EU 人工知能法 (AI 法) の完全ガイド

EU人工知能法（規則（EU）2024/1689）は、欧州市場に投入される、またはその出力がEUユーザーに届くあらゆるAIシステムに対して法的拘束力のある規則を定めており、世界初の水平的かつリスクベースのAI法となります。モデルを構築する場合でも、サードパーティのツールを統合する場合でも、あるいは顧客対応のためにチャットボットを導入する場合でも、この法律は新たな義務を課し、違反7件につき世界売上高の最大1%という高額な罰金を科す可能性があります。発効は2024年2025月2027日で、コンプライアンス義務はXNUMX年XNUMX月からXNUMX年XNUMX月にかけて段階的に導入されるため、準備時間は限られています。

この実践的なガイドでは、法律用語を分かりやすく解説し、知っておくべき情報を的確に解説しています。具体的には、法の適用範囲と主要な定義、2段階のリスク分類、施行スケジュールと施行体制、プロバイダー、ユーザー、輸入業者、販売業者の具体的な義務、そして違反した場合の罰則などです。また、GDPR、NISXNUMX、製品安全規則、業界固有の要件と規制を紐づけ、エンジニアリング、法務、リーダーシップチームがすぐに実践できるステップバイステップのコンプライアンスチェックリストも提供しています。監査が迫ってくる前に、ぜひ準備を整えましょう。

一目でわかる：EU AI法の実態

規則（EU）2024/1689（通称EU人工知能法）は、指令ではなく、直接適用されるEU規則です。つまり、その条項は、EU加盟国における国内法への転嫁を必要とせず、すべての加盟国で自動的に適用されます。 GDPR 2018年に施行されたこの法律は、企業にAIを活用した責任あるイノベーションを推進するための法的確実性を与えるというXNUMXつの目標を掲げています。この目標達成のため、この法律は金融から医療まであらゆるセクターを網羅する、リスクに基づく横断的なツールキットを導入し、システムを「最小限」から「許容できない」リスクまで段階的に分類し、それに応じた法的義務を規定しています。

知っておくべき範囲と定義

コンプライアンス計画を作成する前に、次の中核となる用語を習得してください。

AI システム: 「さまざまなレベルの自律性で動作するように設計された機械ベースのシステムであり、明示的または暗黙的な目的のために、入力データから、物理環境または仮想環境に影響を与える可能性のある予測、コンテンツ、推奨事項、決定などの出力を生成する方法を推論します。」
汎用 AI (GPAI): その後の微調整や展開方法に関係なく、さまざまな異なるタスクを処理できる AI システム。
プロバイダー: 自社の名称または商標で AI システムを市場に投入したりサービス提供することを目的として AI システムを開発している、または開発した自然人または法人。
ユーザー（多くの場合「デプロイヤー」と呼ばれます）: 個人的な非専門的な使用を除き、その権限の下で AI システムを使用する個人または団体。
輸入業者: EU 域外に所在する団体の名称または商標を付した AI システムを EU 市場に投入する EU 域内に設立された当事者。
ディストリビューター: プロバイダーや輸入業者以外の、サプライチェーンのアクターで、AI システムを変更せずに利用できるようにする者。

適用範囲は広範です。EU市場に投入されるシステム、またはその出力がEU内で使用されるシステムは、開発者の所在地を問わず、すべてこの法律の対象となります。ただし、純粋に軍事または国家安全保障目的の用途、まだ市場に出ていない研究開発用プロトタイプ、および個人的な趣味のプロジェクトについては例外が認められています。

法律に盛り込まれた主要原則

この規制は、長年にわたる倫理的概念を施行可能な法律に組み入れています。

人間の主体性と監視
技術的な堅牢性と安全性
プライバシーとデータガバナンス
透明性と説明可能性
多様性、差別の禁止、公平性
社会と環境の幸福

これらはOECDのAI原則とEUの以前の「AI倫理ガイドライン」を反映している。信頼できるAI」という文言が、今では規制の力を持つようになった。

規制と既存のソフトローガイドライン

2024年まで、欧州におけるAIガバナンスは、EU AI協定や企業倫理規定といった自主的な枠組みに依存していました。AI法は状況を一変させます。コンプライアンスは義務化され、監査可能であり、裏付けとなるのです。最高35万ユーロの罰金または世界売上高の7%です。言い換えれば、「倫理的AI」の宣言だけではもはや十分ではなく、組織は適合性評価、CEマーク、検証可能なログを作成しなければ、EU市場から締め出されるリスクがあります。

