EU AI法(EU AI Act)完全ガイド:2026年全面施行、禁止事項・高リスクAI規制・企業コンプライアンス要点

2024年8月1日、EU AI法(Regulation (EU) 2024/1689、通称 EU AI Act)が正式に発効し、人工知能を包括的に規制する世界初の超国家的法律となりました。法律は段階的に施行:2025年2月に禁止事項が先行適用、2025年8月に汎用目的AI(GPAI)規定が適用、2026年8月にすべての高リスクAI条項が完全適用されます。EUユーザー向けにAIサービスを提供する世界中のあらゆる企業が、2026年末までにコンプライアンスを達成しなければなりません。

1. EU AI法の核心:リスクベースの分類

EU AI法の最重要設計原則は「リスクベースアプローチ」です。潜在的危害の程度に応じてAIシステムを4段階に分類します:

レベル1:容認できないリスク(完全禁止)

以下のAIアプリケーションはEU域内で完全に禁止され、違反した場合は全世界年間売上高の7%を上限とする罰金が科されます:

  • 社会信用システム:個人の行動に基づいて市民を評価し、差別的扱いを行うシステム
  • リアルタイム遠隔生体認証:公共の場所でのAIによるリアルタイム顔認識(法執行機関には厳格な条件下で例外あり)
  • 潜在意識への操作:個人の無意識の弱点を利用して行動に影響を与えるAI技術
  • 職場・教育機関での感情推測:職場や学校で従業員・学生の感情を推測するシステム
  • プロファイリングのみに基づく犯罪予測:具体的な行動ではなく純粋なプロファイリングで犯罪傾向を予測するシステム
  • 無断での大規模顔画像収集:インターネットや監視カメラから顔認識データベースを大量構築

レベル2:高リスクAI(厳格な規制)

事前適合性評価、EUデータベースへの登録、継続的モニタリング、詳細な技術文書の維持が必要:採用・CV審査AI、学生試験評価AI、信用スコアリング・保険料率計算AI、医療診断支援AI、重要インフラ管理AI、移民・庇護審査AI、司法判断支援AIなど。

データセキュリティとAIコンプライアンス:高リスクAIシステムは大量の個人データを処理するため、適切な暗号化保護がコンプライアンスの基盤となります。AES暗号化ツールでAES-256暗号化について理解しましょう。

レベル3:限定的リスク(透明性義務)

「AIと対話中」であることをユーザーに開示する必要があるシステム:チャットボット、AI生成コンテンツツール(ディープフェイクには必ずラベリング)、感情認識システムなど。

レベル4:最小リスク(自由使用)

AIスパムフィルター・ECサイト推薦システムなど大半のAIアプリケーションは特別な規制なし。自主的な行動規範への参加が推奨されます。

2. 汎用目的AI(GPAI):ChatGPT・Claude はどう規制されるか?

法律はGPT-4・Claude・Geminiなど大規模基盤モデル専用の章を設けています。主要義務(2025年8月から適用):

  • 学習データの透明性:学習データの要約を公開し、著作権者が自分のコンテンツが使用されているか確認できるようにする
  • 技術文書:モデルの能力・制限・既知のリスクに関する詳細な文書を維持
  • システミックリスク評価(高能力モデル向け):10²⁵ FLOPs超の計算量でトレーニングされたモデルは敵対的テスト(Red Teaming)を実施し、重大事故をEU AI事務局に報告
  • サイバーセキュリティ対策:モデル自体を保護する適切なセキュリティ措置の実装

3. 違反罰金:段階的ペナルティ制度

違反の種類最大罰金(企業)最大罰金(中小企業/個人)
禁止AIアプリケーションの使用全世界年間売上高の7%(または3,500万ユーロの高い方)750万ユーロ
その他の義務違反全世界年間売上高の3%(または1,500万ユーロの高い方)375万ユーロ
不正確な情報の提供全世界年間売上高の1%(または750万ユーロの高い方)150万ユーロ

4. 域外適用と企業への影響

EU AI法は「域外適用」の原則を採用:EUユーザー向けにAIを提供するすべての企業(本社の所在地に関わらず)が対象となります。EUユーザーを持つSaaSプラットフォーム、EU向け輸出のAI機能搭載ハードウェア、AIモデル開発者、サードパーティAI API統合者がすべて影響を受けます。

APIキーとシステム認証情報の保護:AIコンプライアンス作業では多数のAPIキーとアクセス認証情報の管理が必要になります。パスワード生成ツールで高エントロピーのランダム認証情報を作成し、AES暗号化ツールで機密設定の暗号化方法を理解しましょう。

5. コンプライアンスの技術的実務

説明可能性(Explainability)

高リスクAIは影響を受ける個人に対して決定理由を説明できなければなりません。ブラックボックスモデルにはLIME・SHAPなどの解釈可能な手法が必要です。

データガバナンス文書

学習データには完全な出所記録、バイアステスト結果、品質評価が必要です。Data CardsとしてJSON形式で構造化することを推奨します。

構造化されたコンプライアンス文書:EU AI法は詳細な技術文書をJSON形式で監査機関に提出することを求めます。JSONフォーマッターで提出前に文書を検証・整形しましょう。

継続的モニタリングとインシデント報告

重大な事故(死亡、重傷、または基本的権利の重大な侵害)は15日以内に所管当局に報告が必要です。

まとめ

  • EU AI法は2026年8月から完全施行される世界初の包括的AI規制法で、EUユーザーにAIを提供する世界中のあらゆる企業に適用
  • リスク4段階分類:禁止・高リスク・限定的リスク・最小リスク
  • ChatGPT・Claude・Geminiなど基盤モデルは2025年8月から学習データ透明性の義務を負う
  • 違反時の最大罰金は全世界年間売上高の7%で、大手テック企業には数十億ドルの潜在リスク
  • EUユーザーを持つAI機能搭載サービスは今すぐコンプライアンス評価を開始し、データガバナンス・説明可能性・人間による監督メカニズムを整備すべき