EU AI Act 完全解説 ― 日本企業が押さえる高リスクAI要件

1. AI Actの位置づけと適用タイムライン

AI Actは「製品安全規制（New Legislative Framework）」と「基本権保護」を組み合わせたハイブリッド型規制であり、機械規則やMDRと同様、適合性評価とCEマーキングを軸に据える^[1][5]。一方、生体情報・社会信用スコア・感情推定等の基本権侵害リスクが高い領域はArticle 5で全面禁止する独特の構造を持つ^[3]。適用タイムラインは段階的である。2024年8月1日に発効、2025年2月2日に禁止AIとAIリテラシー義務（Article 4）が適用、2025年8月2日にGPAI規則・ガバナンス・制裁規定が適用、2026年8月2日に大半の条項（高リスクAI含む）が完全適用、2027年8月2日にAnnex I該当の高リスクAIが完全適用される^[2][6]。日本企業の実務的デッドラインは2026年8月であり、残された準備期間は実質1年強しかない。

2. 4分類（禁止／高リスク／限定／最小）

AI Actはリスクベース・アプローチで4階層に分類する^[1][3]。(1) 禁止AI（Article 5）: サブリミナル技法による行動操作、公的機関の社会信用スコア、犯罪予測プロファイリング、無差別収集による顔認識DB構築、職場・教育機関での感情推定、生体情報による人種・政治信条の推論、公共空間でのリアルタイム遠隔生体識別（一部例外あり）等^[3][7]。(2) 高リスクAI（Article 6 / Annex III）: リスク管理（Art.9）、データガバナンス（Art.10）、技術文書（Art.11）、ログ保存（Art.12）、透明性（Art.13）、人的監督（Art.14）、堅牢性・サイバーセキュリティ（Art.15）の7要件を満たし、適合性評価とEUデータベース登録が義務化される^[3][8]。(3) 限定リスクAI（Article 50）: チャットボット・ディープフェイク・感情認識への透明性表示義務^[3]。(4) 最小リスクAI: スパムフィルタ等。法的義務なし、自主的Code of Conductを推奨^[1]。

3. 高リスクAIの8カテゴリ詳細（Annex III）

Annex IIIの8カテゴリは日本企業に直結する分野が多く、自社サービスの該当性棚卸しが急務である^[3][9]。

1. 生体情報: 遠隔生体識別、生体カテゴリ化、感情推定。
2. 重要インフラ: 道路交通、水道、ガス、電気、デジタルインフラ管理。
3. 教育・職業訓練: 入学者選抜、学習成果評価、不正検知。
4. 雇用・労働者管理: 採用、選考、昇進、解雇、業績モニタリング。HRテック領域は要警戒。
5. 必須サービスへのアクセス: 公的給付判定、信用スコア、生命・健康保険の保険料査定、緊急通報トリアージ。
6. 法執行: 被害者リスク評価、嘘発見、証拠評価、犯罪プロファイリング。
7. 移民・亡命・国境管理: ビザ・亡命申請審査、国境身分検証。
8. 司法・民主プロセス: 裁判官支援、選挙結果への影響を意図したAI。

該当AIをEU市場投入時、提供者はリスク管理・データガバナンス・サイバーセキュリティ・人的監督・技術文書・EUデータベース登録（Art.49）等を網羅した適合性評価が必要となる^[3][8]。一部カテゴリではNotified Body第三者評価が必須となる。

4. 汎用AI（GPAI）規則 ― 2025年8月適用

GPT・Gemini・Claude・Llama等への対応として、AI Actは汎用AI（Art.51-55）を独立章で規律する^[3][10]。GPAI提供者には(a)技術文書整備、(b)EU著作権指令の遵守ポリシー策定、(c)トレーニングコンテンツの十分に詳細な要約の公表が義務化される（Art.53）^[3]。さらに累積トレーニング計算量が10²⁵ FLOPsを超えるモデルは「システミック・リスクを有するGPAI」と推定され、モデル評価・リスク緩和・重大インシデント報告・サイバーセキュリティ確保が追加義務化される（Art.55）^[3][10]。GPAI規則は2025年8月2日適用開始、欧州委員会傘下のAI Officeが監督する^[6][11]。2025年7月にはGPAI Code of Practiceが公表され、署名事業者は遵守の推定（presumption of conformity）を得られる^[12]。日本企業がオープンソースGPAIで独自モデルを構築する場合、二次提供者責任を契約レベルで明確化する必要がある。

5. 制裁金構造 ― GDPRを上回る経営リスク

制裁金（Article 99）はGDPRを上回る水準で設計されている^[3][4]。

• 禁止AI違反: 最大3,500万ユーロ または 全世界売上7%。
• その他義務違反（高リスクAI、透明性、GPAI等）: 最大1,500万ユーロ または 全世界売上3%。
• 当局・Notified Bodyへの虚偽情報提供: 最大750万ユーロ または 全世界売上1%。
• 中小企業・スタートアップ: いずれか低い方を適用。

GPAI提供者には別途、最大1,500万ユーロ または 全世界売上3%の制裁金が規定される（Article 101）^[3]。GDPR最大4%を上回る7%水準は基本権保護の優先を示し、売上1兆円規模の日本企業には理論上700億円のエクスポージャーとなる。

6. 日本企業への域外適用

Article 2は3つの場合に日本企業へ域外適用される^[3][13]。(1) 提供者として: AIシステム・GPAIをEU市場に投入する場合。(2) 利用者として: EU域内事業者が日本企業のAIを利用する場合。(3) 出力がEU域内で利用される場合: 提供者・利用者がEU域外でも、AI出力がEU域内で使われれば対象。第三類型は特に広範で、日本国内で運用するAIでも欧州拠点・顧客が出力利用すれば対象となる^[3][13]。EU域外提供者はAuthorised Representative（域内代理人、Art.22）を書面指名する義務がある^[3]。輸入者（Art.23）・販売者（Art.24）も独自確認義務を負うためサプライチェーン全体での契約再設計が不可欠となる。AI ActはGDPR・DSA・DMA・CRAと並列適用され、GDPRのDPIAとAI ActのFundamental Rights Impact Assessment（Art.27）は統合運用が現実的である^[3][14]。

