AIの活用が急速に広がるなか、企業にとって重要性が増しているテーマの一つが、AIに関する規制・ガイドライン等への対応です。
その中でも注目されているのが、欧州連合(EU)における包括的なAI規制であるEU AI Act(AI規則)です。EU AI Actは、Regulation (EU) 2024/1689として制定されています。
EU AI Actは、AIの利用を一律に制限することを目的としたものではなく、AIの活用を促進しつつ、健康・安全や基本的権利の保護等を確保するためのルールとして位置付けられています。
企業にとっては、「規制対応」そのものにとどまらず、AIの信頼性(説明可能性、透明性、セキュリティ等を含む)をどのように示し、取引先・顧客・規制当局等の期待に応えるか、という観点が実務上重要になり得ます。
1. EU AI Actはなぜ注目されるのか
EU AI Actは、AIに関する包括的な法的枠組みとして国際的にも注目されています。AIシステムの市場投入、提供、利用に関する共通ルールを定め、EU域内市場での整合的な取り扱いを目指しています。
EUの制度設計では従来から、製品安全、データ保護、サイバーセキュリティ等において、事業者に説明責任や文書化を求める枠組みが採られる傾向があります。EU AI Actも、AIの用途・影響に応じて一定の管理や義務を求める点で、この流れと整合するものと整理できます。
また、EU市場に製品・サービスを提供する企業に加え、EU企業のサプライチェーンに関与する企業(部品供給、ソフトウェア提供、AIモジュール提供、データ処理委託等)も、契約要件や監査要件として影響を受ける可能性があります。
2. リスクベースアプローチとは
EU AI Actの主要な特徴の一つが、リスクベースアプローチです。これは、AIを一律に扱うのではなく、用途や想定される影響の大きさに応じて分類し、義務の強度を変える考え方です。EU側の解説でも、リスクに応じた枠組みであることが示されています。
概念的には、以下のような整理で理解されることが多いです(詳細は条文・附属書およびEU当局のガイダンスに基づき個別確認が必要です)。
・禁止(禁止されるAIの実務類型)
・ハイリスク(high-risk AI systems)
・透明性義務の対象(一定のAIに対する情報提供・表示等)
・最小~低リスク(法的義務が限定的、または対象外となる領域)
なお、禁止に該当し得る実務類型については、EU側がガイドラインを公表しており、禁止・ハイリスク・透明性義務等のリスク区分が示されています。
3. High-risk AIの対象例
企業実務で特に注意すべきなのは、high-risk AIに該当する可能性がある領域です。本文で挙げられている医療、産業(OT/設備・制御)、HR、人の行動や属性に関する監視等は、用途によっては影響が大きくなり得るため、該当性の一次判定(分類)と、必要に応じた追加の管理・文書化の要否を検討することが重要です。
(注)EU AI Act上の該当性は、AIの技術方式ではなく、主として用途・目的・提供形態・価値連鎖上の役割(provider/deployer等)で判断され得るため、個別評価が必要です。
4. 企業に求められる義務
high-risk AIに該当する場合、事業者に対してリスク管理、データガバナンス、文書化、記録(ログ等)、透明性、人による監督、ロバスト性・正確性・サイバーセキュリティ等の観点が求められ得ます(要求事項の範囲・適用開始日は条文・附属書および移行スケジュールに基づく確認が必要です)。
また、AIのセキュリティ上の論点(データ改ざん等)については、用途・運用形態によりリスクが変化し得るため、開発時点だけでなく運用段階も含めた管理(継続的監視、変更管理、インシデント対応等)が重要になります。
5. CEマーキングとの関係
EU AI Actを検討するうえで、特に製品として市場に投入されるhigh-risk AIシステムでは、適合性評価とCEマーキングの関係整理が重要になります。
EU AI ActのArticle 48では、high-risk AIシステムにCEマーキングを付すこと、デジタル提供の場合はデジタルCEマーキングを容易にアクセス可能にすること等が示されています。
また、他のEU法令でもCEマーキングが求められる場合には、そのCEマーキングが当該AIシステムについて当該法令への適合も示す趣旨で整理され得ます。
ここで実務上重要なのは、AIを単体としてのみ捉えるのではなく、「AIを組み込んだ製品/システム」全体として、適用される法令・規格要求(例:機械安全、電気安全、EMC、無線、サイバーセキュリティ等)との整合を図ることです。
6. 日本企業への影響
EU AI ActはEUの規則ですが、EU市場に製品・サービスを提供する企業や、EU企業のサプライチェーンに関与する企業において、影響が及ぶ可能性があります(契約要件・調達要件・監査要件として波及する場合を含む)。
また、グローバル企業がEU AI Actを参照して社内基準や調達基準を引き上げることで、EU域外の取引にも影響が広がる可能性があります。
7. 今から始めるべきこと
EU AI Act対応で初期に有効になり得る進め方として、組織の状況により最適解は異なりますが、次のステップが考えられます。
・AIの棚卸し(AI inventory):利用・開発・提供しているAIを一覧化し、目的、利用部門、提供形態、外部委託の有無等を整理する
・ギャップ分析(Gap analysis):EU AI Act等の要求事項、顧客要求、社内規程等と照合し、不足している管理(文書化、変更管理、監視、教育、インシデント対応等)を明確化する
・ガバナンス体制の整備:責任者、承認プロセス、リスク評価、データ管理、モデル更新管理、監視・改善、セキュリティ対策等を運用可能な形に落とし込む
なお、EU AI Actの適用は段階的に進み、例えば「大半の規定は2026年8月2日から適用開始」と整理されています。
また、EU側の整理では、禁止に関する規定が先行適用されること等、段階適用の考え方が示されています。
Nemko Japanは、製品安全、国際認証、サイバーセキュリティ、適合性評価の知見を踏まえ、AI搭載製品やAI活用企業のEU AI Act対応、AIリスク評価、AIガバナンス構築をご支援します。
AI Assuranceに関するお問い合わせは、japan@nemko.comまでご連絡ください。