2025年、人工知能(AI)に関する法規制が世界的に大きく動きました。日本では初の包括的なAI法である「人工知能関連技術の研究開発及び活用の推進に関する法律」(通称:AI新法、AI推進法)が2025年6月4日に公布・一部施行され、2025年9月1日に全面施行されています。また、欧州連合(EU)では世界初のAI規制法が2024年8月に発効し、段階的に適用が開始されています。日本企業にとって、これらの法律への対応は避けて通れない課題となっており、本記事では日本のAI新法とEU AI法の内容、企業への義務、罰則、施行時期について詳しく解説します。この記事を読むことで、AI法に関する最新の動向、日本企業が対応すべき具体的な義務、違反した場合のリスク、そしていつまでに何を準備すべきかが明確になります。
日本のAI新法(AI推進法)とは何か
日本で初めて成立した包括的なAI法律は、正式名称を「人工知能関連技術の研究開発及び活用の推進に関する法律」といいます。一般的には「AI新法」「AI推進法」「AI基本法」などと呼ばれており、AIの研究開発と活用を推進するための基本法としての性格が強い法律です。
この法律の最大の特徴は、AIを厳しく規制することを目的としたものではないという点にあります。「イノベーション促進」と「リスク対応」のバランスを重視する姿勢が貫かれており、単なる規制強化を目指すものではありません。AIの利活用による「国民生活の向上、国民経済の発展」を目的として掲げており、AI技術の適正な研究開発や活用促進について政府が基本計画を策定すること、国民の権利利益が侵害される事案が発生した場合に国が事業者への指導や助言を行うこと、AI技術の研究開発および活用に関する基本理念を定めることなどが盛り込まれています。
AI新法の施行時期はいつからか
AI新法は以下のスケジュールで成立・施行されました。2025年2月28日に閣議決定がなされ、2025年4月24日に衆議院本会議で可決、2025年5月28日に参議院本会議で可決・成立しました。その後、2025年6月4日に公布・一部施行され、2025年9月1日に全面施行となりました。
全面施行によって、AI戦略本部の設置に関する規定を含むすべての条項が効力を持つこととなりました。つまり、2025年12月現在、AI新法はすでに完全に施行されており、日本企業はこの法律の枠組みの中で事業活動を行う必要があります。
AI戦略本部とAI基本計画について
AI新法の中核を成すのが「AI戦略本部の設置」です。第19条に基づき内閣に設置されたAI戦略本部は、政府のAI政策を統括する司令塔として機能します。全閣僚が参加することで省庁間の連携を強化し、迅速かつ一貫性のある政策立案を可能とする体制が整えられました。
2025年9月12日にはAI戦略本部の初会合が開催され、今後策定するAI基本計画の骨子案等について議論が行われました。石破首相からは、4つの基本的な方針に沿ってAI基本計画の策定を開始するよう指示が出されています。第一の柱は「AIを使う」、第二の柱は「AIを創る」、第三の柱は「AIの信頼性を高める」、第四の柱は「AIと協働する」という構成になっています。
「世界で最もAIを開発・活用しやすい国」を目指すというビジョンのもと、地方の暮らしがどう変わるのか分かりやすいビジョンを盛り込むこと、日本が競争力を持つ分野であるロボットとAIとの融合「フィジカルAI」に関する競争力強化策についても盛り込むよう指示されています。法律の施行から3か月以内に初回のAI基本計画が策定される予定であり、この計画には研究開発支援、人材育成、教育振興、国際連携、リスク対応などが盛り込まれます。
日本企業に求められる義務の内容
AI新法において、企業への義務が明文化されているのは第7条の「活用事業者の責務」のみです。その内容は、「活用事業者は、基本理念に従い積極的にAI技術を活用して事業活動の効率化と高度化、新産業の創出に努めること。同時に、国や地方公共団体が実施する施策に協力しなければならない」というものです。
