政策・規制

非弁護士のためのEU AI法リスク階層入門

Uncutly Editorial · 2026年7月15日 · 1 分で読了

EU AI法はすべてのAIを一律に扱っているわけではない——ここが多くの解説記事で見落とされがちなポイントだ。この法律は、あらゆるAIシステムに一様に適用される単一のルールブックではない。むしろ一種の仕分けメカニズムである。EU域内で使用される、あるいはEUに影響を及ぼすすべてのAIシステムは、4つのリスク階層のいずれかに振り分けられ、どの階層に該当するかによって、全面禁止に直面するのか、山のようなコンプライアンス文書を求められるのか、単純な開示義務を負うだけなのか、それとも何の規制も受けないのかが決まる。以前の記事では第50条が定めるラベリングおよび開示義務——「これはAIですと伝える」という具体的な義務——を詳しく取り上げた。今回はそうしたルールが組み込まれているより大きな構造、すなわち階層システムそのものと、一般の制作者が実際に使うツールがどこに位置しやすいかを扱う。

4つの階層をわかりやすく言うと

容認できないリスクとは、全面禁止を意味する——規制の対象になるのでも、課税されるのでも、ラベル表示を求められるのでもなく、誰であろうとどれほど注意深くあろうと、EU域内での構築・運用自体が違法となる。高リスクとは、合法だが厳格な監督下に置かれることを意味する——適合性評価、技術文書、人間による監督、EUデータベースへの登録などが一通り求められる。限定リスクとは、透明性の確保を条件に合法であることを意味する——何が起きているかを開示する必要はあるが、市場投入前の承認やコンプライアンス部門は不要だ。最小リスクとは、AI固有の義務が一切ないことを意味する——GDPRや消費者保護法といった通常の法律には引き続き拘束されるが、AI法自体はあなたに対して何も語らない。個人制作者による日常的な生成AIの利用は、そのほとんどが下の2階層に収まる。実際に警戒すべきなのは上の2階層であり、その理由も「AI全般だから」ではなく、特定の識別可能な事由による場合がほとんどだ。

容認できないリスク:単純に禁止されているものの短いリスト

第5条は、EUが基本的人権と相容れないと見なすAI慣行を8つのカテゴリーに分けて列挙している。これらは「開示していれば合法」という抜け道が一切ない。具体的には、実害を引き起こすような潜在意識への働きかけや搾取的な手法で人を操作するAI、子ども・障害者・経済的困窮者の脆弱性につけ込むAI、人々の行動を採点してその評価に基づき不利益を科すソーシャルスコアリングシステム、実際の行為の証拠ではなくプロファイリングのみに基づいて将来の犯罪者になりそうだと個人を名指しする予測的取り締まりツール、インターネットや監視カメラ映像を無差別にスクレイピングして顔認識データベースを構築する行為、職場や学校で人の感情を推測する行為、人種や性的指向といった機微な生体情報によって人を分類する行為、そして狭い例外を除く法執行機関による公共の場でのリアルタイム生体認証が含まれる。これらの禁止事項は2025年2月2日から施行されており、既存条項による適用除外もない——システムがこの法律より前から存在していたかどうかは関係ない。

2026年6月〜7月にかけて確定したEUの「デジタル・オムニバス」簡素化パッケージを通じて、制作者に関わる新たな項目が追加された。実在する特定可能な人物の非同意の性的画像を生成・加工することを目的として構築されたAIシステム——いわゆる「ヌーディファイヤー」アプリや、本人の同意なく性的コンテンツを生成することを狙った同種の顔交換ツール——が明示的に全面禁止となり、この禁止は2026年12月2日に発効する。これは上記の各慣行と同じ階層に位置づけられており、ラベリング・開示義務の階層ではない。つまり、開示をしても、透かしを入れても、年齢確認を導入しても、同意フローを設けても合法にはならない。あるツールの存在目的そのものがこの種の無許可コンテンツの生成であるならば、出力にどのような表示が付されていようと関係なく、そのツールを構築・運用すること自体が違反となる。第5条違反に対する制裁金はこの法律の中で最も重く、最大3,500万ユーロまたは全世界年間売上高の7%のいずれか高い方が科される。

高リスク:合法だが、コンプライアンス負担は現実のもの

高リスクの区分は、附属書IIIに列挙された特定の機微な領域で使用されるAIシステムに付与される——雇用や労働者管理、教育・職業訓練における評価、与信スコアリングのような不可欠なサービスへのアクセス、移民・国境管理、法執行、司法運営、そして前述の全面禁止の対象外となる生体認証・分類などだ。制作者や小規模スタジオがこうしたシステムを一から構築することはまずないだろうが、気づかないうちにその利用者になっている可能性はある。動画面接を解析して求職者をスクリーニングするAIツール、ウェブカメラの映像を読み取ってコンテンツに対する視聴者の感情反応を推測する広告テック・プラットフォーム、クライアント案件のために保護対象特性で人々を分類する生体認証システムなどはすべてここに該当する。これらのシステムは市場投入前の適合性評価、技術文書、人間による監督の仕組み、EU全域データベースへの登録を必要とし、これは法務部門とエンジニアリングチームを抱える企業向けに設計されたコンプライアンス負荷であって、個人制作者が週末に手がけるプロジェクト向けのものではない。

