AI Actの導入は、2025年2月2日から2027年末まで段階的に進められます。この段階的な施行により、経済主体が順守に向けた準備期間を確保しつつ、最も緊急性の高い保護措置が迅速に有効化されることを目指しています。
規則第V章に規定されたGPAI義務は、foundation models規制の中核を成します。欧州市場で提供される全ての汎用AIモデルの提供者(open sourceも含み、一部免除あり)は、次の事項を遵守しなければなりません:
システミックリスクのあるモデル(訓練計算量が10²⁵ FLOPS超、または欧州委員会指定)には、継続的なリスク評価、標準化されたadversarialテスト(red-teaming)、サイバーセキュリティ対策、重大インシデントのAIオフィスへの報告、エネルギー効率に関する報告書の公開が追加されます。2025年8月の施行時点では、GPT-4、Gemini Ultra、Claude 3 Opus、Llama 3.1 405Bが対象となっていました。閾値は技術進展に合わせて欧州委員会が見直すことが可能です。
第53条・第55条の順守を円滑にするため、欧州委員会は2024年7月に汎用AIモデルのための行動規範の策定を開始しました。AIオフィスが主導し、13名の独立専門家と約100の組織が協議に参加。最終版は2025年7月10日に公開されています。
行動規範は、透明性(技術情報の公開)、著作権(opt-out遵守の手続き)、システミックリスクモデルの安全性・セキュリティの3本柱で構成されます。採用は任意ですが、順守することで対応要件を満たすものとみなされます。主要な米欧AIラボは原則受け入れを表明しましたが、Metaは2025年7月、Llamaに関する実務との非整合を理由に署名を拒否。GoogleやAnthropicは条件付きで署名し、OpenAI、Mistral AI、Microsoftは全面的に支持しています。
第53条は、生成AIとクリエイティブ産業の共存を巡る議論の焦点となっています。同条1項(c)はGPAI提供者に著作権遵守ポリシーの策定を、1項(d)はAIオフィス指定様式による訓練データ要約の公開を義務付けています。
実務上、この仕組みはexception TDM(text and data mining、指令2019/790第4条)とopt-out machine-readableの組み合わせに基づきます。権利者は、自作のAI訓練利用に反対する場合、robots.txtファイル、HTTPヘッダー、作品内メタデータなど、機械可読な形式で意思表示する必要があります。W3CのTDM Reservation Protocol、ai.txt、C2PAなど複数の競合標準が2026年時点で並立していますが、いずれも決定的な地位を得ていません。
フランスの権利者団体は、この制度の実効性に異議を唱えています。SACEM、SCAM、SACD、SDRMは、情報の非対称性やopt-out違反時の実効的制裁の欠如を批判。2026年5月、著作権法L. 331-4-1条を通じて透明性欠如時に利用推定を認める「ダルコス法案」が国民議会で否決されたため、権利者は国内法上の救済手段を失い、欧州委員会による第53条の厳格な適用に頼る状況となりました。
AI Actは、欧州の中核機関として2つの組織を設置します。欧州AIオフィス(European AI Office)は、2024年5月に欧州委員会の決定で設立され、DG CONNECTに属します。GPAIおよびシステミックリスクモデルの規則実施を監督し、行動規範の策定、提供者の監督、苦情処理、制裁措置を担います。設立時点で約100人の職員を擁し、Lucilla Sioliが初代所長を務めました。
欧州人工知能委員会(European AI Board)は、27加盟国の監督当局代表で構成され、2024年9月に初会合を開催。加盟国間の調整、規則の解釈統一、欧州委員会への助言を担当します。産業界、市民社会、学術界、中小企業が参加する諮問フォーラムも設けられています。
各国レベルでは、加盟国ごとに1つ以上の主管当局が指定されます。フランスでは、CNILが個人データ関連の規則適用を調整し、DGCCRFやDGEが製品・市場面を担当。2025年には省庁横断の調整グループ設置が発表されましたが、GPAI規則施行時点では正式な組織化には至っていません。
AI Actは、違反の重大性に応じて制裁額を定めています:
中小企業・スタートアップには、2つのうち低い方の額が上限となる特例があります。最初の正式な執行手続きは、順守猶予期間を経て2026年末にAIオフィスが開始する見込みです。
AI Actは欧州のAIエコシステムを大きく再編しました。大手利用企業(銀行、保険、医療、人事等)は、システム設計段階から順守を組み込む「compliance by design」が不可欠となり、AI利用のマッピング、影響分析、技術文書、内部ガバナンスが求められます。Wavestone、France Digitale、Gide等のコンサルが2024年2月から実務ガイドを提供しています。
open sourceモデル提供者には、パラメータ・アーキテクチャ・利用情報を公開する場合、GPAI義務の一部免除が認められます(ただしシステミックリスクモデルは除外)。Hugging Face、GitHub、Mistral、La Quadrature du Netなど欧州open source勢は2023年7月、共同イノベーション維持のため柔軟な枠組みを要望しました。最終的な妥協案では、訓練データ要約と著作権ポリシーの公開義務は維持され、極めて大規模なモデルのスケール拡大は難しくなっています。
欧州のリーディング企業(Mistral AI、LightOn、Aleph Alpha、Black Forest Labs等)にとって、AI Actは短期間での順守と、OpenAI、Anthropic、Googleとの競争的なモデル訓練を両立する二重の課題となっています。Mistral AIのArthur Menschらは、域外より過度な規制負担が欧州の産業空洞化を招くリスクを警告。一方、Yoshua Bengio、Raja Chatila、Nicolas Miailheらは、厳格な枠組みこそ欧州の戦略的自律と市民の信頼確保に不可欠と指摘しています。
AI Actは、断片化した国際規制環境の中に位置付けられます。米国では、2023年10月のBiden大統領Executive Orderが2025年1月のTrump政権発足で大部分撤回され、連邦機関や州(特にカリフォルニア州SB 1047)が分野別・地域別の対応を進めています。中国は2023年8月から一般向け生成AIモデルに事前認可制を導入し、190以上のLLMを承認済みですが、生成内容への政治的統制が伴います。
英国は、現行の分野別規制当局による原則ベースのアプローチを採用し、現時点で特定の法律はありません。ブラジル、カナダ、日本、韓国も独自の枠組みを進めており、多くは欧州のリスクベース手法を参考にしています。Bruxelles効果(国際プロバイダーが複数の規制体制ではなく欧州規則に世界的に合わせることで事実上の域外適用となる現象)は、RGPD同様に作用する可能性がありますが、2026年時点でその影響はまだ測定できていません。
国際的な議論は、Bletchley ParkでのAI Safety Summit(2023年11月)、Séoul AI Safety Summit(2024年5月)、パリでのAI Action Summit(2025年2月)などで重ねられましたが、包括的な国際合意は得られていません。EUが初の拘束力ある規制を採択したことによる特別な責任が強調されています。
今後18カ月の主な課題は以下の通りです:
AI Actはゴールではなく、進化する枠組みです。4年ごとに見直しが予定されており、最初の改訂は2028年です。その成功は、条文の厳格な適用以上に、基本的人権の保護、産業イノベーション、欧州の技術主権をいかに両立できるかにかかっています。
本規則は2024年8月1日に施行されました。これは、2024年7月12日に欧州連合官報に掲載されてから20日後です。適用は対象となるシステムの性質に応じて2027年8月まで段階的に進みます:禁止事項は2025年2月2日から有効、GPAIの義務は2025年8月2日から、高リスクシステムは2026年8月から適用されます。
