【初心者向け】EU AI法(Act)の「汎用AI(GPAI)」規制を徹底解説!提供者・利用者の義務から社内タスクまで

SHARE

【初心者向け】EU AI法(Act)の「汎用AI(GPAI)」規制を徹底解説!提供者・利用者の義務から社内タスクまで

2024年8月1日に、世界に先駆けてEU(欧州連合)で包括的なAI規制である「EU AI法(EU AI Act)」が発効しました。 [1, 12, 14] この法律は、EU市場でAIサービスを提供したり、利用したりするすべての企業に関わる可能性があり、日本の企業も例外ではありません。 [2, 7] 特に、ChatGPTのような多目的に使える「汎用AI(GPAI)」については、特別なルールが定められています。 [1, 14]違反した場合には、全世界の年間売上高に基づいた高額な制裁金が科される可能性もあるため、適切な対応が不可欠です。 [2, 9, 13]

この記事では、AIの専門家でないビジネスパーソンの方でも理解できるよう、EU AI法における汎用AI(GPAI)の規制に焦点を当て、その基礎知識から、AIを提供する側(プロバイダー)と利用する側(デプロイヤー)それぞれの義務、そして企業内で具体的にどのような準備をすべきかまで、分かりやすく解説します。

第1章:そもそも「汎用目的AI(GPAI)」とは?

まず、EU AI法が定める「汎用目的AI(General-Purpose AI model、以下GPAI)」とは何かを理解しましょう。

GPAIの定義:多才で柔軟なAIモデル

GPAIとは、一言でいえば「特定の目的に限定されず、文章作成、画像生成、翻訳、要約など、幅広いタスクをこなせる柔軟なAIモデル」のことです。 [14, 20] ChatGPTやGoogleのGeminiのような大規模言語モデル(LLM)や、Midjourneyのような画像生成AIがその代表例です。

これらのAIは、大量のデータで学習することで、さまざまな応用が利く「汎用性」を持っています。 [1, 20] このため、多くの企業が自社のサービスやシステムにGPAIを組み込んで、新しい価値を生み出そうとしています。 [1] EU AI法では、この「いろいろなシステムに統合できる基盤的な性質」を持つAIをGPAIと位置づけ、特別なルールを設けています。 [1]

汎用AI 多様なタスク

EU AI法におけるリスク分類

EU AI法は、AIがもたらすリスクの大きさに応じて規制内容を変える「リスクベースアプローチ」を採用しています。 [9, 13] 具体的には、リスクを以下の4段階に分類しています。 [6, 22]

  • 許容できないリスク: 人々の安全や権利を脅かすと見なされ、原則として利用が禁止されるAI(例:公的機関による社会的スコアリング)。 [2, 6]
  • 高リスク: 個人の生命や基本的な権利に大きな影響を与える可能性のあるAI(例:採用活動での候補者評価、医療診断支援)。 [2, 7] このカテゴリのAIには、厳格な義務が課されます。 [2]
  • 限定的リスク: 利用者に透明性が求められるAI(例:チャットボット、ディープフェイク)。 [1, 6] AIであることを利用者に知らせるなどの義務があります。 [17]
  • 最小リスク: 上記以外の大半のAI(例:スパムフィルター)。特に法的な義務はありません。 [2]

GPAI自体は、特定の用途に紐づかないため、この4分類とは別の枠組みで規制されます。 [21] しかし、GPAIが「高リスク」なシステムに組み込まれた場合、そのAIシステムの提供者(利用者側)は高リスクAIとしての厳しい義務を負うことになります。 [2, 3] そのため、GPAIの開発元だけでなく、利用する側の企業も規制内容を正しく理解することが非常に重要です。

第2章:GPAIを提供する企業(開発元)の義務

自社でGPAIを開発し、他社に提供する「プロバイダー」には、EU AI法に基づきいくつかの重要な義務が課せられます。 [5] これらの義務は、AIの透明性を高め、下流の利用者が安全にAIを使えるようにすることを目的としています。 [1]

