IT Insight
AI規制法「EU AI Act」が日本企業に与える影響──情シスが押さえるべき対応ポイント
レンテックインサイト編集部
AIを活用する企業が増える中、欧州で2024年に成立した「EU AI Act」は、リスク分類や透明性確保を義務付ける初の包括的なAI規制として注目を集めています。グローバルに事業を展開する日本企業にも、直接的・間接的に影響がおよぶ可能性は低くありません。
そこで、この記事では、情シス担当者が今押さえるべき法案の概要と想定されるリスクを整理します。「EU AI Act」とは何か、注意すべき二つの課題と罰則規定、情シス部門に求められる三つの対応など、実務に直結する観点から必要なポイントを押さえましょう。
【関連記事】 AIの規制や法整備について、EUおよび日本のAI戦略を解説
世界初の包括的AI規制──「EU AI Act」とは何か──日本企業へのインパクトは?
2024年8月1日から段階的に欧州で施行されている「EU AI Act(AI規則)」は、世界で初めてAIのリスクに応じた規制体系を打ち出した包括的な法律で、2026年8月2日には大部分の規定の適用が開始される予定です。
同規制ではAIシステムをリスクの程度に応じて「許容されないリスク」「高リスク」「限定的リスク」「低リスク」に分類し、それぞれに応じた義務を課します。
4つのリスク区分とその概要は、以下の通りです。
| リスク区分 | 代表的なAI用途 | 主な規制・義務内容 | 規制の方向性 |
|---|---|---|---|
| 許容されないリスク(Unacceptable Risk) | 社会的スコアリング、無差別監視、脆弱層を狙った心理的誘導など | 提供・利用の全面禁止 | 市場提供禁止 |
| 高リスク(High Risk) | 雇用選考、教育評価、医療診断、信用スコア、重要インフラ、司法・法執行分野など | ・リスク管理・データ品質管理 ・技術文書作成と保存 ・人による監視(Human Oversight) ・ログ記録・インシデント報告 ・CEマーク取得・適合性評価 |
厳格な管理・事前認証が必要 |
| 限定的リスク(Limited / Transparency Risk) | チャットボット、生成AI(ディープフェイクなど)、感情認識AIなど | ・「AIによる出力」である旨の通知 ・ユーザーへの明示的開示(透明性義務) ・誤認防止のための設計 |
透明性確保を義務化 |
| 低リスク(Minimal / No Risk) | スパムフィルター、レコメンド機能、AI翻訳補助など | 特別な義務なし(自主的ガイドライン推奨) | 規制対象外(自主基準レベル) |
AIが社会に急速に浸透し、誤作動や差別的判断、過剰な監視といったリスクが懸念される状況を受け、EUは「技術革新の自由」と「人権・倫理の保護」を両立させるという基本理念のもとで、この法案を策定しました。
特に注目すべきは、この法律がEU域内だけでなく、AIシステムをEUで提供・運用・使用するすべての事業者に適用されるという点です。つまり、EUに拠点を持たない日本企業であっても、EU市場と関わる限りは例外ではありません。
日本企業にもおよぶEU AI Actの「直接的・間接的」影響とは?
