第2回では、欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)について、製品ライフサイクル全体でサイバーセキュリティを確保する必要があることを解説しました。 第3回では、もう一つの重要規制である『EU AI法』(Regulation (EU) 2024/1689、Artificial Intelligence Act)に焦点を当てます。
『EU AI法』は、EU域内におけるAIシステムの開発、上市(placing on the market)、導入(putting into service)、利用に関する共通の法的枠組みを定め、健康・安全・基本的人権の高い保護水準を確保しつつ、信頼できるAIの普及とイノベーションを支えることを目的としています(出典:EUR-Lex “Regulation (EU) 2024/1689”)。
また、『EU AI法』は公布後20日目に発効し、原則として2026年8月2日から適用が開始される一方、定義・AIリテラシーや禁止規定は2025年2月2日から、汎用AIモデル(general-purpose AI)関連の規定等は2025年8月2日から、さらに一定の高リスクAIに関する規定は2027年8月2日から適用されるなど、段階適用となっています(出典:EUR-Lex “Regulation (EU) 2024/1689”, Article 113)。
なお、欧州委員会(AI Act Service Desk)も、段階適用の主要日程として、2025年2月2日、2025年8月2日、2026年8月2日、2027年8月2日を示しています(出典:European Commission “AI Act Service Desk – Timeline for the Implementation of the EU AI Act”)。
製造業にとって『EU AI法』が重要なのは、AIが単なる研究開発テーマではなく、既に製品、設備、品質管理、保守、労務管理などに組み込まれているためです。 外観検査AI、予知保全AI、ロボット制御、作業者の安全監視、需要予測、画像認識、異常検知など、AIの用途は多岐にわたります。
ただし、『EU AI法』はすべてのAIを同じ強度で規制するものではありません。 基本は、リスクの大きさに応じて要求事項と義務を変える「リスクベースアプローチ」です(出典:European Commission “Commission publishes the Guidelines on prohibited AI practices…”, 2025年2月4日)。
この構造を正しく理解することが、製造業におけるEU AI法対応の出発点になります。
1.EU AI法の基本構造:リスクに応じて義務が変わる
『EU AI法』では、AIシステムをリスクに応じて整理し、特に問題となる領域として、禁止されるAI(禁止規定)、高リスクAI、透明性義務の対象となるAIなどを位置づけています(出典:European Commission “Commission publishes the Guidelines on prohibited AI practices…”)。
製造業でまず重要になるのは、自社が利用しているAI、または製品に組み込んでいるAIが、どの区分に整理され得るのかを確認することです。
例えば、単に生産実績を分析して需要予測に使うAIと、作業者の近接を検知してロボットを停止させるAIでは、想定されるリスクの性質が異なります。 前者は経営判断や生産計画への影響が中心となり得ますが、後者は人の安全に直接関係し得ます。
また、AIを社内業務に利用している場合と、AI機能を組み込んだ製品をEU市場に提供している場合では、企業の立場(役割)も異なります。 『EU AI法』は、AIシステムを市場に出す事業者(提供者)と、それを利用する事業者(導入者)等を区別し、役割に応じた義務を定めています(出典:EUR-Lex “Regulation (EU) 2024/1689”)。
日本企業であっても、AI搭載製品をEU市場に提供する、EU企業にAIシステムを提供する、またはEU域内で利用されるAIシステムの供給網に関与する場合には、『EU AI法』上の位置づけと責任分担を整理する必要があります。
2.製造業で問題になりやすい「高リスクAI」とは
『EU AI法』対応で特に注意すべきなのが、高リスクAIシステムです。 欧州委員会は、高リスクに該当するかどうかの考え方を整理し、提供者・導入者が分類を検討できるよう、具体例を含むガイド(ガイドライン案)を提示しています(出典:European Commission “Guidelines for providers and deployers of AI high-risk systems”)。
高リスクAIとして論点になりやすい方向性は、実務上、次の二つに整理すると理解しやすくなります。
