1. はじめに

EU AI Actの規制アーキテクチャにおいて、適合性評価(conformity assessment)はハイリスクAIシステムの市場投入前に遵守すべき中核的手続きである。適合性評価は、EUの製品安全法制における「ニュー・レジスラティブ・フレームワーク」(New Legislative Framework: NLF)の伝統を継承しつつ、AIシステムの特性に適合した独自の評価枠組みを構築している。

[PR] 【固定IPが月額490円から】ロリポップ!固定IPアクセス

本稿では、ハイリスクAIシステムの適合性評価手続きの全体像を分析し、CEマーキング、EU適合宣言、品質管理システム、第三者認証機関の役割、および技術的要件との関係を体系的に論じる。さらに、整合規格(harmonised standards)の策定動向と、適合性評価の実務的課題について検討する。

2. ニュー・レジスラティブ・フレームワークとの関係

[PR] 人気おすすめビジネス書特集

AI Actの適合性評価手続きは、EU製品安全法制のNLFに深く根ざしている。NLFは、2008年の決定No 768/2008/ECにより制度化され、必須要件(essential requirements)の設定、整合規格の活用、適合性評価手続きの標準化、CEマーキング制度、市場監視メカニズムの5要素から構成される。

[PR] 副業アイデアのビジネス書籍

AI Actは、このNLFの枠組みを基盤としつつ、AIシステムの動的特性(継続的学習、運用環境への適応、性能の経時的変化)に対応するための拡張を加えている。特に、従来の製品安全法制が主として「静的な」製品を対象としていたのに対し、AI Actは「動的な」システムの適合性評価という新たな課題に対処する必要がある。

3. 適合性評価手続きの構造

AI Actの適合性評価手続きは、第43条に規定されており、ハイリスクAIシステムの類型に応じて2つの経路が設定されている。

適合性評価手続きのフロー

ハイリスクAIシステム 分類経路の判定 (第43条) 附属書III系 内部統制に基づく 適合性評価(附属書VI) 品質管理システム評価 技術文書の評価 附属書I系/生体認証 第三者適合性評価 (附属書VII) ノーティファイド・ボディ QMS + 技術文書審査 EU適合宣言 + CEマーキング

3.1 内部統制に基づく適合性評価(附属書VI)

附属書IIIに基づくハイリスクAIシステム(ただし、リアルタイム遠隔生体認証を除く)については、原則として提供者自身による内部統制に基づく適合性評価が認められる。この手続きでは、提供者は品質管理システムの構築・維持、技術文書の作成、適合性の自己評価を行い、すべての要件を充足していることを自ら検証する。

内部統制に基づく適合性評価は、提供者の自己責任による評価であるため、第三者機関の関与が不要であり、手続き的な負担は相対的に軽減される。しかし、この手続きの信頼性は、提供者の品質管理システムの成熟度と誠実性に依存するため、市場監視当局による事後的な監督が重要な補完的機能を果たす。

3.2 第三者適合性評価(附属書VII)

附属書Iに記載された部門別EU法制(機械規則、医療機器規則等)に基づくハイリスクAIシステム、および法執行目的のリアルタイム遠隔生体認証システムについては、ノーティファイド・ボディ(notified body: 認証機関)による第三者適合性評価が義務付けられる。

[PR] 副業アイデアのビジネス書籍

ノーティファイド・ボディは、品質管理システムの審査(第三者によるQMS認証)と技術文書の審査を実施する。ノーティファイド・ボディの指定は、加盟国のノーティファイング・オーソリティ(notifying authority)によって行われ、指定基準(第31条)には、独立性、能力、公平性、機密保持に関する要件が含まれる。

4. 品質管理システムの要件

AI Actは、ハイリスクAIシステムの提供者に対して、包括的な品質管理システム(QMS)の構築・実施・維持・文書化を義務付けている(第17条)。QMSは、以下の要素を含まなければならない。

規制遵守のための戦略、設計・開発管理の手順、開発・品質管理・品質保証の手順・技法、市場投入前・中・後の検査・試験手順、技術仕様の遵守検証手順、データ管理のシステム・手順、リスク管理システム、市場投入後モニタリングシステム、インシデント報告手順、サプライヤー・下請業者とのコミュニケーション手順、是正措置の手順、説明責任のシステム。

これらの要件は、ISO 9001(品質管理システム)およびISO/IEC 42001(AI管理システム)との高い親和性を有する。EU AI Actの整合規格として、ISO/IEC 42001が採用される可能性が検討されており、実現すれば、同標準の認証がAI ActのQMS要件の充足を推定する根拠となりうる。

5. CEマーキングとEU適合宣言

適合性評価を完了したハイリスクAIシステムの提供者は、EU適合宣言(EU declaration of conformity)を作成し(第47条)、CEマーキングを付す(第48条)。EU適合宣言は、AIシステムが本規則の要件に適合していることを提供者が宣言する法的文書であり、附属書Vに定められた情報を含まなければならない。

CEマーキングは、AIシステムが EU市場に上市されるための前提条件であり、製品に視認可能かつ判読可能な形で付されなければならない。ソフトウェアとして提供されるAIシステムについては、CEマーキングはデジタルの形式で付すことが認められる。

6. 整合規格の役割と策定動向

[PR] 副業アイデアのビジネス書籍

整合規格は、AI Actの必須要件を技術的に具体化する標準であり、整合規格への適合は、対応する法的要件への適合の「推定」(presumption of conformity)を与える。欧州標準化機関(CEN、CENELEC、ETSI)に対する標準化要請が2025年に発出される予定であり、AI Actの各要件に対応する整合規格の策定作業が進行中である。

