欧州AI規制法(以下、EU AI Act)の事業への影響を特定し、リスクに応じた効果的な規制への対応を支援します。

期限の迫るAI規制への対応

昨今、AI技術の発達と、産業界における積極的な利活用が急激に進んでいるなか、各国においてAIを規制する動きも欧州をはじめ多く見られます。2024年8月には欧州においてEU AI Actが正式に発効され、世界初の包括的なAI規制として注目を集めています。

EU AI Actは、事業活動におけるAIリスクへの対処およびAIに対する導入・投資を目的としており、その概要は以下のとおりです。特筆すべきは適用対象・範囲が広域であり、罰則も高額に設定されていることから、日本企業としても規制対応の検討は避けられない状況です。

適用対象

AIシステム

  • 付属書に定めた技法およびアプローチで開発されたソフトウェアであり、人間の目的のために、そのソフトウェアが影響を与えるコンテンツ、予測、推奨、決定などのアウトプットを生成するもの
適用範囲
  • EU域内所在者にAIシステム・サービスを提供する場合
  • EU域外で得られたAIシステムの出力結果をEU域内のグループ会社等に提供する場合や、利用が禁止されるAIシステムに該当し得るシステムをEU域外で利用する場合も適用される可能性あり
罰則
  • 最大3,500万ユーロ前年度の世界全体の売上高の7%、いずれか高い金額 ※該当違反条文による
  • 市場からの撤退などの可能性あり

EU AI Actは、原則2026年8月から適用開始されますが、一部の規定に関しては適用開始日が早期に設定されています。特に利用禁止AIシステムに関する規定は2025年2月、またGPAIに関する規定は2025年8月から順次、適用開始になるため、その期限を意識した段階的な対応が望まれます。

※GPAI:画像や音声認識、音声や映像の生成、パターン検出、質問応答、翻訳などの、意図的・非意図的を問わない、幅広い用途が想定される、一般的に適用可能な機能を実行するAIシステム

欧州AI規制法(EU AI Act)対応支援_図表1

多岐にわたる要求事項

EU AI Actにおいて、企業はAIシステムとのかかわり方(事業者としての立場)に応じて異なる区分に分類されます。特に提供者と利用者に対しては厳格な義務が課せられています。

事業者 定義
提供者(Provider) AIシステム、または汎用目的AI(GPAI)を開発する、または開発させる者
輸入業者(Importer) AIシステムをEU市場に輸入する者
販売業者(Distributor) AIシステムをEU市場で利用可能にする者で、提供者および輸入業者に該当しない者
利用者(Deployer) 事業にAIシステムを利用する者

また、EU AI Actではリスクベースのアプローチを採用しており、対象となるAIシステムのリスクレベルに応じて、企業として果たすべき義務が異なります。

欧州AI規制法(EU AI Act)対応支援_図表2

KPMGによる欧州AI規制法(EU AI Act)対応支援

上記で述べたように、EU AI Actへの対応は、事業者としての立場とAIシステムのリスクによって変わるため、企業グループとしては各社における対応の必要性を評価し、対応事項を整理したうえでプロジェクトを進めることが求められます。

KPMGによる欧州AI規制法(EU AI Act)対応支援では、以下の規制対応における各プロセスを通じて伴走的にサポートします。

1.適用対象となるAIシステムの棚卸

規制の適用対象となる「AIシステム」の定義に基づき、企業グループ内の欧州域内におけるAIシステムを含む製品・サービスの提供状況、業務でのAI利活用状況等を洗い出します。

2.事業者としての立場の判断

規制要件に照らして、自社がEU域内におけるAIシステムの提供者や利用者など、どの事業者に該当するかを判断します。

3.リスクレベルの判定

規制で定義されたリスクの基準をベースに、各AIシステムの利活用状況を踏まえ、リスクレベルを判定します。

4.義務への対応

適用事業者としての立場およびAIシステムのリスクレベルに応じて、規制で求められる義務に対して個別に対策を検討し、実装します。

以下では、提供者および利用者の主な義務について記載しております。

システム 提供者の義務 利用者の義務 施行タイミング
利用禁止AIシステム
  • 該当する場合、EU市場への投入が禁止される(定期的に該当の有無を確認する必要あり)
2025年2月
GPAI
  • 技術文書の作成および最新化
  • 他のAIシステム提供者への情報提供および文書の作成・最新化
  • 著作権にかかわる法令遵守のためのポリシーの策定
  • GPAIのモデル学習内容サマリー作成・公開、 等
  • 重大なリスクがある場合は、さらに義務が追加される

2025年8月

※すでにEU市場に投入されている製品・サービス場合は2027年8月

高リスクAIシステム
  • リスク管理プロセス実装
  • 品質管理システム構築
  • データガバナンス整備
  • 自動生成ログの維持
  • 透明性の確保
  • 適合性評価の実施
  • CEマークの表示
  • EUデータベース登録
  • 適切な人的監視の実施
  • AIシステムの適切な正確性、堅牢性、サイバーセキュリティの確保 等
  • 取扱説明文書に従ったAIシステムの利用
  • インシデントのモニタリングおよび対応
  • 自動生成ログの維持
  • 適切な人的監視の実施

2026年8月

※一部2027年8月

限定的リスクAIシステム
  • 透明性の確保
  • データ出力形式の要件
  • 信頼性の確保 等
  • GDPRに則った個人データの処理
  • 人工的に生成・操作された内容に関する通知 等
2026年8月
最小限のリスク
  • 行動規範の策定・遵守
2026年8月

5.持続的な運用改善

AIシステムの利活用に伴い上記の義務について運用することに加え、発生したインシデントやユーザーからの問い合わせ等についても、規制に従って対応を行います。

また、持続的な運用改善を図り、企業として整備した規定や導入した管理策の運用状況に対して、定期的にコンプライアンス状況を確認し、見直しを検討します。

お問合せ

関連サービス

AIおよびデータ規制に関するその他のサービスを紹介します。