EU AI Actは、日本国内でAIを開発・運用している企業にとっても無関係ではありません。具体的には、主に次の二つの形で影響がおよぶと想定されます。
【1】直接的な対象となるケース
以下の条件に当てはまる企業は、法的にEU AI Actの適用対象となります。
・EUに拠点を持つ(子会社・支店など)
・EU居住者に対してAIを用いた製品・サービスを提供している
・EU向けにAI搭載のSaaSや業務支援システムを提供している
例えば、欧州現地法人でRPAやチャットボットなどを運用している、またはEU域内企業向けに画像認識や自然言語処理ベースのAPIを提供している場合などは、該当AIのリスク対応義務が発生する可能性があります。
【2】間接的に規制遵守を求められるケース
自社がEUに直接進出していなくても、取引先がEU域内に存在する場合、サプライチェーンを通じて「間接的な遵守要請」が発生する可能性があります。例えば以下のようなケースが想定されるでしょう。
・欧州の親会社・グループ企業から、「AI開発プロセス」の透明性を求められる
・欧州の顧客から、「提供するAI機能に対する適合性証明」を要求される
・海外ベンダーが「規制対応済みのソリューション導入」を条件とする
こうした動きは、2018年5月に施行された「GDPR(EU一般データ保護規則)」対応時にも生じており、AIに関する開発責任や透明性要件がグローバルで連鎖的に広がっていく可能性が高いといえます。
こうした状況において、AIの導入・利活用を進めるにあたって情シス部門にも一定の法制度への理解が求められることとなるでしょう。そのため、今のうちから「どのようなAIシステムが対象になるのか」「自社の立ち位置(直接対象か、間接影響か)」「なにを求められる可能性があるのか」などを整理しておくことが重要です。
「EU AI Act」で注意すべき二つの課題と罰則規定
EU AI Actの概要は分かったものの、日本企業がどのくらい対応すべきか実感を持って把握できていないという方は少なくないでしょう。そこで、ここではよくある課題を二つご紹介し、EU AI Actの具体的な罰則規定を解説します。
よくある課題1:自社でどのようなAIが使われているか、把握しきれていない
情シスに最初に立ちはだかるのが「自社でどのようなAIが使われているか、把握しきれていない」という問題です。業務部門や子会社が独自に導入したAIサービスが社内に点在しており、情シス部門でそれらの全容を把握しきれていないという企業は少なくありません。
例えば以下のようなケースは、規制リスクの温床になりかねません。
・各部門が独自にChatGPT APIや画像生成ツールなどを導入し、情シス部門に共有されていない
・海外ベンダーのクラウドサービスにAI機能が含まれているが、契約時に詳細な機能説明がなかった
・海外の親会社・グループ会社がEU向けに展開している製品の一部を、日本でも再利用しているが、リスク区分が分からない
このように、「見えていないAI利用」が社内に点在している状況では、想定外の法的問題が多発するリスクがあります。
よくある課題2:高リスク区分への管理義務に対応しきれていない
EU AI Actにおいて、以下のようなAIシステムは「高リスク」に分類され、ログ保存・技術文書の作成・透明性説明・人による監視体制など、厳格な管理義務が発生します。
・顔認識・バイオメトリクスによる本人確認
・採用判断・評価に用いるAI
・医療診断支援AI
・教育・試験での評価AI
・官公庁向けの業務判断を補助するAI
こうしたAIを自社で開発・活用していなくても、ベンダー製品として組み込まれている場合、購入者側にも説明責任が求められる可能性があります。例えば、「ベンダーが技術文書を用意していない」「どのようなデータで学習されたか不明」といった状況は、契約上の瑕疵リスクやコンプライアンス違反の温床になりかねません。そして、EU AI Actでは、ハイリスクAIシステムに対する義務違反に対し、以下のように極めて高額な制裁金を規定しています。
| 違反の種類 | 罰則の上限(企業の場合) | 根拠条文 |
|---|---|---|
| 禁止行為の違反(例:不当な監視や感情認識の使用) | 3,500万ユーロまたは全世界年間総売上高の7%のいずれか高い方 | 第5条、第99条など |
| 高リスクAIに関する要件・管理義務違反 | 1,500万ユーロまたは同3%のいずれか高い方 | 第99条、第101条など |
| 情報提供義務の違反(不正確または虚偽の提出) | 750万ユーロまたは同1%のいずれか高い方 | 第99条など |
また、AIシステムが規定されたハイリスク要件を満たしていないと判断された場合、市場監視当局は次のような段階的な措置を講じます。
1.まず、是正命令が発出され、一定期間内の修正・対応が求められる 2.対応が不十分な場合は、当該AIシステムのEU域内での使用・提供・販売が禁止される
すなわち、企業はEU AI Actの違反によって金銭的な罰則のみならず、サービスの一部機能停止や契約解除といった、事業運営上深刻な影響を受けるリスクもあるのです。