すべてのGPAI提供者に共通する主な義務

すべてのGPAI提供者は、以下の義務を遵守する必要があります。 [5, 8]

  1. 技術文書の作成と管理: AIモデルの設計、学習プロセス、テスト結果などを詳細に記した技術文書を作成し、常に最新の状態に保つ必要があります。当局から要請があれば、提出しなければなりません。 [5]
  2. 利用者(下流プロバイダー)への情報提供: 自社のGPAIを組み込んで新たなAIシステムを作ろうとする企業に対し、モデルの性能や限界、適切な使い方などを説明した情報を提供します。 [1, 5] これにより、利用企業は自社の法的義務を果たすことができます。
  3. 著作権法を遵守するポリシーの策定: AIの学習に使うデータが、EUの著作権法を侵害しないようにするための社内ポリシーを策定し、実行します。 [5, 16] 特に、著作権者がデータの利用を拒否する意思表示(オプトアウト)を尊重する仕組みを導入することが求められます。
  4. 学習データの概要サマリーの公開: AIモデルの学習にどのようなデータを使ったのか、その概要をまとめたサマリーを一般に公開する義務があります。 [5] これには、欧州委員会が提供する統一テンプレートを使用します。 [10]

ただし、オープンソースでモデルの重みや設計情報などをすべて公開している場合は、上記1と2の義務は免除されます。しかし、著作権ポリシーの策定と学習データサマリーの公開義務は、オープンソースであっても免除されない点に注意が必要です。 [11]

特に注意すべき「システミックリスク」を持つGPAIへの追加義務

GPAIの中でも、特に高性能で社会全体に大きな影響を及ぼす可能性があると判断されたモデルは、「システミックリスクを持つGPAI」に分類され、さらに重い義務が課せられます。 [1, 7]

システミックリスクとは?
社会の安全や基本的人権、民主主義プロセスなどに広範囲な悪影響を及ぼしかねない、極めて強力なAIモデルが持つ潜在的リスクのことです。 [7, 10, 25] 例えば、高度な偽情報の生成やサイバー攻撃の自動化などがこれにあたります。 [10] 法律では、学習に使われた計算量が一定の基準(10^25 FLOPs)を超えるモデルは、システミックリスクを持つと推定されます。 [20, 23]

システミックリスクを持つと判断されたGPAIの提供者は、上記の共通義務に加えて、以下の対応が必要です。 [5, 18]

  • モデル評価の実施: 標準化された手法を用いて、モデルの脆弱性などを厳しくテスト・評価します。
  • リスクの評価と軽減: 社会全体に起こりうるリスクを特定・評価し、それを軽減するための対策を講じます。
  • 重大インシデントの報告: モデルが原因で深刻な事故が発生した場合、速やかに監督当局(AI Office)に報告します。
  • サイバーセキュリティの確保: モデル自体や関連するインフラをサイバー攻撃から守るため、高水準のセキュリティ対策を実施します。

これらの義務を怠った場合、高額な制裁金が科される可能性があるため、特に大規模なAIモデルを開発する企業は厳重な管理体制が求められます。 [21]

EU AI Act 規制

第3章:GPAIを利用する企業(ユーザー)の義務と影響

次に、他社が提供するGPAIを自社の業務やサービスに利用する「デプロイヤー(利用者)」の立場から、注意すべき点を見ていきましょう。 [13] 利用者側の義務は、そのAIを「どのような目的で使うか」によって大きく変わります。 [2]

自社のAI利用はどのリスク?3つのケースで考える

自社のAI利用がどのリスクレベルに該当するかを正しく把握することが、コンプライアンスの第一歩です。

ケース1:高リスク分野で利用する場合

GPAIを組み込んだ自社システムが「高リスク」用途に該当する場合(例:人材採用、融資審査、重要インフラの制御など)、そのシステムの提供者として、非常に厳格な義務を負うことになります。 [2, 3, 7] 具体的には、以下のような要件を満たす必要があります。 [2]

