Compliance & Regulationシリーズの一部
完全ガイドを読むEU AI 法のコンプライアンス: 2026 年に企業が知っておくべきこと
EU 人工知能法 (規制 (EU) 2024/1689) は 2024 年 8 月 1 日に発効しました。これは世界初の包括的な AI 規制であり、EU 市場に展開される、または EU 市場に影響を与える AI システムのためのリスクベースの枠組みを確立します。義務は 2027 年まで段階的に適用されるため、2026 年はハイリスク AI システムのコンプライアンス計画にとって重要な年になります。ハイリスク AI のプロバイダーと導入者は、2026 年 8 月 2 日までに適合性評価、技術文書、ガバナンス フレームワークを整備する必要があります。
EU AI 法には、GDPR に匹敵する域外適用範囲があり、プロバイダーの拠点がどこにあるかに関係なく、EU 市場に置かれる、または EU 内で使用されるあらゆる AI システムが範囲内に含まれます。 EU 市場にサービスを提供したり EU データを処理したりする AI プロバイダー、開発者、輸入業者、販売業者、展開業者にとって、コンプライアンスは任意ではありません。
重要なポイント
- EU AI 法は、許容できないリスク (禁止)、高リスク、限定的リスク、および最小リスクの 4 つのリスク階層を確立しています。
- 禁止された AI システムは 2025 年 2 月 2 日までに EU 市場から撤退しなければなりません
- 高リスク AI システムは、適合性評価、技術文書、基本的権利影響評価、市販後のモニタリングなど、最も厳しい義務に直面しています。
- 汎用 AI (GPAI) モデル (GPT-4、Claude、Gemini など) には特定の義務が課されます。システミックリスク GPAIモデルは高まる要件に直面している
- 欧州 AI 事務局 (2024 年 3 月設立) が GPAI モデル義務を監督します。国家市場監視当局が高リスクAIを監督
- 違反の罰金: 禁止されている AI 違反に対して、最大 3,500 万ユーロまたは全世界の年間売上高の 7%。高リスクの AI 違反には最大 1,500 万ユーロまたは 3%
- 第三者による適合性評価のための認証機関が指定されています。多くの高リスクシステムは自己評価可能
- 実施規範と調和の取れた標準が開発されています - EASA と関連機関を監視してください
EU AI 法のタイムラインと段階的導入
AI 法の義務は 3 年間にわたって段階的に適用されます。
| 発効日 | 発効する義務 |
|---|---|
| 2025 年 2 月 2 日 | 禁止された AI システム — 撤回または変更する必要があります |
| 2025 年 8 月 2 日 | GPAI モデルの義務。ガバナンス フレームワーク要件 (社内の AI リテラシー、執行機関) |
| 2026 年 8 月 2 日 | 付属書 I および III における高リスク AI システム義務。通知機関の要件 |
| 2027 年 8 月 2 日 | すでに EU 調和法の下にある製品の安全コンポーネントである高リスク AI システム。 2026 年 8 月 2 日より前にサービスを開始する既存の AI システムに対する義務 |
リスク分類フレームワーク
AI 法では、AI システムを次の 4 つのリスク層に分類しています。
階層 1: 許容できないリスク (AI の禁止)
第 5 条は、2025 年 2 月 2 日から EU における以下の AI システムを絶対に禁止します。
- サブリミナル操作: 意識を超えたサブリミナル技術や欺瞞的な技術を導入して、重大な危害を引き起こす、または引き起こす可能性が合理的に高い方法で行動を実質的に歪める AI システム。
- 脆弱性の悪用: 特定のグループ (年齢、障害、社会的/経済的状況) の脆弱性を悪用して行動を著しく歪める AI
- 公的機関による社会的スコアリング: 公的機関によって、または公的機関に代わって、不利益な扱いにつながる社会的行動や個人的特徴に基づいて個人を評価または分類するために使用される AI システム
- 公共スペースでのリアルタイム生体認証: 法執行目的で公共のアクセス可能なスペースで使用されるリモート リアルタイム生体認証システム (テロリズム、重大犯罪、行方不明児童などの狭い例外)
