EU AI法が定める「高リスク」システムとは何か
EU AI法は、リスクの高さに応じてAIシステムを「禁止」「高リスク」「限定リスク」「低リスク」の四層に分類する。 8月2日の義務化が対象とするのは「高リスク」カテゴリだ。
具体的には以下の用途が含まれる。 採用・人事評価(履歴書スクリーニング・パフォーマンス評価AIなど)、教育(学習進捗の自動評価・入学選考システムなど)、重要インフラ(電力網・水道・交通の管理AIなど)、金融サービス(信用スコアリング・保険査定など)、司法・行政(裁判支援・給付金審査など)だ。
これらの分野でAIを用いる組織は、適合性評価(Conformity Assessment)の実施、技術文書の整備、リスク管理システムの導入、データガバナンス体制の確立、および人間による監督(Human Oversight)の実装が求められる。
エンジニアが今すぐ対応すべき技術要件
エンジニアの観点から特に重要な要件を整理する。
第一に、監査ログ(Audit Trail)の実装だ。 高リスクシステムは、いつ・誰が・どのような入力を与え・どのような出力を得たかを記録し続ける必要がある。 ログの保持期間、改ざん防止の仕組み、アクセス制御をシステム設計段階から組み込まなければならない。 後付けでの対応は難しく、リファクタリングコストが大きくなる。
第二に、説明可能性(Explainability)の確保だ。 AIの判断結果について「なぜそう判断したか」を利用者や監督者に説明できる機能が必要だ。 ブラックボックス型のディープラーニングモデルをそのまま高リスク判断に使う構成は、EU AI法の下では原則として認められない。 XAI(説明可能AI)ライブラリの導入、または予測の根拠となる特徴量の重要度提示が最低限求められる。
第三に、人間監督インタフェースの設計だ。 高リスク判断を行うシステムには、人間がAIの推薦を上書き・介入できる機能が必須だ。 「AIの推薦を表示するだけのUI」では不十分で、明示的な承認フロー・却下フローの実装が求められる。
欧州は準備できていない——実態と猶予期間の議論
欧州委員会は義務化の準備が十分でない企業を考慮し、高リスク義務について1年間の適用猶予を検討しているとされる。 ただし現時点では正式決定はなく、8月2日の期限は法的に有効だ。
業界団体はこの1年猶予を強く求めており、特に中小企業(SME)への影響を訴えている。 EUのQ1 2026だけで50件・総額2.5億ユーロのGPAI(汎用AI)コンプライアンス違反が制裁対象となっており、アイルランドが全件の60%を処理しているという実情も明らかになっている。
米国50州のAI規制が「臨界点」に達している状況と合わせると、AIシステムのコンプライアンス対応は2026年下半期に企業の最重要課題の一つとなる。
日本企業への影響:GDPR前夜を思い起こせ
日本企業がEU AI法の影響を受けるケースは三つある。
一つ目は、欧州法人・欧州顧客向けにAIシステムを展開している場合だ。 欧州域内で利用されるシステムは、開発者が日本に拠点を置いていてもEU AI法の適用対象となる。
二つ目は、欧州企業のサプライヤーとしてAIコンポーネントを提供している場合だ。 欧州の最終製品にAI部品を提供する日本企業も、間接的にコンプライアンス要件への対応を求められる可能性がある。
三つ目は、将来の欧州展開を検討している場合だ。 GDPRのときと同様、EU AI法は欧州のスタンダードが世界に波及する「ブリュッセル効果」をもたらしうる。 今から設計に組み込んでおくことが、将来のコストを最小化する。
IBMとRed Hatがオープンソースの「AIセキュリティ危機」に50億ドルで挑むように、大手IT企業はすでにコンプライアンス対応を製品差別化の機会と捉えている。
今すぐ着手すべき5つのアクション
残り60日で対応できることは限られているが、最低限のリスクヘッジとして以下を推奨する。
(1) 自社のAIシステムを棚卸しし、EU AI法の「高リスク」分類に該当するものを特定する。 (2) 該当システムの監査ログ実装状況を確認し、不足があれば優先的に対応する。 (3) GDPRの担当部門と連携し、AI固有の義務追加に対応したコンプライアンス体制を構築する。 (4) 欧州のAIコンプライアンス専門法律事務所との顧問契約を検討する。 (5) 1年猶予の正式決定を注視しながら、長期ロードマップを策定する。
AI法の完全適用まで60日。あなたの組織はEU AI法の「高リスク」定義を把握し、該当するシステムの棚卸しをすでに終えているだろうか。
ソース:
