EU AI Actに関するガイドラインの動向

EUにおいて世界初の包括的なAI規制法であるAI Actが2024年6月に成立して以降、欧州委員会は解釈指針となるガイドライン等の策定作業を進めています。個別の論点に関するガイドラインとしては、2025年2月6日付の5条に基づく禁止行為に関するガイドラインや、同日付の「AIシステム」の定義に関するガイドライン等が公表されています。また、汎用目的AI（GPAI）のプロバイダーが署名を行うことで同法の義務を遵守していることが推定されるCode of Practiceの策定も進められており、現時点では2025年7月10日付の3次ドラフトまで公表されています。

今般、AI Actの中でも重要性の高いルールに関連するガイドライン案として、2026年5月8日に透明性義務の実施に関するガイドライン案¹（以下「透明性ガイドライン案」といいます。）が、同月19日には高リスクAIの分類に関するガイドライン案²（以下「高リスクAIガイドライン案」といいます。）がそれぞれ公表されました。これらのガイドライン案は、AIの開発・提供・利用に関わる広範な事業者に対し大きな影響を与えることが見込まれる文書として注目を集めています。本稿では、前提となるAI Actの規制及び関連する立法提案（Digital Omnibus on AI）の内容を概観した上で、各ガイドライン案についての解説を行います。

AI Actは、AIシステムが使用される目的に応じたリスクの大きさを4段階に分類し、リスクが高いほどプロバイダーやデプロイヤー等に対して厳しい義務を課すリスクベース・アプローチを採用しています。各類型に該当し得るAIシステム及び規制の概要は下表のとおりです³。
 

また、上記に加え、AIモデルの性能に着目した規制として、汎用目的AIモデルのプロバイダーに対し、モデルの技術文書を作成する義務やモデル評価を実施する義務等が課されています（51条～56条）。これらの規制が適用される当事者には以下①～④の者が含まれ、EU市場でAI製品・AIサービスの展開を行うプロバイダーやEU域内に所在するデプロイヤーのみならず、これらに該当しない場合であっても、AIシステムの出力がEU域内で使用されるプロバイダーないしデプロイヤーは適用対象となります。したがって、例えば本邦企業がAIサービスのEU展開を検討する場合や、EU域内のオフィスにAIシステムを導入する場合、EU域内の業務においてAIシステムの出力を使用する場合等には同法の適用を受ける可能性がある点に注意を要します。
 

本稿において解説する前述のガイドライン案は、上表に示したAI Actの全体像のうち以下のトピックに関する解釈指針となります。
 

• 高リスクAIガイドライン案：上表のうち高リスクAIに関し、当該類型に該当するAIシステムの範囲を明確化するものです。高リスクAIに分類される場合、AIシステムのプロバイダー等はリスク管理、データ品質の確保、人間による監視、適合性評価等の厳格な義務が課せられるため、どのようなAIシステムが当該類型に該当するかは特に重要な論点となります。
• 透明性ガイドライン案：上表のうち限定的リスクAIに分類されるAIシステムのプロバイダーないしデプロイヤーは、AIシステムに関する一定の開示等の義務（透明性義務）を負うところ、透明性ガイドライン案はかかる義務が生ずる場面や義務の履行方法等について論じています。限定的リスクAIに分類されるAIシステムには、チャットボットや画像生成AI等、一般に広く普及しているものを含むため、影響を受ける事業者が広範に亘ると考えられます。

AI Actに関しては、規制遵守のために必要な技術標準などの支援ツールの整備に時間を要すること等を踏まえ、施行時期の見直し等を含む改正の議論も並行して進められています。

欧州委員会は、2025年11月19日、EUのデジタル法制に関する包括的な改正提案となる「Digital Package」を発表しましたが、その柱の一つがデータ・サイバーセキュリティ・AIに関するEUの法制度を簡素化することを目的とした「Digital Omnibus」であり、AI Actの改正に関する提言も含まれています。

Digital Omnibusに関してはステークホルダー間で度重なる協議が行われ、2026年5月7日、欧州議会と理事会との間で暫定合意に達しました⁴。当該暫定合意には、AI Actに対する新たな禁止行為の追加（児童の性的虐待コンテンツや本人の同意のない性的画像コンテンツを作成するAI）、一部の高リスクAIに関する分野別法令との重複の調整等が含まれますが、実務上重要な点として、下表の項目を含む一部の規制の施行日が延期されています。今後、当該暫定合意が欧州議会及び理事会において正式に採択されれば、事業者においては各規制の遵守のための時間的猶予が設けられることとなります。
 

