EUで事業を展開する企業は、EU AI Act(EU AI規制)を正しく理解する必要があります。違反した場合、高額な制裁金が課されるためです。日本企業も対象となる可能性があるため注意が必要です。本記事では、2026年2月時点のEU AI Actの概要や現地法人のAI活用で注意すべきリスクをわかりやすく解説します。
EU AI Act(EU AI規制)とは?
EU AI Actとは、2024年5月21日に欧州理事会で採択・成立したEUのAI規制法です。2024年8月1日に発効し、2025年から段階的な施行が進められています。
規制の目的
EU AI Actの主な目的は次の2つです。
- EUにおけるAIの信頼性の向上
AI利用によって差別や過度な監視、誤判断などが生じないよう、基本的人権や安全性を確保した「信頼できるAI」の普及を目指しています。
- EUにおけるAI利用の促進
共通の枠組みのもとで安全性と透明性を担保することで、EUにおけるAI利用の推進を図っています。
つまりEU AI Actは、「信頼を前提としたAI利用の拡大」を目指した制度と言えるでしょう。
規制の対象者
EU AI Actの対象者は、域内で利用されるAIシステムとステークホルダーです。主なステークホルダーは次のとおりです。
- 提供者:AIシステムを開発し市場に提供する自然人(個人)・法人・公的機関のこと。
- 利用者:AIシステムを業務で使用する自然人・法人・公的機関のこと。
- 輸入業者:域外で開発されたAIシステムを市場に流通させる自然人・法人のこと。
- 販売業者:AIシステムを域内に流通させる提供者・利用者以外の自然人・法人のこと。
EUの現地法人でAIを利用している企業や、EU向けにAIサービスを提供している企業は、本社が日本にあってもEU AI Actの規制対象となります。つまり、「本社が日本にあるから対象外」という認識は誤りです。
AIシステムの4つのリスクレベル
EU AI Actでは、AIシステムをリスクの大きさに応じて4つのレベルに分類し、それぞれに異なる規制や義務を設けています。リスクレベルの概要は次のとおりです。
許容できないリスク
基本的人権や安全を著しく損なう恐れがあるAIシステムを「許容できないリスク」と位置づけ、使用・提供を禁止しています。例えば、次のようなものが該当します。
- 潜在意識への働きかけや欺瞞的な手法で人の行動を不当に操作するAI
- 年齢や障害、社会的立場などの脆弱性を悪用するAI
- プロファイリングや性格分析のみを根拠に犯罪リスクを評価するAI
- インターネット上の顔画像を無差別に収集し、顔認識データベースを構築するAI
- 公共空間でのリアルタイム遠隔生体認証(顔認識など)を行うAI(例外あり)
つまり、社会や個人の脅威となるAIは禁止されています。
高リスク
基本的人権や安全に深刻なリスクをもたらすAIシステムを「高リスク」と位置づけ、提供者に対してシステム要件を満たすことを義務付けています。例えば、次のようなものが該当します。
- 重要インフラの運用に関わるAI
- 教育機関の入学判定や学習評価に用いられるAI
- 採用選考や人事評価、労働者の管理などに用いられるAI
- 与信審査や保険審査など、重要なサービスの利用可否を判断するAI
「高リスク」のAIシステムの提供者には、市場に投入する前にリスク評価やリスク軽減の仕組み、コンプライアンスを確認するための文書の作成、人による監視などのシステム要件を満たす義務があります。
透明性のリスク
利用者が人間と誤認する可能性があるAIシステムは、「透明性のリスク」に分類されます。例えば、次のようなものが該当します。
- チャットボットや音声アシスタントなど、AIが人と対話するシステム
- 実在人物と誤認される恐れのある生成コンテンツ(ディープフェイクなど)
「透明性のリスク」のAIシステムは禁止されていませんが、AIであることを明示する義務があります。
最小リスク
上記のいずれにも該当しないAIシステムは、「最小リスク」に分類されます。この区分のAIシステムには、規制やシステム要件は課されていません。
罰則
EU AI Actでは、違反内容に応じて高額な制裁金が科されます。特徴的なのは全世界年間売上高を基準に算定される可能性がある点です。主な罰則は次のとおりです。
