EU AI規則への日本企業の対応
美馬 正司 株式会社 日立コンサルティング ディレクター
2025年3月7日
1. はじめに
日本では、AIに関する法規制の整備が進みつつある段階ですが、EUでは規則が制定され、その施行が始まっています。EU AI規則(以下、AI法)はGDPR(General Data Protection Regulation:一般データ保護規則)と同様に、域外適用される場合があり、すべての日本企業が関係するわけではありませんが、AIに関わる企業では、適用の可能性を考慮することが望まれます。本稿では、どのような場合に企業に関係するのか、今後、どのような対応が企業に求められるのかを解説します。
2. AI法の概要
AI法は2024年5月21日に成立し、8月1日に発効したもので、AIの開発と利用に関する包括的な規制として注目されています。以下、その特徴に基づき概要を説明します。
(1)リスクベースアプローチ
AI法の大きな特徴はリスクベースのアプローチを取っていることであり、リスクに応じた要件・規制が設定されています。具体的には、「禁止AI(Prohibited AI Practice)」「ハイリスクAI(High-Risk AI Systems)」「透明性義務が生じる特定AI(Transparency Obligations for Providers and Deployers of Certain AI Systems)」という分類がなされています。これに加えて、生成AIを含む「汎用AI(General-Purpose AI Models)」が別枠で設定されており、こちらについても一般的な汎用AIとシステミックリスクのある汎用AIという2段階に分けて義務が定められています。
図1. AI法のリスクに基づく分類型
資料:欧州委員会の資料を基に株式会社日立コンサルティングが作成
表1. 汎用AIに対する義務
| 汎用AI | システミックリスクのある汎用AI |
|---|---|
|
(左記に加えて)
|
資料:EU AI規則 第53条、第55条を基に株式会社日立コンサルティングが作成
(2)適用範囲
AI法の適用対象については表2のように規定されています。EU域内にAIを提供する場合、AIのアウトプットがEU域内で利用される場合、AIの提供者(AIを開発する企業等)、導入者(AIを導入し利用する企業など)はEU域内にあるかどうかは問わず、適用対象になります。
なお、航空、自動車など、個別の法律で規制されている分野については適用除外となっているほか、軍事、防衛または国家安全保障を目的とするAIや、科学研究開発目的、上市前の開発段階のAIについても適用除外となっています。
表2. AI法の適用対象
|
資料:EU AI規則 第2条を基に株式会社日立コンサルティングが作成
(3)罰則
高額の罰金が設定されていることもAI法の特徴です。罰則は表3のように設定されており、例えば、10兆円の売上高がある企業の場合、最大で7,000億円もの罰金が科せられます。なお、汎用AI以外については、AI法で規定されている罰金額を上限として加盟国が任意で設定できるようにはなっていますが、加盟国によって大きく変化することはないのではないかと考えられます。
表3. AI法の罰金
| 違反内容 | 罰金 |
|---|---|
| 禁止AIに関する違反 | 3,500万ユーロまたは全世界年間売上高の7%のいずれか高い方 |
| その他の規定への違反 | 1,500万ユーロまたは全世界年間売上高の3%のいずれか高い方 |
| 当局または認証機関への不正確、不完全または誤った情報の提供 | 750万ユーロまたは全世界年間売上高の1%のいずれか高い方 |
| 汎用AIの規定への違反 | 1,500万ユーロまたは全世界年間売上高の3%のいずれか高い方 |
資料:EU AI規則 第99条を基に株式会社日立コンサルティングが作成
3. 企業におけるAI法への対応
(1)適用対象となるケース
概要で述べたように、EU域外にある企業であっても、AI法の適用を受ける場合があります。具体的なケースをいくつか紹介します。
例えば、AIを開発、提供している企業、つまり「提供者」であれば、直接、EU域内にAIを提供していなくても、提供先日本企業のEU域内の支社がこれを活用する場合や、提供先企業がEU域内の企業や市民を対象にサービスを提供する場合、適用対象になります。
また、AIを利用するだけの「導入者」であっても、自社のEU域内の支社でこれを利用する場合や、AIを利用してEU域内の企業や市民を対象にサービスを提供する場合も同様です。
これ以外に、「製品製造者」としてAIを含む製品を日本国内で製造し、EU域内で販売する場合、適用を受ける可能性があります。
