570

CFA協会ブログ

No. 570                                                                                                                                                      

202248 

EU人工知能法と金融サービス
The EU Artificial Intelligence Act and Financial Services

ウォジュテック・ブクジンスキ、CFA

人工知能 ( AI )は現在の金融サービス業界で規制されているでしょうか?「いいえ」というのが多くの直感的な答えでしょう。

 

しかし、詳しく見てみると現行の金融規制のあちこちにAIに暗黙的あるいは明示的に適用されるものがあることが浮かび上がります。例えば、GDPR (EU一般データ保護規則)における自動処理による決定の取り扱い、MiFIID II (EU第二次金融商品市場指令)におけるアルゴリズム取引、RTS6EU委任規則規制技術基準6)におけるアルゴリズム取引のガバナンス、さまざまなクラウド規制における多くの規定などです。

 

これらのうち、特にGDPRRTS6などいくつか法律は非常に先見的で今後も有効性のあるものですが、それらはすべてAIの能力と導入が最近になって爆発的に進展する前に立法されたものです。つまり、私に言わせればAI以前」のものです。さらに、少なくともここ数年にわたって、AIを対象とした規制に関する議論が続いており、さまざまな規制当局や業界団体が作成したホワイトペーパーやガイダンスが注目を浴びましたが、公式な規制自体は未策定となっていました。

 

しかし、20214月に欧州委員会が人工知能 (AI)法案を提出したことで全ては変わりました。法案は現行では全てのセクターに適用するものとなっていますが、法案段階であるために拘束力はなく、また最終的な文言はこの2021年版から変わるかもしれません。法案は水平的かつ普遍的な構造を目指していますが、特定の業界と適用については明示的に列挙されています。

 

この法案はAI規制に対して、リスクベースの「ピラミッド」型アプローチを採っています。ピラミッドの頂上にはAI利用を禁止すべき領域があり、ディープフェイクのような意識下に働きかける操作、立場の弱い人々やグループの搾取、ソーシャルクレジットによるスコア付け、公共の場所におけるリアルタイムの生体認証 (特定の法執行目的は例外とする)などが含まれます。その下の領域には、航空、重要インフラ、法執行、ヘルスケアといった基本的人権、安全、福利厚生に影響するハイリスクAIシステムがあります。次に来るのがAI法によって一定の透明度の要件が課されるいくつかのタイプのAI運用になります。最下層には規制のない「その他全て」の領域があり、チャットボット、銀行システム、ソーシャルメディア、ウェブサーチなど、より日常的なAIソリューションが自動的にカバーされています。

 

生活上の基盤となる領域におけるAIを規制することの重要性を我々は皆理解していますが、そのような規制は普遍的とはなりにくいものです。幸いなことにブリュッセルの規制当局は全てを網羅する第69条を法案に含めており、リスクのより低いAIシステムのベンダーやユーザーも高リスクシステムの利用者と同じ基準をリスクに見合うベースで自発的に遵守することを促進しています。

AI法案では(賠償)責任は構成要素となっていませんが、将来の起案で責任にも対応し、それが法案を補完するものになるであろうと欧州委員会は言及しています。

 

AI法と金融サービス

法案では影響の大きい業界が列挙されていますが、金融サービスは灰色の領域にあります。以下は将来の法案では明確にすべきところです。

・説明覚書では、金融サービスは航空やヘルスケアのような「ハイリスク」ではなく、「ハイインパクト」セクターと記述されています。これが単に意味論的な問題であるのかどうかは明らかにされていません。

・法案附属書IIIIIにおけるハイリスク・システムに金融は含まれていません。

・「与信機関」という言葉で銀行が様々な箇所で言及されています。

・信用スコアリングがハイリスク使用例として挙げられています。しかし、その説明文では住居や電力のような無差別で基本的な権利である必須サービスへのアクセスの文脈中にこれが置かれています。全体としては、これは金融サービスそれ自体よりも、禁止慣行とされるソーシャルクレジットによるスコア付けに関連しています。とはいえ、法案の最終版はこの点を明確にすべきです。

 

金融サービスに対するAI法案の立場には解釈の余地があります。現在、金融サービスは選択するまでもなく第69条に該当しています。AI法案が比例原則に関して明白であることも、第69条を金融サービスに適用する強い根拠となっています。

 

法案で規定している主要なステークホルダーの機能は、「プロバイダー」すなわちベンダーと「ユーザー」となっています。この用語は近年発布されたAI関連のガイダンスや最良慣行などのソフトローにおけるものと一貫しています。「オペレーター」はAI用語で広く用いられる名称ですが、法案ではこれにプロバイダー、ベンダーおよびAIサプライチェーンのその他の当事者すべてを含む独自の定義を与えています。無論、現実の世界ではAIサプライチェーンははるかに複雑です。サードパーティーが金融機関へのAIシステムのプロバイダーであり、金融機関は顧客に対して同じシステムのプロバイダーとなります。

 

