【8月版・決定版】EU AI法「GPAI(汎用AI)義務」――いま何が始まり、誰が何をすれば合格なのか(2025年8月)
先に要点(インバーテッド・ピラミッド)
- 8月2日から適用開始:EU AI法のGPAI(汎用AI)モデル提供者向け義務がスタート。新規モデルは即日該当、既存モデルは2027年8月2日までに整合を完了。欧州委員会AIオフィスによる執行権限は2026年8月2日から本格発動。
- 基本義務(全GPAI):透明性(技術文書)/著作権配慮(TDMオプトアウト尊重等)/**学習データの「十分に詳細な要約」の公表。実務対応のための「GPAI行動規範(Code of Practice)」**が7月に公開。
- 追加義務(“システミック・リスク”該当):モデル評価、逆向き(アドバーサリアル)テスト、リスク低減計画、重大インシデント報告、サイバーセキュリティ強化、訓練計算量10^25 FLOPs相当での届出など。
- 監督体制:各加盟国は8月2日までに国内主管当局を指定。以後、国家当局+AIオフィスで連携監督へ。
- 罰則:禁止的AI実践は最大7%売上/€35M、それ以外の多くの義務は最大3%/€15M。**GPAI提供者に対する専用条項(Art.101)**も明記。
1|“GPAI義務”の全体像:今月から何が動き出した?
2025年8月2日、EU AI法のGPAIモデル提供者(provider)向けのルールが適用段階に入りました。新たにEU市場へ出すGPAIモデルは、技術文書・著作権配慮・学習データ要約の三本柱に直ちに対応が必要です。既に市場にあるモデルは2027年8月2日までに整合を終える移行期間が設定されています。さらに、執行権限(情報請求、是正命令、罰金付与など)は2026年8月2日からAIオフィスに本格付与されます。
この“今月ポイント”に合わせ、欧州委員会は**「GPAI行動規範(Code of Practice)」とガイドラインを相次いで提示。行動規範は透明性・著作権・安全/セキュリティ**の3章構成で、署名(任意)により遵守を誓約した提供者は、行政負担の軽減と一定の法的明確性が得られる設計です(署名しない場合でも、他の適切な方法で実質的遵守を立証可)。
編集メモ:禁止的AI(例:社会的スコアリング等)は2025年2月から既に禁止済。GPAIの義務は2025年8月から段階的に“実行フェーズ”に入りました。
2|誰が“GPAI提供者”なの?――定義と境界の整理
GPAI(General-Purpose AI)とは、幅広い用途に使いうる土台モデル(基盤モデル)を指します。提供者(provider)は、そのモデルをEU市場に置く(上市)/提供する主体。下流で微調整(ファインチューニング)した事業者も、一定条件では“提供者”扱いになり得ます。モデルが“システミック・リスク”に該当するかは、訓練計算量(FLOPs)の閾値や委員会指定で判断され、10^25 FLOPsが推定基準として明文化されています。該当の見込みが立ったら2週間以内の届出義務も発生します。
ここが実務の勘所
- “提供者か否か”は契約・配布態様・改変の程度で変わります。下流改変者も合算計算量で閾値を超えれば提供者になりうる点に注意。
3|基本義務(全GPAI):きょうから着手すべき“3点セット”
3-1. 透明性(技術文書)
モデルの構造・訓練方法・評価・制限などを**技術文書(Model Documentation)として整備・提出可能に。行動規範には記入式の「モデル文書フォーム」**が付属します。
3-2. 著作権配慮
EU著作権法上のテキスト・データマイニング(TDM)リザベーションへの対応や、適法なデータ源の利用方針を明確化。権利者オプトアウトを尊重し、内部規程・監査手順を文書化します。
3-3. 学習データの「十分に詳細な要約」
学習に用いたコンテンツの要約を公開。テンプレートは2025年7月に最終化され、どの情報粒度なら企業秘密を守りつつ透明性が担保されるかが解説されています。
実務ヒント:行動規範へ署名すれば、上記の出し方・粒度が“行政と共有された期待値”に沿いやすく、監査対応が軽くなる傾向があります。
4|追加義務(“システミック・リスク”該当):重いタスクの中身
“システミック・リスク”扱いのGPAIは、上の3点に加えて次を要求されます。
- モデル評価:標準化途上の評価プロトコルに基づく能力・限界の測定。
- アドバーサリアル・テスト:悪用想定での耐性チェック。
- リスク低減計画:識別した体系的リスクの緩和策(更新を含む)。
- 重大インシデント報告:AIオフィス/主管当局への速やかな通報。
- サイバーセキュリティ:モデルと推論インフラの防御強化。
- 届出:10^25 FLOPsに到達(見込み含む)時点で2週間以内通知。
これらは7月公開のガイドラインや行動規範「安全・セキュリティ」章に実装例がまとまっています。2026年8月からはAIオフィスの執行権限が及び、情報提出要求/モデル回収命令/罰金も現実化します。
5|“今月から30日”の実務ロードマップ(提供者向け)
- 体制整備:役割分担(法務・開発・セキュリティ・広報)を明文化。責任者と代行者を指名。
- ドキュメント初版:行動規範のモデル文書フォームで技術文書ドラフトを作成。不足データを棚卸し。
- 著作権方針:データソース台帳、TDMリザベーション検知フロー、除外ルールを運用化。
- 学習データ要約:テンプレ準拠で公開稿を作り、秘匿情報のマスキング方針を決定。
- リスク評価(該当候補):FLOPs計算の監査証跡を作り、10^25到達の早期警戒と届出手順を整備。
- 対外コミュニケーション:透明性ページをローンチ。更新日・モデル名・適用条文を明示。