  • リスク管理システムの構築 [2]
  • 高品質なデータガバナンスの確保 [2]
  • 人間による適切な監督体制の整備 [2, 4]
  • システムの透明性、正確性、サイバーセキュリティの確保 [2]
  • 技術文書の作成と記録保持 [2]
  • 当局へのシステム登録

これは、実質的にAI開発元と同等の責任を負うことを意味するため、高度な管理体制と専門知識が求められます。 [3]

ケース2:透明性義務が課される分野で利用する場合

高リスクではないものの、特定の用途でAIを利用する場合には、「透明性義務」が課せられます。 [1, 2, 21] これは、利用者が「今、AIとやり取りしている」あるいは「見ているものがAIによる生成物だ」と認識できるようにするためのルールです。 [17]

具体的な例は以下の通りです。

  • チャットボット: 顧客対応などでチャットボットを使う場合、相手が人間ではなくAIであることを明示する必要があります。 [6, 17]
  • ディープフェイクなどの生成コンテンツ: AIで生成・加工した画像、音声、動画を公開する場合、それが「AIによる生成物である」ことを明確に表示(ラベリングや透かしなど)しなければなりません。 [1, 16]
  • 感情認識・生体認証システム: 職場などで従業員の感情を分析するようなAIを使う場合、その対象者にAIが作動していることを通知する義務があります。 [1, 17]

ケース3:最小リスク分野で利用する場合

上記のリスクに該当しない一般的なオフィス業務での利用(例:社内文書の要約、アイデア出し)については、EU AI法上の法的な義務は基本的にありません。 [2] しかし、だからといって無配慮で良いわけではありません。企業の社会的責任として、また情報漏洩などのリスクを避けるために、社内でのAI利用に関するガイドラインを自主的に設けることが強く推奨されます。

あなたの会社のAI利用はどこに当てはまる?簡易チェック

  • Q1. あなたの会社で利用している、または利用予定のAIシステムは、人の採用、評価、解雇や、個人の信用評価、教育へのアクセス、重要な公的サービスへのアクセス、法執行などに関わりますか?
    • はい:「高リスク」に該当する可能性が高いです。専門家への相談と詳細な評価が必要です。
    • いいえ:Q2へ進んでください。
  • Q2. そのAIは、人間と直接対話しますか(チャットボットなど)? または、一般に公開する画像、音声、動画などを生成・加工しますか?
    • はい:「限定的リスク(透明性義務)」に該当する可能性が高いです。AI利用の明示が必要です。
    • いいえ:「最小リスク」に該当する可能性が高いですが、社内ルールを整備することが望ましいです。

第4章:部門別!EU AI法対応のための社内タスクリスト

EU AI法への対応は、法務部門だけでなく、ITや事業部門など全社的な取り組みが不可欠です。ここでは、部門ごとに想定される具体的なタスクをリストアップします。

法務・コンプライアンス部門

  • AI利用状況の把握とリスク分類: 社内でどのようなAIが、どの業務で利用されているかをすべて洗い出し、EU AI法のリスク分類に沿って整理する。
  • 社内規程・ガイドラインの整備: 「AI利用ガイドライン」を策定し、機密情報の入力禁止、AI生成物のチェック体制、著作権の取り扱いなどのルールを明確にする。
  • 契約書の見直し: AIツールを外部から導入する際は、提供元との契約書に、EU AI法への対応(情報提供義務など)に関する条項を盛り込む。 [3]
  • 規制動向の継続的なモニタリング: EU AI法に関連するガイドラインや施行状況などの最新情報を常に収集し、社内体制をアップデートする。