ここでいう「活用事業者」とは、「AI関連技術を活用した製品やサービスの開発、または提供しようとする者、事業活動においてAIを活用しようとする者」と定義されています。これは、AI事業者ガイドラインで定義されている「AI開発者」「AI提供者」「AI利用者」のすべてが含まれることを意味しており、AIを何らかの形で事業に活用する企業は広く対象となります。
また、第16条では国による対応措置についても定められています。「国は、不正な目的や不適切なAI関連技術の研究開発・活用により国民の権利利益を侵害する事案について分析・対策検討・調査研究を行い、その結果に基づいて活用事業者などに対する指導・助言・情報提供といった必要な措置を講じる」とされており、問題のある事業活動を行った場合には、国から指導や助言を受ける可能性があります。
AI新法における罰則の有無
AI新法の大きな特徴の一つは、罰則規定が設けられていないことです。活用事業者に求められる責務に違反したとしても、法令では罰則が規定されていません。
日本のAI推進は、これまでガイドラインや指針を軸としたソフトロー主義的な姿勢で取り組まれてきました。ソフトローとは、ガイドラインなどに沿った自主規制によるもので、法的な拘束力はありません。AI新法も、この流れを踏襲した形となっており、「日本のAI法はハードローとソフトローの中間的なアプローチである」といわれています。
ただし、悪質な事業者に対しては、国からの指導や事業者名の公表という形での制裁が行われる可能性が残されています。法的な罰則ではないものの、事業者名が公表されることによるレピュテーション(評判)リスクは無視できません。閣議決定の際には「悪質事業者は公表」という方針が示されており、AIの不適切な利用により社会的な問題を引き起こした事業者については、その名前が公表される可能性があります。
AI事業者ガイドラインとの関係
AI新法とあわせて理解しておくべきなのが「AI事業者ガイドライン」です。2024年4月19日に経済産業省と総務省は、「AI事業者ガイドライン(第1.0版)」を取りまとめました。このガイドラインは、AI開発ガイドライン(平成29年、総務省)、AI利活用ガイドライン(令和元年、総務省)、AI原則実践のためのガバナンスガイドラインVer1.1(令和4年、経済産業省)という既存の3つのガイドラインを統合・アップデートしたものです。
AI事業者ガイドラインの対象者は、AIを直接事業に活用する事業者であり、「AI開発者」「AI提供者」「AI利用者」の3つに分類されます。このガイドラインでは、AIの開発や利用における基本的な理念や原則等を示すだけでなく、AIガバナンスの統一的な指針を示しています。また、AI開発者・AI提供者・AI利用者の各々が取り組むべき内容やその方向性について、リスクベースアプローチで示されています。
基本的な考え方として、「事業者の自主的な取組の支援」「国際的な議論との協調」「読み手にとっての分かりやすさ」の3点が掲げられています。2025年3月には「AI事業者ガイドライン(第1.1版)」が公表されており、生成AIの急速な普及などに対応した内容の更新が行われています。
EU AI法(AI規制法)の概要
2024年5月21日、欧州連合(EU)において「AI法(Artificial Intelligence Act)」が成立しました。EU市場におけるAIの安全性を確保する目的で、AIシステムの定義や事業者に課す義務、違反者への罰則を定めたものです。このEU AI法は、世界初となる人工知能(AI)の開発や運用を包括的に規制する法律として注目されています。2024年8月に発効し、段階的に適用が開始されています。
EU AI法はリスクベースアプローチを採用し、「AIシステム」を4つのカテゴリに分類しています。リスクがより高いAIシステムについて、より厳格な要件を定めています。具体的には、「許容できないリスク(禁止AI)」「ハイリスク(高リスクAI)」「透明性のリスク(特定のAIシステム)」「最小リスク」という4段階です。
禁止AIとは何か
