EU AI法コンプライアンス完全ガイド：2026年8月施行前に準備すべきすべてのこと

1. 禁止リスク（Prohibited Risk）
   - 例：隠蔽された監視、児童虐待素材生成
   - 処罰：即座の禁止と罰金

2. 高リスク（High-Risk）
   - 基本的人権に影響を与えるシステム
   - 主要な例は以下参照
   - 処罰：非準拠時最大35億ユーロの罰金

3. 中リスク（Medium-Risk）
   - 高い影響を持つAI利用
   - 処罰：最大1,000万ユーロ
   - 施行: 2026年12月

4. 最小リスク（Minimal-Risk）
   - スパムフィルター、ビデオゲームAIなど
   - 処罰：なし
   - 自発的準拠推奨

1. 生物認証（Biometric）システム
   - 顔認証、指紋認証、虹彩スキャン
   - 感情認識技術
   - 性別、年齢、人種推論AI

   例：空港入国審査AI、店舗顔認証監視

2. 重要インフラ（Critical Infrastructure）
   - 電力網管理AI
   - 交通システム制御
   - 通信ネットワークセキュリティ

3. 教育（Education）
   - 学生評価AI
   - 奨学金配分決定AI
   - 入試評価AI

4. 雇用（Employment）
   - 採用候補者スクリーニングAI
   - 労働者性能評価AI
   - 従業員監視システム

   例：履歴書自動審査、就業時間トラッキングAI

5. 必須公共サービス（Essential Public Services）
   - 住宅配分AI
   - 社会保障給付決定AI
   - 医療リソース配分

6. 法執行（Law Enforcement）
   - 犯罪パターン予測AI
   - 容疑者プロファイリングAI
   - 再犯危険性評価AI

7. 司法判断（Judicial Decisions）
   - 判決予測システム
   - 量刑推奨AI
   - 保釈判断AI

8. 基本権侵害可能領域
   - クレジット スコアリングAI
   - 保険承認AI
   - ローン審査AI

必須要素：

1) 初期リスク評価
   - システムが高リスクか判定
   - 基本的人権への影響分析
   - 潜在的害の規模推定

2) リスク管理計画
   - 識別されたリスク別の軽減戦略
   - リスク監視方法
   - 緊急対応手順

3) 定期的な再評価
   - 最低6ヶ月ごと
   - 実際の運用データに基づく
   - 改善事項の反映

文書化：
- 最少10年間保管
- 監視機関（EU AI Board）要求時に提出
- EU内の代表者に提供

必須要件：

1) 訓練（Training）データ
   - 代表性（Representativeness）
   - 偏見（Bias）検証
   - 多様性（Diversity）確保
   - 品質の文書化

2) 検証（Validation）データ
   - 訓練データから分離
   - 第三者検証
   - 偏見および精度報告

3) テスト（Testing）
   - 多様な人口統計グループへのテスト
   - エッジケースのテスト
   - 敵対的攻撃（adversarial attack）テスト

4) 監視および評価
   - 配備後の性能監視
   - リアルタイム誤り率追跡
   - ユーザーフィードバック収集

文書化例：
「当社の採用AIは5地域、30職務、10,000件の履歴書で訓練。
性別別精度：男性95%、女性94.2%
年齢別精度：25-35歳95.5%、55-65歳92.1%
差異分析：女性選出率3.8%ポイント差異」

必須要件：

1) 透明性宣言
   - システムの目的明示
   - 動作原理の説明
   - 限定事項の公開
   - ユーザー言語での記述

2) 説明可能性（Explainability）
   - 決定過程が説明可能でなければならない
   - 特に否定的決定時の詳細説明

   例：「採用不合格理由：
   1) 関連経験3年未満（加重35%）
   2) 技術スタック不一致（加重35%）
   3) 地域選好（加重25%）」

3) 公開レジスタ
   - EU AI Registerに高リスクAIを登録
   - 公開的にアクセス可能
   - リアルタイム更新必須

4) ユーザー通知
   - AI決定を受ける際の通知必須
   - 「この決定は自動化されたAIシステムにより下されました」
   - 異議申し立て方法の案内

必須要件：

1) 人間ループ（Human-in-the-Loop）
   - 最終決定は人間が下さなければならない
   - 完全自動決定は禁止

   禁止される例：
   - AIのみが採用決定を下す
   - クレジット評価が自動的のみ
   - 裁判所判決をAIが下す

2) 担当者指定
   - 高リスクAIごとに担当者指定
   - その人物がAI決定を検査
   - 責任追跡が可能でなければならない

3) 監査権
   - 規制機関が検証権を有する
   - 企業はすべてのデータ開示義務
   - 3ヶ月以内の対応

4) 記録維持
   - すべての運用記録を保管
   - 決定歴が追跡可能
   - 最少10年間保存

必須要件：

1) 技術的堅牢性
   - 敵対的攻撃に耐える
   - エラー発生時は安全に失敗する
   - パフォーマンス急落時の警告システム

   テスト例：
   - 入力値をわずかに変更した場合の結果変化を最小化
   - 極端な入力値への対応
   - ノイズを含むデータの処理

2) セキュリティ基準
   - 認可されていないアクセスをブロック
   - データ暗号化
   - 監査ログ保護

3) サイバーセキュリティ事件対応
   - 事件発生計画
   - 迅速な対応手順
   - 72時間以内に当局に報告

高リスクAI非準拠時：

ステージ1：警告
   - 初回発見
   - 是正要求
   - 3ヶ月以内の改善機会

ステージ2：行政罰
   - 違反企業の売上7%またはユーロ35億中より高い金額
   - 前年度グローバル売上ベース

   計算例：
   AppleのAI非準拠時：
   → グローバル年売上394億ドル
   → 7% = 27億5千万ドル
   → 最大：35億ユーロ（約40億ドル）

