AIを活用したシステムを構築するチームにとって、 EU AI法は、トレーニングデータの文書化から本番環境でのインシデント報告まで、開発ライフサイクルのあらゆる段階においてコンプライアンス義務を追加するものです。段階的な施行が既に始まっている今こそ、自社の業務フローが現状どうなっているかを評価する時です。
EU AI法(規則(EU) 2024 / 1689 )は、世界初の包括的なAI規制です。2024月に発効し、要件は2027までに段階的に導入されました。この法律は、とりわけ、EU市場にAIシステムを上市する組織、EU域内に設立されたAIシステムの導入企業、またはAIシステムの出力がEU域内で使用される組織に適用され、その組織の本社所在地は問わない。
このガイドでは、各リスクレベルで求められる要件、完全なコンプライアンスのタイムライン( 2026オムニバスの調整を含む)、透明性に関する義務、罰則、およびAIシステムを構築・運用するチームにとってのコンプライアンスの実態について説明します。
キーテイクアウト
- EUのAI法は4段階のリスクモデルを採用しており、あなたの義務はシステムがどのように分類されるかによって異なります。
- 禁止行為およびGPAI規則は既に施行されています。高リスクの期限は2027までです。
- ディープフェイクおよび合成コンテンツの表示義務に関する第50条は、8月2 、 2026に発効する。
- 罰金は、各国当局およびEU人工知能局によって執行され、最大で35百万ユーロまたは全世界売上高の7 %に達します。
4つのリスクレベル
AI法はリスクベースのアプローチを採用している。すべてのAIシステムは4つのカテゴリーのいずれかに分類され、そのカテゴリーによって適用される規制上の義務が決まります。この分類が、コンプライアンスプロセス全体を左右する。
1 。許容できないリスク(禁止)
この階層のAIシステムは、第5条に基づき完全に禁止されています。これらの禁止措置は2月2 、 2025から施行されている。禁止されている行為には以下が含まれます。
- 行動を歪め、重大な害をもたらすサブリミナル、操作的、または欺瞞的な手法
- 年齢、障害、または社会経済的状況に関連する脆弱性の悪用
- 社会的行動や個人的特性に基づいて個人を評価する社会的スコアリングシステム
- プロファイリングや性格特性のみに基づく予測型警察活動
- 顔認識データベースを構築するために、インターネットや監視カメラから顔画像を無差別に収集する。
- 職場や教育機関における感情認識(医療上または安全上の理由による場合を除く)
- 特定の保護対象特性を推測または推論するための生体認証分類(合法的に取得した生体認証データセットのラベル付けまたはフィルタリングを除く)
- 行方不明者、差し迫った脅威、重大犯罪捜査などのごく限られた例外を除き、法執行機関が利用できる公共空間におけるリアルタイムの遠隔生体認証。
2 . 高リスク(規制対象)
高リスクのAIシステムは、最も広範な法令遵守義務の対象となる。同法は、高リスク分類に至る2つの経路を定めている。
- 付属書Iシステムeさん:安全部品または製品として使用されるAIで、既存のEU製品安全法(医療機器、機械、車両)の対象となり、第三者による適合性評価が必要なもの。
- 附属書IIIシステムAIは、生体認証、重要インフラ、教育、雇用、必要不可欠な公共および民間サービス、法執行、移民および国境管理、司法行政という8つの機密性の高い分野で使用されている。
附属書IIIに該当する利用事例において個人をプロファイリングするために使用されるAIシステムは、その他の免除規定の有無にかかわらず、自動的に高リスクシステムとして分類される。附属書IIIシステムが高リスクではないと考えるプロバイダーは、製品を市場に出す前に、その評価を文書化しなければならない。
これは、ログ記録、テスト、およびドキュメント作成のパイプラインに最も大きな負荷をかける階層です。
附属書IIIの例外:附属書IIIに記載されているAIシステムは、限定的な手続きタスクを実行する場合、以前に完了した人間の活動を改善する場合、人間の判断を置き換えることなく意思決定パターンを検出する場合、または附属書IIIの評価のための準備タスクを実行する場合は、高リスクとはみなされません。
3 。限定的なリスク(透明性リスク)
このレベルのAIシステムは、透明性と情報開示に重点を置いた要件に直面する。第50条に基づき、展開者はユーザーがAIシステム(チャットボットなど)とやり取りしていることを認識できるようにしなければならず、生成AIの提供者は合成コンテンツをAI生成コンテンツとしてマークしなければならない。この階層にはディープフェイクに関する義務が定められており、詳細は以下で説明します。
