32件の回答
EU AI Actとは何か、簡単に言うと?
AI Act(EU規則2024/1689)は、AIの開発と利用を規律する欧州初の法律です。2024年8月1日に発効し、2027年まで段階的に適用されます。
基本的な考え方はシンプルです。AIシステムが人の権利や安全に与える影響が大きいほど、守るべきルールも厳しくなります。一部の用途は完全に禁止され、別の一部は「ハイリスク」として厳しく管理されますが、文章作成アシスタントのような日常的な用途の大半は、義務が最小限にとどまります。
GiBSeS — 自社が使っているツールがどの区分に入るかを把握することが、GiBSeSが中小企業と行う評価の出発点です。
AI Actは自社のような小さな会社にも適用されますか?
はい。AI Actは企業規模で区別しません。業務としてAIシステムを開発・提供・利用する者であれば、中小企業やフリーランスも含めて適用対象になります。重要なのは売上高ではなく、AIをどう使っているかです。
良いニュースとして、義務はリスクに応じて比例します。日常的な軽微な用途であれば、対応は軽めで済みます。また規則には、サンドボックス(実証実験環境)や罰則の減額など、中小企業・スタートアップ向けの支援措置も定められています。
GiBSeS — 実際に関係する部分と関係しない部分を切り分けること自体が実務上の要点であり、GiBSeSはまさにそこから着手します。
AIの「プロバイダー」と「デプロイヤー」の違いは何ですか?
プロバイダー(提供者)とは、AIシステムを開発し、自社の名称やブランドで市場に投入する者を指します。デプロイヤー(利用者/展開事業者)とは、職業上の活動の一環として、自らの権限のもとでAIシステムを使用する者です。
中小企業のほとんどはプロバイダーではなくデプロイヤーです。ChatGPTやCopilotを使う、AI機能付きのCRMを導入する、採用の自動化ツールを使う、といった場合はいずれもデプロイヤーに当たります。より重い義務(技術文書の作成、適合性評価など)は主にプロバイダーが負いますが、デプロイヤーの義務もゼロではなく、特にハイリスクシステムを使う場合は注意が必要です。
GiBSeS — 各ツールについて自社がプロバイダーかデプロイヤーかを見極めることで、対応すべき義務のリストが大きく変わります。これは最初に一緒に整理する項目のひとつです。
社内でChatGPTやCopilotしか使っていなくても対象になりますか?
はい、対象にはなりますが、負担は軽いはずです。これらのツールを使う時点でAIのデプロイヤーとなり、規則の適用範囲に入ります。多くの場合、リスクは「限定的」または「最小」に分類され、義務も主に透明性と常識的な配慮にとどまります。
ほぼ確実に関係してくるのが、従業員のAIリテラシー(第4条)です。これらのツールを使う人は、その仕組み、限界、リスク(プロンプトへの機密情報の入力、ハルシネーション、バイアスなど)について、十分な理解を持つ必要があります。
GiBSeS — チャットボットの一見「無害」な利用にも整理は必要です。何をすれば十分で、何が不要かを文書化するお手伝いをします。
法律上、従業員にAIの教育をする必要がありますか?
部分的にはい。AI Act第4条は2025年2月2日から適用されており、プロバイダーとデプロイヤーに対し、AIシステムを使用する従業員に「十分な」AIリテラシーを持たせることを義務づけています。実在する義務ですが、柔軟性もあります。
注意点として、法律は正式な認定講座や特定の修了証を求めているわけではありません。求められているのは、役割・経験・使用するAIの種類に応じた、適切かつ比例的な水準です。実務的には、従業員が「自分は何を使っていて、どんなリスクと限界があるか」を理解していればよいということです。実施した内容(社内研修の記録、教材、実施した回数など)を記録しておくことをお勧めします。監査の際に説明できるようにするためです。
GiBSeS — 無駄のない、説明可能なAIリテラシー計画を作ることは、Academy AI Actプログラムの典型的な成果物のひとつです。
AI教育の義務を果たしたことをどう証明すればよいですか?
