EU AI規制法（AI Act）の全体像と域外適用

1. はじめに：AI規制の新時代

2024年8月1日、欧州連合（EU）の「人工知能に関する規則」（Regulation (EU) 2024/1689）、通称AI Act（AI規制法）が正式に発効した。本規則は、AIシステムの開発・展開・利用に関する世界初の包括的な法的枠組みとして、国際社会に多大な影響を及ぼすものである。GDPRが個人データ保護の国際標準を事実上形成したように、AI Actもまた「ブリュッセル効果」を通じて、グローバルなAIガバナンスの規範形成に決定的な役割を果たすことが予測されている。

本稿では、AI Actの立法経緯、規制構造、リスクベースアプローチの詳細、域外適用の射程、そして日本をはじめとする域外国への影響について、学術的観点から包括的に論じる。特に、技術的要件と法的義務の交錯する領域に焦点を当て、上級技術者および研究者が実務において直面しうる課題を体系的に整理することを目的とする。

AI Actの重要性は、単なる規制文書としての側面にとどまらない。本規則は、技術革新と基本権保護の均衡をいかに制度設計するかという、現代社会における根本的な問いに対する一つの回答を提示している。すなわち、リスクに比例した規制（proportionate regulation）という原則の下で、イノベーションの促進と市民の権利保護を両立させるための制度的枠組みを構築しようとする試みである。

2. 立法経緯と政策的背景

AI Actの立法プロセスは、EUにおけるデジタル政策の長期的な展開の中に位置づけられる。2018年4月に欧州委員会が公表した「欧州のためのAI」（AI for Europe）戦略文書を嚆矢として、2019年には高度専門家グループ（HLEG）による「信頼できるAIのための倫理ガイドライン」が策定された。このガイドラインは、AI Actの規範的基盤を形成する重要な前駆的文書である。

2020年2月に公表されたホワイトペーパー「AIに関する欧州のアプローチ：卓越性と信頼のエコシステム」は、リスクベースアプローチの基本構想を提示し、広範なパブリックコンサルテーションを経て、2021年4月21日に欧州委員会が規則案（COM(2021) 206 final）を正式に提出した。

その後、欧州議会と理事会における修正・交渉プロセスは約2年半に及び、特に汎用目的AI（General-Purpose AI: GPAI）モデルの規制、生体認証の利用制限、基本権影響評価の義務化などが主要な争点となった。2023年12月のトリローグ（三者間協議）における政治的合意を経て、2024年3月13日に欧州議会が最終テキストを採択し、同年5月21日に理事会が承認した。

本規則の法的根拠は、EU機能条約（TFEU）第114条（域内市場の調和）に求められる。これは、AI Actが単なる安全規制ではなく、域内市場の統一的な機能確保を主たる目的とする市場調和立法として構成されていることを意味する。この法的基盤の選択は、域外適用の射程にも重要な含意を持つ。

3. リスクベースアプローチの構造

AI Actの規制アーキテクチャの核心は、AIシステムがもたらすリスクの程度に応じて規制の強度を段階的に設定する「リスクベースアプローチ」にある。この手法は、製品安全法制における「ニューアプローチ」の伝統を継承しつつ、AIの特性に適合した独自の分類体系を構築している。

3.1 禁止されるAI実践（第5条）

AI Actは、EU の基本的価値に反するとみなされる特定のAI実践を全面的に禁止する。これらには、サブリミナル技術を用いた人の行動操作、社会的スコアリング、法執行目的でのリアルタイム遠隔生体認証（限定的例外あり）、感情推論（職場・教育機関）、及び無差別な顔認識データベースの構築が含まれる。禁止規定は2025年2月2日から適用される最も早い施行段階に属し、違反に対しては最大3,500万ユーロまたは全世界年間売上高の7%のいずれか高い方の制裁金が科される。

3.2 ハイリスクAIシステム（第6条〜第49条）

ハイリスクAIシステムは、AI Actの規制の中核を構成する。ハイリスクに分類されるのは、（1）EU の製品安全法制の附属書Iに列挙された法令の対象となる製品の安全構成要素として使用されるAIシステム、および（2）附属書IIIに列挙された特定の用途領域に該当するAIシステムである。後者には、生体認証、重要インフラ管理、教育・職業訓練、雇用・労務管理、公共サービスへのアクセス、法執行、移民・庇護・国境管理、司法・民主的プロセスの各領域が含まれる。