- (任意)行動規範の署名:社内教育→署名→実装の3ステップで監査負荷を軽減。
監査脚注テンプレ(生成物に付すメタ)
《モデル名/バージョン/生成日時(UTC)/適用条文(Art.53/55)/行動規範:署名済/未署名/連絡先》
6|“利用者(デプロイヤー)”は何をする?――社内規程の最短セット
GPAI義務は主に提供者向けですが、導入企業(デプロイヤー)も8月から次を押さえるとEU案件・公共調達で有利です。
- 出典・確信度・モデル名の脚注標準(自社ドキュメントに自動付与)。
- 用途制限ポリシー:禁止的AIに触れないワードフィルタとエスカレーション。
- ログの再現性:**《モデル→経路(端末/自社クラウド/外部)→日時→担当者》**を保全。
- 契約:提供者の学習データ要約URL、著作権配慮条項、インシデント通知義務を必須化。
- AIリテラシー:教育の実施(法令上のタイムラインに沿って段階適用)。
7|監督体制と“いま月内に起きること”
8月2日は、各加盟国の主管当局(市場監視・認証通知機関)指定の期限でもあります。以後、国家当局が一次監督を担い、AIオフィスがGPAI分野を中心に横断調整&執行(26年8月~)を行います。各国の指定状況は専門機関のディレクトリで公開が進んでいます。
小さな注意:“執行は26年から”でも、義務は25年8月から始まっています。“未整備のまま上市”は来年以降に大きな是正コストを招く可能性が高いです。
8|罰則の素描:金額だけでなく“どの条項か”が勝負
- 禁止的AI(Art.5):最大€35M or 7%。
- 一般義務違反(多くの条項):最大€15M or 3%。
- 虚偽・不備の情報提供:最大€7.5M or 1%。
- GPAI提供者(専用:Art.101):最大€15M or 3%(違反/要請不履行等)。
実務の翻訳:“どの義務をどこまで満たすか”の台帳化と責任部署の明確化が罰金回避の第一歩になります。
9|サンプル:公開する“学習データ要約”と“モデル文書”の書き方
9-1. 学習データ要約(例)
- 目的:汎用言語理解・生成
- 主要データ領域:ニュース記事、百科、特許抄録、オープンソースコード、Webフォーラム
- 取得方法:公開データセット(版数記載)、クローリング(TDMリザベーション除外)、ライセンス契約
- 適用除外:著作権者のオプトアウト、未成年者データ、センシティブカテゴリ
- 品質管理:重複除去、毒性/偏見フィルタ、言語分布の均衡化(比率表記)
※テンプレート準拠で、粒度は企業秘密を侵害しない範囲に。
9-2. モデル文書(抜粋)
- モデル名/版:GPAI-X v5.2
- 訓練計算量:x.xx×10^24 FLOPs(監査式あり)
- 安全性評価:レッドチーミング結果(カテゴリ別)、検知/抑制策
- 限界:算数長期推論の脆弱性、専門医療の非適合
- 使用上の警告:高リスク領域は一般情報のみ、決定は人間へ
10|“よくある落とし穴”と回避策(Q&A形式)
Q1. 細則(標準化)が未整備の所は様子見でよい?
A. NG。行動規範+ガイドラインが当面の“期待値”を示します。署名→段階実装で26年以降の執行に備えるのが低リスク。
Q2. 10^25 FLOPsの閾値に達しないなら関係ない?
A. 基本義務(透明性・著作権・要約)は全GPAIが対象。システミック・リスクの追加義務のみが閾値・指定に連動します。
Q3. 既存モデルは2027年まで放置でいい?
A. 非推奨。公開要約・著作権方針は早期公開が信頼につながり、官公庁・大企業の調達でも有利です。
Q4. 署名は義務?
A. 任意ですが、実務の“物差し”として有用。軽い行政負担と法的明確性のメリットが告知されています。
11|対象読者と“効きどころ”――誰が得をする?
- 経営層・事業責任者:行動規範署名+透明性ページ公開で、公共・金融・医療の調達で加点。2026年の執行前に**社内KPI(提出完了率・監査指摘数)**を整備。
- 法務・コンプラ:Art.53/55/101に基づく台帳、TDMリザベーション対応の証跡、届出タイムラインのSOP化。
- 開発・MLOps:FLOPs監査、レッドチーム手順、モデル文書フォームの自動生成(CI/CD)で運用コストを最小化。
- 広報・営業:学習データ要約の平易な説明と利用ガイドは受注時の信頼を高めます。
- 公共・教育:“説明可能な公開情報”が整うことで、住民・学習者への説明責任を果たしやすくなります。
12|編集部の“まとめ”――8月の最小セットは「文書・要約・著作権」
- いま行動:モデル技術文書/学習データ要約/著作権方針の3点を今月中に最低限そろえる。署名(任意)は行政期待値を読み解く近道。
- 来年に備える:AIオフィスの執行権限は2026年8月。提出の再現性(台帳・SOP)とFLOPs監査を先に磨く。
- 3年の見取り図:既存モデルは2027年8月が大ボーダー。早期公開ほど信頼と調達に効く。
参考:一次情報・高信頼情報(主要トピック別)
- 適用開始と移行:GPAI義務は2025/8/2適用、AIオフィス執行は2026/8/2、既存モデルは2027/8/2まで。
- 行動規範(Code of Practice):7月公開/透明性・著作権・安全/セキュリティの3章/署名で行政負担軽減の仕組み。
- 追加義務(システミック・リスク):評価・アドバーサリアルテスト・報告等/10^25 FLOPsと届出。
- 国内当局指定(8/2期限):国家当局の設置・指定と監督の分担。
- 罰則:7%/€35M(禁止的AI)、3%/€15M(多数義務)、1%/€7.5M(虚偽情報)、Art.101(GPAI提供者)。