提案/イニシアティブの影響 81

年 N

年 N+1

年 N+2

年 N+3

影響の継続時間を示すために必要な年数を入力する(ポイント1.6参照)。

記事 .............

割り当てられた収入については、影響を受ける予算支出項目を特定する。

その他の備考(例:収入への影響を計算するために使用した方法/公式、またはその他の情報)。

(1) https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf (2) 欧州委員会人工知能に関する白書-卓越性と信頼への欧州的アプローチ、COM(2020) 65 final、2020年。 (3) 欧州理事会欧州理事会特別会合(2020年10月1日、2日)-結論 , EUCO 13/20, 2020, p.6. (4) European Parliament resolution of 20 October 2020 with recommendations to the Commission on a framework of ethical aspects of artificial intelligence, robotics and related technologies, 2020/2012(INL). (5) 欧州理事会欧州理事会(2017年10月19日)-結論 EUCO 14/17, 2017, p.8. (6) 欧州連合理事会人工知能b)人工知能に関する調整計画に関する結論-採択6177/19、2019年。 (7) 欧州理事会欧州理事会特別会合(2020年10月1日、2日)-結論EUCO 13/20、2020年。 (8) 欧州連合理事会、議長国結論-人工知能とデジタル変革の文脈における基本権憲章 , 11481/20, 2020. (9) 2020年10月20日欧州議会決議「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」、2020/2012(INL) . (10) 人工知能の民事責任体制に関する2020年10月20日欧州議会決議、2020/2014(INL). (11) 人工知能技術の開発のための知的財産権に関する2020年10月20日欧州議会決議、2020/2015(INI). (12) 欧州議会ドラフトレポート、刑事法における人工知能と、刑事問題における警察と司法当局によるその使用、2020/2016(INI) . (13) 欧州議会ドラフトレポート、教育・文化・視聴覚部門における人工知能、2020/2017(INI) . これに関連して、欧州委員会は「デジタル教育行動計画2021-2027:デジタル時代のための教育と訓練のリセット」を採択し、教育におけるAIとデータの利用における倫理的ガイドラインの策定を予見している - Commission Communication COM(2020) 624 final. (14) 信用機関の活動へのアクセス及び信用機関及び投資会社の健全な監督に関する2013年6月26日の欧州議会及び理事会の指令2013/36/EU、指令2002/87/ECの改正及び指令2006/48/EC及び2006/49/ECの廃止 EEA関連のテキスト、OJ L 176, 27.6.2013, p. 338-436. (15) 域内市場における情報社会サービス、特に電子商取引の特定の法的側面に関する 2000 年 6 月 8 日の欧州 議会と欧州理事会の指令 2000/31/EC(「電子商取引に関する指令」)、OJ L 178, 17.7.2000, p. 1-16。 (16) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC COM/2020/825 final を参照のこと。 (17) 欧州委員会のコミュニケーション、Shaping Europe's Digital Future、COM/2020/67 final。 (18) 2030 Digital Compass: The European way for the Digital Decade . (19) 欧州のデータガバナンスに関する規制の提案(データガバナンス法) COM/2020/767 . (20) オープンデータと公共部門情報の再利用に関する2019年6月20日欧州議会と理事会の指令(EU) 2019/1024, PE/28/2019/REV/1, OJ L 172, 26.6.2019, p. 56-83. (21) 欧州委員会コミュニケーション、A European strategy for data COM/2020/66 final. (22) すべての協議結果はこちら。 (23) 欧州委員会、Building Trust in Human-Centric Artificial Intelligence , COM(2019) 168. (24) HLEG, Ethics Guidelines for Trustworthy AI , 2019. (25) HLEG, Assessment List for Trustworthy Artificial Intelligence (ALTAI) for self-assessment , 2020. (26) AIアライアンスは、2018年6月に発足したマルチステークホルダーフォーラムで、AIアライアンス https://ec.europa.eu/digital-single-market/en/european-ai-alliance (27) 欧州委員会、Inception Impact Assessment For a Proposal for a legal act of the European Parliament and the Council laying down requirements for Artificial Intelligence .
(28) 実施されたすべての協議の詳細については、影響評価の附属書2を参照。 (29) High-Level Expert Group on Artificial Intelligence, Ethics Guidelines for Trustworthy AI , 2019. (30) これらは、2019年のCommunication on human-centric approach to AIにおいても欧州委員会によって承認された。 (31) OJ C [...], [...], p. [...]. (32) OJ C [...], [...], p. [...]. (33) 欧州理事会欧州理事会特別会合(2020年10月1日、2日)-結論、EUCO 13/20, 2020, p. 6. (34) 人工知能、ロボット工学および関連技術の倫理的側面の枠組みに関する欧州委員会への勧告を伴う2020年10月20日欧州議会決議、2020/2012(INL). (35) 個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会の規則(EU)2016/679、及び指令95/46/EC(一般データ保護規則)の廃止(OJ L 119, 4.5.2016, p. 1)。 (36) 2018年10月23日の欧州議会及び理事会の規則(EU) 2018/1725は、EUの機関、団体、事務所及び機関による個人データの処理に関する自然人の保護並びに当該データの自由な移動に関するものであり、規則(EC) No 45/2001及び決定No 1247/2002/ECを廃止するものである(OJ L 295, 21.11.2018, p. 39) (37) 2016年4月27日の欧州議会及び理事会の指令(EU)2016/680は、刑事犯罪の予防、捜査、検出又は起訴、又は刑事罰の執行を目的とする管轄当局による個人データの処理に関する自然人の保護、及び当該データの自由な移動に関するものであり、理事会枠組み決定2008/977/JHA(法執行指令)を廃止するものである(OJ L 119, 4.5.2016, p. 89)。 (38) 欧州逮捕令状及び加盟国間の引き渡し手続きに関する2002年6月13日の理事会枠組み決定2002/584/JHA(OJ L 190, 18.7.2002, p. 1)。 (39) 民間航空セキュリティ分野の共通規則に関する 2008 年 3 月 11 日付欧州議会および理事会規則(EC)No 300/2008、および規則(EC)No 2320/2002 の廃止(OJ L 97, 9.4.2008, p.72)。 (40)農業・林業用車両の承認と市場監視に関する2013年2月5日の欧州議会及び理事会の規則(EU)No167/2013(OJ L 60, 2.3.2013, p. 1)。 (41) 二輪又は三輪自動車及び四輪自動車の承認及び市場監視に関する2013年1月15日の欧州議会及び理事会の規則(EU)No168/2013(OJ L 60, 2.3.2013, p.52)。 (42) 海洋機器に関する2014年7月23日の欧州議会及び理事会の指令2014/90/EU、及び理事会指令96/98/ECの廃止(OJ L 257, 28.8.2014, p. 146)。 (43) 欧州連合内の鉄道システムの相互運用性に関する2016年5月11日の欧州議会及び理事会の指令(EU)2016/797(OJ L 138, 26.5.2016, p.44)。 (44) 自動車及びそのトレーラー、並びに当該自動車を対象とするシステム、コンポーネント及び個別技術ユニットの承認及び市場監視に関する2018年5月30日の欧州議会及び理事会の規則(EU) 2018/858、規則(EC) No 715/2007及び(EC) No 595/2009を改正し、指令2007/46/ECを廃止する(OJ L 151, 14.6.2018, p. 1)。 (45) 民間航空の分野における共通規則及び欧州連合航空安全庁の設立に関する2018年7月4日の欧州議会及び理事会の規則(EU) 2018/1139、及び規則(EC) No 2111/2005、(EC) No 1008/2008、(EU) No 996/2010の改正。(EU) No 376/2014および欧州議会と理事会の指令2014/30/EUと2014/53/EUを改正し、欧州議会と理事会の規則(EC) No 552/2004と(EC) No 216/2008および理事会規則(EEC) No 3922/91を廃止する(OJ L 212, 22. 8.2018, p. 1). (46)2019年11月27日の欧州議会および理事会の規則(EU)2019/2144は、自動車およびそのトレーラー、ならびにこれらの自動車を対象としたシステム、コンポーネントおよび個別の技術ユニットの一般的な安全性および自動車の乗員および交通弱者の保護に関する型式承認要件について、欧州議会および理事会の規則(EU)2018/858を改正し、規則(EC)No78/2009を廃止した。(欧州議会および理事会の規則(EC)No.78/2009、(EC)No.79/2009、(EC)No.661/2009、および委員会規則(EC)No.631/2009、(EU)No.406/2010、(EU)No.672/2010、(EU)No.1003/2010、(EU)No.1005/2010。(EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011, (EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012, (EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16. 12.2019, p. 1). (47) 医療機器に関する2017年4月5日の欧州議会及び理事会の規則(EU) 2017/745は、指令2001/83/EC、規則(EC) No 178/2002及び規則(EC) No 1223/2009を改正し、理事会指令90/385/EEC及び93/42/EECを廃止するものである(OJ L 117, 5.5.2017, p. 1)。 (48) 体外診断用医療機器に関する2017年4月5日の欧州議会及び理事会の規則(EU)2017/746、及び指令98/79/EC及び委員会決定2010/227/EUを廃止する(OJ L 117, 5.5.2017, p. 176)。 (49) 国際的な保護の付与及び撤回のための共通手続に関する2013年6月26日の欧州議会及び理事会の指令2013/32/EU(OJ L 180, 29.6.2013, p. 60)。 (50)2009年7月13日付欧州議会および理事会規則(EC)No 810/2009は、ビザに関する共同体コード(Visa Code)を制定した(OJ L 243, 15.9.2009, p. 1)。 (51) 製品のマーケティングに関する認定および市場監視の要件を定め、規則(EEC)No 339/93 を廃止する 2008 年 7 月 9 日の欧州議会および理事会の規則(EC)No 765/2008(OJ L 218, 13.8.2008, p.30)。 (52) 製品のマーケティングに関する共通の枠組みに関する 2008 年 7 月 9 日の欧州議会および欧州理事会の決 定第 768/2008/EC で、理事会決定 93/465/EEC が廃止された(OJ L 218, 13.8.2008, p.82)。 (53) 製品の市場監視とコンプライアンスに関する2019年6月20日欧州議会及び理事会の規則(EU) 2019/1020、並びに指令2004/42/EC及び規則(EC) No 765/2008及び(EU) No 305/2011を改正する(EEA関連のテキスト)(OJ L 169, 25.6.2019, p. 1-44) (54) 欧州標準化に関する2012年10月25日付欧州議会および理事会規則(EU) No 1025/2012は、理事会指令89/686/EECおよび93/15/EEC、指令94/9/EC、94/25/EC、95/16/EC、97/23/EC、98/34/EC、2004/22/EC、2007/23/EC、2009/23/EC、2009/105/ECを改正し、欧州議会および理事会の理事会決定87/95/EECおよび欧州議会および理事会決定No1673/2006/ECを廃止する(OJ L 316, 14. 11.2012, p. 12). (55) 個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会の規則(EU)2016/679、及び指令95/46/EC(一般データ保護規則)の廃止(OJ L 119, 4.5.2016, p. 1)。 (56) 信用機関の活動へのアクセスと信用機関及び投資会社のプルデンシャル監督に関する2013年6月26日の欧州議会及び理事会の指令2013/36/EUは、指令2002/87/ECを改正し、指令2006/48/EC及び2006/49/ECを廃止する(OJ L 176, 27.6.2013, p. 338)。 (57) 一般的な製品安全に関する 2001 年 12 月 3 日の欧州議会及び理事会の指令 2001/95/EC (OJ L 11, 15.1.2002, p. 4). (58) OJ L 123, 12.5.2016, p. 1. (59) 2011年2月16日の欧州議会及び欧州理事会の規則(EU)No182/2011は、欧州委員会の実施権限の行使を加盟国が制御するためのメカニズムに関する規則と一般原則を定めている(OJ L 55, 28.2.2011, p.13)。 (60) 域内市場における情報社会サービス、特に電子商取引の特定の法的側面に関する 2000 年 6 月 8 日 の欧州議会欧州理事会の指令 2000/31/EC(「電子商取引に関する指令」)(OJ L 178, 17.7.2000, p.1)。 (61) 零細企業、中小企業の定義に関する 2003 年 5 月 6 日付け欧州委員会勧告(OJ L 124, 20.5.2003, p. 36)。 (62) 欧州逮捕状及び加盟国間の引き渡し手続きに関する2002年6月13日の理事会枠組決定2002/584/JHA(OJ L 190, 18.7.2002, p.1). (63) ENISA(欧州連合サイバーセキュリティ機関)及び情報通信技術のサイバーセキュリティ認証に関する2019年4月17日の欧州議会及び理事会の規則(EU)2019/881及び規則(EU)No526/2013(サイバーセキュリティ法)の廃止(OJ L 151, 7.6.2019, p.1)。 (64) 金融規制法第54条(2)項(a)または(b)で言及されているもの
(65) 管理モードの詳細および金融規制への参照は、BudgWebサイト(http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html)で確認できる。 (66) Diff.=差別化された充当金/Nondiff.=差別化されていない充当金。 (67) EFTA: European Free Trade Association(欧州自由貿易連合)。 (68) 候補国、および該当する場合は西バルカン諸国の潜在的候補国。 (69) 指標であり、予算の空き状況による。 (70) 公式の予算命名法による。 (71) 技術的および/または行政的支援、ならびにEUのプログラムおよび/または行動(旧「BA」行)の実施を支援するための支出、間接研究、直接研究。 (72) この欄の数字はすべて参考値であり、プログラムの継続と予算の利用可能性を条件とする。 (73) この欄の数字はすべて参考値であり、プログラムの継続と予算の利用可能性に左右される。 (74) 1.4.2項で述べたとおりである。特定の目的...」。 (75) この欄の数値はすべて指標であり、プログラムの継続と予算の利用可能性を条件とする。 (76) 技術的および/または行政的な支援と、EUのプログラムおよび/または行動(旧「BA」ライン)の実施を支援するための支出、間接研究、直接研究。 (77) この欄の数字はすべて参考値であり、プログラムの継続と予算の利用可能性を条件とする。 (78) AC=契約スタッフ、AL=現地スタッフ、END=第二国専門家、INT=代理店スタッフ、JPD=代表団のジュニア専門家。 (79) 業務上の充当金(旧「BA」ライン)でカバーされる外部スタッフのためのサブシーリング。 (80) N年とは、提案/イニシアティブの実施が開始される年である。N "を予想される実施初年度に置き換えてください(例:2021年)。それ以降についても同様です。 (81) 伝統的な自主財源(関税、砂糖の賦課金)については、表示される金額は純額でなければならない。すなわち、徴収費用として20%を控除した後の総額でなければならない。

