EU AI ActのGPAI義務|日本企業が確認すべき適用範囲と契約対応
EU AI ActのGPAIモデル義務について、適用範囲、義務主体、経過措置、Code of Practice及び日本企業の契約対応を整理します。
一次情報
本解説の対象となった公表資料・発表です。
EU AI Act(Regulation (EU) 2024/1689)のうち、汎用AI(GPAI)モデルに関する義務を定めた第51条から第56条は、2025年8月2日から適用が開始されています。本稿執筆時点(2026年7月12日)で1年近くが経過していますが、GPAI提供者に対する制裁金規定(第101条)を含む本格的な執行は2026年8月2日からであり、既存モデルには2027年8月2日までの経過措置があります。本稿は、この第51条以下のGPAIモデル義務に絞って、適用範囲、義務を負う主体の区別、Code of Practiceの法的性質、そして日本企業のベンダー審査・契約実務への影響を確認します。AI生成物の表示義務(第50条)は本稿の対象外です。
何が、いつから適用されているか
第3条(63)は、GPAIモデルを「大量のデータを用いた自己教師あり学習により訓練される場合を含め、著しい汎用性を示し、多様な別個のタスクを的確に遂行できる能力を有し、市場に置かれる方法にかかわらず、多様な下流のシステム又はアプリケーションに統合され得るAIモデル」と定義し、市場に置かれる前の研究・開発・プロトタイピングのみに使われるモデルを除外しています。GPAIモデル自体は「システム」ではなく、モデルを組み込んで多様な目的に使えるようにしたものが第3条(66)の「GPAIシステム」です。
GPAIモデルの提供者は、第53条第1項により、学習・試験の過程を含む技術文書の作成・最新化(a)、モデルを組み込む下流の事業者向けに能力・限界等を説明する文書の作成(b)、著作権法遵守のための方針の整備(c)、学習に用いたコンテンツの概要の作成・公表(d)を義務付けられます。オープンソースで公開され、パラメータが公開されているモデルは(a)(b)を免除されますが、systemic risk(システミックリスク)に分類される場合はこの免除が及びません。
システミックリスクの分類基準は第51条にあります。高い影響力を持つ能力を持つと評価される場合に加え、学習に用いた計算量が10の25乗浮動小数点演算を超える場合は高影響力を持つと推定されます(第51条第2項)。この分類を受けたモデルの提供者は、第55条により、最新の手法に基づく敵対的試験を含むモデル評価の実施、システミックリスクの評価・低減、重大インシデントのAI Officeへの報告、サイバーセキュリティ対策の確保という追加義務を負います。
適用時期については、第113条が、第III章第4節、第V章(第51条から第56条)、第VII章、第XII章及び第78条を2025年8月2日から適用すると定め、その適用対象から第101条(GPAI提供者に対する制裁金)を除外しています。第101条を含む規則全体の原則適用日は2026年8月2日であるため、GPAI提供者の実体的義務は2025年8月2日から生じている一方、制裁金による執行は1年遅れて始まる構造になっています。また、第111条第3項は、2025年8月2日より前に市場に置かれていたGPAIモデルの提供者について、2027年8月2日までに義務への対応を行えば足りるとする経過措置を定めています。
なお、2026年6月29日に理事会の最終承認を経た簡素化パッケージ(デジタル・オムニバス)は、高リスクAIシステムの適用時期を延期する内容が中心で、第51条から第56条のGPAIモデル義務自体は変更されていません。モデルとそれを組み込んだシステムを同一の提供者が開発している場合にAI Officeが優先的に所管することを明確化する内容を含む一方、法執行、国境管理、司法機関、金融機関に関する分野では各国当局の権限が維持されます。
誰が義務を負うか
