AIリテラシー 欧州AI法(EU AI Act)

カテゴリ: 技術標準・規格

欧州AI法(EU AI Act)とは

欧州AI法(EU AI Act)は、2024年に欧州議会で可決・成立した、世界初となる包括的な人工知能(AI)に関する規制法です。この法律は、AIシステムが人々の安全、基本的人権、民主主義に及ぼすリスクのレベルに応じて異なる義務を課す「リスクベースアプローチ」を採用しています。EU市場でAIシステムを提供する、または利用するすべての事業者に適用されるため、日本企業であってもEU域内で活動する場合や、EU居住者のデータを利用する場合には遵守が必要です。

本法は、AIシステムを以下の4つのカテゴリに分類しています。

お金の作り方を学ぶオンライン講座【Finorie|フィノリー】
  • 許容できないリスク(Unacceptable Risk): 人間の行動を操るサブリミナル技術や、公的機関によるソーシャル・スコアリングなど。これらは原則として禁止されます。
  • 高リスク(High Risk): 重要インフラ、教育、雇用、法執行、医療機器などに使用されるAI。厳格な適合性評価、リスク管理、データガバナンス、透明性確保、人間による監視が義務付けられます。
  • 限定的リスク(Limited Risk): チャットボットやディープフェイクなど。AIであることをユーザーに開示する透明性義務が課されます。
  • 最小リスク(Minimal Risk): スパムフィルターやゲームAIなど。特段の規制はありません。
[PR] 人気おすすめビジネス書特集

最新動向と汎用AIモデル(GPAI)

欧州AI法における近年の最大のトピックは、ChatGPTなどの生成AIブームを受けた「汎用AIモデル(GPAI: General Purpose AI)」および「汎用AIシステム」への規制追加です。当初の草案では想定されていなかったこれらの強力なAIに対し、技術文書の作成・維持、著作権法の遵守、学習データの要約公開などが義務付けられました。特に、一定以上の計算能力を持つ「システミックリスク(全身的リスク)」を伴うGPAIには、敵対的テスト(レッドチーミング)の実施やサイバーセキュリティ対策など、さらに重い義務が課されます。

この規制は2026年中頃から全面的に適用される見込みですが、禁止されるAIについてはより早い段階で施行されます。違反した場合の制裁金は非常に高額で、最大で3,500万ユーロまたは全世界売上高の7%のいずれか高い方が科される可能性があります。これはGDPR(一般データ保護規則)の制裁金を上回る水準であり、企業にとっては極めて重大な経営リスクとなります。

AIエージェントと欧州AI法の関わり

自律型AIエージェントの開発・運用において、欧州AI法への対応は避けて通れません。特に、エージェントが「高リスク」カテゴリに該当する領域(例:就職活動の履歴書スクリーニングを行うエージェント、ローンの与信審査を行うエージェント)で稼働する場合、非常に高度な監査証跡の保存が求められます。

私たちの監査現場での実体験として、多くの日本企業が「自社のAIエージェントはチャットボットだから『限定的リスク』だろう」と誤解しているケースが見受けられます。しかし、そのエージェントが裏側で人事評価データにアクセスして推奨度を算出していたり、医療健康相談においてトリアージの判断を下していたりする場合、それは「高リスクAI」と見なされる可能性が高いのです。単なる対話インターフェースかどうかではなく、「何を目的に、どのような判断を下しているか」が重要になります。

また、AIエージェントの「説明可能性」も大きな課題です。欧州AI法では、AIの判断根拠をユーザーが理解できるように説明することが求められますが、複雑な自律エージェントの思考プロセスを一般ユーザーに分かりやすく提示することは技術的に困難です。ここで「エージェント挙動トレース」や「構造化ログ」といった技術が、コンプライアンス遵守の証拠として不可欠になってくるのです。

[PR] 【固定IPが月額490円から】ロリポップ!固定IPアクセス

失敗例・トラブル事例

  • リスク分類の見誤りによる手戻り: あるフィンテック企業が、顧客対応用のAIエージェントを開発しましたが、リスク分類の事前評価を怠りました。リリース直前になって、そのエージェントが行う「信用スコアリング機能」が高リスクAIに該当することが判明し、適合性評価のために開発プロセスを大幅に見直すことになり、ローンチが半年遅延しました。
  • 技術文書の不備: 汎用AIモデルを活用した社内業務効率化ツールを導入した際、プロバイダーから十分な技術文書を入手できておらず、規制当局からの問い合わせに対して「学習データセットの詳細」や「既知の制限事項」を説明できず、改善命令を受けるリスクに直面しました。
  • 透明性義務違反の疑い: AIであることを明示せずにユーザーと自然な会話を行うマーケティングエージェントを展開した結果、ユーザーから「人間だと思って騙された」というクレームが殺到し、規制違反の懸念とともにブランド毀損を招いてしまいました。

関連リンク

関連キーワード

欧州AI法 EU AI Act リスクベースアプローチ GPAI AIガバナンス 適合性評価