なお、留意を要する点として、50条1項～4項の透明性義務のうち、2項に関しては上表のとおり施行日が延期されているものの、その他の義務に関しては延期の対象とはされておらず、適用対象となる事業者においては本年8月2日までの規制遵守が求められることとなります。 

2026年5月18日に公表された高リスクAIガイドライン案は、個別のAIシステムが高リスクに分類されるかという論点に関し、欧州委員会が初めて包括的な解釈指針案を示すものとなります。意見公募期間は2026年6月23日までとされており、その後、欧州委員会が最終版を採択する予定となっています。

高リスクAIガイドライン案は法的拘束力のない（non-binding）文書であり、法的解釈は最終的には欧州司法裁判所（CJEU）の権限とされていますが（para.(6)）、6条5項の授権に基づいて欧州委員会が策定する文書であり（para.(3)）、ステークホルダー間の協議を経て加盟国からの意見も聴取しながら策定していること（para. (5)）等に鑑みると、市場監視当局⁵及びAI Office⁶が実務上高リスクAIガイドライン案に準拠した分類判断を行う可能性は高く、影響力は大きいと考えられます。

高リスクAIガイドライン案の冒頭では、高リスクAIの分類全般に妥当する一般原則について論じており、実務上は以下の考え方が重要になると考えられます。
 

• 高リスクAIに分類される2つのルート：高リスクAIガイドライン案は、高リスクAIの分類について2つのルートがあることを確認しています（para.(7)）。第一は、製品安全に関するEU調和法制上の規制対象製品に関するルート（6条1項・Annex I）であり、第二は、特定の高リスク用途に使用されるスタンドアロンのAIシステムに関するルート（6条2項・Annex III経由）となります。高リスクAIの分類に関する各論も、これらの2つのルートごとに説明されています（下記(2)及び(3)）。
• AIシステムの「意図された目的」の認定：高リスクAIに該当するか否かはAIシステムの「意図された目的」（AI Act3条12項）に基づいて決定されるところ、使用説明書・技術文書・プロモーション資料・販売資料等の全てで一貫した記述が求められ（para.(11)）、例えば利用規約において高リスク用途が除外されている旨を単に記載するだけでは高リスクAI該当性を回避することはできないとされています（para.(12)）。また、複数の目的を有するシステムや汎用目的AIシステム（GPAI）については、上記各文書において一貫して高リスク用途を除外していない場合、当該システムの「意図された目的」が高リスク用途を包含するとみなされるおそれがあるとされています（para.(12)）。
   

高リスクAIに該当する一つ目のルートとして、①AIシステムがAI Act Annex Iに列挙されたEU調和法制（機械指令、医療機器規則、玩具安全指令、昇降機指令、無線機器指令、自動車・航空分野の各規制等）の対象製品の「安全要素」を構成するか、又は当該AIシステム自体が規制対象製品に該当し、なおかつ、②当該製品が第三者適合性評価を要する場合、当該AIシステムは高リスクAIに該当することとなります。

特に、AIシステムが対象製品の「安全要素」を構成するか（上記①）は判断が分かれやすい重要な要件であり、高リスクAIガイドライン案は安全要素該当性を2つの観点から説明しています。
 

• 安全機能型：AIシステムのプロバイダーが決定する「意図された目的」に対象製品の安全上のリスクの防止又は軽減を含む場合、「安全要素」を構成すると解されます（para.(35)-(37)）。リスクを予防する機能（製品の異常動作や保守点検の要否検知等）と、リスクが顕在化した場合の被害を軽減する機能（安全停止等）の双方を含みます（para.(37)）⁷。
•  故障時危険型：AIシステムが安全上のリスクを防止又は軽減する目的を有しない場合であっても、その故障ないし誤作動が自然人の健康、安全又は財産に対する危険を惹起する場合、「安全要素」を構成すると解されます（para.(38)-(42)）。故障ないし誤作動には、不正確な出力（偽陰性又は偽陽性等）、機能又は可用性の喪失、性能不安定、出力の遅延並びに危険な制御上の決定につながる誤分類等が含まれ得るとされています（para.(39)）⁸。