- 「許容できないリスク」のAIシステムの使用・提供
最大:3,500万ユーロまたは全世界年間売上高の7%
- 「高リスク」のAIシステムに関する義務違反
最大:1,500万ユーロまたは全世界年間売上高の3%
- 不正確・不完全な情報の提供
最大:750万ユーロまたは全世界年間売上高の1%
非常に高額な制裁金が設定されているため、EU AI Actへの違反は企業のブランドイメージの毀損だけでなく、事業継続にも重大な影響を及ぼす恐れがあります。
EU AI Actが日本企業のEU現地法人に与える影響
EU AI Actは日本企業も無関係ではありません。現地法人がAIを利用している場合や、EU向けにAIサービスを提供している場合は規制の対象となる可能性があります。ここでは、EUに現地法人を持つ日本企業への主な影響を紹介します。
域外適用により日本で開発したAIも対象
日本で開発したAIシステムであってもEUで利用される場合はEU AI Actの対象です。「日本で開発したものだから関係ない」「本社が日本にあるから対象外」などの誤った認識は通用せず、こうした思い込みが規制に違反するリスクを生み出しかねません。
全世界年間売上高を基準に高額な制裁金を算定
EU AI Actに違反した場合、内容に応じて高額な制裁金が課されます。前年度の全世界年間売上高が大きいほど、制裁金も増える制度のためです。一度の違反でも企業経営に大きな影響を及ぼす可能性があります。
規制内容と利用しているAIの把握が急務
高額な制裁リスクがあることから、EUでAIを利用する際は、EU AI Actの内容とAIシステムが規制に抵触しないかを入念に確認する必要があります。
現地法人におけるAI利用リスクの具体例
EU AI Actは、現場でどのようなAIが使われているかによってリスクの大きさが変わります。ここでは、日本企業の現地法人が直面し得るAI利用リスクを解説します。
人事・採用でAIを利用するリスク
採用選考や人事評価、従業員管理にAIを利用している場合、厳格な規制が設けられている「高リスク」に該当する可能性があります。使用しているAIが「高リスク」に該当するか、必要なシステム要件を満たしているかを確認することが重要です。
顧客対応におけるチャットボット利用のリスク
カスタマーサポートや問い合わせ対応にAIチャットボットを導入している企業も増えています。これらは「透明性のリスク」に該当する可能性があります。違反とみなされないようにAI利用を明示しましょう。
業務効率化AIのリスク
業務効率化を目的としたAIは「最小リスク」に分類されることが多いものの、利用方法によっては規制対象となる可能性があります。例えば、生成AIを使って社外向けの資料や動画コンテンツを作成した場合、「透明性のリスク」に該当し、AIで生成したことを明示する義務が生じることがあります。このように、一見リスクが低そうなAIであっても、用途や運用次第で規制区分が変わる点に注意が必要です。
EU AI Actへの対応が遅れた場合のリスク
対応が遅れた場合の最大のリスクは、高額な制裁金が科される可能性があることです。金額は企業の存続に影響しかねない水準に設定されているため、AIシステムを使用・提供している企業は、早急に対応を進める必要があります。
日本企業が陥りやすいEU AI Actの思い込み
EU AI Actへの対応では、次のような思い込みが対応を遅らせる原因になりかねません。
- 本社が日本にあれば対象外
- AIベンダーが対応してくれる
- 社内利用のAIは規制対象外
- 生成AIは規制が緩い
こうした思い込みのままAIを利用し続けると、知らないうちに規制違反となる可能性があるためです。まずは、自社や現地法人でどのようなAIが使われているのかを整理し、EU AI Actの対象かどうかを確認しましょう。
本社は日本だから対象外という認識は最大のリスク
EU AI Actは、EUでAIを利用・提供している企業であれば、本社の所在地に関係なく適用される可能性があります。まずは現地法人でどのようなAIが使われているかを把握し、規制対象となる可能性を確認することから始めましょう。
プルーヴは、海外事業の成功につながる幅広い支援を提供しており、各国法規制にも精通しています。海外法規制への対応に不安や疑問があるご担当者様は、ぜひお気軽にご相談ください。
