EU AI Act本格実施への準備 — 世界初のAI包括規制が企業に求めること

EU AI Actの概要

EU AI Act（EU人工知能規則）は、世界初のAIに関する包括的な法規制です。2024年に正式採用され、2025年から段階的に施行が開始されています。この規制はEU域内でAIシステムを提供・利用するすべての企業に適用され、日本企業であってもEU市場に関わる場合は遵守が求められます。

リスクベースの規制アプローチ

禁止されるAI利用

EU AI Actでは、特定のAI利用を明確に禁止しています。2025年2月から、以下のAI利用が禁止されました。

• 社会的スコアリング：個人の社会的行動に基づく信用スコアリングシステム
• 感情推定：職場や教育現場での感情認識AI（安全やヘルスケア目的を除く）
• 予測的警察活動：個人プロファイリングのみに基づく犯罪予測
• リアルタイム生体認証：公共空間でのリアルタイム遠隔生体識別（限定的な例外あり）

ハイリスクAIシステム

人の権利や安全に重大な影響を与える可能性のあるAIシステムは「ハイリスク」に分類され、厳格な要件が課されます。

• 採用・人事AI：履歴書のスクリーニングや面接評価に使用されるAIシステム
• 信用評価AI：個人や企業の信用リスクを評価するAIシステム
• 教育AI：入学判定や成績評価に使用されるAIシステム
• 医療AI：診断支援や治療推奨に使用されるAIシステム

汎用目的AIモデル（GPAI）

GPT-5やGemini 3のような汎用AIモデルには、透明性に関する特別な義務が課されます。学習データの概要開示、著作権法の遵守、技術文書の作成などが要求されます。システムリスクを持つモデルには、追加のリスク評価義務も課されます。

企業が取るべき対応ステップ

AI利用状況の棚卸し

まず自社で利用しているAIシステムを全て洗い出し、EU AI Actのリスク分類に照らし合わせて評価する必要があります。社内で利用しているSaaSにAI機能が含まれている場合もあるため、包括的な調査が重要です。

コンプライアンス体制の構築

AI利用に関するガバナンス体制を構築し、リスク管理プロセスを整備する必要があります。

• AI責任者の任命：組織内にAI利用に関する責任者を設置
• リスク評価プロセス：新規AI導入時のリスクアセスメントフローを確立
• 文書化：AIシステムの技術仕様、学習データ、テスト結果などの文書化
• 監査体制：定期的な内部監査と外部監査への対応準備

技術的対応

ハイリスクAIシステムの運用にあたっては、AIモデルの説明可能性の確保、バイアス検出と軽減策の実装、人間の監視メカニズムの組み込み、データ品質管理体制の構築が技術的に必要です。

日本企業への影響

EU市場で事業を展開する日本企業、またはEU市民のデータを処理する企業は、EU AI Actの対象となる可能性があります。GDPRと同様に、域外適用の範囲が広く、グローバルに事業を展開する日本企業は早期の対応準備が推奨されます。

まとめ

EU AI Actは、AI規制のグローバルスタンダードとなる可能性があります。日本政府もAI関連の法整備を進めており、EU AI Actとの整合性を意識した規制の動きが見られます。企業は規制対応をコストとして捉えるのではなく、信頼性の高いAI活用を実現するための投資として戦略的に取り組むことが重要です。