モデルの学習時に累積計算能力が10²⁵ FLOPSを超えると、システミックリスクと推定されます。義務開始時点(2025年8月)では、GPT-4、Gemini Ultra、Claude 3 Opus、Llama 3.1 405Bが該当していました。欧州委員会は、ユーザー数や利用形態、評価された能力など定性的な基準に基づき、他のモデルも指定することができます。
欧州市場に投入される汎用モデルの提供者は、技術文書の作成、学習データの詳細なサマリーの公開、著作権遵守ポリシーの策定、AI局との協力が求められます。システミックリスクモデルには、継続的な評価、敵対的テスト、サイバーセキュリティ、インシデント報告の追加義務があります。
第53条は、GPAI提供者に対し、2019/790指令に基づく権利者のopt-outを尊重することを義務付けています。このopt-outはmachine-readable(robots.txt、HTTPヘッダー、メタデータ等)でなければなりません。フランスの権利者はこの仕組みの実効性に異議を唱えており、2026年5月のDarcos法の除外によって国内の立法的な後ろ盾を失いました。
禁止行為については最大3,500万ユーロまたは全世界年間売上高の7%、高リスクシステムやGPAIの義務違反には1,500万ユーロまたは3%、不正確な情報提供には750万ユーロまたは1%の制裁金が科されます。大企業には高い金額が、中小企業には低い金額が適用されます。
これは欧州委員会が2025年7月10日に公表したリファレンス文書で、13名の独立専門家と約100の団体が協議して作成されました。自主的に採用することで第53条および第55条の遵守が推定されます。OpenAI、Mistral AI、Microsoft、Anthropic、Googleが署名し、Metaは拒否しました。
欧州委員会(DG CONNECT)傘下の欧州AI局がGPAI提供者およびシステミックリスクモデルを監督します。欧州AI委員会は27加盟国の国家当局を集めています。フランスではCNIL、DGCCRF、DGEが各分野ごとに所管当局となります。
はい。パラメータ、アーキテクチャ、利用情報が自由ライセンスで公開されているモデルにはGPAI義務の一部が免除されます(ただしシステミックリスクモデルは除く)。ただし、学習データのサマリー公開と著作権ポリシーの策定はopen sourceモデルすべてに義務付けられています。
2025年7月、Carrefour、BNP Paribas、Airbus、TotalEnergiesなどを含む150社以上の欧州企業の経営者が、AI Actの適用を2年間停止するモラトリアムを求める公開書簡に署名しました。彼らは米中企業との競争上の不利を理由に挙げましたが、欧州委員会はこの要望を却下し、当初のスケジュールを維持しました。
RGPDは個人データの取扱いを規律し、AI Actは個人データの有無にかかわらずAIシステムの上市および利用を規律します。両規則は累積的に適用されます。すなわち、高リスクAIシステムが個人データを処理する場合、AI Actの義務とRGPDの原則(適法性、最小化、個人の権利)双方を遵守する必要があります。
本規則の最初の4年ごとの見直しは2028年に予定されています。欧州委員会はその際、制度の有効性、技術動向、閾値や高リスク用途リスト、ガバナンス機構の改定の必要性を評価することになります。
5 articles liés à ce sujet
2026年5月12日朝、国民議会の11のグループの会議は、6月の超党派週間に向けて、著作権と人工知能に関するダルコス法案を採用しませんでした。知的財産法の将来の...
AI法は、2024年2月から施行されたヨーロッパの人工知能(AI)に関する規制であり、いくつかの企業の反対にもかかわらず、有効となっています。これは、一般用途A...
欧州委員会は、汎用AIモデルのための行動規範の最終版を発表し、AI Actの義務に準拠するための支援を提供します。
ヨーロッパの企業、Carrefour、BNP Paribas、Airbus、TotalEnergiesを含む企業が、AI法案の適用を2年間停止するよう求めました。しかし、欧州委員会はこの要請を...
欧州委員会のAI局は先週火曜日、汎用AIモデル(GPAI)のプロバイダーがAI法の要件、特に透明性、著作権、リスク管理に関する要件を遵守するのを支援するための良...