- 保護された属性に基づく生体認証の分類: 生体認証に基づいて個人を分類し、人種、民族、宗教、政治的意見、性的指向、労働組合のメンバーシップを推定する AI
- 職場や教育における感情認識: 職場や教育における感情を推測する AI システム (一部の例外を除く)
- プロファイリングに基づく犯罪予測: 個別の評価を行わず、プロファイリングのみに基づく予測警察 AI
- 対象外の顔認識データベース スクレイピング: 対象外のスクレイピングにより顔認識データベースを作成または拡張する AI
必要なアクション: AI システムがこれらのカテゴリのいずれかに該当する場合は、EU 市場からの即時撤退が必要です。 AI 製品の機能がこれらの定義に近づく場合は、法的審査が不可欠です。
階層 2: 高リスク AI
高リスク AI システム (第 6 条および附属書 III) には、最も広範なコンプライアンス義務が課せられます。高リスクステータスは以下に該当します。
規制製品の安全コンポーネントとしての AI (付録 I): EU 調和法の対象となる製品の安全コンポーネントである AI システム (医療機器、機械、航空、自動車、玩具、リフト、圧力機器、個人用保護具、無線機器、体外診断薬、海洋機器、索道、農林車両、鉄道システム、娯楽用船舶、爆発物)
スタンドアロンの高リスク AI システム (付録 III — 8 カテゴリ):
- 自然人の生体認証と分類: リアルタイムおよび遠隔後の生体認証。生体認証認証。生体認証の分類
- 重要なインフラストラクチャ: 重要なデジタル インフラストラクチャ、道路交通、または公共事業 (水道、ガス、熱、電気) を管理または運用する AI
- 教育と職業訓練: AI による教育へのアクセスの決定、教育機会の割り当て、学生の評価
- 雇用および労働者管理: ギグ エコノミー プラットフォームにおける採用と選考 (履歴書のフィルタリング、面接評価)、業績評価、昇進/解雇の決定、タスクの割り当て
- 重要な民間サービスおよび公共サービスへのアクセス: AI による信用力評価 (少額/目的の信用評価を除く)、保険リスク評価、医療保険
- 法執行機関: ポリグラフ、証拠の信頼性評価、犯罪リスクプロファイリング、犯罪捜査のための録音における顔認識
- 移民、亡命、国境管理: 移民/亡命希望者のポリグラフ評価、不法入国のリスク評価、書類検証、申請支援のための AI
- 司法の管理と民主的プロセス: 司法判断における事実と法律を解釈し、選挙/投票行動に影響を与える AI
階層 3: リスクが限定された AI
透明性義務はあるが適合性評価は行われていない AI システム:
- チャットボットと AI の対話: AI システムと対話していることをユーザーに開示する必要があります (文脈から明らかでない限り)
- 感情認識と生体認証の分類: これらのシステムの対象となる場合は個人に開示します。
- ディープフェイク: AI によって生成されたコンテンツを人工的に生成または操作されたものとしてラベル付けします (特に選挙、ニュース、教育コンテンツにとって重要)
階層 4: 最小限のリスク AI
最小限のリスクをもたらす AI システム (スパム フィルター、AI 対応ビデオ ゲーム、製造品質管理における AI) には、一般的な製品法の要件を超える特定の AI 法の義務は課されません。行動規範を自発的に遵守することが奨励されます。
高リスクの AI システム義務
AI システムが高リスクとして分類された場合、次の義務が適用されます (第 3 章および第 5 章)。
1. リスク管理体制(第9条)
AI システムのライフサイクル全体をカバーする文書化されたリスク管理システムを確立および維持します。
- 健康、安全、基本的権利に対する合理的に予見可能なリスクの特定と分析
- リスクの推定と評価
- 市販後のモニタリングデータに対する評価
- リスク管理措置(残留リスクの許容、排除、または軽減)
2. データとデータガバナンス (第 10 条)
トレーニング、検証、テストのデータは、特定の品質基準を満たしている必要があります。
- 関連性があり、代表的で、誤りがなく、意図された目的を完全に満たしている
- 潜在的なバイアスを調査し、適切な緩和措置を講じます。
