§1 生体認証
分野横断- 遠隔生体認証(第5条で禁止されないもの)
- 生体分類(機微な属性は除外)
- 禁止されない文脈での感情認識
EU AI Act(規則(EU)2024/1689)は、AIシステムを4つのリスク区分 — 禁止、高リスク、限定リスク、最小リスク — に分類します。高リスクのカテゴリー(第6条ならびに附属書Iおよび附属書IIIのリストで定義)は、企業のAIに関する義務の大半が集中する領域です。
附属書IIIには高リスクのユースケースが8つのカテゴリーで含まれています。すなわち、生体認証、重要インフラ、教育、雇用、必須サービス、法執行、移民、司法/民主主義です。お客様のAIがいずれかに該当する場合、適合性評価、技術文書、人的監督、市販後モニタリングの一式が全面的に適用され、罰則は最大1,500万ユーロまたは全世界売上高の3%に達します。
高リスクの義務は2026年8月2日から適用されます。第6条(3)は、AIが「限定的な手続き的タスク」のみを行う場合、過去に完了した人間の活動の結果を改善する場合、意思決定パターンからの逸脱をそれに代わることなく検出する場合、または準備的タスクを行う場合に、限定的な適用除外を定めています。
EU AI Act は、世界初の包括的かつ横断的なAI規制です。EU市場にAIシステムを投入する提供者、およびEU域内でAIシステムを利用する導入者 — 出力がEU域内で利用される非EU企業を含む(第2条) — に適用されます。
GDPRと同様に、AI Act は域外適用されます。GDPRと同様に、違反には売上高に対する一定割合の罰則が科されます。GDPRと異なり、禁止されるユースケースの明示的なカテゴリーと、高リスクシステムに対するはるかに大量の市販前要件があります。
企業のAIの大半は、高リスク(HR、与信、生体認証のユースケースによる)または限定リスク(チャットボットの導入による)のいずれかに該当します。
第6条は、AIシステムが次のいずれかを満たす場合に高リスクと分類します:
多くのシステムは両方の判定を満たします。大半のプロダクトチームが理解すべきは附属書IIIのルートです。
第6条(3)は限定的な適用除外を設けています。附属書IIIに掲載されたAIシステムは、意思決定の結果に実質的な影響を及ぼさないことを含め、自然人の健康、安全、または基本的権利に対する重大な被害のリスクをもたらさない場合には、高リスクではありません。第6条(3)の条件は次のとおりです:
この適用除外は、AIシステムが自然人のプロファイリングを行う場合には適用されません。提供者が附属書IIIのシステムを高リスクではないと結論づける場合、提供者はその評価を文書化し(第6条(4))、当該システムをEUデータベースに登録(第49条)しなければなりません。
高リスクの義務は広範にわたります。提供者は次を行わなければなりません:
導入者 — その権限の下でAIシステムを使用する自然人または法人 — には、より軽いものの実際の義務があります:
通常はなりません。汎用チャットボットは第50条の下で限定リスクです — 利用者がAIとやり取りしていることを開示する必要があります。ただし、求職者、与信申請、難民申請を評価するチャットボットは、附属書III §4、§5、または§7の下で高リスクとなります。
汎用AIモデルは、第51〜55条の下で独自のルールセット(技術文書、著作権ポリシー、訓練データの要約、システミックリスクを伴うGPAIへのより厳格なルール)を持ちます。GPAIの義務は2025年8月2日から適用されています。
部分的に。第2条(12)は、無償かつオープンソースのAIを多くの要件から除外します — ただし、システムが高リスク、禁止、または第50条の透明性義務の対象である場合を除きます。実務上の効果: オープンソースモデルは自由に利用できますが、高リスクの文脈にある導入者は依然として高リスクの義務を負います。
両者は並行して適用されます。個人データを処理するAIは、GDPR(適法な根拠、DPIA、第22条に基づく自動意思決定)とAI Act(適合性評価、FRIA、市販後モニタリング)の双方を満たさなければなりません。高リスクAIの提供者は通常、DPIAとAI Act の技術文書ファイルの両方を必要とします。
実質的には不可能です。第2条(1)は、EU市場にAIシステムを投入する提供者、出力がEU域内で利用される第三国の提供者、およびEU域内の導入者を対象とします。主要なAIベンダーの大半が適用範囲に含まれます。
RegulatoryBridgeは、高リスクAIシステムの適合性評価、FRIA、技術文書、市販後モニタリングを代行します — お客様のプロダクトチームは書類仕事ではなくモデルに集中できます。