第53条・第55条の名宛人は、あくまで「GPAIモデルの提供者」です。第3条(3)の「提供者」は、AIシステム又はGPAIモデルを開発し、又は開発させた上で、自己の名称若しくは商標の下でこれを市場に置き、又はAIシステムを稼働させる者と定義されています。したがって、日本企業が自社で基盤モデルを開発し、それをEU域内の顧客へ提供する場合は、この意味での提供者に該当し、第53条(該当すればさらに第55条)の義務を直接負うことになります。
これに対し、日本企業が他社(米国、日本その他いずれの事業者でもあり得ます)が開発したGPAIモデルを組み込んで自社サービスを構築し、それをEU市場に置く場合、第3条(68)の「下流提供者」に当たります。下流提供者は、モデルを自ら開発したか契約に基づき他の事業者から提供を受けたかを問わず、GPAIモデルを組み込んだAIシステムの提供者としての地位に立つと定義されており、モデル自体の提供者としての第53条・第55条の義務を負うわけではないものの、自社が構築したAIシステムについて別途の提供者としての義務(高リスクAIシステムに該当する場合はその義務を含みます)を負う立場になります。この場合、下流提供者が自社の義務を果たすには、モデル提供者から第53条第1項(b)に基づく能力・限界の説明文書を得られるかどうかが前提になります。
他方、GPAIモデルを組み込んだツールを自社の業務で利用するだけの場合は、第3条(4)の「デプロイヤー」(自己の権限の下でAIシステムを使用する者)に位置づけられ、第51条から第56条の義務は直接及びません。もっとも、デプロイヤーの立場であっても、調達するサービスの提供者が第53条の文書化義務を履行しているかは、ベンダー選定の判断材料になり得ます。
域外適用については、第2条が、AIシステム又はGPAIモデルをEU域内で市場に置き、若しくは稼働させる提供者は、EU域内に設立又は所在するか第三国に所在するかを問わず対象となることを明示しており、さらに、第三国に所在する提供者・デプロイヤーであっても、そのAIシステムの出力がEU域内で使用される場合を対象に含めています。第三国に設立された提供者がGPAIモデルをEU市場に置く前には、第54条により、書面による委任に基づきEU域内に設立されたauthorised representative(EU域内代理人)を選任しなければなりません。この代理人は、第53条(該当すれば第55条も)の義務が履行されているかを検証し、関連文書を10年間保管して当局からの求めに応じて提供する役割を担います。オープンソースでパラメータが公開されているモデルはこの選任義務を免除されますが、systemic riskに分類される場合は免除されません。
GPAI Code of Practiceの法的性質
第56条は、AI Officeが、第53条・第55条の義務の適切な実施を支援するため、GPAIモデルの提供者、各国当局、市民社会、学術関係者等が参加するCode of Practice(行動規範)の策定を促進・支援すると定めています。この行動規範は、欧州委員会が公表する経緯によれば、独立した専門家が議長を務めるマルチステークホルダー・プロセスを経て2025年7月10日に最終版が委員会に提出され、2026年8月2日を控えた2025年8月1日に欧州委員会とAI理事会がそれぞれadequacy decision(妥当性の確認)を行いました。
法的性質としては、行動規範への参加は義務ではありません。第53条第4項・第55条第2項は、調和規格が整備されるまでの間、提供者が行動規範に依拠して義務の遵守を示すことができると定める一方、行動規範に従わない提供者にも、委員会の評価を受けることを条件に代替的な遵守手段を示す道を残しています。署名しない場合は、代替手段の妥当性を自ら委員会に説明する負担を負うことになります。第56条は、行動規範が整備されないか不十分と評価される場合に委員会が実施法で共通ルールを定めることができるとも定めていますが、2025年8月1日の妥当性確認によりこの事態には至っていません。
