EU AI Actのハイリスクについて解説　ー日本企業が押さえるべきポイントとはー

日本企業が押さえるべきポイント

生成AIブームによって、多くの企業でAI活用が急速に進んでいる。一方で、「AIをどう使うべきか」というルール整備も世界中で加速している。
その一つとしてあるのが、EU（欧州連合）が制定した「EU AI Act（EU AI規則）」である。

EU AI法(EU AI Act)の要点解説

EU AI Actは、AIに関する世界初の包括的な規制として注目されており、日本企業にも大きな影響を与える可能性が高い。
特に重要なのが、「High-Risk AI（ハイリスクAI）」という考え方だ。

「ハイリスクAI」という言葉だけを見ると、危険だから禁止される、導入が難しい、活用を止める規制である、といったイメージを持たれやすい。しかし、実際のEU AI Actはそのような単純なものではない。EU AI Actでは、社会的影響が大きいAIを「ハイリスクAI」と整理した上で、一定の統制や管理体制を整備することを前提に利用を認めている。

つまり、「ハイリスクだから禁止する」のではなく、「ハイリスクだからこそ、強い管理と説明責任を求める」という考え方に近い。

本記事では、法律の細かな条文解説ではなく、企業実務の観点から、EU AI ActにおけるハイリスクAIの考え方について整理する。

EU AI Actとは何か

EU AI Actは、AIをリスクの大きさに応じて分類し、それぞれ異なるルールを適用する仕組みを採用している。

分類は大きく4段階に整理されている。具体的には、次の4分類である。

• 禁止されるAI（Unacceptable Risk）
• ハイリスクAI（High Risk）
• 限定的リスクAI（Limited Risk）
• 最小リスクAI（Minimal Risk）

たとえば、人間を不当に操作するAIや、社会信用スコアリング、一部のリアルタイム生体認証などは、「許容できないリスク」として原則禁止される。

一方、多くの企業が関係するのは、その次の「ハイリスクAI」である。ここで重要なのは、「ハイリスク＝禁止」ではないという点だ。EU AI Actでは、ハイリスクAIは一定条件のもとで利用可能であり、その代わりに厳格な管理や説明責任が求められる。

つまり、「危ないから使うな」ではなく、「社会的影響が大きいから、責任を持って使え」という考え方に近い。

なぜEUは「ハイリスクAI」を分類するのか

EU AI Actでは、すべてのAIを同じ危険度として扱っているわけではない。なぜなら、AIによって社会への影響度が大きく異なるからである。
たとえば、画像生成AIやレコメンドAIのような用途と、採用選考や医療診断に使われるAIでは、AIの判断が人間へ与える影響がまったく異なる。

特にEU AI Actでは、人間の権利や人生に大きな影響を与えるAIを「ハイリスクなAI」として指定している。
具体的には、次のような領域である。

• 雇用
• 教育
• 金融
• 医療
• 行政
• インフラ

これらの領域では、AIの判断によって、人の将来や機会が大きく左右される可能性がある。
そのためEU AI Actでは、社会的影響が大きいAIを「ハイリスクAI」と分類し、通常よりも強い管理や説明責任を求めている。

ハイリスクAIはどのように分類されるのか

EU AI Actでは、ハイリスクAIは大きく2種類に分類されている。

① 製品安全に関わるAI

1つ目は、「製品そのものの安全性」に関わるAIである。
これは、人命や重大事故に直結する可能性がある製品群を対象としている。具体的には、次のような分野が該当する。

• 医療機器
• 自動車
• 航空機
• 産業機械
• 鉄道
• インフラ設備

これらは、AIの誤作動が安全事故につながる可能性があるため、EUでは特に厳しい対象として扱われている。
たとえば、自動運転支援AIや医療診断支援AIなどが代表例である。

② 社会的影響が大きい用途のAI

もう1つが、多くの企業に関係しやすい「社会的影響が大きいAI」である。
これは、AIが個人の権利や機会に大きく影響する領域を指している。具体的には、次のようなものが挙げられる。

• 採用選考AI
• 人事評価AI
• 与信審査AI
• 保険審査AI
• 教育評価AI
• 生体認証AI
• 司法・行政支援AI

近年では、採用や評価にAIを利用するケースが増えている。具体的には、次のような用途が代表的である。

• ESスクリーニング
• 面接分析
• 適性判定
• 離職予測

EU AI Actでは、このような領域で利用されるAIであっても、すべてが自動的にハイリスクAIになるわけではない。
重要なのは、そのAIが人間の意思決定にどれほど重大な影響を与えるかである。