上記のような性質を持たず、例えば製品の効率最適化、快適性向上、安全上のリスクに関連しない品質管理等を目的とするAIシステムは、たとえ製品に組み込まれていても上記①の要件を欠き、一つ目のルートの高リスクAIに該当しないこととなります⁹。

二つ目のルートとして、AIシステムの「意図された目的」がAI Act Annex IIIに列挙された8つの領域のいずれかのユースケース（以下「高リスクユースケース」といいます。）に該当する場合、高リスクAIに分類されます（para.(7)）。高リスクAIガイドライン案は、Annex IIIの各領域に関する詳細な解説とともに、高リスクユースケースに該当する例と該当しない例の詳細な具体例を示すことにより、各類型該当性の判断のための具体的な指針を提供しています。
 

また、高リスクユースケースに横断的に関わる論点も論じられており、特に以下の諸点は高リスクユースケース該当性の判断にあ当たって重要な要素になると考えられます。
 

•  AIシステムの出力に人間が関与することは高リスクユースケースへの該当性を否定する事情とはならないこと（para.(70)）
• AIシステムが第三者に対して何らかの評価や分類を行う高リスクユースケースは、基本的に自然人に関する評価や分類を対象としており、法人や組織のみを対象とした評価を行うAIシステムは高リスクユースケースに該当しない場合があること（para.(73)-(74)）
• 高リスクユースケースの中には「公的機関に代わって」行われる活動を包含するものがあり、公的機関から業務を受託した民間事業者が当該機関のためにAIシステムを使用する場合も高リスクユースケースへの該当性を検討する必要があること（para.(79)-(80)）
• 高リスクユースケースへの該当性は、システムの実際の使用状況ではなく、プロバイダーが決定する「意図された目的」に基づいて判断されるため、意図された目的が市場投入前の段階から高リスクユースケースに該当する場合には、市場投入前に規制への遵守を確保しておく必要があること（para.(77)-(78)）

AIシステムの「意図された目的」がいずれかの高リスクユースケースに該当する場合であっても、6条3項は、当該AIシステムが下記4つの条件のいずれかに該当し、かつ、GDPR4条4号の定義に基づく「プロファイリング」を行うものでない場合には、高リスクAIに係る規制の適用を免除する仕組み（適用除外フィルター）を設けています。
 

高リスクAIガイドライン案は、適用除外フィルターがあくまで例外規定として厳格に解釈されるべきことを示しつつ（para.(88)-(90)）、4条件に関する解釈や該当性を論じています。例えば、①に関しては学校入試における出願書類をいくつかのカテゴリーに分類するAIシステム（para.(92)）が、④に関しては公的給付の判断を行う公務員に補足情報の提供を行うAIシステム（para.(108)）が適用除外が認められる例として挙げられており、4条件を通じて、人が最終的な判断を行い、AIは実質的な決定に関わらない補助や支援のみを行う場面が想定されています。

2026年5月8日に公表された透明性ガイドライン案は、幅広いAIシステムが対象となる50条の透明性義務に関し、どのような場合に義務が生ずるか、どのような技術的方法により義務を履行すべきかといった論点に関して包括的な解釈指針案を示すものとなります。意見公募期間は2026年6月3日までとされており、その後、欧州委員会が最終版を採択する予定となっています。

前述の高リスクAIガイドライン案と同様、法的拘束力のない（non-binding）文書であり法的解釈は最終的に欧州司法裁判所（CJEU）の権限とされていますが（para.(5)）、96条1項(d)の授権に基づいて欧州委員会が策定する文書であり(para.(3))、ステークホルダー間の協議を経て加盟国からの意見も聴取しながら策定していること（para.(4)）等に鑑みると、市場監視当局及びAI Officeが透明性ガイドライン案に準拠した解釈を行う可能性は高く、影響力は大きいと考えられます。

透明性ガイドライン案の冒頭では、50条に基づいて、いずれの当事者が、どのようなシステムに関し、いかなる透明性義務を負うかを整理しており、概要は下表のとおりです。
 

透明性ガイドライン案は、前記(1)の各義務について、どのような場合に義務が生ずるか、どのような技術的方法により義務を履行すべきかに関する解釈指針を示しています。その内容は多岐に亘りますが、主として以下の点は実務上論点になりやすいと考えられます。
 