タイムライン、法的地位、および執行段階

EU人工知能法案は、提案から拘束力のある法律へとわずか3年強で進展しました。これはブリュッセルの基準からすれば光速と言えるでしょう。規則であるため、ほとんどの条項はEU域内で自動的に適用され、各国で移行する必要はありません。時間の経過とともに変化するのは、どの義務が最初に適用されるかです。以下のスケジュールは、ここに至るまでの政治的な節目を示しており、組織が今後段階的に実施しなければならないコンプライアンス義務の土台となります。

日付	マイルストーン	意義
4月21 2021	委員会がAI法案の草案を発表	立法プロセスの正式な開始
9 Dec 2023	議会と評議会が政治合意に達する	コアテキストはほぼロックされています
月13 2024	欧州議会の最終投票（523対46）	民主党の承認を確保
２０１９年５月２９日	EU理事会採択	最後の立法上のハードルをクリア
7月10 2024	官報に掲載されたテキスト	法的カウントダウンが始まる
8月1 2024	規則（EU）2024/1689が発効	今後のすべての締め切りの「0日目」

発効日を契機に、2027年間にわたり段階的に適用日が設定されます。この設計により、供給者、利用者、輸入業者、流通業者は、適合プロセスの構築、モデルのアップグレード、そしてスタッフのトレーニングに十分な時間を確保できます。しかし同時に、監査人はXNUMX年よりもかなり前に目に見える進捗が見られることを期待することになります。

施行ロードマップ: いつ何が適用されるか

6か月 | 1年2025月XNUMX日
- 禁止されている AI 活動 (第 5 条) は市場から排除されなければなりません。言い訳は認められません。
12か月 | 1年2025月XNUMX日
- ディープフェイク、チャットボット、感情認識の透明性義務が発動されます。
- 汎用 AI (GPAI) の実践規範が求められます。任意ですが、強く推奨されます。
24か月 | 1年2026月XNUMX日
- 高リスクのシステム要件が始まります: リスク管理、データガバナンス、技術文書、人による監視、CE マーキングの準備。
- プロバイダーは、高リスクシステムを新しい EU データベースに登録する必要があります。
36か月 | 1年2027月XNUMX日
- 生体認証システム、認証機関による適合性評価、すべての高リスク AI に対する EU 適合宣言の義務化など、完全な制度が適用されます。
- 市場監視当局不適合製品の回収または撤去を命じる権限を獲得する。

移行条項により、2026年XNUMX月以前に既に合法的に使用されている高リスクシステムは、「大幅な変更」が行われるまで市場に残ることができます。コンプライアンス期限を誤ってリセットしないよう、アップグレードは慎重に計画してください。

機関および監督機関

EU 人工知能法は 3 層の監視によって施行されています。

EU AIオフィス（欧州委員会） – ガイダンスを調整し、GPAI 登録を維持し、システムモデルプロバイダーに罰金を科すことができます。
各国の管轄当局 – 加盟国ごとに 1 つ; 検査、苦情、および日常的な市場監視を処理します。
通知機関 – CE マークの前に高リスクシステムを監査する独立した適合性評価組織。

これらの関係者は、 欧州人工知能委員会（EAIB）は、統一された解釈ノートを発行しています。これは、GDPRのEDPBのAI版と考えてください。彼らのガイダンスには常に注意を払ってください。技術ファイルやリスク評価が実際にどのように評価されるかは、このガイダンスによって決まります。

4段階リスク分類フレームワーク

EU人工知能法（AI法）の中核には、規則の厳しさを決定する信号機モデルが存在します。人々の権利と安全に対するリスクが高いほど、コンプライアンスの負担は重くなります。すべてのAIシステムは、許容できない、高い、限定的、最小限の4つのクラスのいずれかに分類されます。この分類は、文書の深さ、テストの厳しさ、監督、そして最終的には市場へのアクセスなど、他のすべての要素を左右します。

リスク階層	典型的な例	核心的な法的結果	初回申請日*
受け入れられない	ソーシャルスコアリング、公共空間でのリアルタイム生体認証ID、操作的な「ナッジ」エンジン	全面禁止、撤退および最高35万ユーロ/7%の罰金	2月1 2025
ハイ	履歴書スクリーニングツール、医療診断ソフトウェア、信用力スコアリング、自動運転モジュール	適合性評価、CEマーキング、登録、市販後モニタリング	1年2026月1日（生体認証：2027年XNUMX月XNUMX日）
限定的	チャットボット、ディープフェイクジェネレーター、感情分析ウィジェット	透明性に関する通知と基本的なユーザーコントロール	8月1 2025
最小限の	AI搭載のスパムフィルター、ビデオゲームのNPC	強制的なルールはなく、自主的な規定のみ	すでに発効している

