EU AI Act

定義

EU AI Act は、AI システムを 4 つのリスク階層に分類する。unacceptable (禁止): 社会的スコアリングや無差別な生体監視など、基本的人権を侵害する用途。high (高リスク): 医療機器・採用・与信・教育評価・重要インフラ・法執行など、人の権利や安全に強く影響する用途。limited (限定): チャットボットやディープフェイクなど、透明性義務 (利用者への明示) が課される用途。minimal (最小): その他、追加義務なし。

施行は段階的に進む。禁止行為と AI リテラシー義務は 2025 年 2 月、汎用 AI (GPAI) モデル提供者の義務は 2025 年 8 月、高リスクシステムへの本格義務と透明性ルールは 2026 年 8 月から適用される。高リスク AI に関しては、(1) ライフサイクル全体を通じたリスク管理、(2) 学習・検証データのガバナンス、(3) 監査に耐える技術文書、(4) 自動ログ取得、(5) 人間監督メカニズム、(6) 正確性・堅牢性・サイバーセキュリティが要件となる。

GPAI 提供者には技術文書・利用説明・著作権遵守・学習データ要約の公開が課される。さらに「システミック・リスク」と判定された GPAI には、モデル評価・敵対的テスト・重大インシデント報告・サイバーセキュリティ対策が追加で求められる。

Lemma Oracle での適合経路

EU AI Act の高リスク要件は、「監査可能な状態を残し続けること」に集約される。Lemma は監査ログ・データガバナンス・人間監督の根拠を、docHash + 属性 コミットメント + ゼロ知識証明 で構成する。実データの開示は GDPR や営業秘密と衝突するが、属性のみを暗号で証明する設計なら、機密と適合が両立する。

具体的には、(1) 学習・検証データの取得日・出所・分類を プロヴナンス として固定、(2) 推論ごとの入力・モデル・出力ハッシュを監査トレイルに残す、(3) 人間が承認した時刻と承認者属性を 選択的開示 で証明、という設計を採る。Lemma Compliance は金融機関の高リスク AI 用途、Lemma Civic は公共領域の AI 利用に対し、同一の検証層を提供する。

EU AI Act が要請しているのは「AI が信頼できるかどうかを、後から検証できる状態にすること」である。Lemma の検証可能 AI 向け信頼インフラは、その状態を技術として実装するための具体的な経路となる。