EU AI法は失敗したという評価については、薄々コンセンサスが形成されつつあると思いますが、なぜ失敗したのかは、あまり分析されていないように思います。この点について、初期的なメモを掲載します。
ハイリスクAIシステム関係(第3章)
- 第3章は、ハイリスクAIシステムを対象とする。ハイリスクAIシステムは、組込み型AIシステム(①(a)Annex IのEU整合(調和)法令の対象となっている製品の安全コンポーネントとして使われることが意図された、又は(b)当該製品それ自体であるAIシステムで、②当該製品の上市に当たり第三者による適合性評価が要求されているもの)と、スタンドアロン型AIシステム(Annex IIIに列挙されたAIシステム)に分けられる。組込み型AIシステムでは、主として製品安全上のリスクが問題となり、スタンドアロン型AIシステムでは、主として個人データ保護を含む基本権に対するリスクが問題となる。
- AI法は、組み込み型AIシステムとスタンドアロン型AIシステムに一律に製品安全の規制枠組み(NLF)を適用しているが、設計→出荷→(流通→)利用というライフサイクルをたどる「製品」(product)と、ProviderからDeployer (User)に直接提供され、常にアップデートされ続ける「役務」(service)では、適切な規制のあり方は違って然るべきであり、基本的に後者に当たるスタンドアロン型AIシステムに製品安全の規制枠組みを適用したこと自体が、失敗に繋がっているのではないか。
- なお、企業Aが企業Bにスタンドアロン型のAIシステムを提供し、企業Bがこれを利用して個人データ処理を行う場合、AI法上は企業AがProvider、企業BがDeployerとなり、GDPR上は企業BがController、企業AがProcessorとなることが多いと思われる。この場合、企業Bは、GDPRを遵守する上で必要な情報、能力、(企業Aに対する)交渉力を持たない可能性があり、その限りで、AIという(個人データ処理の)手段に着目した規制は有効でありうる。しかしながら、そのことは、製品安全の規制枠組みをスタンドアロン型AIシステムの提供者に及ぼすことの適切性を基礎づけない。
- また、前者に当たる組込み型AIシステムについても、製品の性質や流通・利用形態によって求められる要件は異なるはずであり、一律の規制を課したことが、失敗に繋がっているのではないか(AI法は、製品ごとの整合規格を予定しているが、それならば、最初から製品ごとに規範形成すれば足りたはずである。機械学習技術の特性は共通であり、それを分析することは有益であるが、そのことは、機械学習技術の応用について共通のルールを形成する必要性を基礎づけない。)。
透明性義務関係(50条)
- 第50条、特に第2項と第4項は、一部のユースケースのみを念頭に、詳細かつ広範な(≒射程の広い)な義務を課しすぎているのではないか。
GPAIモデル関係(第5章)
- AI法は、GPAIモデルの提供者に対し、GDPR / DSAのようなリスク評価・低減義務を課している。しかしながら、GDPRのDPIA / DPbDDは個人データ処理に適用され、DSAはオンラインプラットフォーム(≒SNS・動画共有サイト等とオンラインマーケットプレイス)に適用されるため、リスクはある程度特定可能だが、GPAIモデルは、まさにgeneral-purposeであるがゆえに、単に同様の義務を課すのでは、事実上無限定の義務を課すことになってしまう(実際、CoPのSafety and Security章のAppendix 1では、そのことが確認されていると言える。)。このような違いを踏まえない立法が、失敗の原因の一つとなっているのではないか。
- AI法のCode of Practiceのような共同規制は、柔軟性(規制対象者側の知識の活用、迅速な意思決定)と民主的正統性・法的強制力を両立できる点が長所とされる。共同規制は、事前に一定のルールを設定する点では、直接規制や(業界レベルでの)自主規制を共通しているが、risk assessment and mitigation義務(「メタ規制」と呼ばれることがある。)は、そもそもそのような事前のルール設定が困難となっているか、適切でなくなっているがゆえに広まりつつある可能性があある。このような違いを踏まえない立法が、失敗の原因の一つとなっているのではないか。
- AI法は、直接的には著作権をrisk assessment and mitigationの対象とはしていないが、Code of PracticeのCopyright章は、リスクマネジメント的な実務を要求している。しかしながら、著作権は、もともと創作物利用の対価回収の保障の必要性と、第三者の自由の保障の必要性のバランスの下に、政策的にその保護範囲が設定されているものであり、そもそもAI法のような「業法」による保護には適さないのではないか。
関連文献
- Alexander Peukert, Copyright in the Artificial Intelligence Act – A Primer, GRUR Int’l, Vol. 73, Issue 6, June 2024.
- AIAの基本構造は製品安全型のリスクベース(リスクマネジメント)義務であり、何が侵害かが事前に確定している著作権の保護とは整合しないという批判。
- Martin Ebers, When Guidance Becomes Overreach: How the Forthcoming Code of Practice Threatens to Undermine the EU’s AI Act, Verfassungsblog, Apr. 8, 2025.
- AIAの汎用AIモデル提供者向けCode of Practice第3草稿段階の批判。CoPが著作権で保護されたコンテンツがrobots.txtに準拠して収集されたかの確認や下流AIシステムの侵害への対処を求めているのはAI法の趣旨を逸脱しており、策定プロセスの統制も不十分だとする。
- Jordi Calvet-Bademunt, Jacob Mchangama & Isabelle Anzabi, Artificial Intelligence and Freedom of Expression in the European Union, Oct. 9, 2025.
- AIAの未定義に近いsystemic riskが選挙に関するfear-driven narrativeと相まって言論空間を不当に縮小させているとの批判。
- Gianclaudio Malgieri, The AI Act and the Digital Services Act: Legal Consistency and Normative Tensions, in The AI Act Thematic Commentary, Oct. 1, 2025.
- AIAとDSAの「規範的緊張」を指摘する論文。「緊張」関係なのかは議論の余地があるにせよ、両法のアプローチの違いを浮き彫りにしている。