* 1年2024月XNUMX日の発効日から計算されます。

フレームワークは動的です。新しい機能を追加したり、対象ユーザーを変更したりすると、システムが次の階層にジャンプし、新しいタスクがトリガーされる可能性があります。

許容できないリスク：禁止されているAI実践

第5条は、EUが本質的に基本的権利と両立しないと考える利用について明確な線を引いています。具体的には以下のものが含まれます。

行動を物質的に歪めるサブリミナル技術
未成年者や障害者の弱点を悪用すること
無差別リアルタイムバイオメトリック識別公共の場でのアクセス（法執行機関による限定的な例外が適用される）
公的機関によるソーシャルスコアリング
プロファイリングや位置データのみに基づく予測的な警察活動

このようなシステムはEU市場に決して投入されてはならない。各国当局は即時回収を命じることができ、罰金は同法の罰金体系の最高額となる。

高リスクAIシステム：附属書IIIのカテゴリー

システムが高リスクバケットに分類されるのは、次のいずれかの場合です。

すでに規制されている製品の安全コンポーネント（例：機械規制または医療機器規制）または
附属書IIIの8つの機密領域（生体認証、重要インフラ、教育、雇用、必須サービス、法執行機関、移民、そして正義。

高リスクと分類された場合、プロバイダーは品質管理システムを運用し、リスク管理サイクルを実施し、適合性評価（場合によっては外部の認証機関による）を取得する必要があります。ユーザー（導入者）は、ログ記録、監視、インシデント報告の義務を負います。

限定的なリスク：透明性義務

リスクが限定的なツールは無害ではありませんが、EUはユーザーの意識向上によってほとんどの危険性を軽減できると考えています。チャットボット、生成AIエンジン、合成音声サービスの開発者は、以下の点に留意する必要があります。

ユーザーにAIと対話していることを知らせる（「この画像はAIによって生成されています」）
機械可読透かしでディープフェイクコンテンツを公開する
必要不可欠な範囲を超えて個人データを密かに収集することは控える

通知を行わない場合、システムは直ちに非準拠領域に格下げされ、行政罰金が科せられることになります。

最小限/無視できるリスク: 強制的なルールはありません

スパムフィルター、メールの予測テキスト、HVACのエネルギー使用を最適化するAIなどは、一般的にここに該当します。EU人工知能法（AI法）は厳格な義務を課していませんが、自主規制、規制サンドボックス、ISO/IEC 42001などの国際規格への準拠を積極的に推奨しています。簡単な文書化と基本的なバイアステストを維持することは依然として賢明な対応です。規制当局は、危害の証拠が明らかになった場合、境界線上のケースを再分類することができます。

プロバイダー、デプロイヤー、その他の関係者の主な義務

EU人工知能法は、コンプライアンス義務をサプライチェーン全体に広げています。責任は企業規模ではなく機能に基づいて決定されるため、まずは提供者、ユーザー（導入者）、輸入者、販売者のいずれかに該当するかを判断し、その上でリスク固有の要件を加味する必要があります。監査でよくある指摘事項であるため、マッピング作業をプログラムのステップ0として扱ってください。

高リスクシステムのプロバイダー

設計上の決定権を持つプロバイダーは、最も重い負担を負います。主なタスク：

データガバナンス、リスク管理、変更管理、サイバーセキュリティを網羅した、文書化された品質管理システム (QMS) を設定します。
事前適合性評価を実施してください。Annex IIIシステムのほとんどは自己評価が可能ですが、生体認証ID、医療機器、その他の安全性が極めて重要なユースケースでは、認証機関による評価が必要です。
技術ドキュメントをまとめます: モデルアーキテクチャ、トレーニングデータ系統、評価メトリック、堅牢性テスト、人間による監視メカニズム、および市販後監視計画。
最初の導入前に、EU 適合宣言書を作成し、CE マークを貼付し、公開 AI データベースにシステムを登録します。
継続的な市販後調査を確立します。重大なインシデントを記録し、ドリフト閾値を超えた場合は再トレーニングを行い、15 日以内に管轄当局に通知します。

