EU AI法（EU AI Act）とは？　概要やスケジュール、企業に求められる対応を解説

EU AI法（EU AI Act）とは

EU AI法（EU AI Act）とは、2024年5月に成立し、8月に施行された欧州連合における人工知能システムを規制するために設計された法的枠組みで、基本的権利、安全性、倫理原則を高い水準で保護しながら、同時に信頼できるAI開発を促進し、イノベーションを支援することを目的としています。特に、AIのリスクレベルに応じた規制を導入し、高リスクとされる分野には厳格な基準を設けています。企業の所在地に関係なく、欧州で使用されるAIシステムに適用されるため、規制の概要は幅広く理解される必要があります。

AI規制に関する世界の動向

AI技術の急速な発展に伴い、そのリスクを管理し、イノベーションと安全性のバランスを取るための法規制の整備が世界的に進んでいます。その中でEU AI ACTは、AIがもたらし得るリスクの度合いに応じて規制の厳しさを変える「リスク・ベース・アプローチ」を採用した世界初の包括的なAI規制として、国際的な注目を集めています。EUが先行する形で包括的な法規制を進める一方、米国では、連邦政府による包括的な法規制は実施されていませんが、大統領令などにより倫理原則や透明性を重視したアプローチをとるなど、既存の規制枠組みを活用しながら分野ごとの規制を模索しています。日本でも、G7での国際的な議論を主導しつつ、経済産業省が「AI事業者ガイドライン」を公表するなど、国際協調を踏まえたAIガバナンスの検討を官民両輪で進めています。

このように、各国の規制動向は、AIの安全性と競争力の両立を目指しつつ、技術の進化に応じて今後も拡大・変化しています。

EU AI法（EU AI Act）の概要

EU AI法（EU AI Act）では、潜在的なリスクに基づいてAIシステムを以下の４つのリスクレベルに分類しており、それぞれのカテゴリごとに個別の要件を定めています。

1. 許容できないリスク
   このカテゴリーは、社会に対して許容できないリスクをもたらすAIシステムを対象としており、個人の自由や権利を侵害する可能性が高いものが含まれます。具体的な例としては、ソーシャルスコアリングシステム（個人をスコア化して社会的な信用を評価するシステム）や、個人の意識に影響を与えるサブリミナル技術などがあります。このカテゴリーに該当するシステムは、EU内での使用が禁止されます。
2. 高リスク
   このカテゴリーは、健康、安全、または基本的権利に重大な影響を与える可能性があるAIシステムが対象となります。具体的な例としては、雇用や教育におけるAIシステム、重要なインフラストラクチャの管理、法執行機関での使用などがあります。
   このカテゴリーに該当するシステムは、透明性や説明責任、データガバナンスなどの高リスクAIシステムに対して設定されている要求事項を満たす必要があります。
3. 限定的なリスク
   このカテゴリーでは、特定の透明性義務が課されます。具体的な例としては、ユーザーがAIシステムと対話していることを認識できるようにする必要があるチャットボットなどです。このカテゴリーではAIシステムを人間と誤解しないようにすることが求められます。
4. 最小限のリスク
   このカテゴリーには日常的に使用される多くのAI技術が該当し、AIシステムに対しての特別な規制要件はありません。具体的な例としては、スパムフィルターやビデオゲームで使用されるAIなどがあります。

EU AI法で規定される要件は、上記の「高リスク」に分類されたAIシステムに対して適用されます。また、許容できないリスクに分類されたAIシステムは原則使用が禁止されます。