一つ目は、既存のEU製品規制(整合法令)の枠組みで規制される製品に組み込まれ、その製品の安全機能に関係し得るAIです。 製品カテゴリや適用法令は個別に確認が必要ですが、AIが安全機能の一部として動作する場合は、AI側の要求事項と製品側の要求事項を整合させる必要が生じます(出典:EUR-Lex “Regulation (EU) 2024/1689”の適用・整理枠組み)。
二つ目は、EU AI法が特定分野として想定する領域(例:雇用、労働者管理等)に関係し、健康・安全・基本的人権への影響が問題になり得るAIです。 欧州委員会は「限定的な用途が高リスクとなり得る」こと、また提供者・導入者が分類検討できるようにすることを説明しています(出典:European Commission “Guidelines for providers and deployers of AI high-risk systems”)。
製造業で特に注意すべき例としては、次のようなものが挙げられます。
- 協働ロボットや産業機械の安全停止に関わるAI
- 作業者の行動を監視し、安全リスクを判定するAI
- AI搭載の検査装置が、製品安全に関わる合否判定を行う場合
- 工場やエネルギー設備など、重要インフラに関わるAI
- 採用、配置、評価、勤務管理などに使うAI
ここで重要なのは、「AIを使っているから高リスク」とは限らない点です。 用途、影響、利用環境、対象者、既存の製品安全法令との関係を踏まえて判断する必要があります。 第三者認証機関の視点では、AI法対応の初期段階で、AIシステムの棚卸しとリスク分類を行い、分類根拠を説明可能な形で残すことが重要になります(出典:European Commission “Guidelines for providers and deployers of AI high-risk systems”)。
3.高リスクAIに求められる管理体制(製造業の品質管理との接続)
高リスクAIに該当する場合、単にAIモデルの精度が高いだけでは十分ではありません。 EU AI法は、要求事項として、リスク管理、データ・ガバナンス、技術文書、記録、透明性、人間による監督、正確性・堅牢性・サイバーセキュリティ等を含む枠組みを定めています(出典:EUR-Lex “Regulation (EU) 2024/1689”)。
製造業の実務に置き換えると、これは「AI版の品質マネジメント」として捉えると理解しやすいでしょう。
例えば、外観検査AIであれば、次のような観点が管理対象になります。
- どのようなデータで学習したか(出所、取得条件、範囲)
- 不良品や境界事例のデータが十分に含まれているか
- 特定のロット、照明条件、撮像条件等への偏りがないか
- どの条件で性能を評価したか(評価手順、指標、合否基準)
- 誤判定時に人が確認できる仕組みがあるか(運用設計)
- モデル更新時に再評価・承認が行われるか(変更管理)
- ログが保存され、事後に追跡できるか(記録・監査性)
特に注意すべきなのは、導入時に性能が確認されていても、時間の経過とともに性能が変化し得る点です。製造条件、材料、照明、カメラ、作業環境、対象製品の設計変更などが変わると、AIの判断精度が低下する可能性があります。したがって、導入時の評価だけでなく、運用中の監視、再評価、変更管理を品質保証プロセスに組み込むことが重要になります(要求の枠組みは『EU AI法』本文に基づき個別確認が必要です)。
4.データ品質と偏り(バイアス)管理は製造業でも重要
『EU AI法』では、信頼できるAIの前提として、データの品質やガバナンスが重要な論点になります(出典:EUR-Lex “Regulation (EU) 2024/1689”の目的・枠組み)。
これは人事評価や顔認証のような分野だけの問題ではありません。製造業のAIでも、データの偏りは品質問題に直結します。
例えば、特定工場、特定照明、特定カメラ、特定材料ロットの画像だけで学習した外観検査AIを、別の工場や別ラインに展開すると、誤判定が増える可能性があります。 不良品データが少ないまま学習したAIは見逃しを増やし得ますし、逆に正常品を不良品と誤判定し過ぎれば生産効率が低下します。 製品安全に関わる検査で見逃しが発生すれば、市場事故やリコールにつながる可能性も否定できません。
このため、データを単なる「AI開発用素材」としてではなく、品質保証上の管理対象として扱う必要があります。 学習データと評価データの出所、取得条件、件数、ラベル付け方法、対象範囲、更新履歴、除外データの理由等を記録し、再現可能性と説明可能性を確保することが望まれます。
5.人間による監督と、利用者・顧客への説明可能性
『EU AI法』対応では、AI任せにしない仕組みも重要です。 特に高リスクAIでは、人間による適切な監督が枠組み上の論点になります(出典:EUR-Lex “Regulation (EU) 2024/1689”)。
