リソース/ガイド

包括的ガイド

EU AI Act 準拠の完全ガイド

ヨーロッパの画期的な AI 規制について知るべきすべて。リスク分類から技術要件まで、本ガイドは2026年8月の施行期限を前に貴組織が把握すべき事項を解説する。

読了25分

2025年1月更新

専門家によるレビュー済み

PDF版をダウンロード

EU AI Act とは何か？

EU Artificial Intelligence Act（Regulation (EU) 2024/1689）は、人工知能に関する世界初の包括的な法的枠組みである。2024年6月に採択され、欧州連合域内における AI システムの開発、市場投入、利用について調和のとれた規則を定める。

本規制はリスクベースのアプローチを採用し、AI システムを4つのリスクレベルに分類し、比例的な要件を課す。これは、健康、安全、または基本的権利により大きなリスクをもたらす AI システムには、より厳格な義務が適用されることを意味する。

AI Act は以下に適用される：

プロバイダー：AI システムを EU 市場に投入する、またはサービスに供する者
デプロイヤー：EU 域内で AI システムを利用する者
輸入業者および販売業者：AI のサプライチェーンに関与する者
EU 域外の事業者：その AI の出力が EU 域内で利用される者

域外適用の範囲は、EU 域外の組織であっても、その AI システムが EU 加盟国内の個人に影響を及ぼす場合には準拠しなければならないことを意味する — GDPR がデータ処理に適用されるのと同様である。

重要な日付とスケジュール

EU AI Act は段階的な実施アプローチを採用しており、組織が準備できるよう、異なる規定が異なる時期に適用される。

2024年8月1日

発効

EU AI Act が正式に発効した

2025年2月2日

禁止 AI の禁止

許容できないリスクの AI システムの禁止が発効する

2025年8月2日

GPAI 規則の適用

汎用 AI モデルに関する規則が適用される

2026年8月2日

全面的な執行

high-risk AI 要件を含むすべての規定が適用される

2027年8月2日

既存システムの期限

既存の high-risk AI システムは準拠状態にしなければならない

重要な期限

2026年8月2日 は、high-risk AI システムに対する全面的な執行が開始される時点である。組織はこの期限に間に合わせるため、今すぐ準拠への取り組みを開始すべきである。ほとんどの準拠プログラムは、適切な実装に6〜12か月を要する。

リスク分類システム

EU AI Act は、AI システムが引き起こしうる潜在的な損害に比例した要件を伴うリスクレベルのピラミッドを確立する。自社システムの分類を理解することが、準拠への第一歩である。