ヨーロッパの旗EUROPEAN COMMISSION

ブリュッセル, 21.4.2021

COM(2021) 206 ファイナル

附属書

の付録

欧州議会および欧州理事会の規則に関する提案

人工知能に関する調和のとれた規則(人工知能法)を規定し、特定の組合立法を改正する。

{SEC(2021) 167 final} - {SWD(2021) 84 final} - {SWD(2021) 85 final}。

ANNEX I 人工知能の技術とアプローチ 第3条第1項で言及されている

(a)ディープラーニングを含む多種多様な手法を用いた、教師付き学習、教師なし学習強化学習を含む機械学習アプローチ。

(b)知識表現、帰納的(論理的)プログラミング、知識ベース、推論・演繹エンジン、(記号的)推論、エキスパートシステムなど、論理・知識ベースのアプローチ。

(c)統計的アプローチ、ベイズ推定、探索・最適化手法

附属書II 組合の整合性確保のための法律のリスト セクション A - 新法制フレームワークに基づく組合の整合性確保のための法律のリスト

1.機械に関する2006年5月17日の欧州議会及び理事会の指令2006/42/EC、及び指令95/16/ECの改正(OJ L 157, 9.6.2006, p. 24)[機械規則によって廃止されたもの];

2.玩具の安全性に関する2009年6月18日の欧州議会及び理事会の指令2009/48/EC(OJ L 170, 30.6.2009, p. 1)。

3.レクリエーションクラフトおよびパーソナルウォータークラフトに関する2013年11月20日欧州議会および理事会の指令2013/53/EU、および指令94/25/ECの廃止(OJ L 354, 28.12.2013, p. 90)