公式の様式や義務的な認定制度はありません。証拠は社内で構築するものです。誰が、何について、いつ、どのような内容で教育を受けたかを記録してください。教材と日付を記載したシンプルな研修記録があれば、すでに十分な土台になります。
目的は形式的な書類作りではなく、当局に対して「真摯かつ比例的に対応した」ことを示せる状態にすることです。小規模な会社であれば、社内での研修セッションを記録し、AIツールの利用ポリシーを書面化するだけで十分な場合が多いです。
GiBSeS — 軽い負担で、かつ説明力のある記録の仕組みを整えるお手伝いは、数時間で対応できる内容です。
AI Actが定めるリスクレベルにはどのようなものがありますか?
AI Actはシステムを4段階に分類します。
1. 許容できないリスク:禁止行為(第5条)。いかなる場合も認められません。
2. ハイリスク:採用選考、与信、医療機器、重要インフラなど、厳格な規制を受けるシステム。義務が重い。
3. 限定的リスク:主に透明性に関する義務(例:利用者にチャットボットであることを伝える、生成コンテンツにラベルを付ける)。
4. 最小リスク:一般的な用途の大部分であり、常識的な対応とAIリテラシー以外に特別な義務はありません。
GiBSeS — 各ツールを正しいレベルに位置づけることで、過剰な罰金も無駄な対応も避けられます。これが診断の核となる部分です。
AI Actで禁止されているAIの用途は何ですか?
第5条は、許容できないリスクに分類される行為を列挙しており、2025年2月2日からEU全域で禁止されています。主なものとして、害を及ぼすサブリミナルまたは欺瞞的な操作、脆弱な立場にある人々の弱みにつけ込む行為、ソーシャルスコアリング(市民の社会的評価付け)、職場や学校における一部の感情認識、無差別なスクレイピングによる顔認識データベースの構築、そして公共空間でのリアルタイム生体認証(ごく限定的な例外を除く)が挙げられます。
平均的な中小企業にとって、これらの禁止事項が直接問題になることは稀ですが、HRアナリティクスや「スマート」な監視カメラ、行動ターゲティングを強く押し出したマーケティングツールを導入する前には知っておくべき内容です。
GiBSeS — 検討中のツールが禁止行為に触れていないかの確認は、短時間ながら欠かせないチェックであり、常に含めています。
AIシステムが「ハイリスク」であるとはどういう意味ですか?
ハイリスクに該当するのは、安全や基本的権利に重大な影響を及ぼしうるとして規則に列挙されたシステムです。例えば、候補者や従業員の選考・評価に使うAI、与信判断に使うAI、医療分野、教育分野、重要インフラの管理に使うAIなどが含まれます。
デプロイヤーとしてハイリスクシステムを使う場合、具体的な義務が生じます。指示に従って使用すること、人的監督を確保すること、稼働状況を監視すること、ログを保存すること、影響を受ける労働者に情報提供することなどです。これらのシステムに関するより厳格なルールは、2026年8月2日から本格的に適用されます(一部の規制対象製品については2027年から)。
GiBSeS — 採用支援ツールやAIスコアリングツールが、気づかないうちに自社をハイリスクのデプロイヤーにしてしまうことがあります。私たちが注意深く確認するケースのひとつです。
コンテンツがAIで生成されたことを顧客に伝える必要はありますか?
多くの場合、伝える必要があります。第50条は透明性義務を定めており、AIを使って音声・画像・動画・テキストのコンテンツ(ディープフェイクを含む)を生成する者は、それを認識可能にし、人工的に生成されたものとして表示しなければなりません。チャットボットについても、利用者が機械と対話していることを理解できるようにする必要があります。
中小企業にとって実務的には、マーケティングで使う画像や動画がAI生成である場合はその旨を明示すること、そしてバーチャルアシスタントが人間ではないことを明確に示すことを意味します。多くの場合、ラベルや注記ひとつで対応できる、無理のない義務です。
GiBSeS — こうした義務をマーケティングとカスタマーサポート向けの少数の運用ルールに落とし込むのは、素早く整えられる対応のひとつです。
AI Actを守らない場合、どのような制裁を受けるリスクがありますか?
