概要
EU AI法は、リスクに基づいて人工知能を規制するEUの包括的なAI法制度である。2026年6月29日、EU理事会がAI規則を簡素化・整備する規則を最終承認したことで、企業が実際に準備すべき適用スケジュールと義務の区分が再び重要になってきた。
今回の変更で特に注目すべき点は2つある。
- 2026年8月2日から適用される生成AI・チャットボット・ディープフェイクの透明性義務
- 高リスクAIシステムの適用時期の調整:スタンドアロン型は2027年12月2日、製品組み込み型は2028年8月2日
つまり、すべてのAI義務が同じ日に始まるわけではない。 企業は「AIを使用している」という事実だけで同一の義務が適用されるわけではなく、当該システムがユーザーと相互作用するか、コンテンツを生成するか、ディープフェイクを作成するか、高リスク領域で使用されるか、製品安全規制に関連するかを基準に分類する必要がある。
主要日程の一覧
| 区分 | 主な内容 | 適用時期 |
|---|---|---|
| 生成AI・チャットボット・ディープフェイクの透明性義務 | AIとの相互作用に関する告知、AI生成コンテンツの表示、ディープフェイクの公開など | 2026年8月2日 |
| スタンドアロン型高リスクAIシステム | 採用、教育、必須サービス、法執行など、特定のハイリスク分野におけるスタンドアロン型システム | 2027年12月2日 |
| 製品に組み込まれた高リスクAIシステム | 機械、設備、製品の安全規制と結びついたAI構成要素 | 2028年8月2日 |
| 自主的な規範・ガイドライン | 表示・ラベリングの実務を支援する自主的な基準 | 法的義務そのものを代替するものではない |
2026年8月2日から適用される生成AIの透明性義務
2026年8月2日から、企業が特に確認すべき点は、AI Actの透明性義務である。 この義務は、「AIが生成したすべての成果物を無条件に禁止する」という意味ではなく、利用者や社会がAIが関与しているかどうかを把握できるよう、表示・告知・公開せよという趣旨である。
1. チャットボットと対話型AI:人間と会話していると誤解しないよう告知
ユーザーがAIシステムと直接やり取りする場合、提供者または配布者は、ユーザーがAIとやり取りしていることを認識できるようにしなければならない。
例えば、次のようなサービスが対象となり得る。
- カスタマーセンターのチャットボット
- AI相談・予約システム
- ウェブサイト内の対話型AIアシスタント
- 音声ベースの自動応答AI
- 利用者に人間のオペレーターのように応答する生成型AIインターフェース
実務的には、最初の画面、会話開始メッセージ、音声案内、サービス説明、UIラベルなどを通じて、「この応答はAIシステムによって生成されている」という点を明確に伝える方法が検討される。
2. AI生成コンテンツ:機械が読み取れる表示と検知可能性
AIが画像、音声、動画、テキストなどの合成コンテンツを生成または操作する場合、当該コンテンツが人工的に生成・操作されたという事実を表示する必要がある。
重要な点は、単なる文言の表示にとどまらず、技術的に可能な範囲で機械が読み取れる方式または検知可能な方式による表示が求められる場合があるという点だ。これは、検索エンジン、プラットフォーム、検証ツール、AIシステムが当該コンテンツの出所と性質を認識できるようにするための仕組みである。
実現可能な表示方法は、コンテンツの種類によって異なる場合がある。
| コンテンツの種類 | 可能な表示方法の例 |
|---|---|
| 画像 | メタデータ、透かし、キャプション、投稿画面のラベル |
| 動画 | 画面ラベル、メタデータ、合成の有無の表示、説明欄での告知 |
| 音声 | 音声案内、ファイルのメタデータ、掲載ページでの告知 |
| テキスト | 作成・掲載画面でのAI生成の告知、メタデータ、編集責任の表示 |
ただし、法的判断においては例外と範囲が重要となる。 例えば、単純な補正、文法修正、標準的な編集補助のように、入力の意味を実質的に変えない機能は、ディープフェイクや合成コンテンツの公開義務とは異なる扱いを受ける可能性がある。
3. ディープフェイク:操作の事実を明確に公開しなければならない
ディープフェイクとは、実在の人物、物体、場所、事件を事実のように見せかける合成・改ざんコンテンツを指す。AI Actの透明性義務は、ユーザーがディープフェイクを実際の記録物と誤認しないよう公開することに焦点を当てている。
例えば、以下のコンテンツには注意が必要である。
- 実際の人物が発言していない内容を、あたかも発言したかのように仕立てた映像
- 実際の写真のように見える合成人物画像
- 政治家・実業家・芸能人などの音声を複製したコンテンツ
- 実際の事件の映像のように見えるように作られた生成型映像
公開方法は、コンテンツの文脈に合致していなければならない。短編動画プラットフォームでは、画面上のラベルや説明欄での告知が必要となる場合があり、ニュース・情報系コンテンツでは、編集責任者による審査と、生成・改ざんの事実を明確に表示することが重要である。
同意のない性的ディープフェイクと児童性的搾取物生成AIの意義
今回の議論において、別途区別すべき領域は同意のない性的ディープフェイクと児童性的搾取物生成AIである。これは単に「AIで作ったのだから表示すればよい」という問題ではない。
同意のない性的ディープフェイク
同意のない性的ディープフェイクとは、当事者の同意なしに性的画像・映像・音声を合成または操作する行為を指す。この領域は、被害者の人格権、性的自己決定権、プライバシー、名誉、安全に直接結びついている。