- 特に保護される特性 (人種、性別、年齢、障害) に関するバイアスの検出
- データの出所に関する文書化
3. 技術文書 (第 11 条および付録 IV)
市場に出す前に包括的な技術文書を準備します。
- AIシステムの概要
- 要素と開発プロセスの詳細な説明
- システムの監視、機能、制御
- 検証とテストの手順
- リスク管理文書
- ライフサイクルを通じて行われた変更
- 適用される整合規格のリスト
- EU 適合宣言書のコピー
4. 記録の保管と記録 (第 12 条)
高リスク AI システムでは、運用全体を通じて自動ログを有効にする必要があります。
- コンプライアンスの評価に関連するイベントの記録
- リスクとインシデントの特定を可能にする操作ログ
- ログはユースケースに応じて適切な期間保存(生体認証の場合は最低6ヶ月、雇用AIの場合は3年間)
5. 派遣者に対する透明性と情報 (第 13 条)
高リスク AI は、導入担当者がその動作を理解できるほど透明性が高くなければなりません。プロバイダーはデプロイヤー者に以下を提供する必要があります。
- 使用説明書 (明確、完全、正確、わかりやすい)
- 機能と制限に関する情報
- 特定のグループのパフォーマンス指標 ・入力データ仕様
- 配備者が基本的権利影響評価義務を履行できるようにするための情報
6. 人間による監督 (第 14 条)
高リスク AI は、人間による監視を可能にするように設計および開発する必要があります。
- 機能と制限を完全に理解する能力
- 動作を監視し、異常を検出する機能
- システムをオーバーライド、中断、または停止する機能
- 出力を解釈する能力 (特に生体認証と雇用 AI)
- 完全に自動化された意思決定の場合: リスクに応じた適切な監視措置
7. 精度、堅牢性、およびサイバーセキュリティ (第 15 条)
高リスク AI は、以下の適切なレベルを達成する必要があります。
- 使用目的に適した精度
- エラー、障害、不整合、敵対的攻撃に対する堅牢性
- ライフサイクル全体にわたるサイバーセキュリティ。敵対的堅牢性評価
8. 品質マネジメントシステム(第17条)
プロバイダーは、以下をカバーする品質管理システムを実装する必要があります。
- 規制遵守のための戦略
- AIシステム設計の手法とプロセス
- システムの検証およびテスト手順
- 技術文書の保守
- 市販後のモニタリング
- 説明責任の枠組みと上級管理者の承認
9. EU 適合宣言 (第 47 条)
プロバイダーは、市場に出す前に書面による EU 適合宣言書を作成し、CE マークを貼付する必要があります。
10. EU データベースへの登録 (第 49 条)
高リスク AI システム (附属書 III) は、市場に投入される前に EU データベースに登録する必要があります。 EU AI 法のデータベースは、欧州 AI 事務局によって構築されています。
汎用 AI (GPAI) モデルの義務
第 V 章 (第 51 条から第 56 条) では、汎用 AI モデル、つまり幅広いタスクを実行できる膨大なデータでトレーニングされた大規模な AI モデル (GPT-4、Claude、Gemini、Llama) について特に取り上げます。義務は、導入者ではなく、GPAI モデル プロバイダー に適用されます。
すべての GPAI モデルプロバイダー (第 53 条)
- 国家当局および AI オフィス向けの技術文書を作成および維持する
- GPAI を自社の AI システムに統合する下流プロバイダーに情報とドキュメントを提供する
- 著作権規制 (指令 2001/29/EC) に準拠します - トレーニング データの概要を提供します
- トレーニングに使用したコンテンツの概要を公開
システミックリスク GPAI モデル (第 55 条)
システミック リスクのある GPAI モデル (10^25 FLOP を超える合計コンピューティングでトレーニングされたモデルとして定義される) は、次のような強化された義務に直面します。
- 最先端のプロトコルによる敵対的テスト (レッドチーム)
- AI事務局への重大インシデントと是正措置の報告
- モデルの重み、アーキテクチャ、トレーニング データに対するサイバーセキュリティ保護
- エネルギー効率レポート