7. 日本企業向けチェックリスト5項目

1. AI棚卸しと分類: 自社の提供・利用する全AIを棚卸しし4分類にマッピング。採用・信用スコア・保険料査定・感情推定を優先確認。
2. EU接点の特定: EU顧客・EU従業員データ・EU拠点経由の出力利用を法務・営業・人事横断で洗い出し。
3. Authorised Representative契約: 該当時はEU域内代理人を契約・指名（Art.22）。輸入者・販売者契約条項も見直し。
4. 技術文書とログ整備: Annex IV準拠の技術文書と運用ログ（Art.12）の保存体制構築。
5. AIリテラシー研修（Art.4）: 2025年2月から既に適用済み。AIを操作・利用する従業員への研修記録を整備。

8. 打ち手 ― 経営アクションへの落とし込み

AI Act対応は法務タスクでなく、製品開発・サプライチェーン横断の経営課題である。第一にAI Act Steering Committeeを法務・CISO・プロダクト・人事・調達横断で常設しAnnex III該当性判定を四半期レビューに組込む。第二にAI Bill of Materials（AI BOM）を整備し基盤モデル・データセット・サードパーティAPIの来歴を可視化する。第三に調達契約・SaaS契約のAI条項を改訂し提供者責任・ログ提供・インシデント通知・当局調査時の協力義務を明文化する。第四にFRIAテンプレートをDPIAと統合運用する。これら4施策で2026年8月までに対応未了状態を回避できる^[3][8][14]。

EU AI Actは『規制された製品』としてAIを定義した最初の包括的法令である。日本企業の本質的論点は欧州市場参入の可否ではなく、グローバルAIガバナンスのデファクト・スタンダードに自社オペレーションをアラインできるかにある。GDPR対応の教訓 ― 早期着手と全社横断ガバナンス基盤の構築 ― が再現可能なレバーとなる。

9. 結論 ― 押さえるべき3点

1. 2026年8月の高リスクAI完全適用までの残り時間は実質1年強。AI棚卸し・Annex III該当性判定・域内代理人契約は2025年内に着手すべき。
2. 制裁金は全世界売上7%（最大3,500万ユーロ）でGDPRを上回る。禁止AI抵触リスクは取締役会レベルで管理が必要。
3. GPAIは2025年8月適用開始済み。基盤モデル提供者・利用者の双方が、Code of Practice・透明性義務に基づく契約再設計を直ちに進める必要がある。

10. 経営者視点 ― AI Act対応は「コスト」か「競争優位」か

EU AI Actは短期的にはコンプライアンスコストに映る。しかしグローバルAIガバナンスを俯瞰すると、米国NIST AI RMF・英国pro-innovationアプローチ・日本のAI事業者ガイドライン・ISO/IEC 42001等が相互参照しつつ収斂している^[15][16]。EU AI Actへの早期対応はこれら全枠組みに対する上位互換のガバナンス基盤となる。金融・ヘルスケア・製造・HR・保険等の規制色の強い業界では、AI Act準拠は欧州市場参入の必要条件であると同時に、日本国内・APACでも「責任あるAIを提供できる事業者」としての差別化要因となる。対応を後回しにすれば欧州顧客のDDQに回答できず取引機会を逸するリスク、当局調査時にグループ全体のレピュテーションを毀損するリスクが顕在化する。経営層のプライオリティは「AI Act対応をコストセンターではなくグローバル成長戦略の一部として位置づける」ことに尽きる。

参考文献

1. European Parliament and Council, “Regulation (EU) 2024/1689 of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)”, Official Journal of the European Union, 12 July 2024.
2. European Commission, “AI Act enters into force”, Press release, 1 August 2024.
3. Regulation (EU) 2024/1689, Articles 2, 5, 6, 9-15, 22-24, 27, 49-55, 99, 101, Annex III, Annex IV.
4. European Commission, “AI Act: Penalties and enforcement”, Digital Strategy portal, 2024-2025.
5. European Commission, “New Legislative Framework”, Internal Market and Industry portal.
6. European Commission, “Application timeline of the AI Act”, AI Act explanatory page, 2024.
7. European Commission, “Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689”, February 2025.
8. European Commission, “High-level summary of the AI Act”, AI Act explanatory page, 2024.
9. European Parliament Research Service (EPRS), “Artificial Intelligence Act: Briefing”, 2024.
10. European AI Office, “General-Purpose AI Models: Obligations under the AI Act”, 2025.
11. European Commission, “European AI Office”, DG CNECT page, 2024-2025.
12. European AI Office, “General-Purpose AI Code of Practice”, final version, July 2025.
13. European Data Protection Board (EDPB), “Statement on the AI Act and its interaction with data protection law”, 2024-2025.
14. European Commission, “Coordination between the AI Act, GDPR, DSA, DMA and Cyber Resilience Act”, policy briefing, 2025.
15. NIST, “AI Risk Management Framework (AI RMF 1.0)”, National Institute of Standards and Technology, January 2023.
16. ISO/IEC 42001:2023, “Information technology — Artificial intelligence — Management system”, International Organization for Standardization, 2023.
17. 経済産業省・総務省, 「AI事業者ガイドライン（第1.0版）」, 2024年4月.
18. 個人情報保護委員会, 「生成AIサービスの利用に関する注意喚起等について」, 2023-2024.