したがって、企業はこれを一般的な生成型コンテンツのラベル付け対象としてのみ扱うべきではない。プラットフォーム、生成ツール、API、モデルの配布者は、次のような管理策を検討しなければならない。
- 性的ディープフェイクの生成リクエストの遮断
- 有名人・一般人の顔の合成の悪用防止
- 通報・削除・ブロックの手続きの整備
- 繰り返し違反するアカウントへの制裁
- 生成物の保存・共有経路に対する安全対策
- 未成年者または同意の確認が不可能な人物に関するリクエストの遮断
児童性的搾取素材を生成するAI
児童性的搾取画像は、実際の児童を対象としているか、AIによって合成・生成されたものであるかを問わず、極めて重大な違法・危害の領域である。AIが実際の被害者を直接撮影していないという理由だけで、危険がなくなるわけではない。生成AIは、児童性的搾取画像を大量に生成したり拡散させたりするツールとして悪用される可能性があるためである。
したがって、この分野では透明性の表示よりも、生成の防止、アクセス遮断、通報体制、法執行機関との協力が鍵となる。企業はコンテンツポリシーだけでなく、モデルの安全性、プロンプトのフィルタリング、出力の検収、学習データの管理、APIの悪用防止までを含めて管理しなければならない。
高リスクAIの適用時期はどのように変わったのか
高リスクAIとは、人の権利、安全、機会、必須サービスへのアクセスに重大な影響を及ぼす可能性のあるAIを指す。 AI Actは、こうしたシステムに対し、リスク管理、データガバナンス、技術文書、記録保存、透明性、人間の監督、正確性・堅牢性・サイバーセキュリティなど、厳しい義務を課している。
今回のスケジュール調整の核心は、高リスクAIを独立型システムと製品組み込み型システムに分け、適用時期を区別して扱うという点にある。
スタンドアロン型高リスクAI:2027年12月2日
スタンドアロン型高リスクAIとは、製品の安全認証と直接結びついていなくても、特定の高リスク用途に使用されるAIシステムを指す。例えば、以下の領域が対象となり得る。
- 採用・昇進・解雇など、雇用に関する意思決定の支援
- 教育機関への入学、評価、学習成果の判定
- 信用評価、融資、保険など、必須の民間サービスへのアクセス
- 公的給付、社会保障、必須の公共サービスへのアクセス
- 法執行、移民・国境管理、司法・民主的手続きに関する支援
- 生体情報に基づく識別・分類など、機微な利用領域
これらのシステムは、2027年12月2日から適用される高リスクAIの義務に合わせ、準備を整える必要がある。 単にモデルの性能が良いという説明だけでは不十分であり、使用目的、データ、リスク管理、人間の監督、ログ、責任主体を文書化しなければならない。
製品に組み込まれた高リスクAI:2028年8月2日
製品に組み込まれた高リスクAIとは、機械、設備、医療・産業・安全関連製品などの物理的製品、あるいは規制対象製品の安全機能に統合されたAIを意味する場合がある。この場合、AI Actの義務は、既存のEU製品安全規制、適合性評価、CEマーク、品質管理システムと連動する。
適用時期が2028年8月2日に調整された理由は、単なるソフトウェアサービスよりも準備すべき要素が多いためである。製品の設計、サプライチェーン、ハードウェアの統合、試験、認証機関の手続き、発売サイクルと関連するため、より長い移行期間が必要となる。
なぜスケジュールが調整されたのか
EUによるスケジュールの調整は、AI規制を緩和して無力化しようとする措置というよりは、実際の執行可能性と企業の準備可能性を整合させようとする性格が強い。特に、高リスクAIに関する義務は、単なる通知文一つで履行できるレベルではない。
企業は以下を準備しなければならない。
- 高リスクに該当するかどうかの判断
- AIシステムのリスト化と使用目的の整理
- データセットの出所と品質管理
- リスク管理体制の確立
- 人間による監督手順の設計
- ログ記録とトレーサビリティの確保
- 正確性・堅牢性・サイバーセキュリティの検証
- 供給者、配布者、輸入者、ユーザー間の責任区分
- 技術文書および適合性評価の準備
これらの要素が十分に整理されていない状態で義務が開始されれば、企業だけでなく監督機関も解釈や執行に困難をきたす可能性がある。したがって、日程の調整は、規制対象者に準備期間を与え、同時に実効性のある執行を可能にする措置として理解できる。
自主規制コードと実際の法的義務を区別すべき理由
EU執行委員会は、AI生成コンテンツの表示およびラベリングに関する実務コードや政策資料を提示している。こうしたコードは、企業がどのような方法でラベルを付け、コンテンツの出所情報を残し、利用者に告知できるかを検討する際の参考として有用である。
しかし、自主規範と法的義務は同じではない。
| 区分 | 自主規範 | 法的義務 |
|---|---|---|
| 性質 | 実務指針・ベストプラクティス | 法律上の要件 |
| 参加の有無 | 原則として自主的 | 適用対象であれば義務的 |
| 効果 | 遵守努力の立証に役立つ | 違反時には制裁の可能性あり |
| 判断基準 | コードの詳細な約束事項 | AI法(AI Act)の条文、適用スケジュール、監督機関の解釈 |
| 企業の対応 | 内部方針・技術実装の参考 | 法務・コンプライアンス基準として管理 |
したがって、企業は「自主規範に参加した」という事実だけで、法的義務をすべて履行したとみなしてはならない。逆に、自主規範に参加していなくても、法律が求める透明性、文書化、リスク管理の義務は別途履行しなければならない。
企業向けチェックリスト:今、何を確認すべきか
1. 当社のサービスはAIとの相互作用を含んでいるか
- 利用者がチャットボット、音声ボット、相談用AIと直接対話しているか?
