実務では、まず次の3点を整理すると動きやすくなります。
以下は法的判断の代わりではありませんが、社内準備の目安になります。
最初に見るべきなのは、製品名やベンダー名ではなく、AIの目的です。同じAIツールでも、社内の文章作成を補助する場合と、人事評価や採用、サービス利用可否の判断に使う場合では、リスクの見え方が変わります。
同じ会社でも、AIの使い方ごとに立場は変わります。外部のAIツールを購入して社内で使う場合は、多くの場合、導入・運用者としての確認が中心になります。一方、自社製品にAI機能を組み込んで市場に提供するなら、AIシステムの提供者としての義務が問題になります。さらに、汎用AIモデルを開発・提供する場合には、GPAIモデル提供者としての確認が必要です。
最初の社内チェックは、次の順番が実務的です。
最初の一歩は、社内のAI利用を棚卸しすることです。大規模なAIプロジェクトだけでなく、部門単位で導入したSaaSのAI機能、社内の自動化、生成AIアシスタント、自社プロダクトに入れたAI機能、利用中のモデルも含めます。
AI台帳には、少なくとも次の項目を入れると確認しやすくなります。
すべてのAI利用を同じ深さで確認する必要はありません。優先すべきは、人を評価する、機会やサービスへのアクセスに影響する、または生体認証、重要インフラ、教育、雇用、公共サービスなどの領域で使うシステムです。
実務上は、人事・採用ツール、応募者の事前選別、業績評価、安全に近い用途、人に関する判断を準備するシステムが早めの確認対象になりやすいでしょう。ただし、実際に高リスクAIに当たるかは、具体的なワークフローと自社の役割によって変わります。
高リスクAIについて、出典はリスクマネジメント、技術文書、適合性評価などの要件を挙げています。どの作業が自社に必要かは、役割とシステムの内容によって異なります。 附属書IIIの高リスクAIシステムでは、完全なコンプライアンス枠組みが2026年8月2日から重要になります。
いま準備しておきたいことは、次の通りです。
AIリテラシーは、高リスクAIだけの話ではありません。ある出典は、AIリテラシー要件を提供者と導入・運用者に広く適用される義務と説明しており、最小リスクのAIシステムしか使っていない組織でも、AIリテラシー要件と禁止行為の回避を意識する必要があるとしています。
つまり、AIを選ぶ人、設定する人、日常業務で使う人が、システムの限界、起こりやすい誤り、人による確認が必要な場面を理解していることが重要です。
確認すべきなのは、そのAIを何に使っているかです。社内文書の下書きや調査補助と、人事、評価、サービス提供可否、その他の敏感な判断プロセスでの利用は別に考える必要があります。低リスクに見えるツールでも、AI台帳には載せ、利用ルールとAIリテラシーを整えることが実務上は重要です。
自社がAIシステムの提供者に当たるか、またその機能が高リスクの文脈で使われる可能性があるかを確認します。高リスクAIの場合、2026年以降、リスクマネジメント、技術文書、適合性評価に関する対応が重要になります。
採用など雇用に関わる領域は、高リスクAIの論点が生じ得る分野として出典に挙げられているため、早めの確認対象です。 スコアリングやカスタマーサポートでは、AIが単に担当者を補助しているのか、人に関する判断を準備・左右・自動化しているのかが分かれ目です。ワークフローを具体的に見ないまま、最終分類を断定することはできません。
EU AI Act対応で最初に問うべきなのは、「AIを使ってよいか」ではありません。「どのユースケースか」「自社はどの立場か」「どの期限が関係するか」です。