• 自然人と直接対話するシステムに関するプロバイダーの透明性義務（50条1項）：プロバイダーは同条項に基づき、ユーザーがAIシステムと対話していることを認識できるよう設計する義務を負いますが、同項但書では、AIシステムと対話していることが諸般の事情に照らして「明白」である場合には義務を負わないこととされており、義務の有無を左右する「明白性」の解釈が重要と考えられます。明白性の判断においてはEU消費者保護法上の「平均的消費者」基準を採用し、①対象ユーザー層の属性（AI・デジタルリテラシーの水準）、②子ども・高齢者・障害者等の脆弱なグループがユーザーに含まれる可能性、及び③当該AIシステムの想定される使用文脈等を総合的に考慮して、対象となるユーザー層において明白であるか否かを個別具体的に評価すべきことを示しています（para.(39)-(42)）。
   
• 生成AIシステム等に関するプロバイダーの透明性義務（50条2項）：プロバイダーが同条項に基づき、AIシステムの出力に係る機械可読なマーキングを施し、かつ、人工的に生成又は操作されたことについて検出可能性を確保するという二つの独立した義務が課されることを確認した上で（para.(65)）、義務の有無や履行方法に関わる以下の点を論じています。
  
  ①    既存コンテンツの複製・整理等だけを行うシステム（音楽プレイリストやレコメンデーションシステム）や、人間が知覚不可能であるか又は人間による解釈・検証・行動等を意図しないコンテンツ（ソースコードや機械間の通信処理等）は本条項の対象とならないこと（para.(60)-(64)）
  ②    マーキング及び検出可能性のための技術的手段に求められる有効性・相互運用性・堅牢性・信頼性を同時に満たす単一の技術は存在せず、複数の技術を組み合わせることが必要であること（para.(74)-(80)）
  ③    本条項の趣旨に照らすと、産業用又はBtoBアプリケーションについては義務の対象外となることがあるが、AIシステムの出力が技術的な性質を有し、かつ組織内で事前に定義された専門家グループによってのみ知覚される等の厳格な要件を満たす場合に限られること（para.(81)）
   
• 感情認識システム又は生体分類システムに関するデプロイヤーの透明性義務（50条3項）：デプロイヤーは本条項に基づき、感情認識システム又は生体分類システムが操作・使用されていることをシステムに晒される全ての自然人に通知することが求められるところ（para.(99)-(100)）、かかる通知の方法は、システムの展開場所、受信者の属性、受信者との関係性等に応じて多様な方法が考えられること（para.(101)）等を示しています。
   
• ディープフェイクの生成等を目的とするシステムに関するデプロイヤーの透明性義務（50条4項）：デプロイヤーは本条項に基づき、ディープフェイクコンテンツが人工的に生成又は操作されたものである旨を開示することが求められるところ、ディープフェイクに該当するための要件の解釈及び該当例／非該当例（para.(107)-(109)） や、芸術、創作、風刺、フィクション等の義務の緩和事由の意味内容（para.(111)-(114)）について論じています。
   

また、上記の各義務の履行に当たっては、50条5項において、対象者に対する開示が「明確かつ識別可能な方法」で、かつ、「最初の対話又は露出の時点までに」行われなければならないという横断的要件が定められています。透明性ガイドライン案は、情報がマニュアルの一部としてのみ含まれる場合やオンラインインターフェイス上のメニューオプションの階層の下に隠されている場合には「明確かつ識別可能な方法で」提供されたとはみなされないこと（para.(131)）、「最初の対話又は露出の時点」とは自然人が最初にAIシステムの出力に接する時点のみならず、その後に当該AIシステムの出力に接する全ての自然人の（最初の）対話又は露出を含むため、継続的な開示が求められ得ること（para.(132)）等を示しています。

本稿では、高リスクAIガイドライン案及び透明性ガイドライン案について、前提となるAI Actの規律も踏まえつつ解説を行いました。目下、50条に基づく透明性義務の一部は施行期日が目前に迫り、高リスクAIに関する規制等も順次施行を迎える状況となっています。AI Actの解釈論や施行時期については活発な議論が進行中であり、各ガイドライン案に対して今後も変更が加えられる可能性はありますが、AI Actが適用される可能性のある事業者においては、現状の各ガイドライン案の内容も踏まえ、自社のAIシステムに対する適用の有無や規制遵守状況について検討準備を進めておく必要性が高いと考えられます。