EU AI規制法(AI Act)の全貌 – 開発者が知るべきルールと対応期限

EUが世界初のAI包括規制法を成立させました。AI Actと呼ばれるこの法律はAI開発のルールを根本から変えます。しかし内容が複雑で分かりにくいと感じる方も多いでしょう。そこで今回は、EU AI規制法のポイントを整理します。開発者が押さえるべきルールと対応期限を解説しましょう。

EU AI規制法の基本的な枠組み

EU AI規制法は2024年8月に発効しました。ただし全条項が一斉に適用されるわけではありません。段階的な施行スケジュールが組まれています。完全適用は2026年8月の予定です。つまり、準備期間が設けられています。

この法律の核心はリスクベースの分類です。AIを4段階のリスクに分けます。許容できないリスク、高リスク、限定リスク、最小リスクの4つです。さらに、リスクレベルに応じて規制の厳しさが異なります。そのため、自社のAIがどの分類に該当するかの判断が重要です。

許容できないリスクと禁止されるAI

最も厳しい規制が「許容できないリスク」のカテゴリです。ここに分類されたAIは全面的に禁止されます。たとえばソーシャルスコアリングが該当します。また、リアルタイムの遠隔生体認証も原則禁止です。つまり、人権を脅かすAIの利用は認めない方針です。

しかし、法執行目的の例外規定もあります。特定の犯罪捜査では限定的に認められるケースがあります。ただし、事前の司法審査が必要です。さらに厳格な記録義務も課されます。そのため、例外が濫用される可能性は低いと見られています。

高リスクAIに求められる要件

高リスクAIには厳格な要件が課されます。具体的にはリスク管理システムの構築が必要です。また、データガバナンスや技術文書の整備も求められます。さらに人間による監視体制の確保も必須です。つまり、開発から運用まで包括的な管理が必要です。

高リスクに該当する分野は多岐にわたります。たとえば採用選考や信用評価に使うAIです。また、教育や医療分野のAIも含まれます。しかし、すべてのAIが高リスクになるわけではありません。そのため、自社製品がこの分類に該当するかの確認が最初のステップです。

汎用AIモデルへの規制

EU AI規制法は汎用AIモデルにも規制を設けています。GPTのような大規模言語モデルが対象です。具体的には技術文書の公開やEU著作権法の順守が求められます。さらに、学習データの概要を公開する義務もあります。つまり、モデル提供者にも透明性が求められます。

特に「システミックリスク」を持つモデルには追加義務があります。一定の計算量を超えるモデルが該当します。たとえばレッドチームテストの実施が義務化されます。また、重大インシデントの報告義務もあります。しかし、具体的な基準はまだ細則で定められる段階です。

開発者が知るべき対応期限

施行スケジュールを整理しましょう。まず2025年2月に禁止AIの規定が適用されました。次に2025年8月には汎用AIの規制が適用されます。そして2026年8月に高リスクAIの規定が完全適用です。つまり、段階的に規制が強化されていきます。

さらに、違反した場合の罰則も厳しい内容です。最大で全世界売上高の7%の制裁金が科されます。また、中小企業には軽減措置が設けられています。しかし、準備を怠ると大きなリスクになります。そのため、今から対応計画を策定することが重要です。

まとめ

EU AI規制法はAI開発の世界的な基準になる可能性があります。リスクベースの分類と段階的な施行が特徴です。特に高リスクAIと汎用AIモデルへの規制は、多くの開発者に影響します。しかし対応期限までにはまだ時間があります。まずは自社のAIがどの分類に該当するかを確認し、計画的に対策を進めましょう。