許容できないリスク

完全に禁止

安全、生計、または権利に対する明白な脅威となる AI システム

•公的機関による社会的スコアリング

•公共空間でのリアルタイム生体認証（例外あり）

•脆弱な集団の操作

•無意識の行動の悪用

High Risk

厳格な準拠要件

人々に重大な影響を及ぼしうる重要分野で利用される AI システム

•信用スコアリングと融資判断

•採用および人事判断

•教育評価

•法執行および国境管理

•重要インフラの管理

限定的リスク

透明性要件

特定の透明性義務を伴う AI システム

•チャットボットおよび対話型 AI

•感情認識システム

•ディープフェイク生成器

•AI 生成コンテンツ

最小リスク

任意の行動規範

特定の規制要件のない AI システム

•スパムフィルター

•AI 搭載ビデオゲーム

•在庫管理

•ほとんどの消費者向けアプリケーション

禁止される AI 慣行

AI Act は、基本的権利に対して許容できないリスクをもたらすとみなされる特定の AI 慣行を完全に禁止する。これらの禁止は2025年2月2日に発効した。

禁止される用途（Article 5）

損害を引き起こすサブリミナル操作

脆弱な集団の悪用

公的機関による社会的スコアリング

公共空間でのリアルタイム遠隔生体認証（限定的な例外あり）

職場/教育における感情認識（例外が適用される）

機微な属性に基づく生体分類

顔認識データベースのための非標的型スクレイピング

プロファイリングのみに基づく予測的取締り

注：一部の禁止には、事前の司法承認を得た法執行および特定の重大犯罪のシナリオに関する限定的な例外がある。組織は境界事例について法的助言を求めるべきである。

high-risk AI システム

high-risk AI システムは、AI Act の下で最も包括的な要件の対象となる。これらは規制の Annexes I および III で定義されている。

Annex III のカテゴリー

生体認証システム

遠隔生体認証、分類

重要インフラ

エネルギー、輸送、水、デジタルインフラ

教育・訓練

学生の評価、アクセス判断、不正検知

雇用

採用、人事判断、パフォーマンス監視

必須サービス

信用スコアリング、緊急サービス、給付資格

法執行

リスク評価、証拠評価、犯罪分析

移民・国境

渡航文書の検証、ビザ処理

司法・民主主義

法律調査支援、司法支援

重要：安全コンポーネント

EU 調和法令（Annex I）の対象となる製品において安全コンポーネントとして利用される AI システムは、自動的に high-risk に分類される。これには機械、玩具、医療機器、車両、航空、船舶機器などにおける AI が含まれる。

役割別の義務

AI Act は、AI バリューチェーンにおける役割に応じて異なる義務を割り当てる。ほとんどの組織はプロバイダー（AI を開発する者）またはデプロイヤー（AI を利用する者）のいずれかである。

プロバイダー

AI システムを開発する、または市場に投入する組織

リスク管理システムを導入する

データガバナンスと品質を確保する

技術文書を作成する

人間による監督機能を可能にする

必要な正確性と堅牢性を達成する

EU データベースに登録する

適合性評価を実施する

デプロイヤー

職務上の立場で AI システムを利用する組織

指示に従ってシステムを利用する

人間による監督が行われることを確保する

運用中のリスクを監視する

必要なログを保持する

影響評価を実施する（high-risk の場合）

影響を受ける個人に通知する

輸入業者

EU 域外の AI システムを市場に持ち込む組織

プロバイダーの適合性評価を検証する

CE マーキングが付されていることを確保する

技術文書が存在することを確認する

プロバイダーに連絡できることを検証する

文書を10年間保管する

販売業者

サプライチェーンにおける組織（プロバイダーでも輸入業者でもない）

流通前に CE マーキングを検証する

必要な文書がシステムに付随することを検証する

保管/輸送が準拠を損なわないことを確保する

市場監視に協力する

high-risk AI の技術要件

high-risk AI システムは、そのライフサイクル全体を通じて特定の技術要件を満たさなければならない。これらの要件は、プロバイダーが実装すべき事項の中核を成す。

