EU AI規則(AI Act)対応プロジェクト計画:リスク分類から実装までの全体像
AIは、これまでにないスピードで産業構造、ビジネスモデル、そして社会そのものを変革しています。
AI システムが意思決定、サービスへのアクセス、重要インフラ、さらには基本的人権にまで影響を及ぼすようになる中、欧州連合(EU)はその開発と利用の規制において主導的な役割を果たしています。EU AI規則(「AI Act」)は、世界で初めて制定された包括的な AI 規制枠組みです。その目的は、信頼でき、安全で人間中心の AI を促進するとともに、イノベーションを支援し、EU の単一市場の適切な機能を確保することにあります。
本記事では、AI Act の主要要素を概説するとともに、以下を解説します。
- AI システムの分類方法
- 実務的なコンプライアンス対応ロードマップ
- 適用スケジュールおよび各役割ごとの義務内容
AI規則とは、誰に適用されるのか
AI Act は、EU 域内における AI システムの開発、市場投入、および利用について調和されたルールを定める EU 規則です。
その目的は次のとおりです。
- EU 市場に投入される AI システムの安全性および基本的人権の尊重を確保すること
- AI に関するガバナンス、監督、説明責任を強化すること
- 比例的かつリスクベースのルールを通じてイノベーションを支援すること
- 欧州における AI への信頼、普及、競争力を促進すること
また、本規則は欧州委員会内に設置される専門組織である「EU AI Office」を創設しています。同オフィスは、汎用 AI(GPAI)モデルの監督、各国当局の調整、執行支援、ガイダンスの発出、EU 全域におけるシステミックリスクの監視を担います。特に、透明性、リスク軽減、システミックリスク評価に関する義務について、GPAI プロバイダーの監督において中心的役割を果たします。
AI Act は広範に適用され、AI のバリューチェーンに関与するすべての主体を対象とします。EU 域外の事業者であっても、そのシステムまたは出力が EU の人々に影響を及ぼす場合は適用対象となります。
本規則は、以下の主体に義務を課します。
- プロバイダー(AI を EU 市場に投入し、EU 内でサービスに組み込む者)
- EU に所在するデプロイヤー(利用者)
- EU 域外であっても、その AI の結果が EU において使用されるプロバイダー/デプロイヤー
- 輸入業者および販売業者
- 製品製造業者
- プロバイダーの指定代理人
なお、事業者が第三国に拠点を有している場合であっても、当該 AI が EU 向けに提供または使用されることを意図している限り、AI Act に基づく義務は免れません。
AI システムの分類:容認できないリスク、ハイリスク、限定的リスク、最小リスク
AI 規則はリスクベースの枠組みを採用しており、AI システムが自然人、社会、基本的権利に与え得る影響が大きいほど、求められる義務も重くなります。AI システムは主に「容認できないリスク」「ハイリスク」「限定的リスク」「最小リスク」の4段階に整理され、禁止から自主的対応まで、リスク水準に応じた要件が紐づけられています。
1. 容認できないリスク:禁止される AI(第5条)
安全性、基本的権利、民主的価値に対する明白な脅威となる AI は、EU で原則として禁止されます。例としては、次のようなものです。
- 機微情報(特別な種類の個人データ等)を推測する目的での生体分類
- インターネットや CCTV 映像からの顔画像の無差別スクレイピング(一定の例外あり)
- 職場や教育機関における感情認識
- ソーシャルスコアリング
- 行動操作(人の判断を歪めるようなもの)
もっとも、加盟国は一定の場合に、公衆がアクセス可能な場所で、法執行機関が刑事訴追目的でリアルタイム遠隔生体認証システムを使用することを認め得ます。
2. ハイリスク AI:遵守義務(第6条以下)
ハイリスク AI は、自然人の基本的権利などに重大なリスクをもたらし得る領域で使われるため、厳格な要件遵守が求められます。
典型例は次のとおりです。
- 附属書Iに列挙された EU 調和法の対象製品(例:玩具安全、昇降機等)に関連し、安全構成要素として用いられる AI(または AI 自体が規制対象製品に当たるもの)
