のぞみ総合法律事務所
外国法事務弁護士 ミハエル ムロチェク
弁護士 當舎修

1. はじめに
   　グローバルなAI規制における重要なマイルストーンとなる、欧州（EU）AI法（Artificial Intelligence Act、以下AI法）が2024年8月1日に発効しました。AI法は、世界初のAIに関する包括的な法的枠組みとして、AIの安全性、透明性、説明責任を確保するため、段階的に導入されることとなっています。
   　2025年2月2日にAI法の第1段階が導入され、許容できないリスクとして分類されたAIの利用を禁止する規定が法的拘束力を持つようになりました。この規制はEU域内の企業だけでなく、ＥＵ域外の企業であっても、そのAIシステムがEU市場に提供され、またはEU域内の個人に影響を及ぼす場合に適用されます。

2. 適用範囲：誰が順守すべきか
   　AI法は、EU域内外の幅広いAI開発者や使用者に適用されます。この規制は以下の者を明示的に対象としています。

• • EU域内または第三国のいずれを拠点とするかにかかわらず、EU市場にAIシステムを提供するAIプロバイダー
  • EU域内でAIシステムを導入する企業、すなわちEU域内でAIソリューションを利用する企業（デプロイヤー）
  • その運用するAIシステムの出力がEU域内で利用される場合の非EU企業
  • EU市場においてAIシステムを輸入・販売する企業（インポーター・ディストリビューター）
  • AIを自社製品に組み込み、EU市場で利用可能とするメーカー
  • 外国企業がAI法を遵守していることを保証する、EU域外のAIプロバイダーの代理人
  • EU域内に居住する影響を受ける個人

　この域外適用は、EU一般データ保護規則（GDPR）のアプローチに従うものであり、AIに関するグローバルな規制基準の設定におけるEUの役割を強化するものです。

3. 禁止AIに関する規定の法的拘束力
   　AI法は、基本的人権や公共の安全に対して許容できないリスクをもたらす可能性があるとみなされる特定のAIアプリケーションを厳格に禁止しています。2025年2月2日現在、以下のAIシステムは禁止されています。

• • 潜在意識に影響を与え、または操作的もしくは欺瞞的な技法 – 人の行動を歪め、実害を引き起こす可能性のあるAIシステム
  • 脆弱性の悪用 – 個人の年齢、障害、または社会・経済的地位を悪用するように設計されたAIシステム
  • ソーシャルスコアリング – 個人の行動に基づいて個人を分類またはランク付けし、差別を助長するAIシステム
  • 犯罪リスクの評価 – 個人の性格特性や特徴をプロファイリングまたは評価することのみに基づいて、その個人が罪を犯すリスクを判定するAIシステム
  • 顔認識データベースの作成 – インターネットや監視カメラ映像から無差別に顔画像を収集し、顔認識データベースを作成するAIシステム
  • 感情推測 – 職場または教育機関において感情を推測するAIシステム（ただし、医療または安全上の理由による場合など限られた例外を除く）
  • 生体情報による分類に基づく機微な属性の推測 – 生体情報による分類に基づき、人種、政治的信条、労働組合への加入、宗教的もしくは哲学的信念、または性生活もしくは性的指向を推測するAIシステム
  • 公共の場におけるリアルタイムでの遠隔生体認証 – AIを活用した顔認識および生体情報による追跡（ただし、司法当局の許可に基づく法執行など限られた例外を除く）

 　これらの禁止措置は、EU域内で事業を展開する企業だけでなく、EU市場にAIシステムを提供する非EU企業、またはそのAIモデルがEU市民に影響を与える非EU企業にも適用されます。これらの禁止措置に違反した場合は、最大3,500万ユーロまたは全世界年間売上高の7％に相当する高額の罰金が科される可能性があります。

4. 今後の施行スケジュール
   　AI法の導入は段階的に行われ、今後2年間にわたって順次、新たなコンプライアンス義務が発効します。主なスケジュールは以下のとおりです。

• • 2025年5月 – コンプライアンスの監督および執行を担当するEU AI事務局が正式に設立されます。
  • 2025年8月 – EUは汎用目的型AI（GPAI）モデルの規制を確定し、ファウンデーションモデルなどの大規模AIシステムに透明性と説明責任の要件を課します。ただし、その時点ですでにGPAIモデルを市場に展開しているプロバイダーは、2027年8月までに準拠すればよいこととされています。
  • 2026年8月 – 展開前のリスク評価、透明性義務、適合性評価など、ハイリスクのAIアプリケーションに対するコンプライアンス要件が義務化されます。
  • 2027年8月 – 分野別の義務および最終的な規制枠組みの導入を含む、AI法のすべての規定が完全施行されます。

5. 企業がコンプライアンスのために取るべきステップ
   　AI法の広範な域外適用を踏まえ、EU域内外の企業は、コンプライアンスリスクを評価し、軽減するための対応策を速やかに講じる必要があります。

• • 規制の対象となるAIシステムの特定 – 企業は、自社のAIモデルが同法の対象となるかどうかを、市場展開やEU市民への影響という観点から判断する必要があります。
  • AI製品・サービスの禁止事項の確認 – すでに法的拘束力を持つ禁止事項へのコンプライアンス違反がないかを精査することが重要です。
  • 迫りくるハイリスクAIへの要求事項に備える – ヘルスケア、金融、法執行、雇用など機微性の高い分野でAIを開発する企業は、リスク評価および透明性確保の準備を開始する必要があります。
  • EUの規制ガイダンスを継続的に監視する – EU AI事務局および各国の執行当局は、今後数か月の間に、期待されるコンプライアンスを明確化する予定です。

6. 結論
   　AI法は現在施行されており、禁止AIに関する規定はすでに拘束力を持っています。同法の適用範囲はEU域外にも及ぶため、各国の企業は早急に自社の規制上の義務を確認する必要があります。EU市場と関わりのあるAIプロバイダー、デプロイヤー、関係事業者は、コンプライアンス対応を進め、規制リスクを回避し、新たなグローバルAIガバナンスの基準に適合するために、今から積極的な対策を講じる必要があります。
   　AI法が自社にどのような影響を及ぼすのか、またコンプライアンス対応についての法的アドバイスが必要な場合は、お気軽にお問い合わせください。 

本記事に関するお問合せは、執筆者であるミハエル ムロチェク外国法事務弁護士、當舎修弁護士に直接ご連絡いただくか、又は弊社ウェブサイトのお問合せフォームまでお問合せください。