第1回では、欧州AI法(EU AI Act)が「EU域内企業だけのルール」ではなく、EU市場にAIシステムを提供する事業者や、EU域内でAIを利用する事業者にも適用関係が生じ得る点を整理しました。第2回では、日本企業が実務として何から着手すべきかを、部門横断で使えるチェックポイントとしてまとめます。なお、EU AI Actは段階適用であり、2025年2月2日から一般規定(定義等)と禁止事項、AIリテラシーが適用開始、2025年8月2日からGPAI(汎用目的AI)に関する規定とガバナンス、2026年8月2日から多数の規定(高リスクAIのうちAnnex III該当や透明性義務を含む)が適用開始、2027年8月2日から規制製品に組み込まれた高リスクAIが適用開始と整理されています。
結論から言えば、初動で必要なのは難解な法解釈の“読み込み”ではありません。自社がAIのバリューチェーン上どの立場にあり、どの業務で、どんな目的でAIを使っているかを、監査可能な粒度で「見える化」することです。これができない限り、対象判定も優先順位付けも、部門への具体的な指示も成立しません。
まず確認すべきは「自社の役割」
実務で最初につまずきやすいのは、「自社はAIを開発していないから関係が薄い」という思い込みです。しかしEU AI Actでは、事業者の立場は一つではありません。高リスクAIを提供する側(provider)と、業務で導入・運用する側(deployer)では、求められる技術的・組織的措置が異なります。例えば、高リスクAIの提供者には、要求事項への適合、品質マネジメントシステム、技術文書・ログの管理、適合性評価、EU適合宣言、CE表示、登録、是正措置などが列挙されています。
一方で導入者には、使用説明に沿った運用、人による監督の割当て、入力データの適切性確保、運用監視、リスクや重大インシデントの通報、ログ保管(少なくとも6か月)などが求められます。
同じAIを扱っていても、「作る側」と「使う側」では論点が一致しません。したがって日本企業が最初に行うべきは、「当社は対象か/対象外か」を一括で結論づけることではなく、案件・業務・製品単位で“自社の役割”を切り分けることです。
影響が出やすい業務を先に洗い出す
次に、どの業務・製品が先に影響を受けやすいかを把握します。EU AI Actの高リスクは、基本的権利や安全に影響し得る用途に重心があります(採用・人事、重要インフラ、与信、医療等が典型例として説明されています)。
日本企業の実務に引きつけると、優先的に棚卸し対象にすべき領域は概ね次のとおりです。
・採用候補者のスクリーニング、社員評価、配置・昇格の判断支援
・与信、保険料算定、KYC/本人確認、顧客審査
・監視、アクセス管理、異常検知(安全機能を含む)
・生成AIを組み込んだ顧客対応(チャット、メール自動応答、FAQ生成)
・EU向け製品・SaaSに組み込まれたAI機能(アップデートで有効化する機能を含む)
ポイントは「社内利用のAI」も対象性を持ち得ることです。販売していなくても、EU拠点で高リスクに該当し得る用途にAIを使っていれば、導入者としての義務が論点になります。
最優先はAIの棚卸しとAI台帳づくり
最初に整えるべき基盤は、AIの棚卸し(AI台帳)です。どの部署が、どのAIを、何のために、どこで使い、誰が責任者で、どのベンダーから調達しているのか。これが一覧化されていなければ、期限に間に合う計画は立ちません。
AI台帳は、少なくとも次の項目を“後から説明できる形”で保持することを推奨します。
・対象システム名/機能、用途、利用地域(EU関連の有無)、対象者(従業員・顧客等)
・判断への影響度(助言か自動決定か、拒否・選別に関与するか)
・利用しているモデル(自社/外部)、外部API、学習・再学習の有無、データの種類
・担当部門、運用責任者、手順書、ログ取得と保管、インシデント対応窓口
・ベンダー/契約相手、提供文書(仕様・制約・評価結果・既知の限界)、変更通知の仕組み
導入者の義務として「入力データの適切性」「運用監視」「ログ保管」「リスク・重大インシデント通報」等が明示されている以上、台帳に根拠情報が無い状態は、そのまま統制不備として顕在化します。
国内ガイドラインを“台帳運用”に接続する
EU法対応のためだけに台帳を作る必要はありません。日本では経済産業省が「AI事業者ガイドライン(第1.2版)」を取りまとめ、活用の手引き(案)に加え、チェックリストとワークシートも公開しています。
法的性質(拘束力)はEU法と異なりますが、「把握→評価→改善」をリスクベースで回すという実務の骨格は共通です。社内では、AI台帳を起点に、ガイドラインのチェックリスト(別添)を“運用点検の型”として組み込み、四半期・半期などの周期で更新する運用に落とし込むと、属人的な対応から脱却しやすくなります。
ベンダー任せにしない(調達・契約の論点を前倒しする)
外部のAIサービスやGPAIを組み込む企業ほど、調達管理が成否を分けます。GPAI規定は2025年8月2日から適用開始と整理されており、下流でサービス化する企業は、必要情報にアクセスできる状態を確保しなければ説明責任を果たせません。
実務で確認すべきは「性能が高いか」ではなく、少なくとも次の点です。
・再学習やログの扱い(どこまで取得でき、誰が管理し、保管期間はどうなるか)
・著作権・第三者権利への配慮に関する方針提示(利用者説明に転用可能か)
・制約事項(利用禁止用途、既知の限界、推奨される人的監督)
・障害/インシデント時の通知、変更管理(モデル更新の事前通知、互換性、ロールバック)
これらが曖昧なままでは、顧客や当局対応以前に、社内の説明が成立しなくなります。
社員教育(AIリテラシー)は「推奨」ではなく運用要件に近い
AIリテラシーは2025年2月2日から適用開始と整理されています。ここで求められるのは、単なる操作教育ではなく、AIの限界・リスク・監督・説明責任を、役割に応じて確保することです。
特に高リスク用途が想定される部門では、「どの出力で止めるか(エスカレーション基準)」「入力が偏りを生む典型」「人による監督の実装(担当者の権限・支援・記録)」まで運用に落とし込む必要があります。導入者の義務として人的監督の割当てが明示されている以上、“教育が弱い=監督が機能しない”という評価につながり得ます。
2026年以降を見据え、いま優先すべき三点
段階適用を踏まえると、当面の優先順位は次の三点に集約できます。
第一に、EU接点(EU市場投入、EU拠点での利用、EU向け提供)があるAI案件を洗い出すこと。
第二に、高リスクになり得る用途と生成AI利用を、台帳上“重点管理”として別枠で扱うこと(監督、ログ、インシデント、説明の整備を前倒しする)。
第三に、既存の品質・情報セキュリティ・個人情報保護の仕組みとAI管理を接続すること(台帳、変更管理、監査、教育を一本化する)。国内ガイドラインのチェックリストやワークシートを、点検・改善サイクルに組み込むことが有効です。
まとめ
EU AI Act対応は、法務部門の読解力だけで完結しません。条文より先に、自社の役割の切り分け、AI台帳の整備、影響の大きい用途の優先管理、ベンダー管理、AIリテラシーの実装を進めることが、最短距離になります。これらはEU法対応のためだけでなく、日本国内のガイドライン運用に照らしても、AIガバナンスを実装するための共通基盤です。
次回(第3回)は、この「仕組みとしてAIを管理する」発想を、ISO/IEC 42001(AIマネジメントシステム)とどのように接続し得るかを整理します。