4.リフト及びリフト用安全部品に関連する加盟国の法律の調和に関する2014年2月26日の欧州議会及び理事会の指令2014/33/EU(OJ L 96, 29.3.2014, p. 251)。

5.爆発のおそれのある大気中での使用を意図した機器および保護システムに関する加盟国の法律の調和に関する2014年2月26日の欧州議会および理事会の指令2014/34/EU(OJ L 96, 29.3.2014, p.309)。

6.無線機器の市場での入手可能性に関連する加盟国の法律の調和に関する2014年4月16日の欧州議会及び理事会の指令2014/53/EU、及び指令1999/5/ECの廃止(OJ L 153, 22.5.2014, p.62)。

7.圧力機器の市場での利用可能化に関連する加盟国の法律の調和に関する2014年5月15日の欧州議会及び理事会の指令2014/68/EU(OJ L 189, 27.6.2014, p. 164)。

8.索道設備に関する2016年3月9日の欧州議会および理事会の規則(EU)2016/424、および指令2000/9/ECの廃止(OJ L 81, 31.3.2016, p. 1)。

9.個人用保護具に関する2016年3月9日の欧州議会および理事会の規則(EU)2016/425、および理事会指令89/686/EECの廃止(OJ L 81, 31.3.2016, p.51)。

10.ガス状燃料を燃焼する器具に関する2016年3月9日の欧州議会および理事会の規則(EU)2016/426、および指令2009/142/ECの廃止(OJ L 81, 31.3.2016, p.99)。

11.医療機器に関する2017年4月5日の欧州議会および理事会の規則(EU)2017/745、指令2001/83/EC、規則(EC)No178/2002および規則(EC)No1223/2009を改正し、理事会指令90/385/EECおよび93/42/EECを廃止する(OJ L 117, 5.5.2017, p.1;

12.体外診断用医療機器に関する2017年4月5日の欧州議会および理事会の規則(EU)2017/746と、指令98/79/ECおよび委員会決定2010/227/EUの廃止(OJ L 117, 5.5.2017, p.176)。

セクションB.他のEU調和法のリスト

1.民間航空セキュリティ分野の共通規則に関する2008年3月11日の欧州議会および理事会の規則(EC)No300/2008、および規則(EC)No2320/2002の廃止(OJ L 97, 9.4.2008, p.72)。

2.二輪・三輪自動車及び四輪自動車の承認及び市場監視に関する2013年1月15日付欧州議会及び理事会規則(EU)No168/2013(OJ L 60, 2.3.2013, p.52)。

3.農業用及び林業用車両の承認及び市場監視に関する2013年2月5日の欧州議会及び理事会の規則(EU)No167/2013(OJ L 60, 2.3.2013, p. 1)。

4.海洋機器に関する2014年7月23日の欧州議会および理事会の指令2014/90/EU、および理事会指令96/98/ECの廃止(OJ L 257, 28.8.2014, p. 146);

5.欧州連合内の鉄道システムの相互運用性に関する2016年5月11日の欧州議会および理事会の指令(EU)2016/797(OJ L 138, 26.5.2016, p.44)。

6.自動車およびそのトレーラー、ならびに当該自動車を対象とするシステム、コンポーネントおよび個別の技術ユニットの承認および市場監視に関する2018年5月30日の欧州議会および理事会の規則(EU)2018/858、規則(EC)No715/2007および(EC)No595/2009を改正し、指令2007/46/ECを廃止する(OJ L 151, 14.6.2018, p.1)、3. 2019年11月27日の欧州議会および理事会の規則(EU)2019/2144は、自動車およびそのトレーラー、ならびにこれらの自動車を対象としたシステム、コンポーネントおよび個別の技術ユニットの、一般的な安全性および自動車の乗員および交通弱者の保護に関する型式承認要件について、欧州議会および理事会の規則(EU)2018/858を改正し、規則(EC)No78/2009を廃止した。(欧州議会および理事会の規則(EC)No.78/2009、(EC)No.79/2009、(EC)No.661/2009、および委員会規則(EC)No.631/2009、(EU)No.406/2010、(EU)No.672/2010、(EU)No.1003/2010、(EU)No.1005/2010。(EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011, (EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012, (EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16. 12.2019, p. 1);

  1. 民間航空分野の共通規則及び欧州連合航空安全庁の設立に関する2018年7月4日の欧州議会及び理事会の規則(EU)2018/1139、及び規則(EC)No 2111/2005、(EC)No 1008/2008、(EU)No 996/2010の改正。(EU) No 376/2014および欧州議会と理事会の指令2014/30/EUと2014/53/EUを改正し、欧州議会と理事会の規則(EC) No 552/2004と(EC) No 216/2008および理事会規則(EEC) No 3922/91を廃止する(OJ L 212, 22. 2018.8.8, p.1)は、第2条(1)のポイント(a)及び(b)に言及された航空機の設計、製造及び市場への配置に関して、無人航空機並びにそのエンジン、プロペラ、部品及びそれらを遠隔操作するための装置に関するものである。