これらの手順のいずれかを怠ると、被害が発生しない場合でも、最大 15 万ユーロまたは世界売上高の 3 % の罰金が科せられる可能性があります。

高リスクシステムのユーザー/導入者

デプロイヤーはコードを現実世界への影響に変換するので、この法律ではデプロイヤーに独自のチェックリストが提供されています。

プロバイダーの指示と文書化されたユースケースに厳密に従ってシステムを操作します。
ユーザーが公的機関である場合、または AI が住宅や信用などの重要なサービスへのアクセスに影響を与える場合は、基本的権利影響評価 (FRIA) を実行します。
資格のある人間による監視を確実に行う: スタッフはトレーニングを受け、出力を無効にする権限を与えられ、影響を受ける個人に決定を説明できる必要があります。
入力データ、出力、人的介入、パフォーマンス異常などのログを少なくとも 6 年間保持します。
重大なインシデントを「不当な遅延」なしで（通常は 72 時間と解釈されます）、プロバイダーと国家当局の両方に報告します。

輸入業者および販売業者

EU で AI システムを導入または伝達する主体にはゲートキーピングの義務がある。

CE マーク、EU 適合宣言、および指示が存在し、販売されている機能と一致していることを確認します。
製品が非準拠であることがわかっている場合、またはわかっているはずの場合は、製品の供給を控え、代わりにプロバイダーと管轄当局に通知します。
苦情やリコールを記録しておき、当局の要請に応じて提供できるようにします。
製品の撤回やソフトウェアのパッチなどの是正措置に協力します。

汎用AI（基盤モデル）の義務

この法律は、どこにでも埋め込むことができる GPAI または基盤モデルの作成者向けに、次のような特別なルールを追加します。

ライセンスステータスや地理的起源を含む、使用されたデータセットの包括的な技術文書と概要を提供します。
声明を発表する著作権の遵守また、可能であれば、保護された作品に対するオプトアウトの仕組みを実装します。
モデルが附属書XIに定められた計算閾値（10^25 FLOP程度）を超える場合、システムリスクテストを実施し、文書化します。「システム的GPAI」には、リファレンス実装の提供やEU AIオフィスとの協力といった追加義務が発生します。
オープンソースモデルでは義務はより軽微ですが、生成されたコンテンツに透かしを入れ、予測可能な制限を詳述した使用方法の説明を提供する必要があります。

内部統制を上記の役割固有のチェックリストと一致させることで、2026 年 2027 月と XNUMX 年の施行期限よりもずっと前に、最も顕著なコンプライアンスのギャップを解消できます。

コンプライアンスを達成するための技術的および組織的要件

EU人工知能法は、画一的なブループリントを規定するものではありません。むしろ、成果重視の「必須要件」を定義し、それを証明する管理策を自由に選択できるようにしています。重要なのは、エンジニアリングのグッドプラクティスと規制上の衛生管理を融合させることです。そうすることで、あらゆるモデル更新やデータ更新が、繰り返し実行可能なコンプライアンス・パイプラインに自動的に組み込まれるようになります。以下の5つの構成要素は、同法の法的条項を、製品、データ、法務の各チームが担当できる具体的なタスクへと落とし込みます。

データガバナンスと管理

不良データは規制上の弱点となる。第10条は、高リスクAIプロバイダーに対し、パイプラインに入るすべてのバイトを文書化し、その正当性を証明することを義務付けている。

データセットをキュレートして 関連性があり、代表的で、誤りがなく、最新のものである 対象人口向け。
各コーパスについて、ソース、収集日、ライセンス条件、前処理手順、バイアスチェック、および保持期間を記載した「データシート」を維持します。
バージョン管理されたリポジトリで系統を追跡し、権限のある人が修正を要求した場合にロールバックできるようにします。
統計的に健全な方法を使用してバイアスと不均衡のテストを実行します（χ², KS-test、またはモデルに依存しない公平性メトリクス）を分析し、緩和アクションをログに記録します。

生データ、スクリプト、テスト結果など、すべての履歴をアクセス可能にしておく 創業10周年; この法律の遡及期間は長い。

リスク管理フレームワーク

第9条では、 継続的かつ文書化されたプロセス これは ISO 31000 と ISO/IEC 23894 のドラフトを反映しています。

危険を特定します: 悪用シナリオ、敵対的攻撃、データドリフト。
影響と可能性を分析し、共通の尺度でスコア付けする（例： risk = probability × severity).
制御を決定します: 技術的な安全対策、人による監視、契約上の制限。
各メジャーアップデート後にコントロールを検証し、結果を次のスプリントにフィードバックします。