制裁は重大で、違反の内容に応じて段階的に定められています。禁止行為(第5条)の場合、最大3,500万ユーロまたは全世界年間売上高の7%のいずれか高い方が上限です。それ以外の義務違反の場合は最大1,500万ユーロまたは売上高の3%、当局への不正確な情報提供の場合は最大750万ユーロまたは売上高の1%が上限です。
中小企業にとって重要な点として、中小企業とスタートアップについては、定額と割合のうち低い方の金額が適用されます(高い方ではありません)。制裁は各加盟国の国内当局が運用し、実際の監督権限は2026年8月2日から発生します。
GiBSeS — リスクは煽り気味の見出しではなく、自社の実際の状況に合わせて測るべきものです。誠実に見積もることも、私たちの仕事の一部です。
AI Actの遵守を監督するのは誰で、いつから始まりますか?
監督と制裁は、各加盟国が指定する国内の権限当局に委ねられており、欧州レベルでは欧州委員会のAIオフィスが調整を行います。単一の「AI警察」がEUに存在するわけではなく、どの機関が監督するかは国によって異なります。
国内当局の制裁権限が本格的に運用されるのは2026年8月2日からです。ただし一部の義務(禁止行為とAIリテラシーは2025年2月2日から)はすでに発効しているため、「まだ監督されていない」ことは「まだ義務がない」ことを意味しません。
GiBSeS — 自社の所在地と市場に対してどの当局が管轄権を持つかを把握することは、最初のマッピング作業に含まれます。
AI Actの主な日付と期限は何ですか?
主なマイルストーンは次のとおりです。
- 2024年8月1日:規則の発効。
- 2025年2月2日:許容できないリスクの行為の禁止(第5条)、およびAIリテラシー義務(第4条)の適用開始。
- 2025年8月2日:汎用AI(GPAI)モデルおよびガバナンスに関するルールの適用開始。
- 2026年8月2日:多くのハイリスクシステムを含む大部分の義務の適用開始、および当局の制裁権限の本格発動。
- 2027年8月2日:既存の規制対象製品に組み込まれたAIに関する義務の適用開始。
GiBSeS — 自社に関係する期限だけを抜き出した簡易カレンダーを作ることで、締め切り直前の慌ただしさを避けられます。これは評価作業の具体的な成果物のひとつです。
実際にどこから対応を始めればよいですか?
最初の一歩は、ソフトウェアの購入や研修の実施ではなく、棚卸しです。実際に使っているAIツール(CRMや基幹システム、マーケティングツールに「隠れている」ものも含む)を、目的やデータの種類とともに洗い出します。
次に、それぞれについて自社がプロバイダーかデプロイヤーか、どのリスクレベルに該当するか、そこから生じる義務は何かを判断します。ここまで来れば、多くの中小企業に残る実務的な対応は3つです。従業員へのAIリテラシー教育(第4条)、AIツールの利用ポリシーの作成、そして必要な範囲での顧客・利用者向け透明性対応です。
GiBSeS — この体系的な棚卸しこそ、私たちが一緒に踏み出す最初の一歩です。半日の投資で、罰金も無駄な支出も避けられます。
本当にコンサルタントが必要ですか、それとも自社だけで対応できますか?
AIの使い方がシンプルな中小企業であれば、多くのことを社内で対応できます。ツールの棚卸し、利用ポリシー、記録に残した研修セッションで、義務の大部分はカバーできます。必ずしも大がかりなプロジェクトは必要ありません。
外部の支援が特に役立つのは、ハイリスクの可能性があるツール(人事、与信、医療分野など)を使っている場合、扱うデータが機微な場合、あるいは単純に「見落としがない」という確信を、時間をかけずに得たい場合です。目指すべきは比例性です。必要な分だけ対応し、それ以上はしないことです。
GiBSeS — 私たちのやり方もまさにそこにあります。独立した立場での診断を提供し、自社で対応できる部分とそうでない部分を正直にお伝えします。
中小企業がAI Actに対応するにはどのくらい費用がかかりますか?