付属書III 第6条(2)で言及されているハイリスクAIシステム

第6条(2)に基づくハイリスクAIシステムとは、以下のいずれかの分野に記載されているAIシステムをいう。

1.自然人のバイオメトリクスによる識別およびカテゴリー化。

(a)自然人の「リアルタイム」および「ポスト」遠隔バイオメトリクス識別に使用することを意図したAIシステム。

2.重要インフラの管理と運用

(a)道路交通および水、ガス、暖房、電気の供給の管理と運営における安全部品として使用されることを意図したAIシステム。

3.教育および職業訓練

(a)教育・職業訓練機関へのアクセスを決定したり、自然人を割り当てたりする目的で使用されることを意図したAIシステム

(b)教育・職業訓練機関の学生を評価する目的、および教育機関への入学に一般的に必要とされるテストの参加者を評価する目的で使用されるAIシステム。

4.雇用、労働者管理、自営業へのアクセス

(a)自然人の採用または選考に使用されることを意図したAIシステム、特に空席の広告、応募者のスクリーニングまたはフィルタリング、面接またはテストの過程で候補者を評価するために使用される。

(b)仕事に関連した契約関係の昇進および終了の決定、仕事の割り当て、およびそのような関係にある人のパフォーマンスおよび行動の監視および評価に使用することを目的としたAI

5.基本的な民間サービスおよび公共サービスと利益へのアクセスと享受

(a)公的機関または公的機関に代わって、自然人の公的支援給付およびサービスに対する適格性を評価し、そのような給付およびサービスを付与、削減、取り消し、または要求するために使用されることを意図したAIシステム。

(b)自然人の信用度を評価したり、クレジットスコアを確立するために使用することを目的としたAIシステム(ただし、小規模なプロバイダーが自分で使用するためにサービスを開始したAIシステムは除く

(c)消防士や医療支援などの緊急初動サービスの派遣、または派遣における優先順位の設定に使用することを目的としたAIシステム。

6.法執行機関

(a)法執行機関が、自然人の犯罪や再犯のリスク、または犯罪の潜在的な被害者のリスクを評価するために、自然人の個別のリスク評価を行うために使用することを意図したAIシステム。

(b)法執行機関がポリグラフや同様のツールとして使用したり、自然人の感情状態を検出することを目的としたAIシステム。

(c)法執行機関が第52条(3)で言及されている深い偽物を検出するために使用することを意図したAIシステム。

(d)法執行機関が、刑事犯罪の捜査または起訴の過程で、証拠の信頼性を評価するために使用することを意図したAIシステム

(e)指令(EU)2016/680の第3条(4)で言及されている自然人のプロファイリングに基づいて実際の又は潜在的な刑事犯罪の発生又は再発生を予測するため、又は自然人若しくは集団の性格特性及び特徴若しくは過去の犯罪行動を評価するために法執行機関が使用することを意図したAIシステム。

(f)刑事犯罪の検知、調査又は起訴の過程で、指令(EU) 2016/680の第3条(4)項に言及される自然人のプロファイリングのために法執行機関が使用することを意図したAIシステム。

(g)自然人に関する犯罪分析に使用されることを意図したAIシステムであって、法執行機関が未知のパターンを特定したり、データに隠された関係を発見したりするために、異なるデータソース又は異なるデータフォーマットで入手可能な複雑な関連性のある大規模データセット及び関連性のない大規模データセットを検索することを可能にするもの。

7.移民、亡命、国境管理の管理

(a)ポリグラフや同様のツールとして、または自然人の感情状態を検出するために、管轄の公的機関が使用することを意図したAIシステム。

(b)加盟国の領域に入ろうとしている、または入ろうとしている自然人がもたらす安全保障リスク、不法移民リスク、健康リスクなどのリスクを評価するために、管轄の公的機関が使用することを意図したAIシステム。

(c)自然人の旅行書類および補助書類の真正性を検証し、セキュリティ機能をチェックすることで非真正書類を検出するために、管轄の公的機関が使用することを意図したAIシステム。

(d)管轄の公的機関が、亡命、ビザ、滞在許可証の申請の審査や、地位を申請する自然人の適格性に関する関連する苦情の審査を支援するためのAIシステム。

8.司法および民主的プロセスの管理

(a)事実と法律の調査と解釈、および具体的な一連の事実への法律の適用において、司法当局を支援することを目的としたAIシステム。

付属書4 第11条(1)にいう技術文書

第11条(1)で言及される技術文書は、関連するAIシステムに適用されるように、少なくとも以下の情報を含まなければならない。

1.以下を含むAIシステムの一般的な説明

(a)意図された目的、システムの開発者、システムの日付およびバージョン。

(b)該当する場合、AIシステムが、AIシステム自体の一部ではないハードウェアまたはソフトウェアとどのように相互作用するか、または相互作用するためにどのように使用できるか。

(c)関連するソフトウェア又はファームウェアのバージョン及びバージョン更新に関連する要求事項。

(d)AIシステムが市場に出されたり、サービスに供されたりするすべての形態の説明。

(e)AIシステムが動作することを意図したハードウェアの説明。

(f)AIシステムが製品の構成要素である場合、それらの製品の外観の特徴、マーキングおよび内部レイアウトを示す写真またはイラスト。

(g)ユーザーのための使用説明書、および必要に応じて設置説明書。

2.AIシステムの要素およびその開発プロセスの詳細な説明。

(a)AIシステムの開発のために実行された方法および手順(関連する場合、事前に訓練されたシステムまたは第三者によって提供されたツールを利用すること、およびこれらが提供者によってどのように使用、統合または修正されたかを含む)。

(b)システムの設計仕様、すなわち、AIシステムおよびアルゴリズムの一般的な論理、システムの使用が意図されている人または人のグループに関する根拠および仮定を含む主要な設計上の選択、主要な分類上の選択、システムが何に対して最適化するように設計されているか、および異なるパラメータの関連性、タイトルIII、第2章に定められた要件に準拠するために採用された技術的解決策に関して行われた可能なトレードオフに関する決定。