欧州 AI 事務局は、システミック リスク GPAI モデルのリストを管理しています。現在指定されているモデルには、GPT-4 および同等のフロンティア モデルが含まれます。コンピューティング コストが減少するにつれて、このしきい値は時間の経過とともにより多くのモデルをキャプチャする可能性があります。
適合性評価プロセス
適合性評価では、市場に出す前に、高リスク AI システムが AI 法の要件に準拠しているかどうかが判断されます。
自己評価 (内部管理 - 付属書 VI): ほとんどの付属書 III 高リスク AI システム (生体認証を除く) について、プロバイダーは適合性を自己評価できます。これには、プロバイダーが該当する各要件に対する完全な評価を実施して文書化し、適合宣言に署名し、技術文書を維持することが含まれます。
第三者評価 (認証機関): 関連する調和法が第三者による評価を必要とする場合、生体認証識別システム (附属書 III、ポイント 1) および附属書 I 製品の安全コンポーネント AI に必要です。
認証機関: EU 加盟国によって指定され、NANDO データベースに公開されます。 AI 法の指定機関の指定は進行中です。組織は、可能性のある能力上の制約を考慮して、早期に指定機関と連携する必要があります。
AI ガバナンス フレームワークの要件
第 26 条および第 57 条から第 63 条では、高リスク AI を導入する (提供するだけでなく) 組織に対するガバナンス要件を定めています。
導入者の義務:
- リスクの高いユースケースで AI の決定を上書きする権限を持つ人間のレビュー担当者を割り当てます
- 高リスク AI を操作するスタッフが訓練を受け、有能であることを確認する
- 公的機関または特定の民間セクターの状況で導入された特定の高リスク AI に対して基本的権利影響評価 (FRIA) を実施する
- AI システムの動作を監視します。インシデントをプロバイダーに報告する
- 操作ログを最小限の保存期間保存します。
一般的な AI リテラシー: 第 4 条では、プロバイダーと導入担当者がスタッフに十分な AI リテラシー (役割に関連する AI の機能、制限、リスクを理解していること) を確保することを義務付けています。
EU AI 法準拠チェックリスト
- AI システムのインベントリが完了しました - 使用、提供、または導入されたすべての AI システムの評価が完了しました
- AI システムごとに決定されたリスク分類 (禁止、高リスク、限定的リスク、最小リスク)
- 禁止された AI システム (附属書 I) は 2025 年 2 月までに撤回または変更される
- LLM または基盤モデルを提供する場合に評価される GPAI モデル義務
- 高リスク AI システムを特定 — 適合性評価アプローチを決定 (自己または認証機関)
- 高リスク AI システムごとに用意された技術文書
- リスク管理システムを文書化
- データのトレーニング/検証/テストに関するデータ ガバナンス手順を文書化
- 高リスク AI システムに自動ログが実装される
- 高リスク AI に対して人間による監視メカニズムを実装
- EU 適合宣言書が作成され、CE マーキングが適用されています
- EUのデータベースに登録された高リスクAIシステム
- AI開発の品質管理体制を確立
- デプロイ担当者向けに用意された使用説明書
- 市販後モニタリング計画の策定
- 関連スタッフ向けの AI リテラシー プログラムを実施
- 該当するデプロイヤーコンテキストに対して確立された FRIA プロセス
よくある質問
EU AI 法は、社外に販売せずに社内で使用する AI ツールに適用されますか?
はい、これらのツールは高リスクのカテゴリに分類されます。 AI 法は、プロバイダー (AI を開発して市場に投入する) と導入者 (専門的な状況で AI システムを使用する) の両方に適用されます。サードパーティ製の高リスク AI システム (AI を活用した採用選考ツールなど) を導入する組織には、人間による監視、スタッフのトレーニング、基本的権利への影響評価などの導入者の義務があります。そのツールのプロバイダーには、適合性評価や技術文書を含むプロバイダーの義務があります。
私たちは OpenAI の API を使用して AI 機能を構築します — 私たちはプロバイダーですか、それともデプロイヤーですか?