ソフトウェアエンジニアにとって、これは生成されたコンテンツを機械が読み取れるようにマークし、ユーザーが実際に目にする場所にその情報開示を表示することに尽きる。
4 。リスクは最小限(規制対象外)
スパムフィルター、AI搭載ゲーム、レコメンデーションエンジンなど、現在市場に出回っているAIシステムの大部分は、この範疇に属する。具体的な規制上の義務は適用されないが、同法は自主的な行動規範を奨励している。
コンプライアンスのタイムライン
EU人工知能法の要件は、一度にすべてではなく、段階的に施行される。一部の義務は既に法的拘束力を持つ。その他は2027後半まで申請しません。
|
日付 |
何が効果を発揮するのか |
|
2024年8月1日 |
AI法が発効(規則(EU) 2024 / 1689が公表)。 |
|
2025年2月2日 |
第5条で禁止されているAI行為は違法となる。AIリテラシー義務は(第4条)から始まる。 |
|
2025年8月2日 |
汎用人工知能(GPAI)モデルに関する義務が発効する(第V章)。統治機関が設立された。罰則規定が適用される。GPAIの行動規範が公開されました。 |
|
2026年8月2日 |
AI法の適用開始日(一般日付)第50条に基づく透明性義務が発効し、これにはディープフェイクの表示および合成コンテンツの表示が含まれる。加盟国は、少なくとも1つのAI規制サンドボックスを運用しなければならない。 |
|
12月2 、 2026 * |
第50条( 2 )に基づく機械可読表示義務は、8月2 、 2026 (4ヶ月の猶予期間)より前に市場に出されたGPAIシステムを含むAIシステムに適用される。第5条のAI生成による非同意の親密な画像および児童性的虐待資料の禁止が適用される。 |
|
2027年8月2日 |
附属書Iに基づく規制対象製品に組み込まれた高リスクAIシステムの義務(第6条( 1 ))。8月2025より前に市場に出回るGPAIモデルは、準拠していなければなりません。 |
|
12月2 、 2027 * |
独立した附属書IIIの高リスクAIシステム要件(リスク管理、適合性評価、技術文書、CEマーキング、EUデータベース登録)が完全に効力を発揮します。 |
|
8月2 、 2028 * |
附属書Iの製品安全法規の対象となる製品の構成要素である、高リスクAIシステム。 |
*オムニバス調整:デジタルオムニバスパッケージはこれらの高リスク期限を改訂し、附属書III単独の高リスク期限を8月2026から12月2 、 2027に、附属書I組み込みの高リスク期限を8月2027から8月2 、 2028に移動しました。欧州議会は6月16 、 2026にこのパッケージを承認した。
役割別の高リスクシステムに対する義務
EUのAI法は、プロバイダー、展開者、輸入者、および販売者を区別している。彼らの義務は役割によって異なる。
高リスクなAIシステムを提供する事業者は、最も重いコンプライアンス上の負担を負う。その他の義務の中でも、彼らは以下のことを行わなければならない。
- リスク管理システム: AIシステムのライフサイクル全体を通して、リスク管理プロセスを確立し維持する。これは、システム導入時だけでなく、ライフサイクル全体を通して行うべきである。
- データガバナンス:トレーニング、検証、テスト用のデータセットが適切なデータガバナンスおよび管理慣行に従い、関連性があり、十分に代表性があり、可能な限りエラーがないことを確認します。これらのデータセットに個人データが含まれる場合、GDPRも適用されます。法的根拠、データ最小化、そして偏見の検出と是正に使用される特別なカテゴリーのデータについては、特定の保護措置が必要です。
- 技術文書:法令遵守を証明する文書を作成し、当局がそれを評価するための情報を提供する。少なくとも、附属書IVに記載されている要素を含まなければならない。
- 記録管理と文書化:リスクの特定と変更の追跡に関連するイベントを自動的に記録するシステムを設計する。プロバイダーは、特定の文書を管轄当局が利用できるよう、最長10年間保管しなければなりません。
- 透明性と使用方法の説明:システム担当者に対し、システムの機能、制限事項、使用目的、および人的監視要件に関する明確な文書を提供することで、担当者がシステムの出力結果を正しく解釈し、適切に使用できるようにする。
