AI Regulation and Compliance(AI 規制とコンプライアンス)

article technology medium #ai-regulation#ai-governance#eu-ai-act#nist-ai-rmf#iso-42001#appi#ai-compliance#responsible-ai
Created: 2026-05-30 Updated:

AI 規制の世界地図層。EU AI Act リスク4分類・GPAI 義務・段階適用、日本 AI 推進法のアジャイル・ガバナンス、米国 EO 転換と州法パッチワーク、中国ラベリング規制、NIST AI RMF・ISO 42001 の任意フレームワーク、企業実装の勘所とアンチパターンを俯瞰する。

AI 規制とコンプライアンス

AI ガバナンスは「技術の地図」に欠かせないガバナンス層を形成している。本記事は EU のハードロー(EU AI Act)、日本のソフトロー(AI 推進法)、米国の大統領令と州法パッチワーク、中国のラベリング規制、NIST AI RMF・ISO 42001 の任意フレームワークを一枚の地図として俯瞰し、企業がコンプライアンスを設計する際の基準点を提供する。情報カットオフ ~2025-08、confidence: medium(規制は流動的。2026-05 時点での一部外部検証を含む)。

三つの規制アプローチ

AI 規制は大きく三つのアプローチに分類できる。

**ハードロー(法令強制)**はリスクを分類し、高リスク用途には義務と制裁を課す。EU AI Act がその代表例で、世界初の包括的 AI 専用法として 2024-08-01 に発効した。日本の AI 推進法は 2025-05 に可決されたアジア太平洋2番目の包括 AI 立法だが、罰則・制裁金なしのソフトロー型であり、EU とは対照的な哲学をとる。

任意フレームワーク・標準は法的拘束力を持たないが、実務的ベースラインとなる。NIST AI RMF 1.0(2023-01)と ISO/IEC 42001:2023 が両輪として機能している。

セクター・地域規制は金融(FINRA, EBA AI guidelines)・医療(FDA SaMD)・航空(EASA)等のドメイン固有規制と、各国の個人情報保護法(APPI・GDPR・CCPA)が AI 利用を交差する。

EU AI Act — リスク4分類と段階適用

EU AI Act は AI システムをリスクに応じて4段階に分類し、それぞれ義務を課す。

Unacceptable risk(容認不可): サブリミナル操作、社会的スコアリング、特定の生体監視等。2025-02-02 から適用済み。対象 AI システムは EU 市場での使用・販売が禁止される。

High risk(高リスク): 生体認証・重要インフラ・教育・雇用・公共サービス・司法・国境管理・民主的プロセスに影響を与えるシステム。義務は適合性評価・登録(EU データベース)・リスク管理・データガバナンス・ログ保持・人間による監督・透明性要件。2026-08-02 適用開始。

Limited risk(限定リスク): チャットボット・ディープフェイク生成等。透明性義務(利用者へ AI であることの開示)のみ。同じく 2026-08-02 から。

Minimal risk(最小リスク): スパムフィルター等。義務なし。自主行動規範が推奨される。

GPAI(汎用 AI モデル)義務: GPT-4・Gemini・Claude 等の大規模基盤モデルが対象。2025-08-02 から適用済み。義務内容は技術文書作成・下流提供者向け文書・学習データの十分詳細な要約公表・EU 著作権法遵守。特に「重大なシステミックリスク」を持つモデル(FLOP > 10²⁵ 等)には追加義務(レッドチーミング、インシデント報告等)が課される。

施行スケジュール:

  • 2024-08-01: 発効
  • 2025-02-02: 禁止行為適用
  • 2025-08-02: GPAI 義務適用
  • 2026-08-02: 高リスク・透明性義務適用・AI Office 完全執行権限発動
  • 2027-08-02: 規制対象製品組込み AI 含む完全適用

各 EU 加盟国は 2026-08 までに AI サンドボックスを最低1つ設置する義務を負う。

日本 AI 推進法 — アジャイル・ガバナンス

正式名称「AI 関連技術 研究開発・利活用推進法」は 2025-05-28 に国会可決、大半の規定が 2025-06-04 に施行、完全施行は 2025-09-01。

法の哲学は「アジャイル・ガバナンス」であり、硬直的な事前規制は技術進化の速さに追いつけないとの立場をとる。罰則・制裁金はない。当局(主務省)が行使できるのは助言・情報提供要請・不遵守の公表にとどまる。

