EU AI Act企業対応の基本（スコープ・役割・スケジュール）

適用範囲の見取り図

EU AI Actは、EU市場に関わるAIの「開発・提供・流通・展開（業務利用）」を横断的にカバーします。軍事など一部の除外はありますが、一般企業が手がけるIT・製品・業務運用の多くが対象です。

対応の出発点は「自社のAI利用・提供の棚卸し」です。社外SaaS利用、API連携、自社ホスト運用などユースケースを洗い出し、さらに「モデル提供者なのか、利用者なのか」といった立場を明確にします。これが、後続の審査や記録を組み立てる“骨組み”になります。

企業の役割と責任（provider／deployerほか）

EU AI Actは、企業の役割を「provider（提供者）」「deployer（展開者＝業務利用者）」「importer（輸入者）」「distributor（販売業者）」に分け、それぞれに義務を割り当てています。

• provider（提供者）：設計・評価・技術文書・CEマーキングなど重い義務を負う

• deployer（展開者）：人による監督、ログ保全など運用段階での義務を負う

多くの企業では「自社モデルを開発し、かつ業務利用もする」といった複数役割を兼ねるケースが一般的です。そのため、プロジェクト単位で役割を明示し、契約上の責任分担と合わせて台帳で管理すると、実務が安定します。

段階適用のスケジュールと優先順位

施行は2024年8月1日、全面適用は2026年8月2日が原則です。途中の節目として以下が定められています。

• 2025年2月2日：禁止用途とAIリテラシー義務の適用開始

• 2025年8月2日：ガバナンス体制とGPAI義務の適用開始

• 2027年8月2日：一部の高リスク要件について移行期限

したがって2025年に優先すべきは、

1. 禁止用途の遮断

2. GPAI対応の着手（技術文書、著作権配慮、学習データ要約）

3. 体制整備の前倒し

この3つを押さえることが現実的な進め方です。

出典：European Commission「AI Act | Application timeline」
出典：EUR-Lex「Regulation (EU) 2024/1689」

EU AI Actのリスク区分と義務の全体像

禁止用途と限定リスクの扱い

2025年2月2日以降、禁止用途（例：ソーシャルスコアリング、職場や教育での感情推定、無差別な顔画像スクレイピングなど）は全面禁止となりました。

企業はまず、社内外のユースケースを点検し、該当する可能性がある機能を停止または代替設計に切り替える必要があります。契約の際には「禁止用途を行わないこと」を双方で表明保証として明記しておくと、後々のトラブル防止に役立ちます。

高リスクAIの要件（設計・文書・適合評価）

高リスクに該当するAI（附属書や個別規制に列挙）には、以下の要件が課されます。

• リスク管理

• データガバナンス

• テスト

• 技術文書

• 品質マネジメント

• 適合評価（自己評価／第三者）

• CEマーキングと登録

• 市販後監視

既に品質・セキュリティの仕組みを持つ企業は、そこにAI固有の管理点（データ来歴、評価設計、モデル更新管理など）を「差分」として重ねる形で移行するとスムーズです。

透明性義務（ラベリング・開示）の実務

限定リスク領域では「透明性」が中心課題になります。生成物の開示やディープフェイクのラベリング、AIとの対話である旨の通知などが求められます。

社内規程とプロダクト仕様の双方に反映し、現場で迷わないようテンプレ化しておくことが重要です。社外文書では「どこまでAI支援か」を説明責任として明示し、周知フォーマットを用意しておくと対応が早まります。

出典：EUR-Lex「Regulation (EU) 2024/1689（条文PDF）」
出典：European Commission「AI Act | Overview」

EU AI Act企業対応：provider（提供者）の実務）

技術文書・QMS・CEマーキングの段取り

providerは、設計・試験・評価の記録、データガバナンス、モデルの限界や監督方法などを含む「技術文書」を整備する必要があります。そのうえで品質マネジメントシステム（QMS）を通じて適合性を証明します。

高リスクに該当する場合は、適合評価を経てCEマーキングと登録を行います。既存のISMSやQMSに「AI特有の要素」を統合し、更新時の回帰試験や変更管理をルール化することで、審査の手戻りを減らせます。

