EU AI法とは

EU AI法とは、EU(欧州連合)が定めた、AIを包括的に規制する法律のことです。世界で初めての本格的なAI規制とされ、正式名称はAI Act(エーアイ・アクト)。AIを「リスクの高さ」で4つの段階に分け、危険なものほど厳しく規制し、害の小さいものは自由に使えるようにするという考え方が土台にあります。

リスクで4段階に分ける仕組み

EU AI法のいちばんの特徴は、AIを使い道のリスクで4段階に分ける「リスクベース」の考え方です。上の段階ほど規制が厳しく、下の段階ほど自由になります。同じAIでも、何に使うかでかかる義務がまったく変わるのが要点。次の4つが、上から順に並ぶピラミッドのような構造をつくっています。

• 許容できないリスク(禁止)：社会的スコアリング(人々を点数づけして選別する仕組み)や、人の行動を巧妙に操るAIなどは全面禁止。
• 高リスク：採用選考、教育、医療、重要インフラ、法執行などで使うAIは、リスク管理・人間による監視・記録の保存などが義務づけられます。
• 限定リスク：チャットボットやディープフェイクは、「AIが応対している」「AIで作った」と利用者に知らせる透明性の義務が課されます。
• 最小リスク：迷惑メールのフィルタやゲーム内のAIなど大半のAIはここに入り、特別な規制はありません。

なぜ、こうした段階分けをするのでしょうか。すべてのAIを一律に厳しく縛れば、害のないAIまで使いにくくなり、技術の発展もさまたげてしまいます。そこでEU AI法は、本当に危険な使い方に規制を集中させ、それ以外は軽くするメリハリをつけました。イノベーションと安全のバランスを取ろうとする工夫が、この4段階に込められています。

「勧告」との違いは“罰則”があること

AIの国際的なルールには、ほかにも2019年のOECD AI原則や、2021年のUNESCO AI倫理勧告があります。これらとEU AI法のいちばんの違いは、法的な拘束力があり、違反すると制裁金が科される「法律」である点です。OECDやUNESCOのものは各国が共有する指針(ソフトロー)で罰則はありませんが、EU AI法は守らなければ罰則が待っています。理念の共有から一歩進み、実際に企業を縛る規制へ踏み込んだ点に重みがあるといえるでしょう。

日本企業にも関わる理由と、適用の時期

「EUの法律だから日本には関係ない」とは限りません。EU域内でAIを提供したり使ったりする企業は、EUの外にある会社でも対象になりうる(域外適用)からです。施行は段階的で、2024年8月の発効後、禁止の対象は2025年2月から、汎用的なAI(基盤モデル)の義務は2025年8月から、高リスクAIの本格的な義務は2026年8月以降に適用されていきます。ChatGPTのような大規模な汎用AIにも、透明性などの専用ルールが設けられました。とくに高リスクに当たるAIには、リスク管理の体制づくり、質の高いデータの利用、技術文書の整備、正確性やサイバーセキュリティの確保といった、こまかな義務が積み上がります。EUと取引のある企業は、自社のAIがどの区分に当たるかを早めに見極めておくと安心です。

EU AI法に関するよくある質問

すべてのAIがEU AI法で厳しく規制されるのですか？

いいえ。使い道のリスクで4段階に分け、危険なものほど厳しく規制する仕組みです。採用選考や医療などの高リスクには重い義務がかかりますが、迷惑メールのフィルタやゲーム内AIなど大半は最小リスクで特別な規制はありません。同じAIでも、何に使うかで義務が変わります。

EUの法律なので日本企業には関係ないですか？

そうとは限りません。EU域内でAIを提供したり使ったりする企業は、EUの外にある会社でも対象になりうる（域外適用）からです。EUと取引があるなら、自社のAIがどの区分に当たるかを早めに見極めておくと安心です。

OECD AI原則やUNESCO勧告と何が違いますか？

最大の違いは、法的な拘束力があり違反すると制裁金が科される「法律」である点です。OECDやUNESCOのものは各国が共有する指針（ソフトロー）で罰則はありませんが、EU AI法は守らなければ罰則が待っています。禁止対象のAIを使った場合の制裁金は最大で全世界売上高の7%（GDPRの上限4%より高い水準）です。