CEN-CENELEC JTC 21(人工知能に関する合同技術委員会)が整合規格策定の中心的機関であり、ISO/IEC JTC 1/SC 42(AI)の国際標準を基盤としつつ、EU固有の要件を反映した欧州規格(EN)の策定を進めている。特に、リスク管理(ISO/IEC 23894)、AI管理システム(ISO/IEC 42001)、バイアス(ISO/IEC TR 24027)、頑健性(ISO/IEC 24029)などの国際標準が、整合規格の基盤として重要視されている。

適合性評価における規格体系

EU AI Act — 法的必須要件 適合の推定 整合規格(EN)— CEN/CENELEC JTC 21 基盤・参照 国際標準(ISO/IEC)— JTC 1/SC 42 ISO/IEC 42001 AI管理システム ISO/IEC 23894 AIリスク管理 ISO/IEC 24029 NN頑健性評価 ISO/IEC 25059 AI品質モデル 出典: CEN-CENELEC JTC 21 作業計画に基づき筆者作成

7. 適合性評価の実務的課題

ハイリスクAIシステムの適合性評価には、以下の実務的課題が伴う。

動的システムの評価:継続的に学習・更新されるAIシステムについて、適合性の「時点」をいかに定義するかが根本的課題である。AI Actは、「実質的な変更」(substantial modification)が加えられた場合に再度の適合性評価を要求する(第43条第4項)が、「実質的な変更」の定義は解釈の余地を残している。

お金の作り方を学ぶオンライン講座【Finorie|フィノリー】

ノーティファイド・ボディの能力:AIシステムの技術的複雑性を適切に評価できるノーティファイド・ボディの数と能力が現状では不足している可能性がある。AI固有の専門知識(機械学習、データサイエンス、AI安全性等)を備えた評価者の育成が急務である。

GPAIモデルの統合:GPAIモデルを組み込んだハイリスクAIシステムの適合性評価において、GPAIモデル提供者から提供される情報の十分性と、ハイリスクAIシステム提供者の責任範囲の画定が課題となる。

[PR] 人気おすすめビジネス書特集

コストと期間:特に第三者適合性評価は、相当のコストと期間を要する。中小企業やスタートアップにとっては、適合性評価のコストが市場参入障壁となりうるため、AI Actが規定する規制サンドボックス(第57条)や中小企業支援措置(第62条)の効果的な活用が重要である。

8. 市場投入後の監視と継続的適合性

[PR] 副業アイデアのビジネス書籍

適合性評価は市場投入前の手続きであるが、AI Actは市場投入後の継続的な適合性確保も要求している。提供者は、市場投入後モニタリングシステム(post-market monitoring system)を構築し(第72条)、AIシステムの性能を継続的に監視する義務を負う。

重大なインシデント(serious incident)——すなわち、死亡、健康への重大な損害、基本権への重大な侵害、財産・環境・公共の利益への重大な損害を引き起こす、またはそのおそれのあるインシデント——が発生した場合、提供者は速やかに市場監視当局に報告しなければならない(第73条)。

9. 国際的な相互承認の展望

適合性評価の国際的な相互承認は、グローバルなAI市場の効率的な機能にとって重要な課題である。既存の相互承認協定(MRA)——例えば、EU-日本間のMRA——の枠組みをAI分野に拡張することの可能性が検討されつつある。

[PR] 副業アイデアのビジネス書籍

ISO/IEC 17065(製品・プロセス・サービスの認証機関に対する要件)に基づく認証機関の国際的な認定スキームは、適合性評価の相互承認の基盤となりうる。IAF(国際認定フォーラム)およびILAC(国際試験所認定協力機構)の多国間承認協定(MLA/MRA)を通じた、AI適合性評価結果の国際的な受容の枠組みの構築が期待される。

10. 結語

ハイリスクAIシステムの適合性評価は、AI Actの実効性を確保するための制度的基盤である。NLFの伝統を継承しつつ、AIシステムの動的特性に対応した評価手法の確立は、今後数年間の最も重要な規制技術上の課題の一つとなるであろう。整合規格の策定、ノーティファイド・ボディの能力構築、および国際的な相互承認の枠組みの発展を通じて、適合性評価の実効性と効率性の両立が図られることが期待される。

参考文献

  1. European Parliament and Council. (2024). Regulation (EU) 2024/1689 (AI Act).
  2. European Parliament and Council. (2008). Decision No 768/2008/EC (New Legislative Framework).
  3. CEN-CENELEC. (2024). JTC 21 — Artificial Intelligence: Work Programme.
  4. ISO/IEC 42001:2023. AI Management System.
  5. ISO/IEC 17065:2012. Conformity assessment — Requirements for bodies certifying products, processes and services.
  6. European Commission. (2024). Standardisation Request to CEN/CENELEC for AI Act.
  7. Veale, M. & Borgesius, F. Z. (2021). Demystifying the Draft EU AI Act. Computer Law Review International, 22(4), 97–112.
  8. Mökander, J. et al. (2022). Conformity Assessments and Post-market Monitoring: A Guide to the Role of Auditing in the Proposed EU AI Regulation. Minds and Machines, 32, 241–268.
  9. ENISA. (2024). AI Cybersecurity Certification Schemes.
  10. IAF/ILAC. (2023). Multilateral Recognition Arrangements.