リスク管理システム

Article 9

AI システムのライフサイクル全体を通じた継続的かつ反復的なプロセス

既知かつ予見可能なリスクを特定し分析する

意図された用途および誤用によるリスクを推定し評価する

リスク軽減策を実施する

リスク管理策をテストし検証する

データガバナンス

Article 10

訓練、検証、テスト用データセットが品質基準を満たすことを確保する

関連性があり、代表的で、誤りのないデータ

適切な統計的特性

特定の地理的、文脈的、または行動的な状況の考慮

バイアスの検出と是正

技術文書

Article 11, Annex IV

準拠を証明する包括的な文書

AI システムの全般的な説明

設計仕様とシステムアーキテクチャ

訓練手法の説明

検証およびテストの手順

リスク管理に関する文書

記録保持

Article 12

運用中のイベントの自動ログ記録

AI システムの機能のトレーサビリティを可能にする

リスクを特定し、上市後の監視を促進する

適切な期間ログを保持する

所管当局がアクセス可能

透明性

Article 13

デプロイヤーが出力を適切に解釈し利用できるようにする

明確な使用説明

能力と限界

期待される正確性のレベル

性能に影響する既知の状況

人間による監督

Article 14

運用中の効果的な人間の介入を可能にする

システムの能力と限界を理解する

運用を監視し異常を特定する

出力を正しく解釈する

システムの動作を無効化または中断する

正確性、堅牢性、セキュリティ

Article 15

適切な性能レベルを達成する

説明書に記載された正確性のレベル

誤りや不整合に対する耐性

操作（敵対的攻撃）からの保護

ライフサイクル全体にわたるサイバーセキュリティ

罰則と執行

EU AI Act は、GDPR と同様の段階的な構造に従い、不準拠に対して相当額の行政制裁金を定める。

ティア1：禁止 AI 違反

最大3,500万 € または全世界年間売上高の7%

禁止される AI 慣行に関わる違反に対して（いずれか高い方）

ティア2：要件への不準拠

最大1,500万 € または全世界年間売上高の3%

high-risk AI 要件または GPAI 義務の違反に対して（いずれか高い方）

ティア3：不正確な情報

最大750万 € または全世界年間売上高の1.5%

当局への不正確または誤解を招く情報の提供に対して（いずれか高い方）

中小企業への配慮

本規制は中小企業向けの規定を含む。中小企業およびスタートアップについては、制裁金は割合または固定額のいずれか低い方に基づいて算定される。加盟国は規制サンドボックスおよび支援メカニズムの提供も義務づけられている。

準拠の達成

EU AI Act 準拠への体系的なアプローチは、通常これらのフェーズに従う。組織は2026年8月までに準備を整えるため、今すぐ着手すべきである。

棚卸し

全事業部門にわたるすべての AI システムを棚卸しする

分類

Annex III のカテゴリーに従いリスクレベルを評価する

ギャップ分析

要件に対する準拠ギャップを特定する

是正

技術的措置およびガバナンス措置を実施する

標準的なスケジュール

ほとんどの組織は、high-risk AI システムについて監査対応可能な準拠を達成するために6〜12か月を要する。これには以下が含まれる：

初期の棚卸しと分類に2〜4週間
技術要件の実装に4〜8週間
文書化とガバナンスの整備に2〜4週間
継続的な監視と継続的改善

準拠への取り組みを始める準備はできていますか？

47項目の無料チェックリストをダウンロードするか、貴組織固有の準拠ニーズについて専門家にご相談ください。

EU AI Act 準拠の完全ガイド

読了25分

2025年1月更新

専門家によるレビュー済み

PDF版をダウンロード

EU AI Act とは何か？

AI Act は以下に適用される：

プロバイダー：AI システムを EU 市場に投入する、またはサービスに供する者
デプロイヤー：EU 域内で AI システムを利用する者
輸入業者および販売業者：AI のサプライチェーンに関与する者
EU 域外の事業者：その AI の出力が EU 域内で利用される者

