EU AI Act（EU人工知能規制法）が施行開始｜開発者が知るべきリスク分類と対応策を解説

EU AI Actとは

EU AI Act（EU人工知能規制法）は、欧州連合が制定した世界初の包括的なAI規制法です。2024年8月に発効し、2025年2月から禁止AI慣行の規制が始まりました。そして2026年2月からは、汎用目的AIモデル（GPAI）に関する規制が本格的に適用されています。

GDPRがデータ保護の世界標準になったように、EU AI Actもグローバルな影響力を持つと予想されています。EU域外の企業であっても、EUユーザーにサービスを提供する場合は対象になるため、日本の開発者にとっても無視できない法律なんです。

EU AI Actの最大の特徴は、AIシステムをリスクレベルに基づいて4段階に分類している点です。

2025年2月から既に禁止されているカテゴリーです。具体的には、ソーシャルスコアリング（市民の行動を点数化して評価）、公共空間でのリアルタイム遠隔生体認証（一部例外あり）、Clearview AIのようなインターネット上の顔画像を無差別にスクレイピングするシステムなどが該当します。

2027年8月から完全適用される予定ですが、準備は今から必要です。採用・教育・医療・法執行などの分野で使われるAIがここに分類されます。リスク管理システムの構築、データガバナンス、透明性の確保、人間による監視メカニズムの実装が求められます。

チャットボットやディープフェイク生成AIなどが該当。ユーザーに「これはAIが生成したものです」と透明性を示す義務があります。

スパムフィルターやゲーム内AIなど。特別な規制はかかりません。

2026年2月から適用が始まったGPAI（汎用目的AI）規制は、特に注目すべき部分です。GPT-4やClaude、Geminiのような大規模言語モデルを提供する企業が対象になります。

すべてのGPAIプロバイダーに求められるのは、技術文書の作成と公開、EU著作権法の遵守、トレーニングデータの要約の公開です。

さらに、「システミックリスク」があると判断されたモデル（訓練に10²⁵ FLOP以上使用したもの）には、追加の義務が課されます。モデル評価の実施、サイバーセキュリティ対策、エネルギー消費の報告、インシデント時のEU当局への報告が必要になるんですね。

「EU域内でサービスを提供していなければ関係ない」と思うかもしれませんが、それは少し楽観的すぎるかもしれません。

まず、GDPRと同様に域外適用があります。日本で開発したAIサービスをEUのユーザーが利用する場合、EU AI Actの対象になりえます。

次に、AI透明性に関するグローバルなトレンドとして、類似の規制が日本でも検討される可能性があります。EUの無限スクロール規制のように、EUが先行して他国が追随するパターンは増えています。

さらに、APIプロバイダーやクラウドサービスがEU AI Actに対応する形で利用規約を変更する可能性もあり、間接的な影響を受けることは十分ありえます。

では具体的に、何をすべきでしょうか。以下のステップをおすすめします。

1つ目は、自社のAIシステムがどのリスクカテゴリに該当するか確認すること。EU AI Act公式サイトで最新の分類基準をチェックできます。

2つ目は、AIシステムの技術文書を整備すること。モデルの概要、訓練データの説明、評価結果、既知の制限事項などを文書化しておくと、いざ規制対応が必要になったときにスムーズです。

3つ目は、欧州委員会のAI戦略ページを定期的にチェックすること。施行細則やガイドラインは順次公開されているので、最新情報のキャッチアップが重要です。

罰則は非常に厳しく設定されています。禁止AI慣行への違反は、最大3,500万ユーロまたは全世界売上高の7%（いずれか高い方）。ハイリスクAIの義務違反は最大1,500万ユーロまたは3%。GDPRの罰則を上回る水準で、企業経営に大きなインパクトを与える金額です。

EU AI Actは、AI開発の世界に新しいルールをもたらす画期的な法律です。規制の全面適用までにはまだ時間がありますが、早めに対応を始めておくことが賢明でしょう。特にGPAI規制は今まさに適用が始まったタイミング。AI関連の開発に携わるなら、動向を注視しておきたいところですね。