- 人的監視:システムを設計する際は、展開担当者が使用中に効果的な人的監視を実施できるようにする。
- 精度、堅牢性、サイバーセキュリティ:これら3つの側面すべてにおいて、適切な性能レベルを達成する。
- 品質管理システム:コンプライアンスプロセス全体を網羅する品質管理システムを確立し、文書化する。
- 是正措置:AIシステムがAI法に適合していない疑いがある場合は、適合させる、撤回する、無効化する、または回収するなど、必要に応じて是正措置を講じる。
- 当局との協力:AIシステムがAI法に準拠していることを証明するために、必要な情報および文書を管轄当局に提供し、要求に応じて自動生成されたログへのアクセスを許可する。
- 認定代理人:第三国に拠点を置くプロバイダーは、高リスクのAIシステムをEU市場で利用可能にする前に、EU内に拠点を置く代理人を任命しなければなりません。
- 適合性評価: AIシステムを市場に投入する前に、適切な適合性評価手順が完了していることを確認してください。さらに、EU適合宣言書を作成し、CEマーキングを貼付し、システムをEUデータベースに登録してから市場に出す必要があります。
- 市販後モニタリング:プロバイダーは、AI技術の性質および高リスクAIシステムのリスクに見合った方法で、市販後モニタリングシステムを確立し、文書化しなければならない。
- 報告義務:プロバイダーは、重大なインシデントが発生した場合は、市場監視当局に報告しなければならない。AI法は、事件の深刻度に応じて異なる報告に関する用語を定めている。
導入者とは、自らの権限の下でAIシステムを使用する自然人または法人、公的機関、代理店、その他の団体を指します。個人的な非業務活動においてAIシステムを使用する者は、導入者とはみなされない。第26条に基づき、高リスクシステムの導入者は以下のことを行う必要がある。
- 指示に従ってシステムを使用してください。提供元の使用説明書に記載されている方法で操作してください。
- 人的監督を割り当てる:監督を行う能力と権限を持つ人々に監督を委ねる。
- 入力データの管理:デプロイヤーが入力データを管理する場合は、そのデータがシステムの意図する目的に関連性があり、十分に代表的であることを確認してください。
- 監視とエスカレーション: AIシステムの運用を監視し、リスクが生じ始めた場合は、プロバイダーまたは販売業者および市場監視当局に通知し、使用を停止する。
- ログの保持:デプロイ担当者の管理下にある限り、システムが自動的に生成するログを少なくとも6か月間保持してください。
- 従業員への通知:職場で高リスクシステムが稼働する前に、影響を受ける従業員とその代表者に通知してください。
- 影響を受ける人々に通知する:附属書IIIシステムが個人に関する決定を下す場合、または決定を下すのを支援する場合、その個人に通知しなければならない。これはGDPRの透明性に関する規定と重複する部分があり、システムが法的または同様に重大な影響を及ぼす完全に自動化された決定を行う場合に該当します。そのため、AI法に関する通知はGDPRに関する通知と連携させてください。
- データ保護評価のサポート:プロバイダーが提供する情報を使用して、GDPRに基づくデータ保護影響評価義務を履行します。
- 当局との協力:システムに関して当局が行うあらゆる措置について、関係当局と協力してください。
- 公開の場合は登録が必要:公的機関は、 EUデータベースに展開を登録しなければならず、登録されていない間はシステムを運用してはならない。
第27条では、より限定されたグループ、すなわち公的機関、公共サービスを提供する民間団体、および信用スコアリングや保険料設定のために附属書IIIシステムを使用する展開者に対して、基本的人権への影響評価を追加しています。初めて使用する前に、システムの使用方法、影響を受ける可能性のある人、関連するリスク、および人的監視体制について文書化し、その結果を市場監視当局に提出する。
エンジニアリングチームにとって、これらの業務のほとんどは、監視、ログの保持、そしてシステムを迅速に停止できる能力に集約されます。それらは政策文書ではなく、インフラの中で解決されるものです。
重要: EUのAI法に基づき、AIバリューチェーンにおける事業者は、プロバイダーとデプロイメントの両方とみなされる可能性があります。高リスクシステムに自分の名前を記載したり、高リスクシステムを大幅に変更したり、高リスクではないシステムを高リスク用途に転用したりすると、すべての義務を負うプロバイダーとして再分類されます(第25条)。