重要な日付とスケジュール

EU AI Act は段階的な実施アプローチを採用しており、組織が準備できるよう、異なる規定が異なる時期に適用される。

2024年8月1日

発効

EU AI Act が正式に発効した

2025年2月2日

禁止 AI の禁止

許容できないリスクの AI システムの禁止が発効する

2025年8月2日

GPAI 規則の適用

汎用 AI モデルに関する規則が適用される

2026年8月2日

全面的な執行

high-risk AI 要件を含むすべての規定が適用される

2027年8月2日

既存システムの期限

既存の high-risk AI システムは準拠状態にしなければならない

重要な期限

リスク分類システム

許容できないリスク

完全に禁止

安全、生計、または権利に対する明白な脅威となる AI システム

•公的機関による社会的スコアリング

•公共空間でのリアルタイム生体認証（例外あり）

•脆弱な集団の操作

•無意識の行動の悪用

High Risk

厳格な準拠要件

人々に重大な影響を及ぼしうる重要分野で利用される AI システム

•信用スコアリングと融資判断

•採用および人事判断

•教育評価

•法執行および国境管理

•重要インフラの管理

限定的リスク

透明性要件

特定の透明性義務を伴う AI システム

•チャットボットおよび対話型 AI

•感情認識システム

•ディープフェイク生成器

•AI 生成コンテンツ

最小リスク

任意の行動規範

特定の規制要件のない AI システム

•スパムフィルター

•AI 搭載ビデオゲーム

•在庫管理

•ほとんどの消費者向けアプリケーション

禁止される AI 慣行

AI Act は、基本的権利に対して許容できないリスクをもたらすとみなされる特定の AI 慣行を完全に禁止する。これらの禁止は2025年2月2日に発効した。

禁止される用途（Article 5）

損害を引き起こすサブリミナル操作

脆弱な集団の悪用

公的機関による社会的スコアリング

公共空間でのリアルタイム遠隔生体認証（限定的な例外あり）

職場/教育における感情認識（例外が適用される）

機微な属性に基づく生体分類

顔認識データベースのための非標的型スクレイピング

プロファイリングのみに基づく予測的取締り

high-risk AI システム

high-risk AI システムは、AI Act の下で最も包括的な要件の対象となる。これらは規制の Annexes I および III で定義されている。

Annex III のカテゴリー

生体認証システム

遠隔生体認証、分類

重要インフラ

エネルギー、輸送、水、デジタルインフラ

教育・訓練

学生の評価、アクセス判断、不正検知

雇用

採用、人事判断、パフォーマンス監視

必須サービス

信用スコアリング、緊急サービス、給付資格

法執行

リスク評価、証拠評価、犯罪分析

移民・国境

渡航文書の検証、ビザ処理

司法・民主主義

法律調査支援、司法支援

重要：安全コンポーネント

役割別の義務

プロバイダー

AI システムを開発する、または市場に投入する組織

リスク管理システムを導入する

データガバナンスと品質を確保する

技術文書を作成する

人間による監督機能を可能にする

必要な正確性と堅牢性を達成する

EU データベースに登録する

適合性評価を実施する

デプロイヤー

職務上の立場で AI システムを利用する組織

指示に従ってシステムを利用する

人間による監督が行われることを確保する

運用中のリスクを監視する

必要なログを保持する

影響評価を実施する（high-risk の場合）

影響を受ける個人に通知する

輸入業者

EU 域外の AI システムを市場に持ち込む組織

プロバイダーの適合性評価を検証する

CE マーキングが付されていることを確保する

技術文書が存在することを確認する

プロバイダーに連絡できることを検証する

文書を10年間保管する

販売業者

サプライチェーンにおける組織（プロバイダーでも輸入業者でもない）

流通前に CE マーキングを検証する

必要な文書がシステムに付随することを検証する

保管/輸送が準拠を損なわないことを確保する

市場監視に協力する

high-risk AI の技術要件

リスク管理システム

Article 9

AI システムのライフサイクル全体を通じた継続的かつ反復的なプロセス

既知かつ予見可能なリスクを特定し分析する

意図された用途および誤用によるリスクを推定し評価する

リスク軽減策を実施する

リスク管理策をテストし検証する

データガバナンス

Article 10

訓練、検証、テスト用データセットが品質基準を満たすことを確保する

関連性があり、代表的で、誤りのないデータ

適切な統計的特性

特定の地理的、文脈的、または行動的な状況の考慮