- 附属書IIIに列挙された分野の AI(生体用途、重要インフラ、教育・職業訓練、雇用・人事、不可欠な民間・公的サービスへのアクセス/利用〔不正検知を超える信用スコアリング等〕、法執行、移民・庇護・国境管理、司法運営、民主的プロセス 等)
3. 限定的リスク:情報提供・透明性(透明性義務)
限定的リスクは、自然人とやり取りする AI(例:チャットボット、ボイスボット)や、自然人向けにコンテンツを生成・改変する AI(例:ディープフェイク、合成音声、画像、動画、テキスト)などが中心です。ここでは、例えば「AI により生成されたコンテンツである」旨を知らせるなど、透明性の確保が重要になります。ディープフェイク対策の観点でも特に重視されます。
4. 最小リスク:自主的対応
多くの AI は最小リスクに該当し、原則として強制的な要件の対象ではありません(例:AI 搭載のビデオゲーム、スパムフィルター、生産性向上ツール等)。もっとも、提供者はコンプライアンスを超えて、倫理的で信頼できる AI を促進するための自主的な行動規範等を採用できます。
汎用 AI モデル(GPAI モデル)
汎用 AI モデル(AI 規則第3条63項)は、幅広い用途を想定して設計され、多様なタスクを適切に実行できるモデルを指します。
その活用範囲は、動画・テキスト・画像の生成から、複数のモダリティを組み合わせた高度な用途にまで及びます。こうしたモデルを EU 市場に提供する前には、広範な透明性義務を満たす必要があります。具体的には、技術情報の開示、サイバーセキュリティおよび安全性に関する要件への対応、知的財産を保護するための方針の整備、さらに学習データやテスト手順に関する情報の提示などが求められます。
また、AI 規則は「システミック・リスクを示す汎用 AI モデル」(第51条および第55条)という特別なカテゴリーを設けています。これはハイリスク AI システムとは別の枠組みです。システミック・リスクを示す GPAI モデル、すなわち一定の計算資源閾値を超える極めて大規模なモデルについては、モデル評価、敵対的テスト(adversarial testing)、強化されたサイバーセキュリティ対策など、追加的な義務が課されます。
域外適用と AI規則における認定代理人
EU 域内に拠点を有しないにもかかわらず、自らの GPAI モデル(システミック・リスクを示すもの)を EU で利用可能にし、またはサービスを開始する提供者は、EU 域内に所在する認定代理人を選任しなければなりません(第54条)。
これは AI 規則が域外適用を有することを明確に示すものです。すなわち、規則は EU 企業のみならず、EU 市場に影響を及ぼす AI システムを提供する外国事業者にも適用されます。オンライン経由での提供、API 連携、第三者を通じた配布など、形態を問わず EU においてモデルを利用可能にすること自体が、この義務を発生させる可能性があります。提供者の物理的所在地は問いません。
AI Act に基づく代理人は、GDPR 第27条の代理人とは性質が異なります。AI Act の代理人は、製品コンプライアンスや製品責任に近い役割を担います。単なる連絡窓口にとどまらず、第53条および第55条に基づく主要な義務の履行状況を確認し、技術文書を保持し、監督当局からの要請に対応し、執行措置に協力する責任を負います。
さらに、当局とのコミュニケーション支援、継続的な義務遵守の確保、規制当局との全面的な協力もその職務に含まれます。この要件は、規模を問わず、EU 市場に AI システムを上市する、またはその出力が EU で使用される開発者、導入者、第三国事業者にも適用されます。
その意味で、AI Act における代理人は、コンプライアンス監督において、GDPR の代理人よりも実質的な役割を担う存在であるといえるでしょう。
主なコンプライアンス要件とタイムライン
AI 規則への適合は、一度きりの対応で完結するものではありません。AI のライフサイクル全体を通じた、段階的かつ体系的なアプローチが求められます。
以下では、適用可否の判断、AI システムの分類、そして必要なガバナンス体制・プロセス・文書整備を期限内に実施するために、組織が取るべき5つの重要なステップを示します。
ステップ1:自社のシステムが AI 規則上の「AI」に当たるかを確認する
