ベトナムは2025年に「人工知能法（AI法）」を正式に制定し、2026年3月1日より施行されます。本法の制定は、AIシステムのライフサイクル全体、すなわち開発段階、提供段階、導入段階、そして運用・監督段階に至るまでを対象とした比較的包括的な法的枠組みを初めて確立した点で、重要な制度的進展といえます。

本法の適用範囲がベトナム国内の機関、組織、個人に限定されていないことです。外国の企業や個人であっても、ベトナム市場においてAIシステムの開発、提供、または導入に関わる活動を行う場合には、本法の適用対象となります。このようなアプローチは、デジタル技術が持つ越境性という特性を踏まえたものであり、ベトナムの利用者に影響を及ぼすAIシステムについては一定の法的基準への適合を求めるという立法方針を示しています。

a.    法制度の背景

AI法が制定される以前、ベトナムの法制度には人工知能を包括的に規律する専門法は存在していませんでした。AIに関連する規定は、情報技術法、サイバーセキュリティ法、個人データ保護法、知的財産法、電子商取引法など、複数の法分野に分散して存在していました。

このような分散的な規制構造は、実務上いくつかの問題を生じさせていました。第一に、AIシステムを法的にどのように定義するかについて明確な基準が存在していませんでした。

•     第二に、AIのバリューチェーンに関与する主体の役割と責任の分担が明確ではありませんでした。
•     第三に、AIが個人や社会に与える影響に対する責任の所在を判断するための法的基盤が十分ではありませんでした。

近年、AIは金融、医療、教育、電子商取引など多様な分野に急速に導入されています。このような状況の中で、AIに関する統一的な法的概念体系を整備することは、技術の健全な発展と適切な管理を実現するための重要な前提条件となっていました。

b.   AIに関する法的概念枠組みの確立

AI法2025は、ベトナム法制度において初めて、人工知能に関する統一的な法的概念体系を明確に定義しました。同法第3条によれば、「人工知能」とは、人間の知的能力、すなわち学習、推論、認識、判断、自然言語理解などを電子的手段によって実現する技術を指します。

さらに、「AIシステム」とは、機械を基盤として設計され、一定の自律性をもってAI能力を実行するシステムであり、導入後に適応能力を持つ場合もあります。また、予測、コンテンツ、提案、または意思決定といった出力を生成し、それが物理環境またはデジタル環境に影響を与える可能性があるシステムを指します。

加えて、本法はAIのバリューチェーンに関わる主体を明確に区分しています。具体的には、AIシステムを設計・構築・学習・調整する「開発者（Developer）」、AIシステムを市場に提供する「提供者（Provider）」、AIシステムを業務またはサービス提供の中で利用する「導入者（Deployer）」、AIシステムまたはその出力と直接的に接触する「利用者（User）」、そしてAIの導入によって直接または間接的な影響を受ける「影響対象者（Affected person）」です。

このようにAIのバリューチェーンを構成する主体を明確に定義することで、法的責任の分配が明確になり、AIに関するリスクや紛争が発生した場合に適用される義務や責任の枠組みを整備することが可能になります。

a.    AIシステムのリスク分類

AI法2025の重要な特徴の一つは、AIシステムに対して「リスクベースアプローチ（risk-based approach）」を採用している点です。すなわち、すべてのAI技術に対して一律の規制を適用するのではなく、AIシステムの影響範囲やリスクの程度に応じて異なる義務を課す制度が採用されています。このアプローチは、世界各国のAI規制においても採用されつつある方法であり、社会や個人に対する影響が大きいAIほど厳格な管理を受けるという考え方に基づいています。

AI法第9条によれば、AIシステムは主に三つのリスク区分に分類されます。

•     第一に「高リスクAIシステム」です。これは人命や健康、人権、国家安全保障、公共利益、社会秩序などに重大な影響を与える可能性のあるシステムを指します。例えば金融分野における信用評価システム、医療分野における診断支援システム、行政サービスに関わるAIなどが該当する可能性があります。これらのシステムは社会的影響が大きいため、実際の運用に入る前に厳格な審査や管理を受ける必要があります。
•     第二に「中リスクAIシステム」です。これは利用者の行動や認識に影響を与える可能性のあるAIを指します。例えば、利用者がAIと人間を誤認する可能性のあるシステムや、利用者の判断や行動を操作する可能性のあるAIなどが含まれます。このようなシステムに対しては、主として透明性確保の義務が課されます。
•     第三に「低リスクAIシステム」です。これは主に技術支援や業務効率化を目的としたAIであり、個人や社会に重大な影響を及ぼさないものです。これらのシステムは過度な規制の対象とはならず、一般的な安全性やデータ保護の原則を遵守することが求められるにとどまります。 

このようなリスクベースの管理制度は、社会の安全を確保しつつ、過度な規制によって技術革新を阻害しないためのバランスの取れた制度設計であると評価されています。

b.   高リスクAIに対する適合性評価

高リスクAIシステムについては、市場投入または実運用の前に「適合性評価（conformity assessment）」を受けることが義務付けられています。AI法第13条および第14条によれば、この評価は、政府が指定した適合性評価機関によって実施される場合と、一定の条件の下で提供者自身による自己評価が認められる場合があります。

さらに、高リスクAIを提供または開発する企業には、AIシステムのライフサイクル全体を対象とした管理体制の整備が求められます。これには、AIリスク管理体制、学習データの管理、技術文書および運用ログの保存、そして重要な意思決定における人間による監督（human oversight）などが含まれます。

このような規定は、特に金融、医療、教育、公共サービスなどの分野においてAIを開発・提供する企業に対して、相当程度のコンプライアンス体制の構築を求めるものです。企業は製品開発の初期段階からAIガバナンスを設計することが重要になります。

AI法2025は、AI技術に対する規制だけでなく、AI産業の発展を促進するための支援政策も導入しています。同法第20条などの規定によれば、AI分野で研究開発または応用を行う企業は、科学技術法、高度技術法、投資法などに基づく最も高いレベルの優遇措置を受ける可能性があります。

また、新しいAIサービスやビジネスモデルについては、規制サンドボックス制度の下で一定期間の実証実験が認められる場合があります。この制度は、新技術の試験導入を促進すると同時に、規制当局が技術の社会的影響を評価するための重要な手段となります。

さらに、国家AI開発基金の設立も予定されており、研究開発、技術移転、AIスタートアップの支援などを目的とした資金支援が行われることが期待されています。

AI法2025のもう一つの重要な特徴は、AIによって生成されたコンテンツに対する透明性義務を導入した点です。

AI技術の発展により、音声、画像、動画などを極めて高い精度で生成できるようになりました。しかしその一方で、ディープフェイクなどの技術が誤情報の拡散や個人の権利侵害に利用されるリスクも高まっています。

このような背景から、同法第11条は、AIによって生成または加工されたコンテンツに対して識別可能な表示を付すことを義務付けています。具体的には、音声、画像、動画などのコンテンツには機械可読形式の識別情報を付与し、AI生成コンテンツであることを明確にする必要があります。

また、利用者がAIシステムと対話している場合には、その旨を明確に通知する義務も定められています。

AI法2025の施行に向けて、企業は以下の点を準備しておく必要があります。まず、自社がAIバリューチェーンのどの主体に該当するのかを明確にすることが重要です。次に、企業内で利用されているAIシステムを包括的にレビューし、法的リスクの有無を確認する必要があります。

さらに、AIリスク分類や技術文書管理などの内部管理体制を整備し、将来的な規制への適合を準備することが望まれます。また、政府が提供する支援制度やサンドボックス制度を活用することも、企業にとって重要な戦略となる可能性があります。