行動規範と並行して、欧州委員会は第53条第1項(d)の学習データ概要の公表義務に関するテンプレートを2025年7月24日に公表しました。このテンプレートは第53条第1項(d)の実施手段として使用が必須とされており、2025年8月2日以降に市場に置かれる新規モデルに適用され、既存モデルには2027年8月2日までの経過措置があります。内容は、提供者・モデルに関する一般情報、学習に用いたデータの種類別の分類(公開データセット、ライセンスを受けたデータセット、収集・スクレイピングされたオンラインコンテンツ、ユーザーデータ、合成データ等)、著作権法遵守や違法コンテンツ除去等の処理面の記載で構成され、オープンソースモデルにも適用されます。学習データの取扱いという観点では、生成AIと著作権・学習データのチェックポイントで整理した論点とも関わります。行動規範とは別に、欧州委員会はGPAI提供者向けの解釈指針も公表しており、2026年4月28日時点で更新が確認できます。この指針は法的拘束力を持つものではありませんが、委員会自身の解釈として、GPAIモデルへの該当性、オープンソース免除の適用条件、システミックリスクの通知に関する考え方を示しています。
日本企業の契約・ベンダー審査への影響
前提として、自社のどのサービスがEU市場に「置かれる」ことになるのかを確認する必要があります。自社開発モデルをEU域内の顧客へ直接提供する場合と、他社モデルを組み込んだ自社サービスをEU域内で提供する場合とでは、負う義務の性質が異なるため、まず自社サービスの提供形態を、モデル提供者としての提供なのか、下流提供者としての提供なのか、あるいはデプロイヤーとしての利用にとどまるのかで仕分けることが確認の出発点になります。
他社のGPAIモデルを組み込んでサービスを構築する立場にある場合、ベンダーに対して、利用するモデルが第3条(63)のGPAIモデルに該当するか、systemic riskに分類されているか、第53条第1項(b)に基づく能力・限界の説明文書(下流の統合事業者向け)を提供できるか、著作権法遵守の方針の内容、学習データ概要のテンプレートの公表先URL、Code of Practiceへの署名の有無、第三国提供者であればEU域内代理人の選任状況を、具体的な質問項目として確認することが考えられます。AIベンダーデューデリジェンスと契約審査で整理した確認項目に、これらのGPAI固有の項目を追加することが実務的な対応になります。
契約条項としては、ベンダーが第53条第1項(a)(b)の技術文書及び統合事業者向け文書を継続的に提供する義務、著作権法を遵守した学習データの取扱いに関する表明保証、学習データ概要が6か月ごとに更新される場合の通知義務、systemic riskへの分類を受けた場合の速やかな通知義務を、資料提供義務・表明保証条項として契約に落とし込むことが考えられます。学習データにユーザーの個人データが含まれる可能性がある点は、個人情報取扱条項とは?委託契約・SaaS契約で確認すべきポイントで扱った契約条項の確認とも重なる部分があり、ベンダーが公表する学習データ概要の記載内容を、個人データの取扱いに関する契約条項の確認と併せて点検することが望ましいと考えます。
今後確認すべき動き
2026年8月2日には、第101条に基づく制裁金の適用が始まり、AI Officeによる情報提供要求、モデルへのアクセス、リコール等の執行権限の行使も本格化する見込みです。同日以降、既存のベンダー審査・契約対応が実際の執行局面でどう機能するかを点検する必要があります。2027年8月2日には、2025年8月2日より前に市場に置かれていたモデルの経過措置が終了するため、長期間利用してきたモデルについても、この期日までの対応状況を確認しておくことが求められます。
デジタル・オムニバスによるAI Officeの所管明確化は、モデルとシステムを同一の提供者が開発している場合の当局間の役割分担に関わるものであり、今後の実施法や公式ガイダンスの内容を確認する必要があります。欧州委員会のGPAI提供者向け解釈指針も2026年4月28日時点で更新が続いており、オープンソース免除の適用条件やシステミックリスクの通知基準について、さらなる改訂がないか継続して確認することが必要です。Code of Practiceについても、署名事業者による実施状況の報告やSignatory Taskforceでの運用の具体化が今後進む見込みであり、自社が取引するベンダーの対応状況を定期的に確認する対象に加えておくことが考えられます。