TL;DR(要点)
- AI法は2024年8月1日発効。適用は段階的:禁止行為は2025年2月、GPAI(汎用目的AI)規則は2025年8月、大半の規定は2026年8月、一部の高リスクAIは2027年8月から適用。European CommissionIAPPDefaultLatham & Watkins
- 禁止(許容不可)AI:社会信用スコア、無差別の顔画像スクレイピング、職場・教育での感情推測、特定属性の生体分類など。EU人工知能法
- GPAIへの新義務:技術文書・著作権ポリシー(TDMのオプトアウト尊重)・学習データ要約の公開。超大規模モデル(10^25 FLOPs相当)は**「システミックリスク」**として追加義務。コード・オブ・プラクティスが公開済み。Epthinktank欧州議会デジタル戦略
- 域外適用:EU域外企業でも、EU市場で提供、EUのユーザー向け、またはEUで出力が利用されると適用対象。必要に応じてEU域内の認定代理人を選任。EU人工知能法Default
- 罰則:最大3,500万ユーロまたは世界売上7%(禁止行為)、1,500万ユーロまたは3%、750万ユーロまたは1%(情報提供違反)。EU人工知能法
AI法の基本
- 正式名称:Regulation (EU) 2024/1689(Artificial Intelligence Act)
- 官報公示:2024年7月12日 → 発効:2024年8月1日(公示20日後)EUR-Lex+1
- 目的:健康・安全・基本権を保護しつつ、単一市場での統一ルールを整備。EUR-Lex
リスクベースの枠組み(4層)
1) 許容できないリスク(全面禁止)
以下は原則禁止(限定的な法執行例外あり):
- 潜在的操り(サブリミナル)等で重大な行動歪曲を引き起こすAI
- 脆弱な集団の脆弱性を悪用するAI
- 社会的信用スコアリング(特に公的機関)
- 無差別の顔画像スクレイピングによる顔認識DB作成
- 職場・教育での感情推測(医療・安全目的を除く)
- 敏感属性にもとづく生体分類(人種・宗教・性的指向など)
- プロファイリング等のみに基づく犯罪予測 など。EU人工知能法Inside Tech Law
2) ハイリスクAI(厳格な適合性要件)
例:重要インフラ、教育・雇用の評価、重要サービスへのアクセス、法執行、入管、司法など(附属書IIIで列挙)。品質マネジメント/技術文書/ログ/ヒトの監督/CEマーキング/事後監視/重大事故報告が義務。EU人工知能法+3EU人工知能法+3EU人工知能法+3
FRIA(基本権影響評価):特定の公的主体や公共サービス提供者等がハイリスクAIを導入する前に実施義務。EU人工知能法
3) 限定的(透明性)リスク
- ユーザーがAIと対話している旨の表示(チャットボット等)
- ディープフェイクの表示、感情推測/生体分類の通知等のラベリング義務。EU人工知能法
4) 最小リスク
- 追加規制は原則なし(一般的な利用)。EU人工知能法
GPAI(汎用目的AI)への規制:2025年8月から本格適用
すべてのGPAI提供者(Art.53)
- 技術文書の整備・更新(評価結果含む)
- 下流の統合先に必要情報を提供
- EU著作権法を尊重するポリシー(著作権者のTDMオプトアウト遵守)
- 学習データの「十分に詳細な要約」をAIオフィスのテンプレートで公開。EU人工知能法EpthinktankWilmerHale
システミックリスクを伴うGPAI(Art.55)
- 標準化されたモデル評価、システミックリスクの特定・低減、重大事故の報告、サイバーセキュリティ等の追加義務。現在のガイダンスでは10^25 FLOPs超が目安。EU人工知能法セキュリティ技術センター
コード・オブ・プラクティス(2025年公開・更新中)
- 透明性・著作権・安全/セキュリティの3章で、遵守の実務手引き。署名により負担軽減と法的確実性が期待。デジタル戦略
施行スケジュール(確定版)
- 2024/08/01:AI法発効(官報公示から20日後)。EUR-Lex
- 2025/02/02:禁止行為(Art.5)、および**AIリテラシー(Art.4)**等の初期規定が適用。IAPPDLA Piper
- 2025/08/02:**GPAI(Art.53–55)**等が適用開始。European Commission
- 2026/08/02:大半の規定(ハイリスクAIの中心要件など)が適用開始。IAPP
- 2027/08/02:一部のハイリスクAI(既存EU整合法に基づく製品安全系/安全部品等)に36か月後適用。IAPPLatham & Watkins
※ 一般に「全面施行=2027年」と誤解されがちですが、主要義務の多くは2026年8月から始まります。IAPP
罰則(上限)
| 違反 | 上限 |
|---|---|
| 禁止行為(Art.5) | 3,500万ユーロ または 世界売上7%の高い方 |
| その他の義務違反 | 1,500万ユーロ または 世界売上3%の高い方 |
| 不正確/不完全/誤解を招く情報の提供 | 750万ユーロ または 世界売上1%の高い方 |
中小企業向けの比例的減額規定あり。 EU人工知能法
日本企業への影響(域外適用)と実務対応
適用される典型ケース
すぐに着手すべきチェックリスト
- AIインベントリ作成(自社が提供/使用するAIの棚卸しとリスク分類)。
- GPAIの有無と**義務(Art.53)**の洗い出し:著作権ポリシー、学習データ要約の準備。EpthinktankWilmerHale
- ハイリスク該当性(附属書III)評価:技術文書、品質マネジメント、ログ、CEマーキング、事後監視/重大事故報告の体制構築。EU人工知能法+3EU人工知能法+3EU人工知能法+3
- FRIA(基本権影響評価):対象となる部署/業務で導入前に実施。EU人工知能法
- EU認定代理人の選任(EU域外のGPAI/高リスクの提供者は必要)。EU人工知能法
- AIリテラシー(社内教育):2025年2月以降、提供者/利用者双方に教育義務。EU人工知能法
- タイムラインに沿った移行計画:2025年(GPAI)、2026年(多くの高リスク)、2027年(製品安全系)で段階適合。Default
よくある誤解と実務Tips
- 「ディープフェイク対策」は限定的リスクの透明性義務(ラベル/表示)が中心。生成物の出所表示や人間のレビュー体制を設計段階から。EU人工知能法
- 職場の「感情AI」は原則禁止(医療・安全目的など限定例外)。テキストの感情分析は通常禁止対象外だが、生体データ由来の推測は要注意。Inside Tech Law
- 重大事故(Serious Incident)は速やかに報告。事後監視(PMS)計画に手順を組み込み、15日以内の報告上限目安にも対応できる体制を。EU人工知能法+1WilmerHale
まとめ
EUのAI法は世界初の包括的AI規制で、禁止行為・高リスクAIの厳格管理・GPAIの透明性/安全性を中核に、イノベーションと保護の両立を狙うものです。主要な適用は2026年8月から始まり、GPAIは2025年8月、禁止は2025年2月に先行します。日本企業も域外適用を念頭に、GPAI義務・FRIA・CEマーキング・EU代理人などの実務対応を今年中に計画→着手するのが安全です。IAPPEuropean Commission
さらに深掘り(公的ソース)
- 公式法令本文(Regulation (EU) 2024/1689 / OJ L, 12.7.2024)EUR-Lex
- 欧州委員会プレス(発効とGPAIスケジュール)European Commission
- GPAIコード・オブ・プラクティス(最新)デジタル戦略
