EU AI Act 日本企業対応チェックリスト
EU AI Act は 2024年8月施行、汎用 AI モデル規制は 2025年8月、高リスクAI 規制は 2026年8月から段階適用。日本企業も EU 市場に AI システムや出力物を提供する場合に 域外適用を受けます。
💸 罰金体系 (最大級)
- 禁止 AI (ソーシャルスコア・無差別生体認証など): 最大 3,500 万 EUR または全世界売上 7%
- 高リスク AI 違反: 最大 1,500 万 EUR または全世界売上 3%
- 不正確な情報提供: 最大 750 万 EUR または全世界売上 1%
🎯 リスクベース 4 段階分類
① 禁止 (Prohibited): ソーシャルスコア、無差別生体認証、感情操作型 AI、職場・教育機関での感情認識 → 全面禁止
② 高リスク (High-risk): 医療機器、採用、信用評価、教育評価、重要インフラ、法執行、移民、生体認証 → 適合性評価・CE マーキング義務
③ 限定リスク (Limited risk): チャットボット、Deepfake、感情認識 (高リスク以外) → 透明性義務 (AI 利用の明示)
④ 最小リスク (Minimal risk): スパムフィルタ、ゲーム AI など → 規制なし (自主規範のみ)
📋 日本企業向けチェックリスト 20 項目
A. 適用範囲確認 (5 項目)
- EU 市場で AI システム / 出力物を販売・提供しているか
- EU 在住ユーザー向けに AI サービスを提供しているか (B2C 含む)
- 自社モデルが汎用 AI (GPAI) に該当するか (10²⁵ FLOPs 超は systemic risk)
- EU 域内に営業所・代理人を置く必要があるか確認したか
- 製品リコール時の通知ルートを EU 側当局向けに整備したか
B. 高リスク AI の判定 (5 項目)
- 採用・人事評価に AI を利用しているか
- 信用スコア・与信判定に AI を利用しているか
- 医療機器・診断補助・治療提案に AI を利用しているか
- 教育評価・入試判定に AI を利用しているか
- 重要インフラ (電力 / 交通 / 上下水道) に AI を利用しているか
C. 高リスク AI に該当する場合の遵守事項 (10 項目)
- リスク管理システムを導入したか (ISO 31000 ベース)
- データガバナンス (品質・代表性・バイアス管理) を文書化したか
- 技術文書を作成したか (附属書 IV 形式)
- ログ記録 (10 年保管推奨) を実装したか
- 透明性: 利用者に AI 利用を明示しているか
- 人間の監督 (Human Oversight) を設計に組み込んだか
- 正確性・堅牢性・サイバーセキュリティテストを実施したか
- 適合性評価を実施したか (第三者機関 / 自己評価のいずれか)
- EU データベース登録を完了したか
- 市場投入後のモニタリング計画を策定したか
📅 主要適用スケジュール
- 2024年8月1日: AI Act 正式施行
- 2025年2月2日: 禁止 AI の規制適用
- 2025年8月2日: 汎用 AI (GPAI) モデル規制適用
- 2026年8月2日: 高リスク AI 規制全面適用 (本記事の中心テーマ)
- 2027年8月2日: 既存高リスク AI (附属書 III) の経過措置終了
📬 EU AI Act 関連動向を週 1 で受信
高リスク AI 規制の改定・遵守事例・他社対応状況を編集部が継続調査して配信します。
📚 一次ソース: EUR-Lex Regulation (EU) 2024/1689 / European Commission AI Strategy