EU AI法は、AIシステムを「許容不可リスク(禁止)」「高リスク」「透明性リスク」「最小・無リスク」の4段階に分類するリスクベースアプローチを採用した世界初の包括的AI規制である。
施行は段階的に進んでおり、2025年2月には社会スコアリング、感情認識、顔認識データベース構築目的のスクレイピングなど8つの行為が全面禁止された。2025年8月には汎用AIモデル(GPAIモデル)への規制が発効し、透明性、著作権遵守、システミックリスク評価の義務が開始された。欧州委員会は2025年7月に、GPAIモデル向けのガイドライン、行動規範、学習データ公開テンプレートの3文書を公表し、実装の指針を示している。
最大の山場は2026年8月で、高リスクAIシステムへの厳格な義務(リスク評価、データ品質管理、ログ記録、人間による監視など)が適用開始される。さらに2027年8月には追加の高リスク用途にも義務が及ぶ。
日本企業への影響は大きい。EU市場でAIを提供・利用する場合、域外適用の対象となるため、製造業のAI搭載製品、SaaS事業者、大規模言語モデル利用サービスは対応が不可避である。違反時の制裁金は年間売上高の最大7%に達するため、コンプライアンス投資を先送りするリスクは高い。今のフェーズは「準備」から「実装」への移行期にあたる。