4つの基本原則:

  1. 経済・国家安全保障のための AI R&D 推進
  2. 基礎研究から利活用までの包括的推進
  3. 適正な R&D のための透明性確保
  4. 国際協調で主導的役割を担うこと

個人データは別途 APPI(個人情報保護法) が規律する。AI が生成・処理・越境転送する個人情報には APPI の第三国規律・匿名化要件・要配慮個人情報規定が交差する。特に推論 AI がエッジデバイスで個人データを処理する場合(tech-81 参照)、APPI の越境移転スキームの適用が求められることがある。

米国 — EO の転換と州法パッチワーク

米国連邦政府に AI 専用の包括法は存在しない(2026-05 時点)。代わりに大統領令と既存規制の AI 適用解釈が主要な手段となっている。

大統領令の転換:

  • Biden EO 14110「Safe, Secure, and Trustworthy AI」: 2023-10-30 署名。NSI 評価義務・NIST AI RMF 準拠要求・移民政策と AI 労働の交差を含む米史上最包括的な AI EO。
  • Trump による撤回: 2025-01-20 就任当日に EO 14110 を撤回。
  • Trump EO 14179「Removing Barriers to American Leadership in AI」: 2025-01-23 署名。規制緩和・イノベーション促進を優先。180日以内のアクションプラン策定を各機関に指示し、14110 由来の施策の停止・改訂・撤回を求めた。

州法パッチワーク: 連邦法不在を受け、各州が独自立法を進めている。最も注目されたのが Colorado AI Act(SB24-205)で、米初の高リスク AI 包括州法として 2024 年に成立。しかしその後、2026-05-14 に知事が SB189 に署名し施行を 2027-01-01 に再延期、さらに要件を大幅縮小した後継法 CADMA(Colorado Automated Decision-Making Technology Act)に置き換えられた。この経緯は「州法は流動的であり、施行前に内容が変わりうる」という重要な教訓を残した。

他州(カリフォルニア・テキサス・ニューヨーク等)も各種 AI 関連法案を検討・成立させているが、内容は州ごとに大きく異なる。

中国 — 生成 AI 規制とラベリング

中国は世界でも早期に生成 AI を規制した。

生成式人工知能サービス管理暫定弁法: 2023-08-15 施行。中国国内向け生成 AI サービスに適用。コンテンツ管理・利用者確認・データセキュリティを規律する。

AI 生成コンテンツ標識弁法 + 強制国家標準 GB 45438-2025: CAC(国家互聯網信息弁公室)が 2025-03-14 公布、2025-09-01 施行。要件は二層:

  • 明示ラベル(visible): テキスト・音声・グラフィック形式の AI 生成コンテンツに「AI 生成」の表示を義務付ける。利用者に混同を招くおそれのあるサービスに必須。
  • 暗黙ラベル(implicit): コンテンツメタデータへの埋め込み。提供者名・コンテンツ番号・コンテンツ属性等を含む。

施行後、主要中国 AI プラットフォームは標識機構の実装を公表している。この方向性は欧州の透明性義務(限定リスク分類)と目的は共通するが、技術的実装仕様においてより詳細な強制国家標準を採用している点が特徴的。

NIST AI RMF と ISO 42001 — 任意フレームワーク

法的拘束力はないが、企業実装の基盤として広く採用されている二つのフレームワークがある。

NIST AI RMF 1.0(2023-01): 4コア機能 Govern / Map / Measure / Manage を軸に AI リスクを管理する枠組み。米国政府機関の調達基準や民間の自主評価に活用されている。EO 14110 を受けた成果物として開発されたが、EO 撤回後も RMF 自体は存続・活用されている。

NIST AI 600-1 Generative AI Profile(2024-07-26): AI RMF 1.0 を生成 AI 向けに拡張した補完文書。生成 AI に固有または増幅される 12 リスクカテゴリ(幻覚・有害コンテンツ・データプライバシー・偏見等)に対して 200 以上のアクションを提供する。AI RMF 1.0 の置換ではなく拡張として位置付けられる。