一律の料金はありません。使っているツールの数と、それらが該当するリスクレベルによって変わります。限定的・最小リスクの用途が中心の小規模企業の大半にとって、対応は主に組織面のもの(棚卸し、ポリシー、研修)であり、費用は抑えられます。金銭的なコストよりも、社内の時間的なコストが中心になることが多いです。
費用が上がるのは、ハイリスクの領域に入る場合だけです。この場合は体系立てた文書化、人的監督、監視の仕組みが必要になります。避けるべきリスクはむしろ逆で、自社に関係のない義務のために、過剰なコンサルティングに怯えて必要以上の支出をしてしまうことです。
GiBSeS — 実際のリスクに見合った支出にとどめ、膨らませないこと。これは私たちのアプローチの基本原則であり、経済的な規律を何より優先します。
AI ActはGDPR(プライバシー規則)に取って代わるものですか?
いいえ、両者は別個の、互いに補完し合う規則です。GDPR(EU一般データ保護規則)は個人データの取り扱いを規律し、AI Actはリスクに応じてAIシステムを規律します。個人データを扱うAIシステムは、両方を守る必要があります。
実務的には、顧客や従業員のデータにAIを使う場合、GDPRのルール(法的根拠、告知、セキュリティ)は引き続き適用され、それに加えてAI Actの義務が上乗せされます。2つの評価は代替関係ではなく、あわせて行うべきものです。
GiBSeS — AI ActとGDPRのコンプライアンスを、作業を二重にせずにかみ合わせることは、中小企業向けの分析を組み立てる際の要点です。
AI ActはスイスなどEU域外の企業にも関係しますか?
AI Actは域外適用の範囲を持ちます。EU域外に拠点を置く提供者や利用者であっても、AIシステムの出力がEU域内で利用される場合、またはAIシステムをEU市場に投入する場合には適用されます。したがって、EU域内の顧客や利用者にサービスを提供するスイスやEU域外の企業も対象になり得ます。
EU域外の市場だけを相手にしている場合、AI Act自体は適用されないこともありますが、それでも参照すべき基準として合わせておくメリットは大きいです。欧州の顧客やパートナーがそれを求める傾向にあるためです。
GiBSeS — スイス・イタリア・EUに顧客を持つ企業については、規則が実際にどこで効いてきて、どこから任意で対応する価値があるかをケースごとに検討します。
これだけ義務があっても、AIを導入する価値はまだありますか?
はい、ただし方法次第です。AI ActはAIの利用を禁止するものではなく、リスクに見合った、意識的な使い方を求めるものです。正しい答えは「導入をあきらめる」でも「無条件にすべて導入する」でもなく、そのツールが実際にリスクとコストに見合う便益をもたらすかどうかを、ケースごとに判断することです。
多くのAIプロジェクトが失敗するのは規制のせいではなく、解決すべき明確な課題がないまま、流行に乗って導入されたことが原因です。AIも他のあらゆる技術・設備投資と同様、リスクと便益の分析を経てから導入すべきものです。
GiBSeS — これこそ私たちの独立したアプローチの核心です。AIを売り込むのではなく、データに基づいて、本当に必要な場所とそうでない場所を判断するお手伝いをします。
対応を進めながら、特定のAIベンダーに縛られないようにするにはどうすればよいですか?
