EU AI法が施行された——日本企業はどう対応すべきか

EU AI法とは何か

EU AI法（Artificial Intelligence Act）は2024年8月に施行が開始され、段階的に規制が適用されていく世界初の包括的なAI規制法だ。

GDPRと同様に「域外適用」の考え方を持つため、EU域内に拠点を持たない日本企業でも、EU市場向けにAI製品・サービスを提供している場合は対象になりうる。「日本の法律じゃないから関係ない」とは言い切れない点に注意が必要だ。

リスクレベルによる分類が基本

EU AI法の核心は「リスクベースの規制」だ。AIシステムを4段階のリスクレベルに分類し、高リスクなものほど厳しい要件を課す。

受容不可能なリスク（全面禁止）

リアルタイムの生体認証による公共の場での市民監視、ソーシャルスコアリング、人の行動を操作するサブリミナル技術など。これらは完全に禁止される。

高リスクAI

雇用・採用の意思決定支援、信用スコアリング、医療診断、重要インフラ管理、司法判断支援など。厳格なドキュメント要件、人間によるオーバーサイト、透明性義務が課される。

限定リスクAI

チャットボット、感情認識システムなど。主に透明性（利用者がAIと対話していることを知らせる）の義務がある。

最小リスクAI

スパムフィルター、ゲームAIなど。規制なし（自主規制のみ）。

日本企業への影響範囲

影響を受ける可能性があるケース

EU域内の顧客や従業員向けにAIシステムを提供している企業は要注意だ。具体的には：

• EU在住者向けのECサービスでAIによる価格設定や推奨を行っている
• EU拠点の採用プロセスでAIを使った候補者スクリーニングをしている
• EU顧客向けのカスタマーサポートにAIチャットボットを使っている

これらは「高リスク」または「限定リスク」に分類される可能性があり、EU AI法の要件への対応が必要になる。

影響を受けにくいケース

• 日本国内のみで事業を行い、EU顧客が皆無
• 社内業務の効率化にのみAIを使っており、EU従業員も対象外
• 使用しているのがClaude・ChatGPTなどのAPIで、独自AIシステムの開発・提供はしていない

最後の点は重要で、ChatGPTやClaudeを使う「ユーザー企業」は基本的に直接の規制対象ではない。規制の主な対象は「AIシステムのプロバイダー（開発者・提供者）」だ。

GPAI（汎用AI）規制

2025年8月から、Claude・GPT・Geminiなどの「汎用AIモデル」に関する規制も適用されている。

主な義務はプロバイダー側（Anthropic・OpenAI・Google等）に課されるが、EU域内でGPAIを使ったサービスを開発・提供する企業は、使用モデルの透明性開示が求められる。「このサービスはどのAIモデルを使っているか」をユーザーに示す必要が生じる可能性がある。

対応が必要な企業が今すべきこと

ステップ1: AIシステムの棚卸し

自社が「どのAIシステムを使っているか」「そのシステムはどのリスクカテゴリに入るか」「EU域内のユーザーに提供されているか」を整理する。この棚卸しなしに対応を始めても無駄が多い。

ステップ2: 高リスクシステムの特定

棚卸し結果から、高リスクに分類されるシステムを特定する。採用・信用審査・医療支援にAIを使っている場合は優先して評価する。

ステップ3: 法務・外部専門家との連携

EU AI法はGDPRと同様に解釈が難しく、専門家なしに自社判断するのはリスクが高い。EU現地の弁護士や、GDPR対応実績のあるコンサルタントに早期に相談しておく。

ステップ4: 透明性の整備

チャットボットなどを使っている場合、「AIが回答しています」という開示をユーザーに行う仕組みを整える。これは限定リスクの透明性義務への対応であり、難易度は低い。

まとめ

EU AI法はGDPRほど広い意味での影響はないが、EU市場にアクセスする企業・AIシステム開発者には確実に影響が出る。

「使うだけの企業」は直接の義務は少ないが、自社のサービスにAIを組み込んで提供するなら話は別だ。今の時点で「自社はどのカテゴリに入るか」を法務と確認しておくことが、将来の対応コストを下げる最短ルートだ。