EU AI Act:世界初の包括的AI規制法が2026年に本格施行
AIを知りたい
先生、最近「EU AI Act」というニュースをよく見かけますが、日本企業にも関係するんですか?
AIエンジニア
大いに関係するよ。EU AI Act(EU人工知能規則)は、世界初の包括的なAI規制法で、2024年8月に発効し2026年から段階的に本格施行されるんだ。EUの域内でAIサービスを提供する企業はもちろん、EU市民に影響するAIを開発する企業にも適用されるから、日本企業も無視できないよ。
AIを知りたい
GDPRのAI版みたいなものですか?
AIエンジニア
いい例えだね。GDPRがデータ保護の世界基準になったように、EU AI Actも「AIガバナンスのグローバルスタンダード」になると予想されているよ。最大の特徴は「リスクベースアプローチ」で、AIシステムをリスクレベルに応じて4段階に分類し、リスクが高いほど厳しい義務を課す仕組みなんだ。
EU AI Actとは。
EU AI Act(EU人工知能規則、Regulation (EU) 2024/1689)は、欧州連合が2024年に成立させた世界初の包括的AI規制法です。AIシステムのリスクレベルに応じた段階的な規制を定め、高リスクAIの開発・運用に透明性・説明責任・人間による監視を義務付けます。2025年2月に禁止AIの規定、2025年8月に汎用AI(GPAI)の規定、2026年8月にハイリスクAIの規定が順次施行されます。違反した場合、全世界年間売上高の最大7%または3,500万ユーロの制裁金が科されます。GDPRと同様にEU域外の企業にも適用される「域外適用」の仕組みを持ち、日本企業を含む世界中のAI開発企業に影響を与えます。
EU AI Actのリスク分類と規制内容
EU AI Actの最大の特徴は、AIシステムを4段階のリスクレベルに分類する「リスクベースアプローチ」です。
| リスクレベル | 規制内容 | 該当するAIの例 | 制裁金(違反時) |
|---|---|---|---|
| 禁止(Unacceptable Risk) | 開発・利用を全面禁止 | ソーシャルスコアリング、リアルタイム顔認識(一部例外あり)、サブリミナル操作AI | 売上の7%または3,500万€ |
| ハイリスク(High Risk) | 適合性評価・品質管理体制・ログ記録・透明性が義務 | 採用AI、信用スコアリング、医療診断AI、教育評価AI、重要インフラ制御 | 売上の3%または1,500万€ |
| 限定リスク(Limited Risk) | 透明性義務(AIであることの開示) | チャットボット、ディープフェイク生成、感情認識AI | 売上の1.5%または750万€ |
| 最小リスク(Minimal Risk) | 規制なし(任意の行動規範を推奨) | スパムフィルター、ゲームAI、産業用ロボット | なし |
AIを知りたい
採用AIや医療AIがハイリスクに分類されるんですね。ChatGPTのような汎用AIはどうなるんですか?
AIエンジニア
いい質問だね。ChatGPTやGeminiのような汎用AI(General-Purpose AI / GPAI)には、別途「GPAIモデル規則」が適用されるんだ。すべてのGPAIに技術文書の作成やEU著作権法の遵守が求められ、特に「システミックリスク」を持つ大規模モデルには、モデル評価やサイバーセキュリティ対策、重大インシデントの報告義務が追加されるよ。
EU AI Actの施行スケジュールと企業の対応
EU AI Actは一度に全てが施行されるのではなく、段階的に適用が進みます。企業は各フェーズに合わせた準備が必要です。
| 施行時期 | 対象規定 | 企業が準備すべきこと |
|---|---|---|
| 2025年2月 | 禁止AI規定 | 自社AIが禁止カテゴリに該当しないか確認、該当する場合は即時停止 |
| 2025年8月 | GPAI規定・ガバナンス体制 | 汎用AIモデルの技術文書整備、透明性レポート作成 |
| 2026年8月 | ハイリスクAI規定(本格施行) | リスク管理体制構築、適合性評価実施、品質管理システム導入 |
| 2027年8月 | 完全施行 | 既存AIシステムの完全準拠、継続的モニタリング体制確立 |
AIを知りたい
日本の企業は具体的に何をすればいいんでしょうか?
AIエンジニア
まず「自社のAIがEU AI Actの適用対象かどうか」を確認することが第一歩だね。EU市場向けにAIサービスを提供していたり、EU市民のデータを処理するAIを運用していれば対象になる。次に、AIインベントリ(自社が保有するAIシステムの一覧)を作成して、各AIのリスクレベルを分類することが重要だ。ハイリスクに該当するAIがあれば、リスク管理体制やデータガバナンス体制の構築を急ぐ必要があるよ。
AIを知りたい
日本独自のAI規制法はできるんですか?
AIエンジニア
日本はEUとは異なり、既存の法律(個人情報保護法、不正競争防止法など)を柔軟に適用するアプローチを取っているよ。2024年に「AI事業者ガイドライン」が策定され、法的拘束力はないものの、安全性・透明性・公平性などの原則が示されたんだ。ただし、EU AI Actの「ブリュッセル効果」(EUの規制がグローバルスタンダードになる現象)により、日本企業もEU基準を意識したAIガバナンスが求められるようになるだろうね。
AIを知りたい
GDPRのときも同じ流れでしたよね。今のうちから準備しておいたほうがよさそうですね!