輸入者とは、EU域外のプロバイダーの高リスクAIシステムを市場に出すEUに拠点を置く個人または組織のことであり、第23条では、システムがEUのユーザーに届く前に適合性を確認するチェックポイントとしての役割を担わせている。輸入者は以下のことを行う必要があります。
- 輸入前に適合性を確認してください。供給者が適合性評価を完了し、技術文書(附属書 IV )を作成し、EU 適合宣言書および使用説明書とともに CE マーキングを貼付し、認定代理人を任命したことを確認してください。
- 不適合システムの販売停止:システムが規格に適合していない、または文書が偽造されていると疑われる場合は、修正されるまで市場に出さないでください。システムにリスクがある場合は、プロバイダー、正規代理店、および市場監視当局に通知してください。
- 連絡先情報を追加してください。輸入業者の名称、登録商標名または商標、および連絡先住所を、システム本体、パッケージ、または付属書類に記載してください。
- 保管および輸送におけるコンプライアンスの確保:輸入者の責任下にある保管および輸送条件が、システムのコンプライアンスを損なわないようにしてください。
- 記録を10年間保管してください:認証機関の証明書(該当する場合)、使用説明書、およびEU適合宣言書のコピーを、システムが市場に出回った後または使用開始された後10年間保管してください。
- 当局への対応:正当な理由に基づく要請があった場合は、適合性を証明するために必要な情報と文書を、当局が容易に理解できる言語で提供してください。
- 当局との協力:輸入業者が市場に出したシステムのリスクを軽減または緩和するために当局が講じるあらゆる措置について、関係当局と協力してください。
リスクの高いシステムに自社の名前や商標を付けたり、既に市場に出回っているシステムを大幅に変更したりする輸入業者は、プロバイダーとして再分類され、プロバイダーとしての義務をすべて負うことになります(第25条)。
販売業者は、高リスクなシステムをEU市場で利用可能にするサプライチェーンにおける他の関係者である。第24条に基づく彼らの義務は輸入業者の義務と重複するが、販売時点および販売後に何が起こるかに焦点を当てている。販売代理店は以下のことを行う必要があります。
- 配布前に文書を確認してください。システムにCEマークが付いていること、EU適合宣言書と使用説明書が付属していること、および供給者と輸入者がそれぞれの義務を果たしていることを確認してください。
- 不適合システムのブロック:システムが適合していないと思われる場合は、修正されるまでそのシステムを提供しないでください。リスクがある場合は、供給業者または輸入業者に通知してください。
- 保管および輸送におけるコンプライアンスの確保:販売業者の責任下にある保管および輸送条件が、システムのコンプライアンスを損なわないようにしてください。
- 販売後の不適合への対応:既に販売されたシステムが不適合であることが判明した場合は、修正、回収、またはリコールなどの是正措置を講じるか、供給者または輸入業者がこれらの措置を講じるようにします。リスクが生じる場合は、直ちに供給業者または輸入業者および管轄当局に通知してください。
- 当局からの要請への対応:正当な理由に基づく要請があった場合は、法令遵守を証明するために必要な、これらの措置に関する情報および文書を提供してください。
- 当局との協力:販売代理店が提供したシステムに関して当局が行うあらゆる措置について、関係当局と協力してください。
同じ再分類ルールが適用されます。高リスクシステムを自社ブランドとして販売したり、既に市場に出回っているシステムを大幅に変更したりする販売業者は、第25条に基づくプロバイダーとなります。
ディープフェイクと透明性に関する義務(第50条)
第50条は、人と対話したり合成コンテンツを生成するAIシステムに対して、具体的な透明性要件を定めている。これらの義務は一般的に8月2 、 2026から適用され、システムのリスク分類に関係なく関係します。
誰が遵守しなければならないか
- 人と直接対話するAIシステムを提供する事業者は、状況から明らかでない限り、個人がAIシステムと対話していることを通知しなければならない。
- 合成コンテンツ(音声、画像、動画、テキストなど)を生成するAIシステムを提供する事業者は、その出力を、AIによって生成または操作されたものであることが検出可能な機械可読形式で表示しなければならない。マーキングは、効果的で、相互運用性があり、堅牢で、信頼できるものでなければならない。