図2. 日本企業にAI法が適用されるケース
(2)AI法の施行について
AI法は2024年8月に発効されましたが、施行は段階的に行われます。まずは2025年2月から禁止AIに関する規定が施行され、その後、2025年8月には汎用AIに関する規定、そして2026年8月にはハイリスクAI、透明性義務が生じる特定AIを含めて全面施行されます。
企業においては、この段階的な施行の内容を踏まえ、禁止AI、汎用AI、ハイリスクAI、透明性義務が生じる特定AI、それぞれへの対応が求められます。
なお、一部、2027年8月に施行される部分がありますが、2026年8月で全面施行になることに留意してください。
図3. AI法の施行スケジュール
資料:EU AI Actの導入Timelineのサイトから株式会社日立コンサルティングが作成
(3)禁止AI
前述したように段階的に施行されるAI法の中で、2025年2月、最初に施行される禁止AIへの対応が企業には求められます。具体的には、禁止されている対象となるようなAIを導入者としてEU域内に提供しない、あるいは導入する可能性がある企業に対して提供者としてAIを提供しない、という対応が必要になります。
なお、禁止AIとしては、表4の内容が規定されており、これらが一般的に使われる機会は多くはないとは考えられますが、例えば、学校などの教育現場で感情認識を用いる事例が日本国内で出てきており、このようなAIをEU域内で展開すると、AI法に抵触し、多大なる罰金が科せられる可能性があります。
表4. AI法における禁止AI
| 項目 | 説明 |
|---|---|
| 人間の意識を超えたサブリミナル技術 | 人間の意識を超えたサブリミナル技術や、意図的に操作的・欺瞞(ぎまん)的な技術を展開し、個人または集団の行動を著しくゆがめ、十分な情報に基づいた意思決定能力を大きく損なうこと |
| 個人のぜい弱性の悪用 | 年齢、障がい、特定の社会的・経済的状況などの、個人または特定の集団のぜい弱性を悪用すること |
| 社会的スコアリング | 社会的行動や既知または推測・予測された個人的・性格的特性に基づいて、個人または集団を評価・分類する社会的スコアリング |
| プロファイリング/性格特性による評価のみに基づいた個人の刑事犯罪リスクの評価/予測 | 例外規定:
|
| インターネット/監視カメラ映像からの無差別な顔画像のスクレイピングに基づく顔認識データベースの作成/拡張 | ― |
| 職場・教育機関における感情認識 |
例外規定:
|
| 生体データによる個人の分類に基づいた政治的意見や性的指向などの推測/推論 |
例外規定:
|
| 法執行を目的とした公共の場におけるリアルタイムの遠隔生体識別の使用 |
例外規定:
|
資料:EU AI規則 第5条を基に株式会社日立コンサルティングが作成
(4)今後の対応
企業では、禁止AIだけでなく、今後、汎用AI、ハイリスクAI、透明性義務が生じる特定AI にも対応していく必要がありますが、EUの域外適用の対象ではないものに対して過剰に対応する必要はありません。
つまり、前述の適用パターンを検討し、域外適用の対象になる可能性を評価することが重要です。もし、域外適用の可能性がある場合、契約などでコントロール(例えば、EU域内の支社では使わない)することで、域外適用の対象から外せれば、AI法対応を不要とすることも可能です。
一方、域外適用等が避けられないような企業においては、AI法への対応を進めることが不可欠です。このとき、AI法だけに対応するという発想で取り組むのではなく、AIに関するリスクマネジメントの仕組みを整備し、根幹となるAIガバナンスを構築することが重要であると考えます。単なる法制度対応として扱うのではなく、技術の進歩とともに変化するリスクのマネジメントとして捉え、これに対応できるようなガバナンスを整備することで、EUだけでなく、グローバルに通用する仕組みが整備され、中長期的に見てより効率的なAIの活用推進が期待できます。
4. おわりに
2024年末に韓国でもAI基本法が成立するなど、AIに関する政策は今なお、世界中で検討が進められています。法制度化される場合もありますし、民間企業の自主的なガバナンスによってその適正な活用が担保される場合もあります。弊社では、このようなAIの適正な活用を促進するため、AI倫理、ガバナンス整備等に関するコンサルティングを展開しており、AI法への対応について支援することが可能です。ご関心のある方はお気軽にお問い合わせください。
本コラム執筆コンサルタント
美馬 正司 株式会社 日立コンサルティング ディレクター
※記載内容(所属部署・役職を含む)は制作当時のものです。