AI Actへの対応は、特定のベンダーを選ぶことを義務づけるものではありません。むしろ、物事を中立に整えるちょうど良い機会です。各ツールが何をするのか、どのデータを使い、どのような保証があるのかを文書化しておけば、将来乗り換えることも容易になり、囲い込まれずに済みます。
注意すべきは、コンプライアンスを謳いながら特定のプラットフォームに縛りつける「オールインワン」型のソリューションです。真のコンプライアンスは自社のプロセスであり、ベンダーの製品ではありません。データ、ポリシー、文書の所有権は自社で保持してください。
GiBSeS — ベンダーからの独立性とベンダーロックインの回避は、私たちがすべての提案の土台とする原則です。コンプライアンスは常に自社のものであり、ベンダーのものではありません。
自社はEU域内に拠点も恒久的施設も持っていません。それでもAI Actは適用されますか?
はい。EU規則2024/1689(AI Act)は、意図的に域外適用の範囲を持っています。EU市場にAIシステムを投入する、またはサービス開始する提供者には、拠点がどこであっても適用されます。さらに、EU域外に所在する提供者や利用者であっても、AIシステムが生成する出力がEU域内で利用される場合には適用対象となります。
実務的には、自社の拠点がどこにあるかではなく、自社のAIシステム(またはその結果)が欧州の顧客や利用者に届いているかどうかが問題になります。答えが「はい」であれば、規則の適用範囲に入ります。
GiBSeS — GiBSeSは、AI ActがEU域外の企業にどのように関わってくるかを、欧州市場参入の障害になる前に把握するお手伝いをします。
AIシステムをEUで販売するために、必ず欧州代理人を任命しなければなりませんか?
システムの種類によります。ハイリスクAIシステムのEU域外の提供者である場合、AI ActはEU市場にシステムを提供する前に、書面による委任のもと、EU域内に拠点を置く「認定代理人」を指定することを義務づけています。同じ義務は、汎用AI(GPAI)モデルのEU域外の提供者にも適用されます。
認定代理人は欧州当局にとっての窓口となり、技術文書を保管し、検査に協力します。限定的リスクまたは最小リスクのシステムについては、この特定の義務は発生しませんが、他の適用可能な要件は残ります。
GiBSeS — GiBSeSは、認定代理人の役割について、自社の体制を過度に重くせずにカバーする最も効率的な方法をご案内できます。
米国やアジアのAI SaaS提供者で、EUに顧客がいます。具体的に何をすべきですか?
最初のステップは、AI Actに従って自社のシステムを分類することです。禁止行為、ハイリスク、限定的リスク(透明性義務のみ)、最小リスクのいずれかです。一般的なAI SaaSの多くは限定的または最小リスクに該当しますが、一部のユースケース(採用選考、与信、生体認証、安全部品など)はハイリスクに該当します。
ハイリスクシステムの提供者に該当する場合は、技術文書、リスクマネジメントシステム、人的監督、イベントの記録、CEマーキング、そしてEU域内の認定代理人を用意する必要があります。限定的リスクの場合、主な義務は利用者に対する透明性の確保です。いずれの場合も、自社のEU顧客と出力の流れを正確にマッピングすることが、実際の義務を決定づけます。
GiBSeS — GiBSeSは、EU域外のSaaS提供者がリスクを分類し、欧州の顧客に規則に沿ってサービスを提供するために必要最小限の準備を整えるお手伝いをします。
自社のAIシステムはすべてEU域外で稼働していますが、結果は欧州の顧客が利用しています。それでも対象になりますか?
はい。AI Actの重要な基準のひとつがまさにこれです。第三国に拠点を置く提供者や利用者であっても、AIシステムが生成する出力がEU域内で利用される場合には規則が適用されます。ソフトウェアがEU域内でホストされたり実行されたりしている必要はありません。
つまり、例えば米国やアジアで学習・実行されたモデルであっても、その結果が欧州の利用者向けの意思決定やサービスに活用されているのであれば、適用範囲に入ります。重要なのはサーバーの地理的な位置ではなく、出力の届け先と使われ方です。
GiBSeS — GiBSeSは、自社システムの出力が実際にどこに届いているのか、そしてそれがどのEUの義務を発生させるのかを追跡するお手伝いをします。
EU当局に対して真に責任を負うのは誰ですか。提供者である自分自身、輸入業者、それとも欧州の販売代理店ですか?