(c)ソフトウェアコンポーネントがどのように相互に構築または供給され、全体的な処理に統合されているかを説明するシステムアーキテクチャの記述、AIシステムの開発、トレーニング、テスト、検証に使用された計算機資源。

(d)関連性がある場合、データセットの出所、範囲、主な特徴、データの入手方法と選択方法、ラベル付け手順(例:教師付き学習)、データクリーニング方法(例:異常値検出)などの情報を含む、学習方法と技術、使用される学習データセットを説明するデータシートによるデータ要件。

(e)第13条(3)(d)に基づき、ユーザーによるAIシステムの出力の解釈を容易にするために必要な技術的手段の評価を含む、第14条に従って必要とされる人間による監視手段の評価。

(f)該当する場合、タイトルIII、第2章に定められた関連する要求事項へのAIシステムの継続的な適合を確保するために採用された技術的解決策に関連するすべての関連情報とともに、AIシステムおよびその性能に対する事前に決定された変更の詳細な説明。

(g)使用された検証およびテストデータとその主な特徴に関する情報を含む、使用された検証およびテスト手順、正確性、堅牢性、サイバーセキュリティ、およびタイトルIII第2章に定められたその他の関連要件への準拠、ならびに潜在的な差別的影響を測定するために使用された指標、(f)で言及された事前に決定された変更に関するものを含む、責任者が日付および署名をしたテストログおよびすべてのテストレポートなど。

    1. AIシステムの監視、機能、制御に関する詳細な情報、特に以下の点について。システムの使用が意図されている特定の人または人のグループに対する精度の程度、および意図された目的に関連して期待される全体的な精度のレベルを含む、性能における能力および限界、AIシステムの意図された目的に鑑みて、予見可能な意図しない結果および健康と安全、基本的権利および差別に対するリスクの原因、ユーザーによるAIシステムの出力の解釈を容易にするために設置された技術的手段を含む、第14条に従って必要とされる人的監督手段、および適切な入力データの仕様。

4.第9条に従ったリスク管理システムの詳細な説明

5.システムのライフサイクルを通じて行われたあらゆる変更の記述。

6.欧州連合官報に掲載された、全体または部分的に適用された整合規格のリスト。そのような整合規格が適用されていない場合は、適用された他の関連規格および技術仕様のリストを含む、タイトルIII、第2章に記載された要件を満たすために採用されたソリューションの詳細な説明。

7.EU適合宣言書のコピー。

8.第61条に従い、市販後の段階でAIシステムの性能を評価するためのシステムの詳細な説明(第61条(3)で言及されている市販後のモニタリング計画を含む

付属書V EU適合性宣言

第48条のEU適合宣言書には、以下の情報をすべて記載しなければならない。

1.AIシステムの名称とタイプ、およびAIシステムの識別とトレーサビリティーを可能にする追加の明確な参照事項。

2.提供者、または該当する場合はその公認代理人の氏名および住所。

3.EU適合宣言が提供者の単独責任の下で発行されていることの記述

4.当該AIシステムが、本規則、および該当する場合には、EU適合宣言の発行を規定するその他の関連するEU法に適合している旨の記述。

5.使用されている関連する整合規格、または適合性が宣言されている関連するその他の共通仕様への言及

6.該当する場合、通知機関の名称および識別番号、実施された適合性評価手順の説明および発行された証明書の識別情報

7.宣言書の発行場所及び発行日,宣言書に署名した者の氏名及び職責,並びにその者が署名した理由及びその者を代表して署名した旨の表示

ANNEX VI 内部統制に基づく適合性評価手順

1.内部統制に基づく適合性評価手順は,ポイント2から4に基づく適合性評価手順である。

2.提供者は,確立された品質マネジメントシステムが第17条の要求事項に適合していることを検証する。

3.提供者は、AIシステムがタイトルIII第2章に定められた関連する必須要求事項に適合していることを評価するために、技術文書に含まれる情報を調査する。

4.提供者は、AIシステムの設計・開発プロセスおよび第61条で言及されている市販後のモニタリングが、技術文書と一致していることも確認します。

ANNEX VII 品質マネジメントシステムの評価及び技術文書の評価に基づく適合性

1.はじめに

品質マネジメントシステムの評価及び技術文書の評価に基づく適合性は、ポイント2から5に基づく適合性評価手順である。

2.概要

第17条に従ってAIシステムの設計、開発および試験のために承認された品質マネジメントシステムは、ポイント3に従って審査され、ポイント5に規定されたサーベイランスを受けるものとします。AIシステムの技術文書は、ポイント4に基づいて審査されるものとします。

3.品質管理システム

3.1.提供者の申請書には以下を含むものとする。

(a)提供者の氏名および住所、ならびに申請書が公認代理人によって提出された場合は、その氏名および住所。

(b)同一の品質マネジメントシステムの下で適用されるAIシステムのリスト。

(c)同一品質マネジメントシステムの対象となる各AIシステムの技術文書。

(d)第17条に記載されているすべての側面をカバーする品質マネジメントシステムに関する文書。

(e)品質マネジメントシステムが適切かつ有効であり続けることを確実にするために実施されている手順の説明。

(f) 同一の申請書が他のノーティファイドボディに提出されていないことの書面による宣言。

3.2.品質マネジメントシステムは、通知機関によって評価され、通知機関は、それが第17条で言及された要求事項を満たしているかどうかを決定しなければならない。

その決定は,提供者又はその認定された代表者に通知しなければならない。

通知には,品質マネジメントシステムの評価の結論及び理由のある評価の決定を含まなければならない。

3.3 承認された品質マネジメントシステムは,それが適切かつ効率的であり続けるように,提供者によって継続的に実施及び維持されなければならない。

3.4.承認された品質マネジメントシステム又は承認された品質マネジメントシステムが対象とするAIシステムのリストに変更の意図がある場合は、提供者が通知機関に知らせなければならない。