AI 規則が適用されるのは、規則上の定義に照らして「AI」といえるシステムに限られます(OECD のAI原則と整合する定義)。コンプライアンス対応に着手する前提として、まず自社のどの技術が規則上の「AI」に該当するのかを特定する必要があります。
ステップ2:自社のユースケースに AI 規則が適用されるかを判断する
AI と特定できたら、次にその利用目的・態様が規則の適用範囲に入るかを確認します。一定のユースケースは規則の適用除外となります。
AI 規則が適用されないAIの例:
- 軍事目的、防衛目的、または国家安全保障目的「のみ」で使用されるもの
- 科学研究・研究開発目的「のみ」で開発・導入されるもの
- 上市/サービス開始前の研究・テスト・開発で使用されるもの(ただしリアルワールド条件でのテストは別途扱い)
- 自然人が純粋に私的かつ非職業的な目的で使用するもの
- フリー/オープンソース・ライセンスの下で提供されるもの
実務上のポイント:適用除外は一律ではなく、個別具体的に慎重な判断が必要です。適用除外を主張する場合は、その法的根拠を丁寧に文書化しておくべきです。
ステップ3:AIサプライチェーン上の自社の役割を整理する
求められる義務は、事業者が担う役割によって異なります。もっとも、中心となる義務は主としてAIソリューションの「提供者」に向けられています。ここでいう提供者とは、AIを開発(または開発させ)、自己の名称・商標の下で上市し、またはサービス開始する者を指します。法的保護の空白を避けるため、他の市場関係者にも同等の義務が及ぶ場合があります。したがって、AI 規則の枠組みは、メーカーから最終利用者まで、サプライチェーン全体に関係します。
ステップ4:AIシステムを分類し、適用される義務を特定する
必要な対応レベルは、AIシステムの分類によって決まります。
禁止AI・ハイリスクAI
禁止AIは、その名のとおりEUで上市・使用できません。
ハイリスクAIは、次のような必須義務を満たす場合に限り、EUで上市・使用が可能です。
- リスク管理体制とAIリスク評価
- 基本的権利への影響の分析(附属書III該当のシステム)
- データガバナンスおよびデータ品質管理
- 技術文書(CE適合のため)
- 記録保存・ログ(記録)
- 透明性に関する義務
- 人間による管理(ヒューマン・オーバーサイト)
- 精度、堅牢性、サイバーセキュリティ要件
- EU域外提供者の場合、EU域内に設立された代理人(指定代理人)の選任
また、提供者は上市前に EU適合宣言書 を作成し、CEマーキング を付す必要があります。
実務上は、要求事項が最も広範なハイリスクAIを優先して対応計画を立てるのが合理的です。
汎用AI(GPAI)
すべての汎用AIモデル(GPAI)提供者は、システムの開発や学習内容を十分に文書化し、川下の提供者がシステムを理解できるよう適切な情報提供を行う必要があります。例としては、以下が含まれます。
- GPAIモデルの機能・制約に関する情報
- EU著作権コンプライアンス戦略の実装
- 学習に用いたコンテンツの要約
さらに、システミック・リスクを示すGPAIの提供者は、想定されるリスクに関するモデル評価、一定の報告義務、サイバーセキュリティ対策の確保など、追加義務も求められます。
限定的リスクAI
主として透明性義務の対象です(例:AI生成コンテンツの開示、チャットボットである旨の明示、ディープフェイクの表示など)。
最小リスクAI
義務的要件はありませんが、自主的な行動規範の活用が推奨されます。
ステップ5:期限に間に合うように義務を実装する
適用される期限はAIのカテゴリーごとに異なるため、組織として計画的に実装を進める必要があります。ガバナンス、文書整備、リスク管理、技術対応を含むロードマップを用意することで、必須要件への適時対応が可能になります。
AI 規則は、リスク水準に応じて段階的に適用され、イノベーションと安全性・基本的権利保護のバランスを図ります。
GPAIに近い期限が迫る一方で、過去・将来の期限も踏まえ、次のとおり備える必要があります。
- 2025年2月2日:一般規定および禁止AIの章が適用開始。欧州委員会が禁止行為に関するガイドラインを公表。
- 2025年8月2日:汎用AIモデル(GPAI、LLM等を含む)に関する義務が適用開始。透明性、文書化、モデルの能力・規模に応じたリスク低減義務等。