すべてをライブリスクレジスタに保存します。規制当局は、タイムスタンプ、所有者、およびクローズの証拠を確認することを期待しています。

人間による監視と透明性の設計

第 14 条と第 52 条は、「人間が関与する」話し合いを必須の設計タスクに変換します。

監視モードを定義します。 インザループ （手動承認） オンザループ （リアルタイムアラート）、または ループオーバー （事後監査）。
説明可能性レイヤーを埋め込みます: 顕著性マップ、反事実例、簡略化された意思決定ルール。
オーバーライドとフォールバックのオプションを提供する 技術的に実行可能 および 組織的に承認された.
わかりやすい言葉でユーザー通知（「AI システムと対話しています」）を提供し、可能な場合は信頼スコアを公開します。

堅牢性、精度、サイバーセキュリティ

第 15 条では、モデルは宣言されたエラー率内に留まり、悪意のある干渉に抵抗する必要があります。

最小パフォーマンスしきい値を確立し、生産時の精度、精密度、再現率、およびキャリブレーションのドリフトを監視します。
各リリースの前に、敵対的耐性テスト (FGSM、PGD、データポイズニング) を実行します。
NIS2 および ETSI EN 303 645 に準拠したインフラストラクチャを強化します (安全な API、ロールベースのアクセス、暗号化されたモデルチェックポイント)。
パフォーマンスが許容範囲を下回った場合に備えて、フォールバックプラン (セーフモードのデフォルト、人間によるレビューのエスカレーション) を準備します。

記録保存、ログ記録、CE文書

文書化されていなければ、それは起こらなかったことになる。これは、第 11 条および第 19 条で法律となるマントラです。

ドキュメント	主な内容	リテンション
テクニカルファイル	モデルアーキテクチャ、トレーニングデータの概要、評価指標、サイバーセキュリティ管理	ライフサイクル+10年
ログ	入力、出力、オーバーライドイベント、パフォーマンス統計、インシデント	6歳以上
EU適合宣言	適合宣言、適用される基準、プロバイダーの詳細	公開されています
市販後モニタリング計画	KPI、レポートチャネル、トリガーしきい値	継続的に更新

可能な限りログの取得を自動化し、変更不可能なストレージや追記型台帳を使用することで、証拠が法医学的調査を通過できるようにします。書類が完成したら、 CEマーキング そして、そのシステムを EU データベースに提出すれば、初めて市場に投入できるようになります。

これらの技術的および組織的な制御を開発ライフサイクルに組み込むことで、コンプライアンスを土壇場での慌ただしい作業から、監査人が認識し、評価する常時実行可能な機能へと変革できます。

罰則、救済措置、訴訟リスク

EU人工知能法は、単なるお世辞に頼るのではなく、幹部をひるませるほどの強烈な制裁を行使する。金融制裁はGDPRの規模を反映しているが、この法律は当局に以下の権限も与えている。 製品を棚から撤去したり、データの削除を命じたり、モデルの再トレーニングを強制したりする リスクが軽減されないままの場合、罰金は課せられます。罰金の上限は、ユーロの絶対額または前年の世界売上高のパーセンテージのいずれか高い方に設定されているため、初期段階のスタートアップ企業であっても油断することなく対応できます。以下の表は、制裁措置の対象となる段階をまとめたものです。

違反の種類	最高額の罰金	世界売上高の最大%	典型的なトリガー
禁止行為（第5条）	35億XNUMX万ユーロ	7％	ソーシャルスコアリング、違法な生体認証による大量監視
高リスク義務（第8条～第15条）	15億XNUMX万ユーロ	3％	適合性評価の欠如、データガバナンスの欠陥
情報と登録の失敗	7.5億XNUMX万ユーロ	1％	不正確な技術文書、遅れたインシデント報告
定期的な不遵守通知	500万ユーロ	N / A	警告後の軽微な違反

監督当局は是正措置を加速するために、毎日罰金を課すことができる。依然として「重大なリスク」を呈する製品には、強制的な罰金が課される。 リコールまたは市場撤退いかなるPR計画でも隠し切れない評判への打撃です。

行政処分と民事責任

規制上の罰金だけでは終わりません。AI責任指令（AILD）と改訂された製造物責任指令（PLD）は、次のような並行した道を開きます。 民事損害賠償請求AIの決定によって被害を受けた被害者は、以下の恩恵を受けます。