AI Actは、サプライチェーンに沿って明確に異なる責任を分配しています。提供者(システムを開発し、自社の名称やブランドで市場に投入する者)が最も重い義務、すなわち適合性、技術文書、CEマーキングを負います。EUの輸入業者は、EU域外の提供者が適合性評価を実施し、文書を作成し、認定代理人を指定していることを確認する義務があり、不備があれば市場投入を拒否しなければなりません。
販売代理店は、システムを提供する前にマーキングと文書の有無を確認する義務があります。ただし注意が必要です。実質的な変更を加えたり、自社ブランドでシステムを販売したりする輸入業者や販売代理店は、提供者とみなされ、その義務をすべて引き継ぐ可能性があります。責任は自動的に川下側に転嫁されるわけではありません。
GiBSeS — GiBSeSは、EUのパートナーとの役割と責任を明確に定義するお手伝いをし、想定外の義務を背負うことのないようにします。
AIにおけるCEマーキングとは何ですか。欧州市場に参入するために本当に必要ですか?
CEマーキングは、製品がEUの適用要件に適合していることを示すものです。ハイリスクに分類されるAIシステムについて、AI Actは提供者に対し、EU域内でシステムを市場投入または稼働開始する前に、適合性評価を完了し、EU適合宣言書を作成し、CEマーキングを付すことを求めています。
限定的リスクまたは最小リスクのシステムについては、AI Actの観点からのCEマーキングは求められません。そうしたケースでは主に透明性義務が問題になります。自社の製品がどのカテゴリーに該当するかを把握することが、この対応が必要かどうかを決める分岐点です。
GiBSeS — GiBSeSは、自社のシステムにCEマーキングが必要かどうかを見極め、それを裏づける技術文書の準備をサポートします。
適合していない場合、具体的に何を失うリスクがありますか。罰金、市場からの撤去、製品の輸入停止でしょうか?
結果は2種類あります。市場面では、国内監督当局が是正措置を命じたり、EU市場からシステムを撤去・回収させたり、提供自体を禁止したりできます。実務的には、自社の製品が欧州の顧客から締め出されることになります。
制裁面では、AI Actは禁止行為について最大3,500万ユーロまたは全世界年間売上高の7%、その他の義務違反について最大1,500万ユーロまたは3%、当局への不正確な情報提供について最大750万ユーロまたは1%の罰金を定めています(いずれも2つのうち高い方が適用されます)。EU域外の企業にとって最も差し迫ったリスクは、多くの場合、市場アクセスそのものを失うことです。
GiBSeS — GiBSeSは、こうした事態が商業上の障壁になる前に、コンプライアンスを固めてこれらのシナリオを防ぐお手伝いをします。
汎用AI(GPAI/基盤モデル)を提供しています。EU域外の企業として追加の義務はありますか?
はい。AI Actは汎用AIモデルに関する専用の制度を導入しています。GPAIの提供者は、技術文書を整備し、モデルを組み込む下流の提供者に情報を提供し、著作権遵守のポリシーを採用し、学習に使用したデータの概要を公開する必要があります。システミックリスクを伴うモデルについては、評価、リスク低減、サイバーセキュリティ、インシデント報告といった強化された義務が追加されます。
さらに、EU域外に拠点を置くGPAI提供者は、EU域内に認定代理人を指定する必要があります。GPAIに関するルールは、規則の適用スケジュールの中でも早期に適用が始まるもののひとつです。
GiBSeS — GiBSeSは、EU域外の汎用モデル提供者がGPAI義務をマッピングし、上流段階で必要な文書を整備するお手伝いをします。
実際のところ、EUで販売を続けられますか。それともAI ActによってEU市場から締め出されるリスクがありますか?