ISO/IEC 42001:2023(2023-12 発行): AI マネジメントシステム(AIMS)の世界初の国際標準。確立・実装・維持・継続的改善の要件を定める。第三者認証(3年有効+サーベイランス監査)が取得可能。Anthropic が 2025-01 に認証を取得した他、AWS は Amazon Bedrock・Q Business・Textract・Transcribe で認証を取得している。ISO 42001 は法令遵守を保証するものではないが、組織のリスク管理体制を第三者が評価する枠組みとして機能する。

企業実装の勘所

複数法域にまたがる AI コンプライアンスを実装する際の実践的ポイントを整理する。

GPAI 文書化: EU AI Act の GPAI 義務(2025-08-02 適用済み)を受け、大規模モデルを提供する企業は技術文書・学習データ要約・下流提供者ガイドを整備する必要がある。文書化の粒度・形式は未だ標準化途上の部分がある(2026-05 時点)。

高リスク AI の適合性評価: 2026-08-02 からの高リスク適用に向け、内部評価(特定分類の AI システム)または第三者機関評価(特定の高リスクカテゴリ)のどちらが必要かを事前に特定する必要がある。

監査ログ・ロギング: 高リスク AI システムには自動ログ保持が義務付けられる。ML 可観測性基盤(tech-83)と統合した形でログ設計を行うことで、コンプライアンス要件と運用要件を同時に満たせる。

AI Impact Assessment(AIA): 多くの法制が影響評価を要求または推奨している(EU AI Act 高リスク・NIST AI RMF Map フェーズ・Colorado CADMA の透明性要件等)。AIA のテンプレートは組織内で統一化しておくことで複数法域への対応効率が上がる。

AIMS 認証(ISO 42001): サプライチェーン上の顧客から認証を求められるケースが増加している。認証そのものは法令遵守の代替ではないが、取引条件として活用される傾向がある。

APPI 連携: 日本法人が推論 AI(エッジ含む)で個人データを処理する場合は APPI の越境移転スキームを確認する。EU GDPR の自動意思決定条項(Article 22)と日本 APPI のプロファイリング規律の差異を整理した上でシステムを設計することが重要。

アンチパターン

アンチパターン内容対策
単一法域前提の設計EU AI Act のみを想定し、米州法・APPI・中国規制を見落とす法域マトリクス(使用国 × リスク分類)を作成してから設計
EO 撤回前提の過剰投資Biden EO 14110 対応に特化した仕組みを構築し、撤回後に全て無効化NIST AI RMF など EO に依存しない標準を基盤にする
ソフトロー=義務なしの誤解日本 AI 推進法に罰則がないため対応不要と判断公表リスク・取引先要件・将来の改正を考慮した予防的対応が合理的
標準認証=法令遵守の誤解ISO 42001 認証取得で EU AI Act 準拠を完了と誤認認証はリスク管理体制の証明であり、法令義務(適合性評価・登録等)の代替にはならない
施行日前に確定と判断Colorado AI Act の施行前に対応済みとした後、CADMA に変更施行6ヶ月前まで法改正の監視を継続する
透明性義務の範囲過小評価限定リスク(チャットボット)の透明性義務を軽視し、利用者開示を省略Limited risk でも EU AI Act の透明性規則(2026-08-02 から)が適用される

2026 フロンティアと流動的要素

以下の項目は 2026-05 時点で外部検証ができていない流動的な事項である。情報カットオフ ~2025-08、confidence: medium 固定。

  1. EU 高リスク義務の運用実態: 2026-08-02 に高リスク義務が適用されるが、各加盟国 NCA(国家監督機関)の執行体制・サンドボックス運用・適合性評価機関(Notified Body)の整備状況は 2026-05 時点で確定していない。
  2. GPAI Code of Practice: EU AI Office が策定中の GPAI 行動規範(Code of Practice)の確定内容。ドラフトは公開されているが最終版の確定状況は流動的。
  3. 米連邦 AI 法の動向: 議会での AI 包括法の成立可能性。複数の法案(SAFE Innovation Framework、AI Act 類似案等)が提案されているが、成立見通しは不透明。
  4. 国際相互運用の枠組み: EU AI Act・NIST AI RMF・ISO 42001・日本 AI 推進法の相互承認・相互運用の仕組みは交渉・議論中であり、確定した合意はない。
  5. 各国の AI ラベリング標準の収束: 中国 GB 45438-2025・EU 透明性義務・C2PA 等の技術標準がどの程度国際的に収束するかは未確定。

Local graph