A 因果関係の反証可能な推定 プロバイダーが AI 法の義務に違反した場合、立証の負担が軽減されます。
開示権が拡張され、通常は社内に留めておくログやリスク評価を原告が要求できるようになりました。
加盟国全体で規則は統一されていますが、国内の不法行為法ではさらに厳しい基準が規定される場合があります (例: オランダの不法行為法理)。

したがって、企業は、特に信用拒否や差別的雇用などの分野で、数百万ユーロの行政罰金に続いて民事集団訴訟という、二重の打撃に直面する可能性がある。

救済メカニズムと内部告発者保護

個人やNGOは、直接苦情を申し立てることができる。 国の管轄当局 またはEU AIオフィスに連絡してください。当局は「合理的な期間」内に調査を行う必要があり、停止命令を含む暫定措置を講じることができます。影響を受けた者は、差止命令、損害賠償訴訟、監督上の決定に対する控訴といった司法上の救済手段も利用できます。

職員不正行為を発見した者はEUの下で保護される内部告発指令:

従業員数が 50 人以上の企業では、機密報告チャネルが必須です。
報復行為（解雇、降格、脅迫）は明確に禁止されています。
内部告発者は、内部ルートが機能しない場合、外部の規制当局や報道機関にエスカレーションする可能性があります。

したがって、広く宣伝された匿名の報告ラインを確立することは、法的要件であると同時に、将来的にコストのかかる強制措置からあなたを救う早期警告システムでもあります。

AI法をGDPR、NIS2、製品安全、セクタールールにマッピング

EU人工知能法（AI法）は、独立した島のような存在ではありません。データ保護、サイバーセキュリティ、垂直的な安全対策といった、既に存在する複雑なコンプライアンスの海に、AI法は繋がっています。こうした複雑な流れを無視することは危険です。AI法のあらゆる要件を満たしているAIシステムであっても、GDPRやNIS2に違反する可能性があり、その逆もまた然りです。以下では、法務、セキュリティ、製品チームがXNUMXつの個別のチェックリストをそれぞれ管理するのではなく、単一の統合されたコントロールマップを構築できるよう、重要なタッチポイントを解説します。

GDPRとePrivacyとの重複

法的根拠と目的の制限: 高リスクモデル内での個人データの処理は、少なくとも 1 つの GDPR の根拠 (多くの場合、正当な利益または同意) を満たす必要があります。
自動化された意思決定の制限: GDPR 第 22 条は、法的または重大な影響を伴う完全に自動化された意思決定を制限しています。AI 法の人間による監視要件は、多くの場合、第 22 条 (2) (b) または (c) の免除を解除する技術的安全策として機能します。
共同管理者のシナリオ: 導入者がベンダーが提供するGPAIを微調整する場合、両者は共同コントローラーGDPR に準拠し、それに応じてデータ処理契約を計画します。
透明性義務の二重の強化：AI法はユーザーへの情報開示（「AI生成」）を義務付けており、GDPR第12条から第14条はデータの流れ、保持、権利について詳述したプライバシー通知を求めています。これら両方を網羅する階層化された通知をXNUMXつ作成しましょう。

サイバーセキュリティとNIS2の相乗効果

NIS2では、「必須」および「重要」な事業体に対して、リスク評価、インシデント対応、サプライチェーンセキュリティの確保を求めています。AI法もこれに対応し、堅牢性テスト、脆弱性監視、そして15日以内の侵害報告を義務付けています。SOCワークフローをXNUMXつ活用しましょう。

AI 法の適合性評価中に敵対的堅牢性テストを実行します。
結果を NIS2 リスクレジスタに入力します。
両方の体制で同じ 72 時間インシデント報告プレイブックを使用します。

既存の製品法規制との統合

AIが規制対象製品（医療機器、機械、玩具、リフト、自動車システム）の安全コンポーネントである場合は、以下を網羅する適合性評価:

業界法に基づく一般的な安全性または性能要件。
AI法の基本事項（リスク管理、データガバナンス、人間による監視）。

新しい立法枠組みに基づく統一規格では、まもなく両方の要件セットが参照され、1 つの技術ファイルと 1 つの CE マークが許可されるようになります。

セクター別の例

金融サービス: AI 法のログ記録とマネーロンダリング対策に関する EBA ガイドラインを組み合わせて、モデルの公平性と説明可能性を証明します。
エネルギーグリッド管理: SCADA システムの ENTSO-E サイバーセキュリティ要件に準拠した AI 法のリスク管理をメッシュ化します。
自動車: UNECE WP.29 ではソフトウェア更新ガバナンスが義務付けられており、それらの更新ログを AI Act の市販後監視に統合します。
ヘルスケア: ISO 13485 QMS アーティファクトを AI 法のデータセットドキュメントと組み合わせて、重複した監査を回避します。

