AI法の最初の条項は、2024年8月に施行された後、今年2月に受け入れが難しいリスクを持つAIシステムに関するものが適用され始めました。「ストップ・ザ・クロック」と呼ばれるEU AI チャンピオンイニシアチブの約50社によるモラトリアム要求にもかかわらず、一般用途AIモデル(GPAI)に関する義務は、先週の土曜日から有効となりました。
EUは、AIの潜在的な危害を基に規制を整備することで先駆者となりました。AI法またはRIAの目的は、EU内で商業化されるAIシステムとモデルが倫理的かつ安全に、そしてEUの基本的権利を尊重して使用されることを保証することです。
欧州委員会が7月18日に発表したガイドラインでは、GPAIモデルに対する規制の適用範囲が明確にされています。計算能力が10²³ FLOPs(トレーニング時に使用される浮動小数点演算のボリューム)を超えるAIモデルで、具体的な目的(気象予測、ゲームなど)がなく、広範な文脈で再利用可能なものは、このカテゴリーに該当すると見なされます。
義務は、モデルのライフサイクル全体、事前トレーニングから提供、更新、そして市場投入後の変更までをカバーします。提供者は以下を提供する必要があります:
- AIシステムにモデルを統合する下流の提供者向け、または要求があれば欧州AI局(AI Office)や国の権限当局向けに、包括的な技術文書を提供すること。
- AI Officeによって提供される標準化されたモデルに基づくトレーニングデータの要約を提供すること。
- 欧州の法律に基づいた著作権の尊重に関するポリシーを策定すること。
規制の基本原則は変わっていません。リスクが高いほど、要件は厳しくなります。GPAIでシステミックリスクと見なされるモデル(10²⁵ FLOPsを超えるもの)は、強化されたリスク管理手順(サイバーセキュリティ、重大なインシデントの報告、継続的なテストなど)を実施する必要があります。しかし、これは持続可能であると評価されにくいとされています。
このしきい値は固定ではなく、提供者は実際のリスクを再評価することができます。
提供者、変更、オープンソースの地位
欧州市場にモデルを提供する企業は、開発地に関係なく、提供者と見なされます。しかし、初期の計算能力の三分の一以上を使用してモデルを変更した下流の事業者も提供者と見なされ、義務を負います。
オープンライセンスで公開されたモデルは、部分的な免除を受けることができます。収益化や個人データの収集がない場合に限り、下流の提供者や権限当局への文書化の義務は課されません。ただし、システミックリスクのしきい値を超えた場合、免除は適用されません。
良好な実践のコード
これらのルールは8月2日に施行されましたが、新しいモデルには2026年8月から、既存のモデルには2027年8月から適用されます。この段階的な導入は、AI局によって導かれ、企業が適応する時間を提供することを目的としています。
提供者がこれに適合するのを支援するために、委員会は指針の数日前に良好な実践のコードを公表しました。これに従うことを選択した企業は、行政負担の軽減と法的セキュリティの向上を享受できます。Google、OpenAI、Mistral、Microsoftはこれに従っていますが、Metaは法的な不確実性や規制枠組みの不当な拡大を理由に拒否しました。
これらの義務に違反した場合、企業は1500万ユーロまたは世界売上高の3%に達する罰金を科される可能性があります。EUの各加盟国は、企業を監督する監視当局を委員会に通知する必要があります。フランスでは未だに指定されていませんが、Cnilが中心的な役割を果たすと考えられ、ArcomやAnssiなどの業界団体も考慮されています。