変更案は通知機関によって審査され、通知機関は、変更された品質マネジメントシステムが引き続き3.2項の要求事項を満たしているかどうか、あるいは再審査が必要かどうかを決定しなければならない。

通知機関は,その決定を提供者に通知しなければならない。通知には,変更点の審査の結論及び理由のある審査決定を含まなければならない。

4.技術文書の管理

4.1.第3項の申請に加えて、提供者が市場に出す、またはサービスを開始することを意図し、かつ第3項で言及された品質マネジメントシステムの対象となるAIシステムに関する技術文書の評価のために、提供者は自ら選択した通知機関に申請を行うものとする。

4.2.申請書には以下が含まれなければならない。

(a)提供者の氏名および住所。

(b) 同じ申請書が他の通知機関に提出されていないことの書面による宣言書

(c)附属書IVに記載されている技術文書

技術文書は,通知機関によって審査されなければならない。この目的のために,通知機関は,アプリケーショ ン・プログラム・インタフェース(API)またはリモートアクセスを可能にする他の適切な手段及びツールを 含めて,提供者が使用するトレーニング及び試験データセットへの完全なアクセスを認められなければ ならない。

4.4.技術文書を審査するにあたり、通知機関は、タイトルIII、第2章に記載された要求事項に対するAIシステムの適合性の適切な評価を可能にするために、提供者にさらなる証拠の提供またはさらなる試験の実施を要求することができる。通知機関が提供者の実施した試験に満足しない場合は、通知機関は、必要に応じて適切な試験を直接実施しなければならない。

4.5.ハイリスクAIシステムのタイトルIII第2章に定める要求事項への適合性を評価するために必要な場合であって、理由のある要求があった場合には、通知機関は、AIシステムのソースコードへのアクセスも認められるものとする。

4.6.決定は、提供者またはその認定された代表者に通知されなければならない。通知には、技術文書の評価の結論と理由のある評価決定を含まなければならない。

AIシステムがタイトルⅢ第2章に記載された要求事項に適合している場合、通知機関からEU技術文書評価証明書が発行されます。証明書には、提供者の名称および住所、審査の結論、有効性の条件(もしあれば)、およびAIシステムの識別に必要なデータを記載しなければならない。

証明書及びその附属書には、AIシステムの適合性を評価するため、及び該当する場合には使用中のAIシステムを管理するための全ての関連情報が含まれていなければならない。

AIシステムがTitle III, Chapter 2に定められた要求事項に適合していない場合、通知機関はEU技術文書評価証明書の発行を拒否し、その理由を詳細に示して申請者に通知しなければなりません。

AIシステムが学習に使用したデータに関連する要求事項を満たさない場合、新たな適合性評価の申請に先立ち、AIシステムの再学習が必要となる。この場合、EU技術文書評価証明書の発行を拒否するノーティファイド・ボディの理由付き評価決定には、AIシステムのトレーニングに使用された品質データに関する特定の検討事項、特に不適合の理由に関する検討事項が含まれなければならない。

4.7.AIシステムの要求事項または意図された目的への適合性に影響を与える可能性のあるAIシステムへの変更は、EU技術文書評価証明書を発行した通知機関の承認を得なければならない。提供者は、上記のいずれかの変更を導入する意図がある場合、またはそのような変更の発生を別途認識した場合、当該通知機関に通知しなければならない。意図された変更は通知機関によって評価され、通知機関はそれらの変更が第43条(4)に従って新たな適合性評価を必要とするか、またはEU技術文書評価証明書の補足によって対処できるかを決定しなければならない。後者の場合、通知機関は変更を評価し、その決定を提供者に通知し、変更が承認された場合には、提供者にEU技術文書評価証明書の補足を発行しなければなりません。

5.承認された品質マネジメントシステムのサーベイランス

5.1.ポイント3で言及された通知機関が実施するサーベイランスの目的は、提供者が承認された品質マネジメントシステムの条件を正式に満たしていることを確認することです。

5.2.評価のために、提供者は、AIシステムの設計、開発、試験が行われている施設への通知機関の立ち入りを許可するものとします。提供者は、さらに、すべての必要な情報を通知機関と共有するものとする。

5.3.通知機関は、提供者が品質マネジメントシステムを維持・適用していることを確認するために定期的な監査を実施し、提供者に監査報告書を提供するものとする。これらの監査の中で、通知機関は、EU技術文書評価証明書が発行されたAIシステムの追加試験を実施することができる。