対象者の人権をひどく侵害する可能性や、対象者を悪意のある行動に導く可能性などが考えられるAIシステムは、「許容できないリスク」に分類されます。これらは「禁止AI利用」として、EU域内での利用が原則禁止されます。禁止AIに該当するものの例としては、個人の自由意志を妨げる恐れのあるAI、特定の個人や組織の不利益につながる恐れのあるソーシャルスコアリング、職場や教育における感情分析を行うAI、公共の場でのリアルタイム顔認識による生体認証(一部例外あり)などがあります。
高リスクAIシステムについて
人々の健康、安全、基本的権利に重大な影響をもたらす可能性が高い一定のAIシステムは「ハイリスクAIシステム」に分類され、関連する事業者に広範な義務が課されます。高リスクAIシステムの提供者は、上市前に適合性評価を実施した上で、所定のデータベースに当該AIシステムを登録することが求められます。高リスクAIに該当する分野の例としては、重要インフラの管理・運用、教育・職業訓練、雇用・労務管理・自営業へのアクセス、必要不可欠な民間サービスおよび公共サービスへのアクセス、法執行、移民・亡命・国境管理、司法および民主的プロセスなどがあります。
透明性が必要なAIシステム
チャットボットなど、人間とやり取りするAIシステムについては、透明性義務が課されます。利用者がAIと対話していることを明確に認識できるようにする必要があります。また、ディープフェイクなどの合成コンテンツを生成するAIについても、そのコンテンツがAIによって生成されたものであることを明示する義務があります。
汎用AI(GPAI)に関する規定
生成AIを含む「汎用AI(General-Purpose AI Models)」については別枠で規定が設けられています。GPAIモデルの提供者には、技術文書の作成、著作権法の遵守、学習データの概要公開などの義務が課されます。システミックリスクを持つGPAIモデルについては、追加的な義務として、モデル評価の実施、リスクの評価・軽減、セキュリティインシデントの報告などが求められます。
EU AI法の施行スケジュール
EU AI法の施行は、規制内容に応じて段階的に行われます。2024年8月1日に発効し、2025年2月2日から禁止AIに関する規定の適用が開始されました。2025年8月2日からは汎用AI(GPAI)モデルに関する規制等の適用が開始される予定です。2026年8月2日からは大部分の規定(高リスクAI、透明性義務など)の適用が開始され、2027年8月頃にはハイリスクAIに関する義務が完全適用される予定です。
企業が対応すべきタイムラインとしては、2025年2月から最初に施行された禁止AIへの対応が求められ、禁止されている対象となるようなAIをEU域内に提供しない対応が必要となりました。その後、2025年8月からは汎用AIに関する規制への対応、2026年8月からは高リスクAIを含む本格的な規制への対応が求められることになります。
EU AI法における罰則の厳しさ
EU AI法の大きな特徴は、違反に対する厳しい罰則です。日本のAI新法とは対照的に、高額の制裁金が定められています。
禁止AIの違反については、3,500万ユーロ(約54億円)または全世界年間売上高の7%のいずれか高い方が制裁金として科されます。高リスクAIなどAI法の規定違反については、1,500万ユーロ(約23億円)または全世界年間売上高の3%のいずれか高い方が科されます。通報機関への虚偽の情報提供については、750万ユーロ(約12億円)または全世界年間売上高の1%のいずれか高い方が科されます。
制裁金が全世界年間売上高に基づいて算定される点は特に重要です。例えば、年間売上高が10兆円の企業が禁止AIの違反を行った場合、最大で7,000億円もの罰金が科せられる可能性があります。この制裁金の規模は、EUの一般データ保護規則(GDPR)と同様のアプローチであり、大企業にとっては看過できない経営リスクとなります。
日本企業へのEU AI法の適用範囲
EU AI法が適用される対象は広く、EUに拠点がない日本企業であっても適用される可能性があります。これは欧州GDPR(一般データ保護規則)と同様の位置づけです。