国際比較

グローバル企業は、EU人工知能法（AI法）を他の地域で新たに出現した規則と調和させる必要があります。

管轄	主要楽器	注目すべき相違点
US	大統領令とNIST AI RMF	任意だが連邦政府の調達基準となる可能性がある
China	暫定的なGen-AI対策	実名登録とコンテンツフィルタリングの義務化
UK	イノベーション促進フレームワーク	規制当局固有のガイダンス、横断的な法律はまだない

重複部分を早期にマッピングすることで、多国籍チームは、まず最も厳しいルールセットを満たす制御フレームワークを設計し、次に現地の法律が緩い部分を調整することができます。

実践的なコンプライアンスチェックリストとベストプラクティス

EU人工知能法（AI法）の条項や条文を日々の業務に取り入れるのは、大変な作業に思えるかもしれません。重要なのは、法務、製品、セキュリティの各チームがそれぞれ責任を持てる、小さなアクションに分解することです。以下の12ステップのロードマップを、実践的なプロジェクト計画として活用し、2027年XNUMX月まで、すべてのスプリントデモと取締役会で見直してください。

製造および研究開発におけるすべての AI またはアルゴリズムコンポーネントをインベントリします。
各システムのリスク層とアクターの役割 (プロバイダー、ユーザー、輸入業者、販売業者) を分類します。
適用可能な法律 (GDPR、NIS2、セクター規則) をマッピングし、重複を特定します。
AI法の必須要件に対するギャップ分析を実行します。
品質管理システム (QMS) を設計または更新します。
多分野にわたるガバナンス構造を立ち上げます。
技術ドキュメントのテンプレートを作成し、入力を開始します。
データガバナンスとバイアステストのパイプラインを構築します。
初期適合性評価または監査の模擬実行を実行します。
エンジニア、リスク所有者、カスタマーサポートなどのスタッフをトレーニングします。
市販後監視およびインシデント報告ワークフローを開始します。
定期的なレビューと継続的な改善ループをスケジュールします。

準備状況評価とギャップ分析

スプレッドシートまたはチケットボードに、システム名、目的、トレーニングデータソース、リスクレベル、既存の管理策、そして未解決のギャップをリストアップして、作業を開始します。各ギャップに担当者と期限を割り当てます。ギャップが解消されるたびに、残存リスクを再評価します。規制当局は、こうした改善の進捗状況を常に把握し、評価することを重視します。

適切なガバナンス構造の構築

政策だけでなく、人を責任者にしましょう。

AIコンプライアンス担当者：片喉で絞める。
部門横断的な倫理委員会: 製品、法務、セキュリティ、人事。
外部レビュー担当者または通知機関との連絡担当者。
DPO および CISO と緊密に連携して、サイロ化された意思決定を回避します。

会議の頻度、決定権、エスカレーションパスを文書化します。

ドキュメントとツール

エンジニアが車輪の再発明をしなくて済むように、成果物を標準化します。

テンプレート	目的	推奨フォーマット
モデルカード	機能、制限、指標	マークダウン + JSON
データシート	情報源、ライセンス、バイアステスト	スプレッドシート
透明度レポート	ユーザー向けの開示	HTML / PDF
基本的権利IA	公共部門の導入者	フォームベースのツール

オープンソースのヘルプ: EU AI ツールキット、ISO/IEC 42001 ドラフトチェックリスト、バイアスメトリックの GitHub リポジトリ。

ベンダーおよびサプライチェーン管理

フローAI法の下流の義務：

適合性評価保証と監査権を追加する契約.
サプライヤーにモデルカード、堅牢性テストの結果、インシデントログの共有を要求します。
脆弱性を迅速に開示するために、共有 Slack またはチケットキューを設定します。

継続的な監視とモデルライフサイクルの更新

導入前、使用中、導入後のモニタリングは、同じテレメトリスタックから実行する必要があります。以下の場合に再評価をトリガーします。

入力データの分布シフト（KL divergence > プリセットしきい値)。
精度が宣言された最小値を下回ります。
重大なインシデントまたはニアミスが記録されます。