製造業では、AI導入の目的が「自動化」「省人化」になりがちですが、AIが安全や品質に関わる判断を行う場合、どの場面で人が確認し、どの場面でAIの判断を止められるのかを運用設計として定める必要があります。
例えば、次のようなルールを事前に決めておくことが重要です。
- AIが不良と判定した場合に人が再確認するのか
- AIが良品と判定した場合に抜き取り検査を行うのか
- 確信度が低い判定は人に自動エスカレーションするのか
- 判定傾向の異常(ドリフト)が出た場合にライン停止・再学習を行うのか
また、AIの判断について、利用者や顧客にどの程度説明できるかも重要です。 すべての内部ロジックを完全に説明できる必要はないとしても、少なくとも、目的、適用範囲、前提条件、性能が保証されない条件、誤判定時の対応、責任分担については説明できる状態にしておくことが望まれます。
6.技術文書と適合性評価への備え(段階適用も踏まえた実務)
『EU AI法』対応で日本企業が早期に準備すべきものの一つが、技術文書と記録体系です。 『EU AI法』は、適合性を示すための情報・文書の整備や、当局要請に応じた情報提供などを枠組みとして定めています(出典:EUR-Lex “Regulation (EU) 2024/1689”)。
高リスクAIに関する技術文書としては、目的、設計、開発手順、学習データ、評価方法、性能指標、リスク管理、サイバーセキュリティ、人間による監督、ログ、変更管理、使用上の制限等を整理し、説明可能な形で維持管理することが重要になります。
日本企業でよくある課題は、AI開発チームが実験・検証を行っていても、その記録が審査や顧客説明に使える形で一元化されていないことです。 研究開発メモ、ソースコード管理、試験結果、データセット管理、モデル更新履歴が分散していると、後から適合性や妥当性を示すことが難しくなります。 そのため、開発初期から「後で説明できる形で記録する」ことが実務上のポイントになります。
さらに、AI搭載製品をEU市場に提供する場合は、製品安全、サイバーセキュリティ、AIリスクの文書を別々に作るのではなく、相互に矛盾が生じないよう統合的に管理する必要があります。 モデル更新の結果、サイバーセキュリティ上の構成が変わる場合や、安全機能の性能に影響し得る場合には、再評価が必要となる可能性があります。
なお、適用開始時期については、『EU AI法』本文に基づく段階適用(2025年2月2日、2025年8月2日、2026年8月2日、2027年8月2日等)を前提に計画を立てることが基本となります(出典:EUR-Lex “Regulation (EU) 2024/1689”, Article 113;AI Act Service Desk “Timeline”)。
一方で、欧州委員会は高リスクAIの分類ガイド(ガイドライン案)において、いわゆる「AI Omnibus(AIオムニバス)」に関する政治合意を踏まえた新たな執行タイムラインに言及し、特定領域の高リスク分野は2027年12月2日から、ロボティクス・産業機械等の製品に統合されたAIについては2028年8月2日から適用とする整理を示しています(出典:European Commission “Guidelines for providers and deployers of AI high-risk systems”)。
この点は、将来の追加的な制度調整・運用整理の可能性を示唆する情報であり、実務では、法令本文(一次情報)と、欧州委員会の最新ガイダンスの双方を継続的に確認することが望まれます。
まとめ:EU AI法対応は「AI開発」ではなく「AI品質保証」として整理する
『EU AI法』への対応は、AIエンジニアだけの仕事ではありません。 製造業におけるAIは、品質保証、製品安全、サイバーセキュリティ、法務、購買、営業、保守サービスと密接に関係します。
まず行うべきことは、自社のAIシステムを棚卸しし、用途、利用場所、対象者、製品安全との関係、EU市場との関係を整理することです。 その上で、高リスクAIに該当する可能性があるものについては、リスク管理、データ品質、技術文書、人間による監督、ログ管理、変更管理、サイバーセキュリティの観点で、説明可能な形に整備していく必要があります。
『EU AI法』対応を一言で表すなら、AIを品質保証の対象にすることです。 AIを「便利な分析ツール」として扱うだけでなく、製品や業務に影響を与える管理対象として位置づけ、信頼性を示すための証跡を整えることが求められます。
次回は、「CRAとAI法の重なり ― AI搭載製品・スマート製品で注意すべき実務」として、AI搭載製品においてサイバーセキュリティとAIリスクがどのように結びつくのかを解説します。
『CRA』や『AI法』への対応に関するお問い合わせは、Nemko Japan製品認証部 (japan@nemko.com)までお気軽にお問合せください。