実務上のスケジュールは2026年に大きく変わった。附属書IIIのこれらのシステムに対する高リスク義務は、当初は他のすべてと同様に2026年8月2日から適用される予定だった。しかし2026年5月7日にEU交渉担当者間で合意され、6月にかけて欧州議会・理事会が正式に承認したデジタル・オムニバス合意により、この期日は2027年12月2日まで後ろ倒しされた。医療機器や機械類に組み込まれたAI安全部品のように、すでに規制対象となっている製品に組み込まれた高リスクAIについては、さらに長い猶予期間が与えられ、2028年8月2日までとなる。あなたの仕事がこうした機微な領域に触れないのであれば、この延期はほぼ背景情報にすぎない。しかしこれは2026年におけるこの法律の実施運用上、最大の変更点であり、EUが急激な断崖ではなく実質的な余裕期間を組み込んだことを示している。

限定リスク:透明性がすべてを尽くす義務となる階層

この階層こそが一般的なコンテンツ制作者に最も直接的に関わるものであり、第50条が定めているのもここだ。チャットボットを生成しているなら、利用者に対して相手が機械であることを明確にしなければならない。本物と見分けがつかないほど現実的な画像・音声・動画コンテンツ——合成の製品デモ、AIナレーション付きのニュース風動画、実際の出来事を加工した映像など——を生成・加工しているなら、それが人工的に生成または改変されたものであることを、実際に見る人の目に触れる場所で明確に開示しなければならない。上記の禁止・高リスク対象外の文脈で感情認識や生体分類システムを展開しているなら、その旨を人々に通知する義務を負う。これらはいずれも事前承認、適合性評価、データベースへの登録を必要としない——求められるのは、人々が実際に目にしているものについて、目にするその時点で真実を伝えることだけだ。これらの義務は、欧州委員会が調査・制裁を行う正式な権限を得たのと同時に、2026年8月2日からEU全域で施行されるようになった。

最小リスク:実際のクリエイティブなAI利用の大半が属する階層

動画用のAI生成背景イラスト、音声クローンによるナレーショントラック、AI補助のサムネイル、ムードボードに使うテキストから画像への変換出力、脚本の構成案を起草するAI執筆ツール——これらのいずれも、AI法固有の義務を発生させることはない。禁止でも高リスクでもなく、出力が実在の出来事や人物の本物の映像と誤認されるほど現実的でない限り、第50条の開示義務すら発生しない。著作権、名誉毀損、プラットフォーム利用規約、個人データを扱うならGDPRといった通常のルールには依然として拘束されるが、AI法自体はこの領域についてはほぼ何も語らない。これは実は分量の面で最大のカテゴリーだ——エンターテインメント、マーケティング、クリエイティブワークのための生成AI利用のほとんどは最小リスクであり、この法律はそうした利用を意図的に妨げないように設計されている。

もう一つの軸:AIモデルそのもの

もう一つ知っておく価値のある点がある。それは、自分自身の利用が最小リスクであっても、使っているツールの利用規約に「EU AI法準拠」という記載が出てくる理由を説明するものだ——多くの消費者向け生成ツールを支える大規模な基盤モデルを構築する企業を対象とした、汎用AIモデル向けの別のコンプライアンストラックが存在する。これはアプリを使う人ではなく、モデルを構築する企業に向けられたものだ。これらの義務は2025年8月2日以降モデル提供者に適用されており、欧州委員会がこれらに対して実際に制裁を科す権限は2026年8月2日に発効した。おおよそ10の25乗を超える浮動小数点演算量で訓練されたモデルは「システミックリスク」を有するとみなされ、リスク評価、インシデント追跡、サイバーセキュリティ要件、その閾値に達してから2週間以内のEU AI事務局への通知といった追加義務を負う。これは最先端モデルを構築する一握りの企業にとっての負担であり、完成した製品を使う側の人間にとっては事実上見えないものだ。

まとめ:あなたのワークフローは実際どこに位置するか

AIを使ってコンテンツを作る圧倒的多数の人にとって、正直なところ実態はこうなる。日常的な生成・編集作業は最小リスクであり、この法律の影響を受けない。本物と誤認されるほど現実的なコンテンツは第50条に基づく限定リスクの開示義務を発生させるが、禁止やコンプライアンスプロセスにはつながらない。採用、与信、生体分類のような機微な領域での意思決定にAIを使うと高リスク領域に入り、実際の文書作成が求められるが、この階層への施行は2027年12月まで効力を持たない。そして実際に全面的に禁止されているのは、短く具体的なリストに限られる——操作的・搾取的な慣行、特定の生体認証・ソーシャルスコアリング利用、そして最新の追加項目である、実在の人物の非同意の性的画像を生成する目的で構築されたツールだ。このシステムは、通常のクリエイティブなAI利用を困難にするために設計されているのではない。特定の少数の害を違法とし、やや幅広い機微な利用に説明責任を課し、それ以外はすべて制限ではなく透明性の対象とするように設計されているのだ。

規制の状況は急速に変化しており、上記の詳細は2026年7月中旬時点で公開されている情報を反映したものである——判断の根拠とする前に、最新の要件を確認してほしい。この記事は一般的な情報提供であり、法的助言ではない。実際の利害が絡む事案については、自身の管轄区域で資格を持つ弁護士に相談すること。