IT・システム開発部門

  • 技術文書の管理と要求: 自社が高リスクAIの提供者となる場合は技術文書を作成・管理する。外部AIを利用する場合は、提供元から必要な技術情報を入手し、内容を精査する。
  • ログ保存体制の構築: 高リスクAIに該当する場合、法律で定められた期間(最低6ヶ月など)、AIの動作ログを適切に保存・管理するシステムを構築する。
  • セキュリティ対策の強化: AIシステムへのサイバー攻撃やデータ漏洩を防ぐため、アクセス管理の強化、脆弱性診断の実施など、セキュリティレベルを見直す。特にシステミックリスクを持つモデルを扱う場合は、最高レベルの対策が求められる。
  • モニタリング体制の整備: AIが予期せぬ挙動や偏った出力をしないか、継続的に監視する仕組みを導入する。

AIガバナンス チーム連携

事業・カスタマーサポート部門

  • 透明性義務の履行: 顧客対応にチャットボットを使う場合、冒頭でAIであることを明示するなど、具体的な運用フローを徹底する。
  • 従業員への教育・研修: AIの正しい使い方、禁止事項、リスクについて全従業員に周知し、AIリテラシーを向上させる。
  • エスカレーションプロセスの構築: AIの回答や判断に顧客が不満を持った場合に、速やかに人間の担当者が対応できるようなエスカレーションフローを整備する。
  • 生成コンテンツの品質管理: AIが作成した文章やデザインなどを対外的に使用する前に、内容が正確か、不適切な表現はないかなどを人間が必ず確認・修正するプロセスを導入する。

第5章:対応に役立つ情報源と今後のステップ

EU AI法への対応は複雑ですが、ゼロから始める必要はありません。欧州委員会などが提供する公式な情報源やツールを活用することが、効率的かつ確実な対応への近道です。

活用できる公式テンプレートとガイドライン

特に参考になるのが、欧州委員会が主導で作成している以下の文書です。

  • 汎用AIの行動規範(General-Purpose AI Code of Practice): 2025年7月に公開されたこの自主的なガイドラインは、AI提供者が透明性や安全性を確保するための具体的な実践方法を示しています。 [10] 法的拘束力はありませんが、これに準拠することで、企業はAI法を遵守していることを示しやすくなります。 [10, 23]
  • 各種テンプレート: GPAIの学習データ概要サマリーなど、法律で定められた情報開示のための公式テンプレートが提供されています。 [10] これらを利用することで、要件を満たした文書を効率的に作成できます。

今後の施行スケジュール

EU AI法はすでに発効していますが、すべての規定が一斉に適用されるわけではなく、段階的に施行されます。 [1, 11]

  • 2025年8月頃: 汎用AI(GPAI)に関する規定が適用開始 [10, 11]
  • 2026年8月頃: 高リスクAIに関する規定が本格適用開始 [1, 11]

自社の状況に合わせて、いつまでに何をするべきか、計画的に準備を進めることが重要です。

まとめ

EU AI法、特に汎用AI(GPAI)に関する規制は、AIを開発・提供する企業だけでなく、それをビジネスに活用するすべての企業にとって重要な意味を持ちます。一見すると複雑で厳しい規制に思えるかもしれませんが、その目的はAIの有害な影響から人々を守り、信頼できるAIの発展を促進することにあります。 [9, 14, 15]

まずは自社のAI利用状況を正確に把握し、どのリスクカテゴリーに該当するのかを判断することから始めましょう。その上で、この記事で紹介したような部門別のタスクリストを参考に、全社的な対応体制を構築していくことが求められます。公式ガイドラインなどを活用しながら、来るべき本格適用に向けて、着実に準備を進めていきましょう。

前の記事

HubSpotブログのオーガニックトラフィックが75%減少:AIO時代に備えるSEO再構築50のチェックリスト
HubSpotブログのオーガニックトラフィックが75%減少:A…

次の記事

【初心者向け】Googleの推論特化AIチップ「Ironwoo…
【初心者向け】Googleの推論特化AIチップ「Ironwood」とは?GPUとの違いやコスト削減効果を徹底解説