具体的に、日本企業であっても以下のような場合にはEU AI法が適用される可能性があります。EU域内にグループ会社がある場合、EU域内向けにAI関連のサービスを提供しようとする場合、AIのアウトプットがEU域内で使用される場合などが該当します。
EU AI法の対象になるにもかかわらず適切な対応が実施されていない場合、高額な制裁金を科されるおそれがあります。日本企業においても、AI法の内容の理解、施行タイミングの把握、自社サービスに適用される要件・義務の特定、セルフアセスメントの実施といった対応が推奨されます。特に、自社が開発し、または導入しているAIシステムの棚卸しを行い、EU AI法の適用の有無を確認することにより、リスクの洗い出しを行うことが重要です。
また、EUに拠点を持たないがEU AI法の適用を受ける事業者は、EU域内に代理人を指定する義務が課される場合があります。この代理人は、EU当局との連絡窓口となり、法的な義務の遵守を支援する役割を担います。
日本のAI新法とEU AI法の比較
日本のAI新法とEU AI法は、AIに関する法律という点では共通するものの、そのアプローチは大きく異なります。
| 項目 | 日本のAI新法 | EU AI法 |
|---|---|---|
| 基本的性格 | 推進法 | 規制法 |
| 重視する点 | イノベーション促進 | 安全性確保 |
| 法的アプローチ | ソフトローとハードローの中間 | 厳格なハードロー |
| 罰則 | なし | 高額の制裁金あり |
| 事業者への姿勢 | 自主性を重視 | 義務の遵守を強制 |
EU AI法における義務の例としては、リスク管理システムの構築、データガバナンスの確保、技術文書の作成・保管、適合性評価の実施、EU適合宣言書の作成、CEマーキングの表示、EUデータベースへの登録、品質管理システムの構築、市販後モニタリングなどがあります。
監督体制についても違いがあります。日本ではAI戦略本部が政策の司令塔となりますが、直接的な監督・執行機関としての権限は限定的です。EU AI法では各加盟国に監督機関が設置され、違反行為に対する調査・制裁の権限を持ちます。
生成AIと企業のリスク管理
生成AIの普及が進み、多くの企業がその導入に関心を寄せている一方で、さまざまなリスクも指摘されています。主要なリスクとしては、生成AIを経由した意図しない情報漏洩リスク、生成AIが生成した誤情報によるビジネス的な損害である誤情報リスク、従業員による未承認ツールの利用に起因するシャドーAIリスク、AI統制のためのガバナンスポリシーの未整備によるコンプライアンスリスクがあります。
IBMの調査によると、未承認ツールの利用(シャドーAI)に起因するインシデントを経験した企業は20%に上り、63%の企業ではAIを統制するガバナンスポリシーが未整備という実態が明らかになっています。
生成AIのリスクに対しては、「ガバナンス的対策」と「システム的対策」の両方を取り入れることで、さらなるリスク低減効果が見込まれます。ガバナンス的対策としては、社内ルールの策定、利用ガイドラインの整備、従業員教育などが挙げられます。システム的対策としては、アクセス制御、ログ管理、入出力フィルタリングなどの技術的対策があります。
AIガバナンス体制の構築方法
効果的なAIガバナンス体制は、以下の3層で構成することが推奨されます。第1層である経営層では、AI活用のビジョンとリスク許容度を定め、投資判断を行います。第2層であるDX・セキュリティ部門では、ポリシー策定、リスク評価、社員教育を実施します。第3層である現場スタッフでは、ルールに基づいて安全にAIを活用し、フィードバックを行います。
AI新法への対応において重要なのは、企業内でのAI活用に関する政策・規程の策定です。これには、AI倫理指針の制定、リスク管理規程の整備、そして従業員向けのガイドラインの作成が含まれます。
