EU AI 法、高リスク AI システム向け規制が8月施行へ―企業は適合評価・ドキュメント整備が急務

概要

※本記事は公開情報をもとに編集部が再構成したサマリです。一次情報は出典欄をご参照ください。

EU AI 法（Regulation (EU) 2024/1689）に基づき、「高リスク AI システム」（Annex III）に分類されるシステムへの義務規定が2026年8月より本格適用される。採用・人事評価、信用スコアリング、医療診断、重要インフラ管理、教育評価など幅広い業務用 AI が対象となり、事前の適合性評価（conformity assessment）・リスク管理システムの整備・技術文書の作成・EU 域内の市場監視機関への登録が義務づけられる。違反時は最大 3,000 万ユーロまたは全世界年間売上高の 6% の課徴金が科せられる。

事実のポイント

• 適用開始: 2026年8月（高リスク AI システム向け Annex III 規定）
• 高リスク分類（Annex III）の主な対象:
  • 生体認証・本人確認システム
  • 重要インフラ（電力・水道・交通等）管理 AI
  • 採用・昇進・解雇の判断に使う AI
  • 信用審査・ローン・保険審査 AI
  • 法執行・司法・国境管理 AI
  • 医療機器（診断支援）
• 義務事項: 適合性評価・リスク管理システム・技術文書・ログ記録・人間による監督機能・透明性・精度基準
• 課徴金: 最大 3,000 万 EUR または全世界売上高の 6%

用語・背景の補足

EU AI 法（AI Act）: 世界初の包括的 AI 規制法。2024年に成立し、リスク分類（禁止・高リスク・限定リスク・最小リスク）に応じた義務を設ける。禁止用途は2024年8月に先行施行（社会的スコアリング・無差別な顔認識等）。高リスク用途は今回の2026年8月が主要マイルストーン。

適合性評価（Conformity Assessment）: 製品・システムが規制要件を満たしているか事前に評価し、CE マーキング等の認証を得るプロセス。高リスク AI は原則として第三者機関による評価が必要になる場合がある。

注意点

• 「高リスク」かどうかの分類判断が複雑で、自社の AI ユースケースが該当するかの法的解釈が難しい
• 対応準備には通常 6〜18 ヶ月を要するとされており、現時点では「すでに遅い」ケースも存在する
• 日本企業も EU 域内でサービスを提供・データを処理する場合は域外適用（GDPR と同様）の対象となる

編集部見解

（追記予定）