【EU AI Act ハイリスクAIの判断基準】“Draft Commission guidelines on the classification of high-risk AI systems”　を解説

はじめに：ガイドライン公開の背景と今読むべき理由

EU AI Actへの対応を進める企業にとって、最初に整理すべき重要論点の一つが、「自社のAIシステムが高リスクAIに該当するかどうか」です。

高リスクAIに該当するかどうかは、単なる分類の問題ではありません。該当する場合には、リスク管理、技術文書、データガバナンス、透明性確保、人による監督、適合性評価など、さまざまな義務が関係してきます。そのため、高リスク該当性の判断は、AI Act対応における出発点になります。

こうした中で、欧州委員会は2026年に入り、AI Act第6条に基づく「高リスクAI分類に関するガイドライン案」を公表しました。今回のガイドライン案はまだ最終版ではなく、ステークホルダーからの意見募集を前提としたドラフトです。もっとも、条文だけでは判断が難しい部分について、欧州委員会の考え方や実務上の例が示されているため、今後の対応方針を検討するうえで重要な資料といえます。

今回公表されたガイドライン案は、主に次の3つに分かれています。

• Generalガイドライン
• Annex Iガイドライン
• Annex IIIガイドライン

企業法務やコンプライアンス担当者にとって重要なのは、これらを単に順番に読むことではありません。むしろ、「自社のAIについて、どのガイドラインを参照すべきか」「どの論点を確認すべきか」を理解することが重要です。

本記事では、3つのガイドラインの役割と、実務上の読み方を整理します。

ガイドラインの全体構造

今回のガイドライン案は、ひとつの文書ですべてを説明するのではなく、内容ごとに整理されています。これは、AI Actにおける高リスク分類が、大きく複数のルートで構成されているためです。

まず押さえるべきなのは、3つのガイドラインの役割です。

• 「Generalガイドライン」
  高リスク分類に共通する基本的な考え方を示す文書
  
• 「Annex Iガイドライン」
  製品安全規制に関連するAIを扱う文書
  
• 「Annex IIIガイドライン」
  AIの用途に基づく高リスク分類を扱う文書
  

この3つは、単純な上下関係にあるわけではありません。Generalガイドラインが共通の土台となり、そのうえで対象となるAIの性質に応じて、Annex IまたはAnnex IIIを参照する関係にあります。

AI Act上の高リスク分類は、大きく見ると次の2つのルートで整理できます。

• 「Annex Iルート」
  製品の安全性との関係で判断するルート
  
• 「Annex IIIルート」
  AIの利用目的やユースケースに基づいて判断するルート
  

たとえば、AIが機械、車両、医療機器、玩具、無線機器などの製品に組み込まれる場合には、Annex Iルートが問題になります。一方で、採用、人事評価、教育、信用評価、生体認証、公共サービスなどの場面でAIを使う場合には、Annex IIIルートを確認する必要があります。

ただし、どちらのルートでもGeneralガイドラインは重要です。AIシステムの定義、意図された用途、意思決定への影響などは、Annex IとAnnex IIIの両方に関係するためです。

したがって、実務上は次のように理解すると整理しやすくなります。

• Generalで共通概念を確認する
• 製品に関係するAIであればAnnex Iを見る
• 用途に関係するAIであればAnnex IIIを見る
• 判断に迷う場合は再度Generalに戻る

3つのガイドラインの役割

3.1 Generalガイドライン：判断の土台となる文書

Generalガイドラインは、高リスクAIの分類に関する共通原則を説明する文書です。個別の製品やユースケースを詳細に判定するというより、分類判断に必要となる基本概念を整理する役割を持っています。

特に重要なのは、「intended purpose」、すなわち意図された用途です。

AI Actでは、AIシステムがどのような技術を使っているかだけでなく、そのAIがどのような目的で設計され、販売され、説明されているかが重要になります。利用説明書、技術文書、販売資料、利用規約、プロモーション資料などにおいて、AIがどのような用途で提供されているかが分類判断に影響します。

Generalガイドラインで確認すべき主な論点は、次のとおりです。

• 対象システムがAI Act上の「AIシステム」に該当するか
• AIの意図された用途は何か
• AIの出力が人の判断や意思決定に影響するか
• Annex IIIに該当する場合、例外的に高リスクから除外できる余地があるか
• 高リスク用途を除外したい場合、その制限が文書全体で一貫しているか

この点は、実務上かなり重要です。

たとえば、利用規約では「高リスク用途は禁止」と記載していても、営業資料や導入事例で採用、人事評価、信用判断などへの利用を積極的に示している場合、その用途が意図された用途に含まれると評価される可能性があります。

そのため、Generalガイドラインは、単に法務が読む文書ではありません。プロダクト、営業、マーケティング、契約、技術文書の整合性を確認するうえでも重要です。

3.2 Annex Iガイドライン：製品安全ルート

Annex Iガイドラインは、製品安全規制と結びつくAIシステムの分類を扱います。対象となるのは、AI Act Annex Iに列挙されたEU整合法令の対象となる製品です。