   Samsungの高リスクAI非準拠時：
   → グローバル年売上243億ドル
   → 7% = 17億1千万ドル
   → 最大：35億ユーロ

ステージ3：刑事起訴および禁止
   - システム運用停止命令
   - 取締役会レベルの罰金
   - 刑事責任（場合により）

透明性関連非準拠時：
- 最大1,000万ユーロまたは売上3%（高い方）
- 相対的に厳しくないが依然として深刻

例：
- 感情認識AI透明性不足
- AI使用通知不足
- 説明可能性欠如

直接影響を受ける企業：
1) グローバルAIサービス提供企業
   - 採用AIサービス提供者
   - 信用評価AIサービス提供者
   - 顔認識技術企業

2) グローバル製造業
   - AIを含む製品をEUで販売
   - 自動車メーカー（自動運転AI）
   - 医療機器企業

3) EU子会社または支店
   - EU内でのAI開発
   - EU内でのAI配備

大型企業：
- Samsung: 自動運転、生物認証、IoT AI
- LG: 家電AI、ロボットAI
- SK: 子会社AI、工場自動化
- Naver/Kakao: 推奨アルゴリズム、画像認識

2026年3月-4月（現在）：
□ 現況調査
  - 会社のすべてのAIシステムの目録作成
  - 各システムのEU AI法高リスク該当有無判定
  - 影響を受けるシステムの優先順位付け

□ 法務チーム構成
  - EU AI専門弁護士の採用（または外部顧問）
  - 内部コンプライアンスチーム構成
  - 各部門担当者の指定

2026年4月-6月：
□ リスク評価開始
  - すべての高リスクAIに対して公式評価文書作成
  - 現在の欠陥の特定
  - 改善計画の策定

□ データ監視強化
  - 訓練データの整理と文書化
  - 偏見分析ツールの導入
  - 独立的検証プロセスの構築

2026年6月-8月：
□ 技術改善
  - リスク評価に従ったシステム改善
  - 透明性機能の追加
  - 説明可能性の向上

□ 文書化の完成
  - すべての必須文書の作成
  - EU AI Register登録準備
  - 監視機関対応体系の構築

2026年8月2日以降：
□ 完全準拠
  - すべてのシステムが基準を満たしている
  - 定期的監視
  - 記録維持および報告

企業規模別コンプライアンス費用推定：

小規模企業（従業員50名、1-2個高リスクAI）：
- 法務顧問：200-300万ウォン/月×6ヶ月 = 1,200-1,800万ウォン
- 技術改善：500万-1,000万ウォン
- 監視ツール：2,000-5,000万ウォン/年
- 合計：約1-2億ウォン

中規模企業（従業員500名、5-10個高リスクAI）：
- 専任チーム：3-5名、約2-3億ウォン/年
- 法務顧問：500-1,000万ウォン/月×6ヶ月
- 技術改善：5-10億ウォン
- 監視システム：1-2億ウォン/年
- 合計：約5-15億ウォン

大規模企業（従業員5,000名以上、20個以上高リスクAI）：
- 専任部門：10-20名、約10-20億ウォン/年
- 法務顧問：1,000-2,000万ウォン/月
- 技術改善：50-100億ウォン
- 監視および監査：5-10億ウォン/年
- 合計：約100-200億ウォン

準備状況：
- Azure AIサービスにコンプライアンスモード追加
- Copilotの透明性オプション強化
- Face Recognition APIの使用制限

具体的対応：
- すべての顧客にAI使用利用規約を提示
- EUの顧客ごとのデータローカライゼーション
- 独立的監視機構との協力

準備状況：
- AI Principles強化
- Gemini AIの制限機能追加
- 四半期ごとの透明性報告書発行

具体的対応：
- 推奨アルゴリズムの偏見検証強化
- ユーザー広告AIへの選択肢提供
- EU AI Registerへの事前登録

準備状況：
- Rekognition（顔認証）使用制限
- Hiring Tools一部廃止
- AWS AIサービスコンプライアンスオプション追加

具体的対応：
- 法執行機関除外政策
- 生物認証技術使用制限公表
- EU顧客保護基準強化

□ 取締役会レベルのコンプライアンス承認
□ 専任責任者（Chief AI Compliance Officer）指定
□ 2026年8月完全準拠目標設定
□ 予算配分（上記のコスト推定参照）
□ EU AI専門顧問社との契約

□ 現在のAIシステム全数調査
□ EU AI法高リスク該当有無判定
□ システム別改善計画策定
□ リスク評価文書作成
□ コンプライアンスポリシー策定
□ EU AI Register登録準備
□ 監視機関対応手順の策定

□ 訓練データ品質改善（偏見分析）
□ モデル解釈可能性強化（説明可能AI）
□ 監視システム構築（パフォーマンス追跡）
□ セキュリティ強化（暗号化、アクセス制御）
□ 文書化自動化ツール導入
□ テストスイート拡大（多様な人口統計グループ）

□ EU顧客向けサービス計画の検討
□ 価格戦略再調整（コンプライアンスコスト反映）
□ マーケティングメッセージを透明性強調に変更
□ 顧客教育プログラムの準備
□ 競争企業状況の監視
□ 規制リスク保険の検討