EU AI法：米国企業向けの域外コンプライアンスガイド

EU AI法は、あなたの米国企業に適用されますか？

はい、以下のいずれかのシナリオに該当する場合です。

• AIシステムをEU市場に投入する（販売、ライセンス供与、またはEUの顧客に利用可能にする）
• 出力がEUで使用されるAIシステムを提供する
• システムがどこにホストされているかに関わらず、EU内にAIシステムをデプロイする
• あなたのモデルが、下流のEU製品に統合されている米国を拠点とするプロバイダーである

クラウドでホストされたSaaSも対象です。EUのユーザーがアクセスできるWebベースのAIツールも対象です。EUへの露出に対する最低限の閾値はありません。

EU代表の要件

第22条は、EU以外のプロバイダーに承認された代表者を任命することを義務付けています。

高リスクAIシステムを提供するEU以外のプロバイダーは、システムをEU市場に投入する前に、EU内に拠点を置く承認された代表者を指名する必要があります。代表者は、EUの規制当局との連絡窓口であり、技術ドキュメントを保管する必要があります。

米国企業が行うべきこと

米国に本社を置く組織向けの、実践的なコンプライアンスロードマップです。

• EUへの影響があるAIシステムをすべて洗い出す
• それぞれを第6条/付録IIIに従って分類する
• 高リスクシステムに対して、第9条〜第14条の管理策を実施する
• 高リスクAIを提供するEU以外のプロバイダーである場合は、EU代表を指名する
• 適合性評価とCEマーキングを完了する
• EU AIデータベースに登録する
• どの機関があなたの主要な監督機関になるかを決定する（通常はEU代表の所在国）

米国フレームワークとの連携

米国企業は、既存のコンプライアンスプログラムを活用できます。

• NIST AI RMF は、第9条のリスク管理と整合性が高く、有用な相互参照ツールです
• NYC LL144 (HR AIバイアス監査) は、第III条の雇用とAIに関する義務と重複します
• 州法 (CO AI法、CT、IL) は、同様のリスクベースのモデルに収束しており、単一の内部プログラムで複数の管轄区域に対応できます
• SOC 2 / ISO 27001 は、AI法への準拠の代替手段ではありませんが、管理体制は明確に連携しています