典型的には、次のような製品分野が関係します。

• 機械
• 医療機器
• 体外診断用医療機器
• 車両
• 航空分野の製品
• リフト
• 玩具
• 無線機器
• 圧力機器
• ガス燃焼機器

Annex Iルートで重要なのは、「AIが製品に入っているだけでは高リスクAIになるわけではない」という点です。ガイドライン案は、Annex I対象製品にAIが含まれている場合でも、それだけで自動的に高リスクAIに分類されるわけではないことを明確にしています。

Annex Iルートでは、主に次の点を確認します。

• AIシステム自体が規制対象製品に該当するか
• AIシステムが規制対象製品の「安全部品」に該当するか
• その製品またはAIシステム自体について、第三者適合性評価が必要か

この中で特に重要なのが、「安全部品」の判断です。

安全部品というと、危険を検知して機械を停止させる機能や、事故を防止する制御機能のように、明確に安全を目的としたAIをイメージしがちです。しかし、ガイドライン案では、それだけではありません。

AIが安全部品に該当し得るのは、主に次の2つの場合です。

• AIが安全機能を果たしている場合
  例：人を検知してロボットを停止させる、危険状態を検知して警告する、異常時に安全停止を行う
  
• AIの故障や誤作動が人や財産に危険を生じさせる場合
  例：車両制御、エレベータのドア制御、産業機械の動作制御
  

つまり、AIの目的が「効率化」や「最適化」であっても、そのAIが誤作動した場合に人身事故や財産被害につながるのであれば、安全部品と評価される可能性があります。
一方で、誤作動しても単なる不便、性能低下、コスト増加にとどまる場合には、安全部品には該当しにくいと考えられます。たとえば、スマート家電の省エネ最適化やテレビの画質調整のような機能は、通常は高リスクAIにはなりにくいと考えられます。

Annex Iガイドラインが特に重要になるのは、次のような企業です。

• IoT機器やスマートデバイスを提供している企業
• 産業用機械やロボットにAIを組み込んでいる企業
• 車載AIやモビリティ関連システムを扱う企業
• 医療機器ソフトウェアや診断支援システムを開発している企業
• 製品安全規制とAI規制の両方を確認する必要がある企業

Annex Iルートでは、AI Actだけで完結しません。既存の製品安全規制、適合性評価、品質管理、リスク管理の仕組みと連動して検討する必要があります。

3.3 Annex IIIガイドライン：用途ベースルート

Annex IIIガイドラインは、AIの用途に基づいて高リスク該当性を判断するルートです。Annex Iが製品安全を起点とするのに対し、Annex IIIは、AIが人の権利、機会、生活に与える影響に着目します。

Annex IIIで問題になりやすい分野としては、次のようなものがあります。

• 生体認証
• 重要インフラ
• 教育・職業訓練
• 採用・人事評価
• 必須な民間・公共サービスへのアクセス
• 法執行
• 移民・国境管理
• 司法手続・民主的プロセス

このルートで重要なのは、「技術ではなく用途で判断する」という点です。

同じAIシステムであっても、一般的な文書要約に使われる場合と、採用候補者の評価に使われる場合では、リスク分類が異なります。生成AIかどうか、機械学習かどうか、スコアリングかどうかといった技術的特徴だけでは、Annex III該当性は判断できません。

Annex IIIガイドラインを読む際には、特に次の点を確認する必要があります。

• AIがAnnex IIIに列挙された用途に該当するか
• そのAIが人の判断や意思決定に実質的な影響を与えるか
• 例外的に高リスク分類から除外できる余地があるか
• profilingに該当する処理が含まれていないか
• 提供者が想定する用途と、実際の導入用途にズレがないか

ここで注意したいのが、Annex IIIに形式的に該当する場合でも、一定の例外が認められる可能性がある点です。もっとも、この例外は広く自由に使えるものではありません。AIの出力が意思決定に実質的な影響を与えない場合など、限定的な場面に限られます。

また、profilingが含まれる場合には、例外の利用が制限される可能性があるため、特に慎重な確認が必要です。

実務上は、次のようなAIサービスでAnnex IIIの確認が重要になります。

• HRテック
• EdTech
• FinTech
• 本人確認・認証サービス
• 公共部門向けAI
• SaaS型の業務支援AI
• 顧客や従業員を評価・分類するAI

Annex IIIルートでは、「AIが何をするか」だけでなく、「その結果が誰に、どのような影響を与えるか」を見る必要があります。

4. 実務での読み方：どのガイドラインを見るべきか

実務で高リスク該当性を検討する際には、最初から個別条文に当てはめようとすると混乱しやすくなります。まずは対象となるAIシステムの性質を整理し、そのうえで参照すべきガイドラインを決めることが重要です。