EU AI法（EU AI Act）が日本企業に与える影響

EU AI法（EU AI Act）は、EU域内にAIシステムやサービスを提供する企業だけでなく、EU域外で開発されたAIの出力結果がEU域内のグループ会社などに提供される場合にも適用される「域外適用」の規定を持っています。したがって、多くの日本企業もその規制の対象となる可能性が非常に高く、特に高リスクとされるAIシステムを提供または利用している場合は、厳格なシステム要件の充足や技術文書の作成義務などのコンプライアンス対応が求められます。違反した場合の罰則は、最大で全世界の年間売上高の7%または3,500万ユーロのいずれか高い方と非常に高額に設定されており、企業経営に甚大な影響を及ぼしかねません。このため、EU市場でビジネスを展開する日本企業は、自社のAI利用状況を速やかに把握し、規制内容を理解した上で、AIガバナンス体制の構築やリスク管理プロセスの見直しといった対応を喫緊に進める必要があります。

EU AI法（EU AI Act）の規制の対象者

EU AI法（EU AI Act）の規制の対象は、AIシステムのライフサイクルにおける複数の事業者や関係者に及びます。主な規制対象者は以下の通りです。

プロバイダー（Provider）
AIシステムを開発し、市場に投入する自然人または法人、公的機関など。EU域外の日本企業も、EU市場にAIシステムを販売・提供すれば対象となります。

導入事業者（Deployer）
高リスクAIシステムを権限に基づいて利用する自然人または法人、公的機関など（例：企業の人事部門、重要インフラ事業者など）。

輸入業者（Importer）
EU域外からAIシステムを輸入し、EU域内の市場に流通させるEU域内の自然人または法人。

販売業者（Distributor）
市場に出回っているAIシステムを販売する者。

正規代理人（AuthorisedRepresentative）
EU域外のプロバイダーに代わって、EU域内でEU AI ACTに基づいた業務を実施する者。

EU AI法（EU AI Act）の実施スケジュール

EU AI法（EU AI Act）は段階的に施行されます。具体的なスケジュールをご紹介いたします。

2025年2月：使用が禁止されるAIに対しての規制が開始

2025年8月：汎用AIに対しての規制が開始
※ただし、同日までに市場に投入されたAIシステムは2027年8月まで適用が猶予される

2026年8月：「高リスク」に該当するAIシステムへの規制が開始

2027年8月：特定のEU規制下での第三者適合性評価が要求されるもので安全コンポーネントとして使用される高リスクシステムへの規制が開始

自社製品がEU AI法に適合していない場合、何が生じるか

違反に対する罰則は厳しく、違反内容に応じて750万ユーロ（約11億6,250万円）から3,500万ユーロ（約54億2,500万円）、または全世界年間売上高の一定割合などが設定されています。*1EUR=155JPYの場合

テュフズードのEU AI法（EU AI Act）関連サービス

テュフズードでは、EU AI法を理解するためのトレーニングやギャップ評価を提供しています。

◆EU AI法概要プライベートセミナー（半日）

EU AI法の概要を理解し、企業が取るべき対応の全体像を理解するためのセミナーです。

主な内容：
EU AI法の概要と適用範囲
リスクベースアプローチとリスクカテゴリの判定方法
GPAIに対する規制
テュフズードが提供できるサポート内容

主な対象：
EU市場でAIを提供・利用する企業の、関連業務に携わる幅広い皆様へ

◆EU AI法要求事項解説プライベートセミナー（1.5日間）

高リスクAIに該当した場合に必要となる要求事項の概要を解説します。

主な内容：
EU AI法の概要
高リスクAIに課される義務
適合性評価
品質マネジメントシステム（QMS）など

主な対象：
EU市場でのAI活用に向けて、社内の関連部門で対応をご検討中の方々へ

◆ ギャップ分析

現状のシステムやプロセスがEU AI法の要求事項にどの程度適合しているかを評価します。

成果物：
テクニカルレポート

◆ アセスメントおよび Attestation of Conformity

高リスクAIに対する適合性評価を実施
必要に応じて Attestation of Conformity（適合証明書） を発行

◆ ローリスクマーク

最小リスクと判定されたAIシステムについては、所定条件を満たす場合に「ローリスクマーク」を付与可能です。詳細はお問い合わせください。

お問い合わせはこちら

AI品質関連サービスはこちら