欧州委員会はAI法遵守のコストを、ベンダーについてはおそらくシステムごとに6000ユーロから7000ユーロの一時コスト、ユーザーについては年間5000ユーロから8000ユーロと推定しています。無論、こうしたシステムの多様性を考慮すれば、一連の数字が全ての業界に適用できるとは言い難く、これらの推定の有用性は限定的です。実際のところ、これらの数字は様々なセクターにおける実際の法遵守コストの比較対象としての錨の役割と言えるかもしれません。必然的に、ベンダー、ユーザー双方からの緊密な監視が求められるためにコストが跳ね上がるAIシステムもあり、これは当事者間の余計な衝突に繋がるでしょう。

 

ガバナンスとコンプライアンス

AI法案は詳細、包括的かつ斬新なガバナンスの枠組みを導入しています。それは欧州人工知能委員会を設置して加盟各国当局を監督するというものです。EU加盟各国は既存の国内機関にAI監視を引き継ぐように指定するか、あるいはスペインが最近決定したように新しい国内機関を設置することが可能です。いずれにせよ、これは巨大な事業です。AIプロバイダーはインシデントを国内の当局に報告することが義務付けられることになります。

 

法案は金融サービスに適用される多くの規制遵守要件を定めており、以下のようなものが挙げられています。

 

・継続的なリスク管理プロセス

・データ及びデータガバナンス要件

・技術文書と記録保管

・ユーザーに対する透明性と情報提供

・知識と能力

・正確性、頑健性、サイバーセキュリティ

 

遵守違反に対して詳細かつ厳格な罰則体系を導入することで、AI法はGPDRMiFID IIと協調することになります。違反の重大性次第では、罰金が違反企業の年間グローバル売上高の6%にのぼることもあります。多国籍のテクノロジーあるいは金融会社にとっては、罰金が数十億ドルになる可能性があります。事実上、それぞれ4%と10%を罰金の上限としているGPDRMiFID IIの間にAI法の制裁が位置しているということです。

 

次に来るものは?

GPDRがデータ保護規制のベンチマークとなったように、EU AI法は世界中で同様のAI規制の青写真となりそうです。

 

規制のよって立つ先行事例がないため、このAI法案はある種の「先行者不利益」に苦しめられています。しかしながら、徹底した審議を乗り越え、法案公表を火種として活発化した法曹界及び金融業界における議論内容が最終版に反映されることが期待されます。

 

喫緊の課題は、法案のAIの定義が広範すぎることです。つまり、欧州委員会の提案には、統計的アプローチ、ベイズ推定、さらには潜在的にはエクセル計算でさえも含まれています。法律事務所のクリフォード・チャンスは、「この定義はほとんど全てのビジネスソフトを含み得る。例え人工知能と認識できる形式を何も備えていなくても」とコメントしています。

 

もう一つの課題は、法案の提案している規制の枠組みです。一つのAI規制機関が全てのセクターをカバーすることになっています。各業界について担当規制当局が全てを監督するものの、AI関連事項についてだけは、AI法が義務付ける別の規制当局の監督下にあるという状況は、監督責任が断片化されるということになります。このようなアプローチは最適とは言い難いでしょう。

 

AIにおいては、一つのサイズが全てにフィットするとは限りません。

 

さらに、個々の業種レベルでの法案の解釈は法案の文言それ自体と同じくらい重要です。既存の金融規制当局または新設されるAI規制当局のいずれにせよ、AI法をいかに解釈し、実施するのかについての指針を、金融サービスセクターに対して提供する必要があります。そうした解釈は欧州連合の全ての加盟国で一貫していなければなりません。

 

AI法は施行されれば法的拘束力を持つものとなりますが、第69条が大幅に変わらない限り、そこに明示的に列挙されていない全ての業種とAI利用については、規定はソフトローすなわち推奨される最良慣行になります。それは賢明で柔軟なアプローチのように思われます。

 

AI法案の公表で、欧州連合は他の規制当局が未踏の領域に大胆に踏み出しました。他の技術的に進んだ国々でも、願わくばそう遠くない将来に、どのような規制が提案されるのかが待たれます。

 

それらの地域では、個別業界がAI規制の責任を負うことが推奨されるのでしょうか、規制が民主的価値を促進することが望まれるのでしょうか、それとも国家による管理を強化するのでしょうか?ほとんど、あるいは全く規制しないことを選択する国があるのでしょうか?AI規制が普遍的なグローバルルールとしてまとまるのでしょうか、それとも、地域や業界によって「バルカン化(分裂)」されるのでしょうか?時間だけがその答えを知っています。しかし、AI規制は金融サービスにとって利点の方が多いと私は信じています。これによって現在の規制状況の曖昧さが取り除かれ、業界の最も急を要する課題の幾つかに対して解決策をもたらすことが望まれます。

 

この投稿が気に入られたらEnterprising Investorのご購読をお願い致します

 

(翻訳者:清水 英佑、CFA

英文オリジナル記事はこちら

The EU Artificial Intelligence Act and Financial Services | CFA Institute Enterprising Investor

 

) 当記事はCFA協会(CFA Institute)のブログ記事を日本CFA協会が翻訳したものです。日本語版および英語版で内容に相違が生じている場合には、英語版の内容が優先します。記事内容は執筆者の個人的見解であり、投資助言を意図するものではありません。

また、必ずしもCFA協会または執筆者の雇用者の見方を反映しているわけではありません。