確認の流れとしては、次のように整理できます。

1. 対象システムがAI Act上のAIシステムに該当するかを確認する
2. そのAIが製品に組み込まれているか、または製品そのものかを確認する
3. 製品安全規制に関係する場合は、Annex Iガイドラインを確認する
4. 製品安全規制に関係しない場合でも、Annex IIIの用途に該当するかを確認する
5. Annex IIIに該当する場合は、例外の余地があるかを確認する
6. 判断根拠を文書化し、利用規約、技術文書、営業資料との整合性を確認する

このように書くと単純に見えますが、実際には一方向に進むだけではありません。たとえば、Annex IIIの用途に該当するかを検討する際には、Generalガイドラインに戻って「意図された用途」や「意思決定への影響」を確認する必要があります。また、Annex Iで安全部品に該当するかを検討する際にも、AIの目的や故障時の影響を確認する必要があります。

実務上の読み方としては、次のような使い分けが分かりやすいです。

• 共通概念を確認したい場合
  Generalガイドラインを見る
  
• 製品に組み込まれたAIを判断したい場合
  Annex Iガイドラインを見る
  
• 採用、人事、教育、信用評価などの用途を判断したい場合
  Annex IIIガイドラインを見る
  
• 例外的に高リスクから外せるかを判断したい場合
  GeneralガイドラインとAnnex IIIガイドラインをあわせて確認する
  
• 判断根拠を社内で説明したい場合
  3つのガイドラインを整理して、該当するルートと該当しない理由を記録する
  

特に企業法務の観点では、「判断した結果」だけでなく、「なぜそのように判断したのか」を残すことが重要です。AI Act対応では、後から当局、顧客、取引先に説明する場面が出てくる可能性があります。その際に、どのガイドラインのどの考え方に基づいて判断したのかを示せるようにしておく必要があります。

また、意図された用途の判断では、契約書や利用規約だけではなく、営業資料、導入事例、ウェブサイト上の説明、FAQ、技術文書なども確認対象になります。法務部門としては、契約上の文言だけを整えるのではなく、社外に出ている説明全体に矛盾がないかを確認することが重要です。

5. まとめ：法務として押さえるべき実務ポイント

今回のガイドライン案は、AI Actの高リスク分類を実務的に理解するうえで重要な資料です。まだドラフト段階ではあるものの、欧州委員会の解釈の方向性を示すものとして、AI Act対応を進める企業は早い段階で確認しておくべき内容といえます。

企業法務・コンプライアンス担当者としては、特に次の点を押さえる必要があります。

• Generalガイドラインは、すべての判断の前提となる
• Annex Iガイドラインは、製品安全規制と結びつくAIを判断するための文書である
• Annex IIIガイドラインは、AIの用途に基づいて高リスク該当性を判断するための文書である
• AIの技術名ではなく、意図された用途と実際の影響を見る必要がある
• Annex IとAnnex IIIは別ルートだが、同じAIについて両方の確認が必要になる場合もある
• 高リスク分類の判断は、利用規約、技術文書、営業資料、実際の運用と整合している必要がある
• 判断結果だけでなく、判断過程を文書化しておくことが重要である

最も重要なのは、3つのガイドラインを別々の資料として読むのではなく、「相互に補完し合う判断ツール」として使うことです。

特に、Generalで共通概念を確認し、そのうえでAnnex IまたはAnnex IIIに当てはめ、必要に応じて再度Generalに戻るという読み方が、実務上は有効です。

AI Act対応は、一度分類を判断して終わりではありません。ガイドラインの最終化、標準化の進展、AI Officeや各国当局の実務運用によって、今後も対応方針の見直しが必要になる可能性があります。そのため、企業としては、現時点のガイドライン案を踏まえつつ、継続的にアップデートを追う体制を整えておくことが重要です。

ご相談について

AI Act対応における高リスク該当性の判断は、個別のユースケースやシステム構成によって結論が大きく変わります。特に、Annex IとAnnex IIIのどちらで判断すべきか、Annex IIIの例外が使えるか、営業資料や利用規約の記載が意図された用途にどう影響するかといった点は、個別の検討が不可欠です。

弊社では、AI Act対応を進める企業向けに、以下のような支援を行っています。

• 高リスクAI該当性の初期判定
• ガイドライン案を踏まえたリスク整理
• 利用規約、技術文書、営業資料の確認
• AI Act対応ロードマップの策定
• 社内ガバナンス体制の見直し

自社AIの分類や今後の対応方針について具体的なご相談をご希望の場合は、ぜひお気軽に弊社までお問い合わせください。

▶ [AIガバナンス支援サービスの詳細・お問い合わせはこちら] 

※本記事はEU AI Actに関する一般的な情報提供を目的として作成したものであり、法的助言を提供するものではありません。株式会社AI共創総研は弁護士法人ではなく、法律に関する確定的な解釈や個別事案に対する法的判断を行う立場にはありません。具体的な法的論点や規制対応については、顧問弁護士または法律業務を専門とする弁護士へご相談ください。