EU AI Act

EU AI ACT
読み: イーユー エーアイ アクト

読み: イーユー エーアイ アクト

EU AI規制とはリスク4段階分類

EU AI Actは、欧州連合が2024年に成立させた世界初の包括的AI規制法である。AIシステムをリスクの大きさに応じて4段階に分類し、高リスクなものには厳格な要件を課す。EU域内でビジネスを展開する日本企業にも直接影響が及ぶため、対岸の火事では済まない。

かんたんに言うと

食品の安全基準のAI版。添加物の少ないお菓子と、命に関わる医薬品では検査の厳しさが違うように、AIもリスクの高さに応じてラベル表示や検査義務が変わる。

GDPRに続いてEUがAI規制に踏み切った背景

EUはGDPRでデータ保護の国際標準を事実上つくった実績がある。次のターゲットがAIだった。
ChatGPTの爆発的普及をきっかけに、各国の規制議論は一気に加速した。とはいえEU AI Actの草案は2021年から存在していた。生成AIブームより前から動いていたという点が重要で、単なるパニック立法ではない。
2024年3月に欧州議会で可決され、同年8月に発効。完全適用は2026年8月からとなる。つまり猶予期間はあるが、準備に使える時間は短い。

リスクベースの4段階分類と禁止されるAI

この法律の骨格は、AIシステムを4つのリスクカテゴリに振り分ける仕組みにある。
最も重い「禁止リスク」に該当するのは、ソーシャルスコアリングや公共空間でのリアルタイム顔認識など。これらはEU域内で使用そのものが違法になる。
次の「高リスク」に分類されるのが、採用選考、信用審査、医療診断といった人の人生を左右する領域のAIシステム。ここに該当すると、技術文書の整備、ログの保存、人間による監視体制の構築、適合性評価の取得など重い義務が課される。
「限定リスク」はチャットボットや感情認識AIなどで、透明性の確保が求められる。ユーザーに「これはAIです」と明示する義務がある。
「最小リスク」は規制対象外。スパムフィルターやゲームAIがここに入る。

生成AI向けの追加ルール

ChatGPTClaudeのような汎用AIモデルには、4段階分類とは別枠で追加の義務が設けられた。
具体的には、学習データの著作権法への準拠、技術文書の公開、AI生成コンテンツへのラベル付けなどが求められる。さらに計算量が一定の閾値を超える「システミックリスク」を持つモデルには、レッドチーミングやサイバーセキュリティ対策といった上乗せ義務がかかる。
この「汎用AIモデル向けルール」は法案の最終段階で急遽追加されたもので、生成AIの急速な普及にEUが慌てて対応した側面は否めない。

日本企業が受ける具体的な影響

GDPRと同じ構造がここにもある。EU域内のユーザーを対象にAIサービスを提供するなら、拠点が東京でもロンドンでも関係なく規制の対象になる。
人材系サービスでAIによる書類選考を行っている企業、クラウド経由で欧州の顧客にAI機能を提供しているSaaS企業、欧州子会社で社内AIツールを導入しようとしている製造業。どれも「高リスク」に該当する可能性がある。
罰則も厳しい。禁止されたAI利用に対しては最大3,500万ユーロまたは全世界売上高の7%のいずれか高い方。GDPRの最大罰則が全世界売上高の4%だったことを考えると、さらに一段重い。
法務部門を巻き込んだ早期の影響評価が必要になる。

NIST AI RMFとの比較と今後の国際動向

米国のNIST AI RMFは法的拘束力のないフレームワークである。対してEU AI Actは罰則付きの法律。アプローチの違いは明確で、EUが「規制で縛る」路線なのに対し、米国は「ガイドラインで誘導する」路線を取っている。
日本は2024年時点でAI基本法の議論を進めているが、EU型の包括規制にはなりそうにない。業界ガイドライン中心の柔らかい枠組みに落ち着く見込みである。
とはいえ、GDPRがそうだったように、EU AI Actが事実上の国際標準になる可能性は高い。EUの要件を満たせるレベルでデータガバナンスを整備しておけば、他地域の規制にも対応しやすくなる。先手を打つか、後手に回るか。判断は早いほうがいい。

当社の見解

当社ではClaude Code・Antigravity・Codexの3つのAIエージェントを日常業務で併用している。記憶を共有しているため、別のAIに同じ説明を繰り返す必要がない。ただし、記憶共有だけでは足りなかった。一方のAIが他方の成果物を勝手に修正して壊す事故が起きた。これを受けてファイル所有権制度を導入し、どのAIがどのファイルを所有するかを定義した。AIの自主性に頼らず、仕組みで上書きや巻き戻りを防いでいる。

関連用語

NIST AI RMFデータガバナンスアライメントAIモデルAIシステムチャットボットCT社内AI顔認識GDPR生成AIGPTSaaS

同じ失敗を二度としないAIエージェント

今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。

当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。

古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。

相談する