- AIを使用してディープフェイクを作成する展開者は、そのコンテンツが人工的に生成または操作されたものであることを開示しなければならない。同法では、ディープフェイクを、既存の人物、物体、場所、出来事に似ており、あたかも本物であるかのように偽装する、AIによって生成または操作された画像、音声、または動画コンテンツと定義している。
- 公共の利益に関わる事項についてAIが生成したテキストを公開する展開者は、そのコンテンツが人間の編集レビューを経ており、自然人または法人が編集責任を負っている場合を除き、AI生成であることを明記しなければならない。
- 感情認識システムや生体認証分類システムを導入する事業者は、システムを利用する人々にシステムが稼働していることを通知し、GDPR(一般データ保護規則)に従って個人データを取り扱う必要があります。
ディープフェイクに関する芸術的例外: AIによって生成されたコンテンツが、明らかに芸術的、創造的、風刺的、またはフィクション作品の一部である場合、最小限かつ非侵襲的な開示のみが必要となる。ディープフェイクの表示義務は依然として適用されるが、開示形式はより簡略化できる。
透明性に関する行動規範
欧州委員会は、第50 ( 2 )から50 ( 5 )までを運用するために、AI生成コンテンツのマーキングとラベル付けに関する実施規範を策定した。この規程は、表示および開示要件を実際に適用するための実践的かつ技術的な指針を提供するものです。最終版は6月10 、 2026に公開された。
汎用AIモデルの義務
同法第5章は、汎用AI(GPAI)モデルの提供者に対して、別途一連の義務を定めている。これらの規則は8月2 、 2025から適用されています(それ以前に市場に出されたモデルは8月2 、 2027まで遵守する必要があります)。欧州委員会は、プロバイダーがこれらの要件を満たすための支援ガイドラインを公表した。
汎用AIモデルとは、幅広い用途に対応できる多目的モデルであり、高い汎用性を示し、多様なタスクを実行でき、直接使用できるだけでなく、他のAIシステムに統合することも可能です。
すべてのGPAIモデルプロバイダー
GPAIモデルの提供者は、技術文書(少なくとも附属書VIに規定されている情報を含む)を作成および維持し、モデルを統合する下流の提供者に情報および文書を提供し、EU著作権指令を遵守する方針を確立し、トレーニングに使用されるコンテンツの十分に詳細な要約を公開しなければならない。
無料かつオープンライセンスのGPAIモデル(パラメータ、アーキテクチャ、使用方法に関する情報が公開されているもの)の提供者は、モデルがシステムリスクをもたらす場合を除き、技術文書の作成や下流の提供者への情報提供に関する義務を遵守する必要はありません。
全身リスクを伴うGPAIモデル
GPAI モデルは、 10 ²⁵ を超える浮動小数点演算 (FLOPs) を使用してトレーニングされた場合、システムリスクを伴うと推定されます。その基準は、当時の最先端モデルを捉えるために設定されたもので、GPT- 4は広くその基準を上回っていると推定されている一方、それ以前のGPT- 3は、およそ30分の1のトレーニングデータで学習された。委員会は、エンドユーザーの数、影響力の大きい能力、または出力形態などの基準に基づいて、他のモデルを体系的なものとして指定することもできる。
システミックリスクモデルの提供者は、上記のGPAIの義務すべてに加え、さらに4つの義務を負う。
- モデル評価:敵対的テストを含むモデル評価を実行します。
- リスク軽減:モデルがもたらす可能性のあるシステムリスクを評価し、軽減する。
- インシデント報告:重大なインシデントを追跡し、 AIオフィスに報告してください。
- サイバーセキュリティ:モデルに対して適切なレベルの保護を維持する。
汎用AIモデルに関する自主的な行動規範が7月に公開されました2025 。行動規範に従うことは、欧州の統一規格が制定されるまでの間、適合していると推定される根拠となる。
罰則と執行
EU AI法は、第99条に基づき、効果的で、比例的で、抑止力のある3段階の罰則構造を定めている。
|
違反 |
最高罰金 |
回転率の閾値 |
|
禁止されているAIの実践(第5条) |
35万ユーロ |
世界の年間売上高の7 % |
|
高リスクAIシステムの法令違反(特定規定) |
15万ユーロ |
世界の年間売上高の3 % |
|
当局に不正確または誤解を招く情報を提供する |
7 5ユーロ |
世界の年間売上高の1 % |