ハイリスクAIシステムの提供者（provider）には、リスク管理システムの構築（第9条）、データガバナンス（第10条）、技術文書の作成（第11条）、記録保持（第12条）、透明性と利用者への情報提供（第13条）、人的監視（第14条）、正確性・頑健性・サイバーセキュリティ（第15条）に関する包括的な義務が課される。

3.3 限定リスクAIシステム（第50条）

限定リスクカテゴリに属するAIシステムには、主として透明性に関する義務が課される。チャットボットなどの対話型AIシステムの提供者は、利用者がAIシステムと対話していることを認識できるよう、適切な情報を提供しなければならない。ディープフェイク生成システムについては、人工的に生成・操作されたコンテンツであることの明示が求められる。

3.4 最小リスクAIシステム

上記のいずれにも該当しないAIシステムは、最小リスクとして追加的な法的義務を負わない。ただし、欧州委員会が策定を促進する行動規範（codes of conduct）への自主的な準拠が奨励される。スパムフィルター、ゲーム内AI、在庫管理システムなど、大多数のAIシステムがこのカテゴリに属すると推定される。

4. 汎用目的AIモデル（GPAI）の規制

AI Actの立法過程において最も激しい議論を呼んだ論点の一つが、汎用目的AIモデル（GPAI）の規制である。第51条から第56条に規定されるGPAI規制は、基盤モデル（foundation models）の急速な普及に対応するため、欧州議会の修正提案を経て導入された比較的新しい規制層である。

すべてのGPAIモデルの提供者には、技術文書の作成・更新、ダウンストリーム提供者への情報提供、EU著作権法の遵守、および訓練に使用されたコンテンツの概要の公表が義務付けられる。さらに、「システミックリスク」を有するGPAIモデル（累積計算量が10^25 FLOPsを超えるモデル、または欧州委員会が指定するモデル）には、モデル評価、敵対的テスト、サイバーセキュリティ保護、エネルギー消費の報告、重大インシデントの報告などの追加義務が課される。

GPAIに関する詳細な実施規則は、2025年8月2日までにEU AIオフィスが策定する実施細則（codes of practice）によって補完される予定であり、その内容は技術的要件の具体化にとって極めて重要である。

5. 域外適用の射程と法的分析

AI Actの域外適用規定は、第2条に定められている。本規則は、EU域内に設立された提供者・配備者のみならず、以下の場合にも適用される。すなわち、EU域外に設立された提供者または配備者であって、そのAIシステムの出力がEU域内で使用される場合である（第2条第1項(c)）。この「出力の域内使用」という接続要素は、GDPRの「域内のデータ主体への商品・サービスの提供」（GDPR第3条第2項）に比して、より広範な射程を有する可能性がある。

域外適用の実効性を確保するため、AI Actは、EU域内に設立されていない提供者に対し、EU域内に授権代理人（authorised representative）を指定する義務を課している（第22条）。授権代理人は、適合性宣言および技術文書の保管、市場監視当局への協力、情報提供などの義務を負う。この仕組みは、GDPR第27条のEU代理人制度を模範としたものであるが、AI Actでは代理人の役割がより広範に定義されている。

域外適用の具体的な影響として、日本企業がEU市場向けにAIシステムを提供する場合、当該システムがハイリスクに分類される限り、適合性評価、CE マーキング、技術文書の作成、EU代理人の指定など、包括的な義務を遵守しなければならない。これは、SaaS型のAIサービスにも同様に適用される可能性が高く、クラウドベースのAIサービスを提供する日本のテクノロジー企業にとって重大な法的リスクとなりうる。

6. 施行体制とガバナンス構造

AI Actの施行体制は、多層的なガバナンス構造を採用している。EU レベルでは、欧州委員会内に設置されたEU AIオフィス（AI Office）が中心的な役割を果たす。AIオフィスは、GPAIモデルに関する規則の直接的な執行、実施細則の策定、加盟国間の調整などを担当する。

加盟国レベルでは、各国が一つ以上の国内所管当局（national competent authority）を指定し、ハイリスクAIシステムに関する市場監視を実施する。また、各加盟国は国内監督当局（national supervisory authority）を通じて、基本権への影響に関する苦情処理メカニズムを整備することが求められる。