導入する AI システム全体が高リスクのカテゴリ (付録 III) に該当する場合、あなたは高リスクの AI システムのプロバイダーである可能性があります。 OpenAI は、第 V 章に基づく独自の義務を持つ GPAI モデル プロバイダーです。規制されたユースケース (履歴書審査、信用評価など) の特定の AI アプリケーションに GPAI モデルを統合すると、その特定の AI システムのプロバイダーとなり、付属書 III の高リスク義務を負うことになります。 OpenAI (GPAI モデルプロバイダーとして) は、コンプライアンスを可能にする技術文書と情報を提供する必要があります。
基本的権利影響評価 (FRIA) とは何ですか?いつ必要ですか?
FRIA は、高リスク AI システムがプライバシー、非差別、表現の自由、司法へのアクセスなどの基本的権利にどのような影響を及ぼす可能性があるかを文書化した評価です。第 27 条に基づき、公的機関である高リスク AI システムの導入者、または必須サービス (銀行業務、教育、医療) を提供する民間事業者は、システムを導入する前に FRIA を実施する必要があります。評価では、どのような権利が影響を受ける可能性があるか、どのようなリスクが生じるか、リスクをどのように軽減できるか、誰が責任を負うのかが考慮されます。 FRIA は、関連する市場監視当局に登録されている必要があります。
EU AI 法は GDPR とどのように関係しますか?
2 つの規制は補完的なものです。 GDPR は、AI システムが個人データを処理する場合に適用されます。 AI 法は、個人データを処理するかどうかに関係なく、AI システムに適用され、AI システムの設計、導入、監視が対象となります。高リスク AI が個人データを処理する場合、両方が同時に適用されます。データ処理には、法的根拠、データの最小化、および DPIA の要件に関する GDPR の要件が適用されます。 AI 法のリスク管理、ログ記録、人間による監視、適合性評価に関する要件が AI システムに適用されます。 AI 法と GDPR に重複する要件 (透明性、自動化された意思決定など) がある場合、両方の遵守を達成する必要があります。
AI 法違反に対する罰則は何ですか?
罰金は違反の重大度によって段階的に定められています。 (1) 禁止されている AI 違反 (第 5 条): 最大 3,500 万ユーロまたは全世界の年間売上高の 7% のいずれか高い方。 (2) その他の高リスク AI 義務違反: 最大 1,500 万ユーロまたは世界の年間売上高の 3%。 (3) 不正確、不完全、または誤解を招く情報を当局に提供した場合: 最大 750 万ユーロまたは世界の年間売上高の 1.5%。中小企業および新興企業は、条項 (2) および (3) に基づく義務の上限額が低くなります。欧州 AI 事務局は GPAI モデルに対する執行権限を持っています。各国の市場監視当局は、その領土内で監視を実施します。
いつ AI システムを EU データベースに登録する必要がありますか?
付属書 III の対象となる高リスク AI システムは、EU 市場に投入または運用開始する前に登録する必要があります。 EU AI 法のデータベースは、欧州 AI 事務局によって構築されています。 2026 年 8 月 2 日の期限は、スタンドアロンの高リスク AI (付録 III) に登録義務が完全に適用されるときです。登録には、プロバイダーの詳細、AI システムの名前とバージョン、使用目的、ユーザーのカテゴリー、高リスクのカテゴリー、適合性評価の詳細、および適合宣言書の参照が必要です。
次のステップ
EU AI 法は、EU 市場で AI システムを開発、評価、導入する方法における根本的な変化を表しています。 AI 製品を構築するテクノロジー企業にとって、社内ツールであれ顧客向けアプリケーションであれ、コンプライアンスを実現するには、設計から展開、市場投入後の監視に至る製品開発ライフサイクルに AI ガバナンスを統合する必要があります。
ECOSIRE の OpenClaw AI プラットフォーム サービスは、EU AI 法のコンプライアンスを念頭に置いて構築されています。私たちのチームは、企業が法のリスクフレームワークに基づいて AI システムを評価し、必要なガバナンス管理を実装し、適合性評価の準備を行うのを支援します。
AI コンプライアンス サービスの詳細: ECOSIRE OpenClaw サービス
免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。 EU AI 法の実施ガイダンス、調和された基準、および実施規範はまだ開発中です。 AI システムに固有のアドバイスについては、資格のある EU 法律顧問にご相談ください。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulationのその他の記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.