NIST AI RMF 1.0は2023年1月26日に正式公開された、組織が自発的にAIシステムの信頼性を高めるための任意適用フレームワークである。その後、2024年7月26日には生成AI固有のリスクと対策を示すNIST-AI-600-1(生成AI向けプロファイル)がリリースされ、2026年4月7日には重要インフラ向け信頼できるAIプロファイルのコンセプトノートが公開された。フレームワーク本体に加え、Playbook・Roadmap・Crosswalk・各種Perspectivesといった補完資料も整備されており、日本語・アラビア語への翻訳も完了している。
一方、EU AI法は2024年6月13日付の官報で全条文が確定した法的強制力を持つ規制である。リスクベースの4段階分類(禁止・高リスク・限定リスク・最小リスク)を採用し、禁止AI慣行を第5条で、高リスクAIシステムの要件を第6〜49条で、汎用AIモデルの義務を第51〜56条で規定する。違反には第99〜101条に基づく罰則が科される。EU AI Act Explorerはこの全条文を検索可能な形で提供しており、コンプライアンスチェッカー機能によって自社に適用される条文を絞り込める実務ツールとなっている。
両フレームワークの最大の差異は強制力と設計思想にある。NISTは組織の自発的なリスク管理能力の向上を目的とし、適用・不適用の判断を組織に委ねる。EU AI法はリスク区分に応じた義務と罰則を法律として課す。日本企業にとってEU AI法は直接適用されないケースも多いが、EU市場向け製品・サービスの開発・販売・調達においては法的コンプライアンスが不可避となる。また、AI RMFの日本語翻訳版が存在することで、国内の行政ガイドラインや公共調達基準への反映ルートが現実的なものとなっている。重要インフラ向けプロファイルの具体化は、電力・金融・医療セクターにおける規制先行リスクを示すシグナルとして受け止める必要がある。