欧州AIボード（European Artificial Intelligence Board）は、加盟国の代表者で構成される諮問機関であり、AIオフィスに対して助言を行い、加盟国間の一貫した規制適用を促進する。さらに、科学パネル（scientific panel）が、システミックリスクの評価に関する技術的専門知識を提供する。

制裁金の水準は、違反の類型に応じて段階的に設定されている。禁止されるAI実践の違反については最大3,500万ユーロまたは全世界年間売上高の7%、ハイリスクAIシステムに関する義務違反については最大1,500万ユーロまたは3%、不正確な情報提供については最大750万ユーロまたは1%である。中小企業およびスタートアップについては、比例原則に基づく軽減規定が設けられている。

7. 段階的施行スケジュール

AI Actは、規制対象者に十分な準備期間を確保するため、段階的な施行スケジュールを採用している。発効日（2024年8月1日）を基準として、以下のタイムラインで各規定が順次適用される。

第一段階（発効後6ヶ月、2025年2月2日）：禁止されるAI実践に関する規定（第5条）およびAIリテラシーに関する義務（第4条）が適用開始。第二段階（発効後12ヶ月、2025年8月2日）：GPAIモデルに関する規定（第51条〜第56条）、およびガバナンス体制に関する規定が適用開始。第三段階（発効後24ヶ月、2026年8月2日）：ハイリスクAIシステムに関する義務の大部分（附属書III記載のシステム）が適用開始。第四段階（発効後36ヶ月、2027年8月2日）：EU製品安全法制に組み込まれたハイリスクAIシステム（附属書I関連）に関する義務が適用開始。

この段階的施行は、企業のコンプライアンス対応に計画的なアプローチを可能にする一方、各段階の境界における解釈上の不確実性を生じさせる。特に、GPAIモデルの規制が2025年8月から適用される一方、ハイリスクAIシステムの義務が2026年8月からとなるため、GPAIモデルをハイリスクAIシステムに統合して使用する場合の過渡期における義務の範囲が明確でない問題がある。

8. 日本企業・研究機関への影響

AI Actの域外適用は、日本のAI産業に複合的な影響を及ぼす。第一に、EU市場向けにAI搭載製品・サービスを提供する企業は、直接的な法的義務を負う。これには、自動車メーカー（自動運転支援システム）、医療機器メーカー（AI診断支援）、金融機関（信用スコアリング）、人材サービス企業（AI採用選考）などが含まれる。

第二に、GPAIモデルの規制は、日本発の基盤モデルがEU域内で利用される場合に適用される。日本の研究機関や企業が開発する大規模言語モデル（LLM）が、EU域内のダウンストリーム開発者によって統合される場合、GPAIモデル提供者としての義務を遵守する必要がある。

第三に、ブリュッセル効果を通じた間接的影響として、日本国内のAIガバナンス基準がEU基準に収斂する傾向が生じうる。既に、日本政府のAI戦略においても、EU AI Actとの整合性確保が政策課題として認識されつつある。2024年に改定された「AI事業者ガイドライン」は、リスクベースアプローチの採用においてAI Actとの親和性を示している。

研究機関にとっては、AI Actの研究活動に対する適用除外規定（第2条第6項）の射程が重要な論点となる。純粋な科学研究目的でのAI開発は規制対象外とされるが、研究成果の商業化段階での規制適用のタイミングが必ずしも明確でなく、産学連携プロジェクトにおける法的リスク管理が課題となる。

9. 国際比較と規範的含意

AI Actは、AI規制のグローバルな潮流の中で、「水平的・包括的・法的拘束力のある規制」という独自の位置を占める。米国は、2023年10月の大統領令（Executive Order 14110）および各州法（カリフォルニア州SB-1047等）を通じたセクター別・分散型のアプローチを採用している。中国は、特定のAI応用（推薦アルゴリズム、ディープシンセシス、生成AI）に対する個別規制を逐次導入する方式を採っている。

これらの多様なアプローチの中で、AI Actの特徴は以下の点に見出される。第一に、リスク分類に基づく体系的な義務の段階化。第二に、適合性評価手続きを通じた市場アクセス制御メカニズム。第三に、GPAIモデルという新たな規制カテゴリの創設。第四に、明確な制裁金制度による執行力の確保。これらの要素は、今後のAIガバナンスに関する国際的な議論において重要な参照点となるであろう。