執行は、GPAIモデル提供者を監督する欧州AI事務局と、その他のすべての事業者を管轄する各加盟国の国家管轄当局との間で分担されている。
各加盟国は、実施および市場監視のために少なくとも1つの国内機関を指定しなければならない。罰則規定は、中小企業やスタートアップ企業の利益を考慮して策定されており、加盟国は毎年、科した罰金について欧州委員会に報告する。
エンジニアリングチームにとってのコンプライアンスとはどのようなものか
EU人工知能法の要件は規制用語で記述されているが、それは具体的な工学的懸念事項に直結する。もしあなたのチームがEUのユーザー向けにAIシステムを構築または展開している場合、この法律の義務があなたの開発ワークフローとどのように交差するかについて説明します。
在庫管理と分類が最優先
コンプライアンスは、自分が何を持っているかを把握することから始まります。組織が構築、使用、または調達するすべてのAIシステムは、本法のリスクレベルに基づいて分類および目録化される必要がある。各システムについて、個人データを処理するかどうかを記録し、そのエントリをGDPRの処理記録(第30条)にリンクして、AIインベントリとプライバシー記録が整合するようにします。
これは単なる法律上の問題ではない。エンジニアリングチームは、通常、自分たちが構築するシステムの実際の機能、データフロー、および展開環境を理解している唯一の存在である。組織にAIガバナンスフレームワークが導入されている場合、AIインベントリは通常、その基盤となります。
監査証跡は譲れない
この法律は、高リスクシステムに対する自動イベントログ記録と、ほぼすべての階層における構造化された文書化を義務付けている。これは、AIシステムが行うすべての決定、アクセスするデータソースの種類、および実行するすべてのアクションを、監査可能な方法で記録する必要があることを意味します。
既にAIエージェントを出荷しているチームは、システムの状態やセキュリティに関するテレメトリを個々の作業者のパフォーマンスではなく、システム全体の健全性やセキュリティ状況を把握するために、タイムスタンプ、セッションコンテキスト、呼び出されたツールやルール、エージェントやサービスのIDなど、システムアクションの構造化されたイベントキャプチャを必要としている。これらのログを既存のSIEMおよびコンプライアンスシステムにエクスポートすることで、エージェントの動作と監査要件との間のギャップを埋めることができます。
リスク管理システムを準備する
第9条は、設計によって排除できないリスクに対する管理措置を含む、継続的なリスク管理プロセスを要求している。
ポリシーを強制する機能は、エージェントが行動した瞬間に選択した制御を拘束力のあるものにする仕組みであり、したがってリスク軽減戦略として機能します。これは、エージェントレベルではサンドボックス化されたエージェントにポリシーとルールを適用することで、ツールレベルではエージェントツールのアクセスを管理するゲートウェイにポリシーを適用することで実現できます。
ランタイム分離は人間の監視をサポートする
EUのAI法は、リスクの高いAIシステムは人間の監視を前提として設計されるべきであり、運用者は運用中に介入できることを義務付けている。AIが自律的に動作するエージェント型ワークロードの場合、これは実行時分離に直接対応します。つまり、ネットワークアクセス、ファイルシステムのスコープ、ツールのアクセス許可がポリシーによって制御されるサンドボックス環境内でエージェントを実行するということです。
薬剤が想定された範囲を超えた場合、隔離によって爆発半径が制限される。これは、インフラレベルでの監視を強制的に実施可能にする仕組みである。
透明性は計測可能である
第50条のディープフェイクおよび合成コンテンツのマーキング要件はメタデータの問題である。プロバイダーは生成されたコンテンツに機械可読なマーカーを埋め込む必要があり、展開者は人間が読める開示情報を表示する必要がある。
生成型AIシステムを構築するチームにとって、これはコンテンツの出所表示(C 2 PAやIPTC規格など)を生成パイプラインに統合することを意味します。生成されたコンテンツが実在の特定可能な人物を描写している場合、それはGDPRの下では個人データにも該当するため、マーキングは必要ではあるが十分ではなく、通常の法的根拠と権利に関する義務が引き続き適用される。組織が使用するAIガバナンス制御は、各アプリケーションが個別にポリシーを実装することに依存するのではなく、プラットフォーム層でこれらのポリシーを強制することができます。