ハイリスクAIの判断基準

EU AI Actでは、採用、人事、金融、教育などの領域で利用されるAIであっても、一律にハイリスクAIとして扱っているわけではない。
重要なのは、「そのAIが人間の意思決定にどれほど重大な影響を与えるか」である。

たとえば、単なる補助的分析や事前整理、人間が容易に覆せる提案、限定的な事務支援などは、ハイリスクに該当しない場合もある。
具体的には、次のような観点が重視されている。

• AIが最終判断を行うか
• 人間が十分に介在しているか
• AIの出力がどれほど重要か
• AI判断を人間が覆せるか

つまり、重要なのは「どの領域でAIを使っているか」だけではない。
「AIがどれほど重要な判断を担っているか」が、ハイリスクAIの判断基準になっているのである。

ハイリスクAIは「使えないAI」ではない

EU AI Actにおける「ハイリスクAI」は、一般的な言葉のイメージとは少し異なる。
ここでいう「ハイリスク」とは、人命、権利、雇用、教育、金融などへの影響が大きいAIを指している。
そのため、EU AI Actでは、こうしたAIを原則禁止するのではなく、「より強い統制や説明責任を求める対象」として整理している。

企業には、ハイリスクAIに対して、一定の管理や統制が求められる。具体的には、次のような内容である。

• リスク管理
• データ品質管理
• 人間による監督
• ログ保存
• モニタリング
• 技術文書整備

つまりEU AI Actは、「リスクが高いからダメ」ではなく、「リスクが高いなら、それに見合う統制を求める」という制度設計になっている。
この点は、金融規制や個人情報保護とも近い考え方である。

日本企業への影響

EUの法律というと、日本企業には関係ないようにも見える。しかし、EU AI ActはGDPRと同様、域外適用の考え方を持っている。
つまり、EU向けサービス、EU拠点、EU市場向け製品、EU居住者向けAIサービスなどがある場合、日本企業でも対象になる可能性がある。

具体的には、次のようなケースが想定される。

• EU向けSaaS提供
• EU子会社でのAI活用
• EU顧客向けサービス
• EU市場向け製品開発

特にグローバル企業では、「EUだけ別ルール」という運用が難しく、結果として全社ルールへ影響するケースも多い。

また、EU規制は世界標準化しやすい傾向がある。実際、GDPRも当初は欧州規制として見られていたが、その後は世界中の企業ガバナンスに大きな影響を与えた。
EU AI Actについても、同様の流れになる可能性は高い。

今後重要になるのは「AIガバナンス」

EU AI Actを通じて見えてくるのは、今後さらに普及するであろうAIを活用するにはAIガバナンスの整備が非常に重要になるという点である。

今後企業には、AIをどこで使っているか、誰が責任を持つのか、どのように監視するのか、問題発生時にどう対応するのかを説明できる体制が求められる。
具体的には、次のような管理能力が重要になる。

• AI利用状況の把握
• 責任者の明確化
• リスク評価
• モニタリング
• 監査対応
• インシデント対応

つまり、AIを導入している企業よりも、AIを適切に統制・管理できる企業が競争力を持つ時代になっている。

おわりに

EU AI ActのハイリスクAIは、「危険なAIを禁止する制度」ではない。本質的には、「社会的影響が大きいAIを、責任を持って利用させる制度」である。
重要なのは、AIを使っているかではなく、AIがどれほど重要な判断を担っているかであり、さらに、そのAIを企業が適切に統制できているかが問われている。

生成AIの普及によって、「AIを使うこと」自体はすでに当たり前になっている。
その中で企業に求められるのは、AIをどこまで業務に組み込むのか、AIの判断を誰が管理するのか、問題発生時に誰が責任を持つのかを説明できる体制である。

今後の競争力を左右するのは、AI開発力だけではない。
「AIを統制できる企業かどうか」が、企業価値そのものを左右だろう。

弊社では、企業の状況に合わせたAIガバナンスの導入・運用サポートを行っています。
「何から手をつければいいか分からない」「自社の活用法がハイリスクに該当するか知りたい」など、まずはお気軽にご相談ください。

▶ [AIガバナンス支援サービスの詳細・お問い合わせはこちら]