NIST AI RMFとEU AI Actは、AIガバナンスの二大潮流を代表する制度設計だが、その性格は根本的に異なる。
NIST AI RMF(AI RMF 1.0)は米国国立標準技術研究所が策定した任意準拠のフレームワークで、組織がAIリスクを自主的に管理するための構造を提供する。GOVERN・MAP・MEASURE・MANAGEの4つのコア機能で構成され、AIシステムのライフサイクル全体にわたるリスクの特定・評価・対応を実践的に支援する設計になっている。法的拘束力はなく、米国政府調達や民間企業の自主的なリスク管理基準として活用されている。
一方、EU AI Actは欧州連合が制定した法律であり、AIシステムをリスクレベルに応じて分類し、それぞれに異なる法的義務を課す。社会的スコアリングや特定の生体認証など一部のAI利用は禁止、医療・インフラ・採用など高リスク用途には適合性評価・技術文書・人間監視・ログ記録などの要件が義務付けられる。EU域外の企業がEUユーザーに提供するシステムにも適用される域外適用条項を持つ点が、日本企業にとって特に重要な論点となる。
両者の共通点として、透明性・説明責任・人間による監視・堅牢性という概念は双方に登場する。このため、NIST AI RMFに沿ったリスク管理体制を構築した組織は、EU AI Actの高リスク要件の一部を満たす基盤を持つことになる。ただし、EU AI Actが求める第三者適合性評価や法的文書整備はNIST RMFの自主管理とは別途対応が必要であり、両者を「同一視して一方の対応で済む」という判断は誤りとなる。
日本の企業・行政・開発現場にとっての実務的含意は明確だ。国内市場のみを対象とする場合はNIST AI RMFを参照した自主管理が現実的な選択肢だが、EU市場への展開を持つ、または検討する組織はEU AI Actの適合義務を法的リスクとして経営レベルで認識する必要がある。段階的施行が進む中で、早期にギャップ分析と対応ロードマップを策定した組織が市場参入コストを最小化できる。