販売は続けられます。AI ActはEU域外の提供者に市場を閉ざすものではなく、リスクレベルに基づくルールの遵守を条件に市場アクセスを認めるものです。AIシステムの大多数は最小リスクまたは限定的リスクに分類され、義務は限定的です。ハイリスクや禁止に該当するのは、明確に定義されたごく一部のユースケースだけです。
鍵となるのは、準備を整えて臨むことです。自社のリスクカテゴリーを把握し、(多すぎず少なすぎない)適切な対応を用意し、必要であればEU域内の代理人を置くこと。早めに体制を整えたEU域外企業は、準備不足のまま参入する競合に対して、コンプライアンスを競争優位に変えています。
GiBSeS — GiBSeSは、必要以上に縛られることなく、実務的な形でEU市場へのアクセスを整えるお手伝いをします。
いつから適合していなければなりませんか。自社に関係する期限はどれですか?
AI Actは2024年8月1日に発効し、段階的に適用されています。禁止AI行為に関する禁止事項は2025年2月2日から適用されています。汎用AI(GPAI)モデルに関する義務は2025年8月2日から適用されます。
多くのハイリスクシステムを含む大部分の義務は2026年8月2日から適用され、既存の規制対象製品に組み込まれた一部のハイリスクシステムについては2027年8月2日が期限です。EU域外の企業にとっては、これらの日付から逆算して動くことが得策です。技術文書の整備、適合性評価、認定代理人の指定には数か月を要するためです。
GiBSeS — GiBSeSは、これらの期限に沿ったコンプライアンス・ロードマップの構築をお手伝いし、準備を整えた状態でEU市場に臨めるようにします。
実際にどこから対応を始めれば、適合してEU市場にアクセスできますか?
出発点は、自社のAIシステムの棚卸しと、AI Actによる分類(禁止、ハイリスク、限定的リスク、最小リスク)です。これを欧州の顧客・利用者向けのユースケースと突き合わせます。このマッピングによって、自社に関係する義務が正確に定まり、対応漏れと無駄な作業の両方を避けられます。
そこから導かれる実務的なステップは、必要な範囲での技術文書の整備、サプライチェーン上の役割(提供者・輸入業者・販売代理店)の明確化、EU域内の認定代理人指定の要否の検討、そして透明性義務の整備です。汎用的なコンプライアンス対応よりも、的を絞ったギャップ分析から始めるほうが得策です。
GiBSeS — GiBSeSはまさにこのギャップ分析から着手し、適切な労力で、余計な制約を負うことなく、EU市場での適合を実現するお手伝いをします。
チャットボットを提供している、またはEUの利用者向けに合成コンテンツ(ディープフェイク、AI画像)を生成しています。どのような透明性義務がありますか?
AI Actは、人と対話するシステムやコンテンツを生成するシステムの一部について、透明性義務を定めています。自然人と直接対話することを目的とするAIシステム(チャットボットなど)は、明白な場合を除き、利用者に対して自分がAIとやり取りしていることを知らせなければなりません。テキスト・画像・音声・動画の合成コンテンツを生成するシステムの提供者は、その出力が人工的に生成または加工されたものであることを、機械可読な形式で示さなければなりません。
さらに、ディープフェイクを生成するシステムを使用する者は、コンテンツが人工的に生成・加工されたものであることを開示する必要があります。これらの義務は、システムや出力が欧州域内の利用者に届くEU域外の提供者にも適用されます。
GiBSeS — GiBSeSは、欧州の利用者に向けて、透明性義務とコンテンツのラベリングを規則に沿った形で実装するお手伝いをします。
本コンテンツは情報提供を目的としており、法的助言に代わるものではありません。
貴社のAI Act対応状況を一緒に確認しましょう
的を絞ったセッションで、実際に使用しているAIツール、それらが該当するリスクレベル、そして具体的に関係する義務をマッピングします。必要な対応と無駄な対応を切り分けます。中小企業の実情に見合った、独立した分析であり、AIを無条件に売り込むことはありません。
AI Act診断を予約する