興味深いことに、AI自体もリスク管理に活用できます。AIはポリシーと規制を即時に照合してコンプライアンスの確認を自動化することが可能です。また、AIによってリスク評価が標準化され、人的偏りや見落としによるエラーが減少するという効果も期待できます。ただし、AI導入にあたっては、AIが既存のリスクを軽減しつつ新たなリスクを生まないよう、バイアス、説明可能性、自動化への過度な依存といった潜在的な問題を見極め、適切に対応する力が求められます。
AIと知的財産権の問題
日本の著作権法では、AIによる学習のために著作物を利用することは、営利・非営利を問わず基本的に認められています(著作権法第30条の4)。日本の著作権法は、AIの学習・開発において、世界的に見ても非常に緩い制限にとどまっています。この規定の存在が、OpenAIが日本支社を設立した一因であるとも考察されています。
ただし、AIの学習・開発に著作権法が適用されない根拠である第30条の4には「ただし書」が存在します。著作権者の利益を不当に害する場合は著作権侵害になる可能性があることが明記されています。つまり、AIの学習目的であっても、著作権者の利益を著しく損なうような利用方法は認められません。たとえば、特定のクリエイターの創作的表現を意図的に出力させる目的でAIに学習させる場合には、著作権者の許諾が必要となる可能性があります。
日本では、生成AI技術の発展と急速な普及に伴って、権利者やAI開発者から著作権などの知的財産権の侵害に関する懸念の声が上がりました。これを踏まえ、2024年3月に文化審議会著作権分科会法制度小委員会において、「AIと著作権に関する考え方について」がとりまとめられました。また、2024年5月には、AI時代の知的財産権検討会より、「AI時代の知的財産権検討会 中間とりまとめ」が公表されました。
今後の展望と企業に求められる姿勢
日本のAI新法は施行されたばかりであり、今後の運用状況や国際的な動向を踏まえて、内容が見直される可能性があります。特に、AIによる被害や問題が顕在化した場合には、より強い規制が導入される可能性も否定できません。AI基本計画の策定により、政府のAI政策の具体的な方向性が明らかになることが期待されます。また、AI事業者ガイドラインの継続的な更新により、事業者が取り組むべき事項がより明確になっていくと考えられます。
EU AI法の施行により、AIに関する国際的な規制基準が形成されつつあります。日本企業がグローバルに事業を展開する上では、各国・地域の規制動向を継続的にモニタリングし、適切に対応していく必要があります。また、AI技術の急速な発展に伴い、規制の内容も変化していく可能性があります。特に、生成AIの普及により新たなリスクが顕在化しており、これに対応した規制の強化が各国で検討されています。
日本のAI新法に罰則がないからといって、AI利活用におけるリスク管理を軽視してよいわけではありません。むしろ、法規制の有無にかかわらず、AIの適切な利活用に向けた自主的な取り組みが求められています。AI事業者ガイドラインに沿った取り組みを行うことは、法的義務ではないものの、レピュテーションリスクの軽減、利用者・社会からの信頼獲得、将来的な規制強化への備え、EU AI法など海外規制への対応準備といったメリットがあります。
2025年は、日本においてAI法制が本格的に始動した年として記憶されることになるでしょう。AI新法の全面施行により、政府のAI政策の枠組みが整備され、AI基本計画の策定に向けた動きが進んでいます。一方で、日本のAI新法は罰則のない推進法であり、EU AI法のような厳格な規制とは性格を異にします。このことは、日本企業にとっては柔軟なAI活用が可能であることを意味する一方で、自主的なリスク管理の重要性がより高まることを意味します。特に、EU域内で事業を展開する日本企業にとっては、EU AI法への対応は避けて通れない課題です。高額の制裁金のリスクを考慮すれば、早期からの準備が不可欠です。今後もAI技術は急速に発展し、社会に大きな影響を与え続けるでしょう。企業としては、法規制の動向を注視しつつ、AIの便益を最大化しながらリスクを適切に管理していく姿勢が求められます。
コメント