公式のコンプライアンスツールを使用する
欧州委員会は、 AI法サービスデスクを立ち上げました。これは、組織が自社のAIシステムに適用される義務を判断するのに役立つ公式のコンプライアンスチェッカー、規制の全文を閲覧するためのAI法エクスプローラー、および質問を送信するためのヘルプデスクを含む単一の情報プラットフォームです。これらのツールは無料で公式のものであり、英語、フランス語、ドイツ語で利用可能です( 24 EUのすべての言語が2026で利用可能になる予定です)。
AIインフラストラクチャにコンプライアンスを組み込み始めましょう
EU人工知能法への準拠は、提出する書類ではありません。これは、チームがAIシステムを構築・運用する方法に組み込む必要がある、一連の技術的な管理策、組織的なプロセス、および監査手法のことです。
より簡単に作業を進めるために、Docker AI Governanceはこれらの要件を運用化することをサポートしています。これは、AI法がプロバイダーとデプロイヤーに課している人間の監視、分類、および法的責任に取って代わるものではなく、顧客のコード、構成、およびテレメトリは、Dockerまたはサードパーティのモデルのトレーニングには使用されません。その代わりに、Docker AI Governanceには、影響範囲の縮小とリアルタイム監視のためのサンドボックスベースのランタイム分離、ネットワーク、ファイルシステム、MCPツールへのアクセス全体にわたるポリシーの適用、既存のSIEMおよびコンプライアンスシステムにエクスポートされる構造化された監査ログが含まれています。
Docker AIガバナンスを詳しく調べて、ランタイムポリシー、監査証跡、エージェント分離が、EU AI法で求められる規制上の制御をどのようにサポートしているかを確認してください。
よくある質問
EUのAI法は、EU域外の企業にも適用されますか?
はい。第2条に基づき、EU AI法は、EU域内に設立されているかどうかにかかわらず、AIシステムの提供者および展開者に適用されます。EU市場にAIシステムを投入する場合、またはシステムの出力がEU域内で使用される場合は、本規制の対象となります。
EUのAI法に準拠しているかどうかを確認できる公式ツールはありますか?
欧州委員会のAI法サービスデスクには、組織が自社のAIシステムに適用される義務を判断するのに役立つコンプライアンスチェッカーツールが含まれています。システムの目的、導入状況、リスクプロファイルに関する一連の質問を通して、関連する記事や要件を特定します。
EUのAI法におけるディープフェイクに関する要件は何ですか?
第50条に基づき、合成音声、画像、動画、またはテキストを生成するAIシステムの提供者は、機械可読形式で出力がAIによって生成されたものであることをマークしなければならない。ディープフェイク(実在の人物や出来事に似せて、あたかも本物であるかのように偽装したコンテンツ)を作成するためにAIを使用する展開者は、たとえそのコンテンツが合法的なものであっても、それが人工的に生成されたものであることを開示しなければならない。芸術的、創造的、風刺的な用途においては、最小限の情報開示のみが必要である。
これらの義務は8月2 、 2026に発効します。ディープフェイクが実在の、識別可能な人物を描写している場合、そのコンテンツはGDPRの下では個人データにも該当するため、ラベル表示は必要ではあるが、それだけでは十分ではない。
AI法とサイバーレジリエンス法の違いは何ですか?
EUサイバーレジリエンス法(CRA)は、デジタル要素を含む製品を対象とし、製品のライフサイクル全体にわたるサイバーセキュリティ要件に焦点を当てています。AI法は、AIシステムとAIモデルを特に対象としており、リスク分類に基づいて要件が段階的に変化する。製品は両方の規制の対象となる可能性があり、例えば、デジタル要素を含む製品(CRA)であると同時に、高リスクAIシステム(AI法)でもあるAI搭載医療機器などがこれに該当します。
高リスクAIシステムに関する規制は、実際にいつから施行されるのですか?
所要時間は、高リスクシステムのタイプによって異なります。16月に欧州議会で承認されたデジタルオムニバスパッケージに基づき、 2026の附属書III高リスクシステムは2 2027までに遵守しなければならない。附属書Iに高リスクシステム(EU製品安全法でカバーされる製品)が組み込まれている場合は、8月までに遵守する必要があります2 、 2028 。最新の確定日程については、公式の実施スケジュールをご確認ください。