情シス部門に求められる三つの実務対応
AIは今、営業支援・業務効率化・カスタマーサービスなど、企業活動のあらゆる場面に浸透し始めています。そのため、情シス部門はAIの活用推進と同時に全社的な視点から、EU AI Actへの対応を進める必要があります。
ここでは、具体的に取り組むべき三つの実務対応を整理します。
【1】AI利用状況の棚卸しとガバナンスの再構築
まず着手すべきは、自社内でどのようなAIが、どのような形で利用されているのかの“可視化”です。 生成AIツール、業務自動化、分析アルゴリズムなど、部門単位で導入されたAIを含めて全社的に洗い出し、利用範囲・提供元・処理データの種類などを記録した「AI使用台帳」を整備することが重要です。
この台帳は、単なるリストではなく、AI利用の全体像を把握し、リスク分類や対応優先度を判断するための基礎資料です。例えば以下のような項目を整理します。
| 項目 | 記入内容の例 |
|---|---|
| 部門名 | 営業部、開発部、管理部など |
| 利用中AI/サービス名 | ChatGPT Enterprise、Azure OpenAI、Copilot、社内開発AIなど |
| 提供元/ベンダー | OpenAI、Microsoft、AWS、国内SIerなど |
| 利用目的/業務プロセス | 提案書作成、FAQ自動応答、コード生成、画像解析など |
| 処理データの種類 | 顧客データ、社内文書、機密資料、匿名データなど |
| データ流通経路 | SaaS/オンプレ/クラウド(国・リージョン) |
| リスク区分(EU AI Act基準) | 高リスク/限定的リスク/低リスクなど |
| 管理責任者 | 部門責任者、情報システム部、セキュリティ管理者 |
| 技術文書/DPA有無 | 提供ベンダーから入手済みかどうか |
| 対応ステータス | 確認中/対応済み/要是正 など |
上記の対応は各部門へのヒアリングや簡易フォームでの情報収集から始め、定期的に棚卸しを実施します。併せて生成AI利用申請フォームを整備し、新規導入時に自動的に台帳へ登録されるフローを構築すると効果的です。
【2】ベンダー・クラウドサービスとの契約見直しとリスクベース管理
AIを内製していない場合でも、「利用しているクラウドや外部SaaSにAI機能が含まれている」ケースは多く存在します。そのため、契約・購買の段階から以下のような点を明記・確認しておくことが求められます。
・提供されるAIモデルの種別(生成系・識別系など)と学習データの性質
・提供者による技術文書(Technical Documentation)の提供義務
・不適合時の是正対応や契約解除条件
・EU市場での展開有無と準拠体制の確認
特に「EU域内の顧客やユーザーが最終的な利用者となる」プロダクトの場合、EU AI Actの要件に適合しているか否かが取引条件として問われることがあります。情シス部門は法務・購買部門と連携し、どこまでがベンダー責任で、どこまでが自社責任かを明文化することが不可欠です。
同時に進めたいのが、リスクベースでの管理体制の整備です。AI利用や委託契約をすべて同列に扱うのではなく、EU AI Actのリスク分類(高リスク/限定的リスク/低リスク)に応じて、契約・審査・監査のレベルを段階的に設定します。こうしたリスクベース管理を契約書・購買プロセスに組み込み、SLAやDPAに明記しておくことで、後の監査・再委託時にも一貫した説明責任を果たしやすくなるでしょう。
【3】海外拠点との連携体制の確保
EU域内に現地法人・販売拠点・サービス運用拠点を持つ企業は、現地での法令対応状況を本社側が把握・共有できる体制を整備する必要があります。そのため、データフローの経路(どの国のサーバーを経由してAIが稼働しているのか)、データの帰属、監査対応責任などを、AIガバナンスポリシーやデータフロー設計書、DPAなどの公式文書として明文化し、グローバルなAIポリシーとローカル法規の整合性を取ることが重要です。
また、米国・英国などでもAI規制の枠組みが拡大しつつあり、EU AI Actの対象外地域であっても同様の対応が求められる可能性があります。今後は、グローバルAIガバナンスを新たなミッションとして位置付け、全社的なリスクマネジメント体制の中に組み込んでいくことが求められます。
「想定外の法的責任」を未然に防ぐために
今後あらゆる業界でAIが業務に組み込まれていく中で、「透明性」や「説明責任」は、企業が社会から信頼を得るための共通キーワードとなっていきます。
AIが急速に普及を進める現代、「現場主導でAIが使われているが、全体像が見えていない」という状況は珍しくありません。だからこそ、情シスが中心となり、AI利用の棚卸し・ルール整備・ベンダー管理の仕組み化を今から進めておくことが、自社の競争力と信頼性の両立につながります。
「想定外の法的責任」に対し事後的に対応するのではなく、攻めの姿勢で未然に防ぐ体制をつくりましょう。
IT Insightの他記事もご覧ください