ANNEX VIII 第51条に基づくハイリスクAIシステムの登録の際に提出すべき情報

第51条に基づき登録されるハイリスクAIシステムについては、以下の情報を提供し、その後も最新の状態を維持しなければなりません。

1.提供者の氏名、住所、連絡先。

2.提供者に代わって他の者が情報の提出を行う場合は、その者の氏名、住所および連絡先

3.認定された代理人の名前、住所、連絡先(該当する場合

4.AIシステムの商品名、およびAIシステムの識別とトレーサビリティを可能にする追加の明確な情報

5.AIシステムの意図された目的の説明

6.AIシステムの状態(市場に出ているか、サービス中であるか、市場に出ていないか、サービス中であるか、リコールされているか)。

7.通知機関が発行した証明書の種類、番号、有効期限、および該当する場合はその通知機関の名称または識別番号。

8.該当する場合、ポイント7に記載された証明書のスキャンしたコピー

9.AIシステムが欧州連合内で市販されているか、サービスが開始されているか、または利用可能になっている加盟国。

10.第48条に記載されたEU適合宣言書のコピー。

11.電子使用説明書(この情報は、付属書IIIの1、6および7に言及されている法執行および移民、庇護および国境管理の分野におけるハイリスクのAIシステムには提供されないものとする。

12.追加情報用URL(オプション)。

付属書IX 自由・安全・正義の分野における大規模ITシステムに関する連邦法

1.シェンゲン情報システム

(a)不法に滞在する第三国人の返還のためのシェンゲン情報システムの使用に関する2018年11月28日の欧州議会及び理事会の規則(EU) 2018/1860(OJ L 312, 7.12.2018, p.1)。

(b)国境検査の分野におけるシェンゲン情報システム(SIS)の構築、運用及び利用に関する2018年11月28日の欧州議会及び理事会の規則(EU)2018/1861、及びシェンゲン協定を実施する条約の改正、規則(EC)No1987/2006の改正及び廃止(OJ L 312, 7.12.2018, p.14)

(c)警察協力及び刑事問題における司法協力の分野におけるシェンゲン情報システム(SIS)の設立、運用及び使用に関する2018年11月28日の欧州議会及び理事会の規則(EU)2018/1862、理事会決定2007/533/JHAの改正及び廃止、欧州議会及び理事会の規則(EC)No 1986/2006及び委員会決定2010/261/EUの廃止(OJ L 312, 7.12.2018, p.56)。

2.ビザ情報システム

(a)Regulation (EC) No 767/2008、Regulation (EC) No 810/2009、Regulation (EU) 2017/2226、Regulation (EU) 2016/399、Regulation XX/2018[Interoperability Regulation]、Decision 2004/512/ECを改正し、Council Decision 2008/633/JHAを廃止する欧州議会および欧州委員会のRegulationの提案 - COM(2018) 302 final. 共同立法者による規則の採択(2021年4月/5月)後に更新される。

3.ユーロダック

(a)Regulation (EU) XXX/XXX [Regulation on Asylum and Migration Management] and of Regulation (EU) XXX/XXX [Resettlement Regulation]の効果的な適用のためのバイオメトリックデータの比較のための「Eurodac」の設立に関する欧州議会および欧州評議会の規則の修正案。for identification an illegally staying third-country national or stateless person and on request for the comparison with Eurodac data by Member States's law enforcement authorities and Europol for law enforcement purposes and amending Regulations (EU) 2018/1240 and (EU) 2019/818 - COM(2020) 614 final.

4.エントリー/エグジットシステム

(a)2017年11月30日の欧州議会及び欧州理事会の規則(EU) 2017/2226は、加盟国の対外国境を通過する第三国人の入出国データ及び入国拒否データを登録する入出国システム(EES)を確立し、法執行目的でEESにアクセスするための条件を決定し、シェンゲン協定を実施する条約及び規則(EC) No 767/2008及び(EU) No 1077/2011を改正した(OJ L 327, 9.12.2017, p.20)。

5.欧州旅行情報・認可システム

(a)2018年9月12日の欧州議会及び欧州理事会の規則(EU) 2018/1240は、欧州旅行情報・認可システム(ETIAS)を確立し、規則(EU) No 1077/2011、(EU) No 515/2014、(EU) 2016/399、(EU) 2016/1624及び(EU) 2017/2226を改正した(OJ L 236, 19.9.2018, p. 1)である。

(b)2018年9月12日の欧州議会及び理事会の規則(EU)2018/1241は、欧州旅行情報認可システム(ETIAS)の設立を目的として規則(EU)2016/794を改正している(OJ L 236, 19.9.2018, p.72)。

6.第三国人及び無国籍者に関する欧州犯罪記録情報システム

(a)2019年4月17日の欧州議会及び理事会の規則(EU)2019/816は、欧州犯罪記録情報システムを補完するために、第三国の国民及び無国籍者に関する有罪判決情報を保有する加盟国を特定するための集中システム(ECRIS-TCN)を確立し、規則(EU)2018/1726を改正した(OJ L 135, 22.5.2019, p.1)としている。

7.相互運用性

(a)国境とビザの分野におけるEU情報システム間の相互運用性のための枠組みの確立に関する2019年5月20日欧州議会及び理事会の規則(EU) 2019/817(OJ L 135, 22.5.2019, p.27)。

(b)警察・司法協力、亡命・移民の分野におけるEU情報システム間の相互運用性の枠組みの確立に関する2019年5月20日欧州議会及び理事会の規則(EU)2019/818(OJ L 135, 22.5.2019, p.85)。

オンライン診療について調べてみた(書きかけ)

オンラインニュースで、こちらの記事を発見 news.ntv.co.jp

なるほど、面白いと思ってサイトに行ってみると、少なくとも患者としてどうしたらよいのかわからない

xn--ecklq8d4bzlrcc8f.com

色々探してみると、こちらのサイトがオンライン診療のサイトらしいが、やはりよくわからない

company-onlinedoctor.com

どうも、これらしい。 ishachoku.com