OECD、G7広島AIプロセス、国連のAIに関するハイレベル諮問機関など、多国間フォーラムにおけるAIガバナンスの議論においても、AI Actの概念的枠組み——特にリスクベースアプローチとシステミックリスクの概念——は重要な影響力を持つ。日本が推進する「アジャイル・ガバナンス」や「DFFT（信頼性のある自由なデータ流通）」との整合性確保も、今後の政策課題となる。

10. 技術的要件の詳細分析

AI Actが定める技術的要件は、ハイリスクAIシステムの提供者にとって最も実務的な関心事である。第9条のリスク管理システムは、AIシステムのライフサイクル全体を通じた継続的なプロセスとして設計・実装・文書化・維持されなければならない。この要求は、ISO 31000（リスクマネジメント）およびISO/IEC 23894（AIリスクマネジメント）の枠組みとの整合性を念頭に置いたものである。

データガバナンスに関する第10条の要件は、訓練データ、検証データ、テストデータのそれぞれについて、関連性、代表性、正確性、完全性に関する品質基準を設定している。特に、バイアスの検出と軽減に関する義務は、公平性指標の選択と測定方法に関する技術的な判断を要する。データに関する詳細な要件はデータガバナンスの項で改めて論じる。

技術文書（第11条、附属書IV）の作成義務は、AIシステムの設計仕様、開発プロセス、訓練方法論、検証・テスト手順、性能指標など、包括的な文書化を要求する。これは、AIシステムの「説明可能性」（explainability）と「追跡可能性」（traceability）を制度的に担保するための中核的な要件である。

人的監視（第14条）の要件は、AIシステムの動作を人間が効果的に監視し、必要に応じて介入できるメカニズムの実装を求める。これは、「Human-in-the-Loop」「Human-on-the-Loop」「Human-in-Command」の各パラダイムとの関連で技術的に具体化される必要があり、自動化レベルの設計に直接的な影響を及ぼす。

11. 課題と今後の展望

AI Actの実施に際しては、複数の構造的課題が指摘されている。第一に、AIシステムの定義（第3条第1号）の広範性である。「機械ベースのシステムであって、明示的または暗示的な目的のために、受け取った入力から物理的または仮想的な環境に影響を及ぼしうる出力（予測、コンテンツ、推奨、決定等）を生成する方法を推論するもの」という定義は、OECDのAI定義との整合性を確保しつつも、その外延の確定には解釈上の困難が伴う。

第二に、ハイリスク分類の適切性の問題がある。附属書IIIのリスト方式は法的安定性を確保する一方、技術革新による新たなリスク領域の出現に対する対応の遅延が懸念される。欧州委員会による附属書の改定権限（第7条）はこの問題を部分的に緩和するが、デリゲート行為（delegated act）の手続的制約がタイムリーな対応を妨げる可能性がある。

第三に、適合性評価手続きの実効性の問題がある。多くのハイリスクAIシステムについて、提供者による自己適合性評価（第43条第2項）が認められており、第三者機関による評価が義務付けられるのは限定的な場合にとどまる。AIシステムの技術的複雑性を考慮すると、自己適合性評価の信頼性確保が課題となる。

第四に、イノベーションへの影響である。AI Actは規制サンドボックス（第57条〜第62条）の設置を義務付けるなど、イノベーション促進への配慮を示しているが、コンプライアンスコストの増大が、特に中小企業やスタートアップのAI開発を萎縮させる可能性が指摘されている。欧州委員会は、中小企業向けのガイダンス文書やテンプレートの提供を通じて、この問題に対処する方針を示している。

12. 結語

EU AI Actは、AIガバナンスの制度設計における画期的な立法であり、そのリスクベースアプローチ、域外適用の射程、およびGPAIモデルの規制は、グローバルなAI政策に深遠な影響を及ぼすものである。上級技術者および研究者にとって、本規則の理解は、技術開発の方向性を左右する規制環境の把握において不可欠である。

今後、欧州委員会およびAIオフィスによる実施細則、整合規格（harmonised standards）、ガイダンス文書の策定を通じて、技術的要件の具体化が進むことが予想される。これらの動向を継続的に注視しつつ、「規制に対応する」のみならず、「規制を形成する」という能動的な関与の姿勢が、日本のAI産業にとって戦略的に重要であると結論づけられる。