市販後監視と重大インシデント報告

提供後は「市販後監視（Post-market monitoring）」が義務付けられます。挙動を追跡し、重大インシデントがあれば所管当局へ報告する必要があります。

監視の基盤となるのはログ設計です。入力・出力・失敗率・外向き通信など必要最小限を暗号化して保存し、異常検知のしきい値、報告経路、是正措置の期限を体制に組み込み、定例レビューで改善していきます。

罰則レンジと執行の見方

違反時の罰則は非常に厳格です。

• 重大違反（禁止用途など）：最大3,500万ユーロまたは世界売上の7%

• 一般的な義務違反：最大1,500万ユーロまたは3%

• 虚偽報告など：最大750万ユーロまたは1.5%

違反の内容や是正スピードも考慮されるため、契約や体制、記録の整備は万一の際の減免に直結します。

出典：EUR-Lex「Regulation (EU) 2024/1689」
出典：European Parliament Press「Deal on comprehensive rules…」

EU AI Act企業対応：deployer（展開者）の実務）

データ品質・人間監督・使用前確認

deployerは、提供者の説明に従うだけでなく、使用前に入力データの適切性や出力の妥当性を点検し、人間による監督を行う義務があります。

特に高リスクAIの運用開始時には「目的の適合性」「データの偏り」「評価手順の準備」を確認し、役割を担当者に明確に割り振ることが重要です。

透明性・通知と同意の管理

利用者や影響を受ける個人に対して、AI利用の事実や生成物の性質を伝える義務があります。UI表示や社外文書では、理解しやすい表現をテンプレ化し、ディープフェイクのような特殊ケースも想定に入れます。各国言語への調整や法務レビューを通す体制も必要です。

ログ・監視・保存期間の設計

deployerはAI利用のログを残し、問題発生時に追跡できる体制を作ります。保存期間は最小限にし、個人データや機微情報を含む場合は短期保存と暗号化を徹底します。さらに、提供者側に残るログや再学習利用の可否を契約に明記しておくと監査対応がスムーズです。

出典：Article 26「Obligations of Deployers of High-Risk AI Systems」
出典：EUR-Lex「Regulation (EU) 2024/1689」PDF

EU AI Act企業対応：GPAI・システミックリスク対応

GPAI一般義務（技術文書・著作権・学習要約）

2025年8月2日から、GPAI（汎用AI）の提供者には以下の義務が課されます。

• 技術文書の整備

• 著作権遵守（生成物や学習時の配慮）

• 学習データの要約（出所・方法の透明化）

既存モデルを再利用する場合でも、下流の開発者が情報を入手できるよう再配布用の技術文書を準備しておくと円滑です。

システミックリスクモデルの追加義務

極めて高い能力を持ち社会的影響が大きいGPAI（システミックリスクモデル）には、さらに強い義務が課されます。アドバーサリアルテスト、リスク管理、重大インシデント報告、サイバーセキュリティ対策などです。

対象となり得る事業者は、EU AIオフィスへの通知や「コード・オブ・プラクティス」の活用を前提に、評価計画やレポート体制を整えておく必要があります。

コード・オブ・プラクティスと移行計画

欧州委員会は、GPAI向けに「コード・オブ・プラクティス」を公表しています。透明性・著作権・セキュリティの3章構成で、署名企業はこれを活用することで証跡づくりの負担を軽減できます。

まずは不足部分を洗い出し、コードの該当章を雛形にして社内規程やテンプレートを整備し、2025〜2026年の節目に合わせて導入を進めることが推奨されます。

出典：European Commission「Guidelines for providers of GPAI models」
出典：European Commission「GPAI Code of Practice」
出典：Reuters「Systemic risk models guidance」

まとめ（定着のコツ）

EU AI Actへの対応は「自社の役割を特定 → 禁止用途の遮断 → GPAIと体制の整備 → 高リスクAIの適合対応 → 記録と監査の仕組み化」という流れで進めると定着します。

スケジュールは待ってくれません。2025年のうちに“やることリスト”を具体化し、コード・オブ・プラクティスや既存のマネジメント基盤（ISMSや品質管理）を土台に、必要な文書と手順を積み上げていきましょう。