バイアスの検出と是正

技術文書

Article 11, Annex IV

準拠を証明する包括的な文書

AI システムの全般的な説明

設計仕様とシステムアーキテクチャ

訓練手法の説明

検証およびテストの手順

リスク管理に関する文書

記録保持

Article 12

運用中のイベントの自動ログ記録

AI システムの機能のトレーサビリティを可能にする

リスクを特定し、上市後の監視を促進する

適切な期間ログを保持する

所管当局がアクセス可能

透明性

Article 13

デプロイヤーが出力を適切に解釈し利用できるようにする

明確な使用説明

能力と限界

期待される正確性のレベル

性能に影響する既知の状況

人間による監督

Article 14

運用中の効果的な人間の介入を可能にする

システムの能力と限界を理解する

運用を監視し異常を特定する

出力を正しく解釈する

システムの動作を無効化または中断する

正確性、堅牢性、セキュリティ

Article 15

適切な性能レベルを達成する

説明書に記載された正確性のレベル

誤りや不整合に対する耐性

操作（敵対的攻撃）からの保護

ライフサイクル全体にわたるサイバーセキュリティ

罰則と執行

EU AI Act は、GDPR と同様の段階的な構造に従い、不準拠に対して相当額の行政制裁金を定める。

ティア1：禁止 AI 違反

最大3,500万 € または全世界年間売上高の7%

禁止される AI 慣行に関わる違反に対して（いずれか高い方）

ティア2：要件への不準拠

最大1,500万 € または全世界年間売上高の3%

high-risk AI 要件または GPAI 義務の違反に対して（いずれか高い方）

ティア3：不正確な情報

最大750万 € または全世界年間売上高の1.5%

当局への不正確または誤解を招く情報の提供に対して（いずれか高い方）

中小企業への配慮

準拠の達成

EU AI Act 準拠への体系的なアプローチは、通常これらのフェーズに従う。組織は2026年8月までに準備を整えるため、今すぐ着手すべきである。

棚卸し

全事業部門にわたるすべての AI システムを棚卸しする

分類

Annex III のカテゴリーに従いリスクレベルを評価する

ギャップ分析

要件に対する準拠ギャップを特定する

是正

技術的措置およびガバナンス措置を実施する

標準的なスケジュール

ほとんどの組織は、high-risk AI システムについて監査対応可能な準拠を達成するために6〜12か月を要する。これには以下が含まれる：

初期の棚卸しと分類に2〜4週間
技術要件の実装に4〜8週間
文書化とガバナンスの整備に2〜4週間
継続的な監視と継続的改善

準拠への取り組みを始める準備はできていますか？

47項目の無料チェックリストをダウンロードするか、貴組織固有の準拠ニーズについて専門家にご相談ください。

EU AI Act 準拠の完全ガイド

EU AI Act とは何か？

重要な日付とスケジュール

発効

禁止 AI の禁止

GPAI 規則の適用

全面的な執行

既存システムの期限

重要な期限

リスク分類システム

許容できないリスク

High Risk

限定的リスク

最小リスク

禁止される AI 慣行

禁止される用途（Article 5）

high-risk AI システム

Annex III のカテゴリー

生体認証システム

重要インフラ

教育・訓練

雇用

必須サービス

法執行

移民・国境

司法・民主主義

重要：安全コンポーネント

役割別の義務

プロバイダー

デプロイヤー

輸入業者

販売業者

high-risk AI の技術要件

リスク管理システム

データガバナンス

技術文書

記録保持

透明性

人間による監督

正確性、堅牢性、セキュリティ

罰則と執行

ティア1：禁止 AI 違反

ティア2：要件への不準拠

ティア3：不正確な情報

中小企業への配慮

準拠の達成

棚卸し

分類

ギャップ分析

是正

標準的なスケジュール

準拠への取り組みを始める準備はできていますか？

関連リソース

EU AI Act 準拠チェックリスト

EU AI Act 準拠サービス

ケーススタディ：金融サービス

EU AI Act 準拠の完全ガイド

EU AI Act とは何か？

重要な日付とスケジュール

発効

禁止 AI の禁止

GPAI 規則の適用

全面的な執行

既存システムの期限

重要な期限

リスク分類システム

許容できないリスク

High Risk

限定的リスク

最小リスク

禁止される AI 慣行

禁止される用途（Article 5）

high-risk AI システム

Annex III のカテゴリー

生体認証システム

重要インフラ

教育・訓練

雇用

必須サービス

法執行