「EUの法律だから、日本企業には直接関係しない」と整理してしまうと、取引・事業継続の観点で想定外のリスクになり得ます。欧州AI法(EU AI Act)は、2024年8月1日に発効し、段階的に適用が開始されています。具体的には、一定の禁止AIの規定やAIリテラシーに関する義務が2025年2月2日から、またGPAI(汎用目的AI)モデルに関する義務は2025年8月2日から適用開始と整理されています。
本制度の重要点は、規制対象をEU域内の企業に限定していないことです。EU市場にAIシステムやGPAIモデルを投入する事業者、EU域内でAIシステムを使用する事業者など、活動実態に応じて適用関係が生じ得る枠組みとして説明されています。
加えて、日本国内でもAIガバナンスを「将来の検討課題」として先送りしにくい状況が進んでいます。経済産業省および総務省は、AIの開発・提供・利用に関わる事業者を広く対象とする「AI事業者ガイドライン(第1.0版)」を公表し、リスクに応じた対応の考え方を示しています。
EU法対応の必要性が直ちにない場合でも、顧客要求・サプライチェーン要請・内部統制の観点から、AIの利用実態を把握し、説明可能性と責任分担を整備する動きは現実的な優先課題になっています。
次に押さえるべきは、EU AI Actが「AIを一律に厳格規制する」制度ではなく、リスクベースで設計されている点です。安全、健康、基本的権利への影響が大きい用途ほど要求事項が重くなり、影響が相対的に小さい用途には過剰な負担が生じないよう整理されています。EUは本法を、基本的権利の保護と、信頼できるAIの普及を両立させるための包括的枠組みとして位置付けています。
では、どのようなAIが論点になりやすいのでしょうか。実務上は、(1)禁止されるAI、(2)高リスクAI、(3)透明性(情報提供)義務が中心となるAI、(4)GPAI(汎用目的AI)モデル、(5)追加義務の比較的少ない最小リスクAI、という観点で整理すると見通しが良くなります。
禁止されるAIの例としては、人の脆弱性を悪用する不当な操作、社会的スコアリング、職場や教育現場における感情認識などが議論の中心です(例外や定義は制度文脈で精査が必要です)。欧州委員会は、禁止行為の解釈に関するガイドラインも公表し、制度の一貫した運用を図っています(ただし最終的な法的解釈は司法判断に委ねられる点に留意が必要です)。
高リスクAIには、雇用・労務、教育、重要インフラ、与信・金融、医療など、人の生活機会や権利に影響しやすい領域が含まれ得ます。このカテゴリでは、リスク管理、データ品質、技術文書、ログ、人的監督、精度・堅牢性・サイバーセキュリティなどの要求が論点になります(実際の該当性は用途・構成・提供形態で個別に評価が必要です)。
一方で、チャットボットや生成物が誤認を招き得る場面などでは、「AIであること」や生成物であることを利用者に分かるようにする、透明性(情報提供)の考え方が重視されます。
さらに、基盤モデルのように多用途に展開されるGPAIモデルについては、技術文書の整備、著作権対応方針、学習データ等に関する概要の公開など、モデル提供者に対する義務が整理されています。これらのGPAI関連義務が適用開始となる日付(2025年8月2日)も明確に示されています。
ここで、日本企業にとって本質的に重要なのは、「自社がAIを開発しているか否か」だけで適用関係が決まらない点です。EU AI Actは、提供者(provider)だけでなく、EU域内で使用する導入者(deployer)等も含めて、一定の場合に義務の対象となり得ます。したがって、日本本社が国内にあっても、例えば次のような形態では、EU AI Actの適用可能性を検討する必要があります。
・日本のIT企業が、EUの顧客に向けてAI搭載SaaSを提供している。
・製造業が、AIを組み込んだ機器・ソフトウェアをEUで販売している(販売後のアップデートでAI機能を有効化する場合も含む)。
・欧州子会社やEU拠点で、採用選考、労務管理、顧客審査、監視用途等にAIを使用している。
ポイントは、企業の国籍ではなく、「EU市場への投入」「EU域内での利用」「用途とリスク特性」に軸足があることです。
経営層が見落としやすいのは、EU AI Actが法務部門だけで閉じる論点になりにくい点です。実務では、営業(顧客要件・契約)、開発(設計・検証・文書化)、情報システム(運用・ログ・アクセス管理)、品質保証(変更管理・不具合対応)、人事(採用・評価の利用実態)、内部監査(統制と証跡)など、複数部門が関与します。なぜなら、AIが「どこで」「何の目的で」「どのようなデータと判断で」使われているかを把握できなければ、自社が提供者なのか導入者なのか、あるいはGPAIを組み込む下流事業者(統合者)なのかを適切に特定できないためです。
この点は、日本の「AI事業者ガイドライン」における、事業者全体を対象にリスクを特定し、適切な対策を講じるという考え方とも整合します。
EU法対応の有無にかかわらず、「AIの棚卸し」と「責任分担の明確化」は、既に実務上の基礎作業として位置付ける必要があります。
では、今すぐ着手すべきことは何でしょうか。第一歩は、難解な条文を最初から網羅的に読み込むことではありません。まずは、自社の製品・サービス・社内業務のうち、AI(機械学習を含む)が関与する機能を一覧化し、以下の観点で整理します。
(1) EU向けに市場投入しているか、EU域内で利用される想定があるか
(2) 人の評価・選別・アクセス制御・与信等、権利や機会に影響する用途か
(3) 生成AI機能(テキスト、画像、音声等の生成)やGPAIモデルを組み込んでいるか
(4) 利用者への説明・表示・通知が必要となる場面があるか
この“見える化”により、「対象外と思っていたが、一部は検討が必要」「契約上の説明責任が先に問題化する」など、実務上の論点が具体化します。対応の遅れは、多くの場合この初期段階(把握と分類)の不備から生じます。
そして、この流れの先で、組織としての管理の枠組みをどう整えるかが重要になります。そこで注目されているのが、ISO/IEC 42001(AIマネジメントシステム)です。ISO/IEC 42001は、組織がAIマネジメントシステムを確立し、実施し、維持し、継続的に改善するための要求事項と指針を示す国際規格です。
EU AI Actそのものを規格が置き換えるわけではありませんが、リスクベースでAIを管理し、説明責任や統制を一貫した仕組みとして運用する土台になり得ます。第三者認証の枠組みを用いることで、社内統制の成熟度を客観的に示し、取引先やステークホルダーとのコミュニケーションを円滑化する効果も期待されます(ただし、求められる適合性は法規制・契約要件・用途により異なるため、適用範囲設計が重要です)。
第1回でお伝えしたい要点は、EU AI Actが「欧州だけの話」として切り離しにくい制度であることです。論点は、自社がAI企業かどうかではなく、自社のAIがEU市場、EU拠点、EUの顧客接点とどのように結び付いているかです。まずはAIの利用実態を把握し、適用可能性の評価に着手することが、法令対応・顧客対応・社内統制を後手に回さないための現実的な第一歩になります。