- 2026年2月2日:欧州委員会がハイリスクAIの分類ルールに関するガイドラインを策定。
- 2026年8月2日:残りの規定が適用開始(第6条1項を除く)。GPAI提供者に対する制裁も適用対象に。
- 2027年8月2日:ハイリスクAIの分類ルール(第6条1項)および関連義務が適用開始。
AI Act 2.0 概要:AI 規制に関する「デジタル・オムニバス」提案
AI 規則の段階的なコンプライアンス期限に向けて各組織が準備を進める中、欧州委員会は、同規則に対する的を絞った調整を提案する「デジタル・オムニバス」パッケージを提示しました。これはしばしば AI Act 2.0 とも呼ばれます。狙いは、高い保護水準を維持しつつ、実装を容易にし、行政負担を軽減し、競争力を強化することです。本提案は、所轄当局の指定の遅れ、統一規格の不足、より明確なコンプライアンス支援ツールの必要性など、ステークホルダーが指摘してきた実務上の課題を踏まえたものです。
提案の中心要素の一つが、コンプライアンス期限の見直しです。
- 附属書IIIのハイリスクAIシステムについては、現行の適用日である 2026年8月2日が後ろ倒しとなります。新たな期限は、規格やガイダンスなど必要な支援措置が整ったことを欧州委員会が確認した時点を基準に設定され、確認後は提供者・導入者に 6か月の対応期間が与えられます(ただし最終期限は 2027年12月2日)。
- 附属書Iのハイリスクシステムについては、支援措置が利用可能と判断された 1年後に適用され、遅くとも 2028年8月2日までに適用されます。
- そのほか、ハイリスクに当たらないと評価された附属書IIIのシステムについて登録要件を削除しつつ、社内での文書化責任は維持すること、AIリテラシー義務の位置づけ変更、AI 規制サンドボックスやリアルワールドテストのより広い活用、中小企業(SMEs)および小規模ミッドキャップ企業向けの簡素化拡大なども提案に含まれています。
今後、本提案は EU の立法プロセスに移行し、欧州議会の各委員会(IMCO、ITRE、LIBE)が主導的役割を担う見込みです。緊急手続により 2026年第1四半期にも最終テキストが採択され得る一方、現実的には 2026年半ば〜2026年第3四半期が目安とされています。ステークホルダーがプロセスに影響を与える余地も残されており、協議は 2026年3月11日まで受け付けられています。
EU AI 規則は、欧州におけるAIの開発・導入・ガバナンスのあり方を大きく転換するものです。リスクベースの枠組みにより、透明性、安全性、人間による管理、基本的権利をイノベーションの中核に据える点で、責任あるAIのグローバル基準を打ち立てています。
Prighter の見解
企業にとって本規則は、受け身ではなく 先回りした計画策定を求めます。AIシステムの早期棚卸し、AIサプライチェーン上での役割の明確化、そして段階的な実装ロードマップの構築は、後戻りの大きい追加対応(リメディエーション)を避けるうえで不可欠です。
欧州委員会のデジタル・オムニバス提案は、こうした備えの重要性を改めて示しています。提案は一部期限の延長や義務の明確化により実装負担の軽減を狙うものの、ハイリスクAIシステムに対する 実体的要件を緩めるものではありません。むしろ、執行が本格化する前に、ガバナンス体制、文書整備、技術的コントロールを強化するための短い猶予を与えるものと捉えるべきです。
Prighter は、AI提供者向けに EU 代理人サービスおよびコンプライアンス支援を提供し、構造化された実装・モニタリングの枠組みを通じて AI 規則対応を支援します。
規制環境が変化する中、とりわけ欧州委員会のデジタル・オムニバス提案の動きに関して、Prighter は立法動向を継続的に追跡し、コンプライアンス戦略に落とし込むための実務的なアップデートを提供しています。
GDPR などの制度対応で培った経験と、専門性の高いリーガルチームを基盤に、Prighter は企業の新要件への適応を支援し、準備態勢、説明責任、そして EU 市場への円滑な参入を実現します。
EU AI 規則への対応、ならびにその他のグローバルなプライバシー/デジタルガバナンス枠組みにおける継続的なコンプライアンス維持について支援をご希望の場合は、当社チームとの無料相談をご予約ください。