- ユーザーが人間のオペレーターとAIを混同する可能性があるか?
- 最初の画面または会話開始時に、AIに関する告知が表示されているか?
- 自動応答から人間のオペレーターへの切り替え基準は明確か?
2. AI生成コンテンツを作成または配布しているか
- 画像、動画、音声、テキストをAIで生成しているか?
- 生成物が外部に公開・共有・販売されているか?
- AIによる生成または加工の事実を、利用者が容易に把握できるか?
- メタデータ、透かし、ラベルなど、機械可読な表示について検討したか?
3. ディープフェイクまたは合成人物の機能があるか
- 実在の人物の顔・音声・行動を合成する機能がありますか?
- 政治、金融、保健、災害などの公益情報分野において、誤認される可能性がありますか?
- 同意のない性的合成、名誉毀損、詐欺、なりすましに悪用される可能性がありますか?
- 通報・削除・ブロック・アカウント制裁の手続きはあるか?
4. 高リスクAIに該当する可能性があるか
- 採用、教育、信用、保険、公共サービス、法執行、移民、司法の分野で使用されるか?
- AIの出力が人の権利や機会に実質的な影響を与えるか?
- 独立型ソフトウェアか、製品に組み込まれた安全機能か?
- 適用時期が2027年12月2日か、2028年8月2日かを区別したか?
5. 自律コードと法的義務を混同していないか
- 自律コードへの参加の有無とは別に、法的義務のリストを作成したか?
- 社内ポリシー、製品設計、法務レビューが同じ基準を使用しているか?
- EUのユーザーまたはEU市場への提供の有無を確認したか?
- 供給者、配布者、API提供者、顧客企業の責任範囲を契約に反映させたか?
実務上、誤解されやすい点
「AI生成コンテンツはすべて禁止される」という意味ではない
AI生成コンテンツ自体が禁止されるわけではない。重要なのは、利用者がAIによる生成または改変の事実を知ることができるようにしなければならないという点だ。ただし、同意のない性的ディープフェイク、児童性的搾取物、詐欺・なりすまし・権利侵害を目的としたコンテンツは、別途の重大なリスク領域として管理しなければならない。
「ラベルを付けるだけで全ての問題が解決される」という意味でもない
ラベリングは透明性義務の一部に過ぎない。コンテンツが違法であったり、他人の権利を侵害したり、安全に危害を及ぼしたり、高リスクな意思決定に使用されたりする場合は、表示とは別に追加の義務や禁止の問題が生じる可能性がある。
「高リスクAIのスケジュールが延期されたから、準備を先延ばしにしてもよい」という意味ではない
高リスクAIに関する義務の準備には長い時間がかかる。データガバナンス、リスク管理、技術文書、人間による監督体制は、製品リリース直前に付け加えることのできる付加機能ではない。 スケジュールが調整されたとしても、2026年からシステムのリスト化とリスク分類を開始するのが安全である。
結論
EU AI法の新たなスケジュールにおいて、最も重要な実務上のメッセージは明確である。2026年8月2日から生成AIやチャットボット、 ディープフェイクの透明性義務が適用され、高リスクAIの義務については、スタンドアロン型と製品組み込み型を分けて、2027年12月2日および2028年8月2日までに準備しなければならない。
企業にとって、自主規制コード、技術ガイドライン、内部倫理原則だけでは不十分である。実際の法的義務がいつ、どのシステムに、どのような役割の事業者に適用されるかを基準に、AIインベントリ、ラベリング体系、リスク管理、文書化、禁止コンテンツの遮断手順を合わせて整備しなければならない。