四半期ごとのガバナンスレビューと年次外部監査でループを閉じます。これは、コンプライアンスが単発のプロジェクトではなく、永続的な機能であることを証明します。

FAQ: よくある質問への簡単な回答

EU AI法はすでに施行されていますか?
はい。規則（EU）2024/1689は1年2024月2025日に発効しました。ただし、具体的な義務のほとんどは段階的に導入されます。禁止行為は2025年2026月までに廃止され、透明性規則は2027年XNUMX月に開始され、高リスク関税はXNUMX年XNUMX月（生体認証はXNUMX年XNUMX月）に導入されます。したがって、完全な適用はまだ段階的ですが、時間は刻々と過ぎています。

4 つのリスクレベルとは何ですか?
EU人工知能法は、システムを（1）許容できないリスク（全面的に禁止）、（2）高リスク（適合性評価とCEマーク取得後にのみ許可）、（3）限定的なリスク（主に透明性義務（例：チャットボット、ディープフェイク）、（4）最小限のリスク（厳格なルールはないが、自主的な行動規範を推奨）のXNUMXつのレベルに分類しています。まずは、各モデルをこれらのレベルのいずれかにマッピングする必要があります。

この法律は国家 AI 戦略に取って代わるものなのでしょうか?
いいえ。加盟国は国家戦略、サンドボックス、資金提供制度を維持または創設することができます。この法律は単に調和させるものです。 レギュレータ 企業がEU全体で単一のルールブックに従うよう、要件を整備します。地域レベルでの取り組みは、規則のリスク枠組みに矛盾したり、その執行メカニズムを損なったりしてはなりません。

スタートアップには免除がありますか?
必ずしもそうではありません。義務を左右するのは収益ではなくリスクであるため、規則は企業規模に関係なく適用されます。とはいえ、サンドボックス、一部のGPAIモデルの文書化の簡素化、そして欧州委員会が資金提供するガイダンスは、中小企業の事務手続き上の負担を軽減することを目的としています。「小規模」だからという理由でコンプライアンスを無視するのは危険な誤解です。

AI法ではオープンソースモデルをどのように扱いますか?
モデルの重みを公開したとしても、義務が免除されるわけではありません。トレーニングデータの要約、生成されたコンテンツへの透かし、使用方法の公開は依然として必要です。義務はクローズドな商用モデルよりも軽めですが、オープンソースシステムが「システムGPAI」になった場合、追加のテストと報告義務が発生します。

この法律は指令ですか?
いいえ。これは規則であり、各国で適用されることなく、すべての加盟国に直接適用されます。GDPRのように考えてみてください。発効後は、法的義務はEU全体に適用され、地域によって異なるのは実務的な施行ガイドラインのみです。

プロバイダーが EU 外にある場合はどうなりますか?
領土範囲は出力本社ではなく、EUの管轄下にあります。海外ベンダーのシステムをEU内で販売する場合、またはその成果物をEU内で使用する場合、プロバイダーはEU AI法の要件を満たし、EUを拠点とする法定代理人を任命する必要があります。EU域内での導入者にもユーザーとしての義務があるため、サプライヤーは慎重に選定する必要があります。

主要なポイント（要点）

まだざっと読んでいるだけですか？こちらがチートシートです:

EU人工知能法（AI法）はもはや草案ではなく、 1年2024月XNUMX日から発効 そして、世界初の水平的かつリスクベースの AI 法を制定します。
リスクの階層化がすべてを推進します。 受け入れられないシステムは禁止される, 高リスクシステムにはCEマークと登録が必要一方、限定的リスクおよび最小リスクのツールには、より軽い関税が課せられますが、関税がゼロになるわけではありません。
違反すると高額な費用がかかる：最大 35万ユーロ（世界売上高の7%） 禁止行為に対する罰則に加え、今後のEU指令に基づく民事責任の可能性についても規定しています。
義務はサプライチェーン全体に及んでいます。プロバイダー、ユーザー、輸入業者、販売業者はそれぞれ特定のチェックリストを持ち、汎用モデルにはカスタマイズされたルールが設けられています。
この法律は、GDPR、NIS2、または製品安全法に代わるものではありません。すべてのフレームワークを XNUMX つの統合ガバナンスプログラムに組み込む必要があります。

法律文書を実用的なコード、ポリシー、契約書に変換するお手伝いが必要ですか？テクノロジーとプライバシーの弁護士が Law & More 監査人が訪問する前に、迅速な AI 法準備スキャンを実行し、必要な文書を作成し、適合性評価をガイドすることができます。