欧州委員会は7月10日、生成AI(汎用AIモデル)向けの「行動規範(Code of Practice)」最終案を公表した。AI法(AI Act)の施行を前に、透明性・著作権・安全性を柱とした自主的なルールで企業の対応を後押しする狙いだ。
EU最終案のオーバービュー
今回の行動規範は三つの要素で構成されている。
- 透明性:学習データの出所や利用方法を可能な範囲で説明し、利用者が生成物のリスクを理解できるようにする。
- 著作権:権利者の作品が不正に学習・利用されることを防ぎ、著作権侵害リスクを抑える。
- 安全性:ディープフェイク拡散や個人情報漏えいといった悪質利用に備え、リスク管理や悪用防止の手順を整える。
法的拘束力はなく任意参加だが、署名した事業者はAI法における手続き負担を軽減でき、一定の法的確実性も得られる。逆に署名を見送れば、独自に厳格な遵守体制を示す必要がある。
世界の反応:GoogleとMetaの分岐
反応は大きく分かれた。
- Google は署名方針を示し、「欧州の経済・社会的目標と整合している」と評価。自社が持つ著作権・安全対策の仕組みを前提に、規制設計への関与を通じて優位を築く戦略とみられる。
- Meta は署名を拒否し、「法的不確実性が大きい」「AI法の範囲を超える」と批判。将来的に法廷闘争や個別交渉を辞さない構えを見せている。
- メディア業界団体 は、現行案では著作権保護が不十分だとして反発。創作者保護をどう担保するかが今後の焦点だ。
Googleが比較的「涼しい顔」で臨めるのは、自社の体力と既存フレームワークを背景に、規制を“攻めのビジネス”に転換できる余地があるからだ。
また、著作権リスクの文脈では英国拠点の Stability AI も注目される。画像生成モデル「Stable Diffusion」の開発元である同社は、欧米で著作権侵害を巡る複数の訴訟に直面している。英国はEUを離脱したため直接の規制対象ではないが、EU市場にサービスを展開する限りは行動規範やAI法の網から逃れることはできない。むしろ今回の「透明性・著作権」重視は、こうした事例を念頭に置いているのではとの見方もある。
日本の「AI活用推進法」との温度差
一方、日本では2025年5月に「AI活用推進法(AI Promotion Act)」が成立し、6月から施行された。狙いは研究開発と利用促進であり、リスク分類や過度な規制は避け、ソフトロー中心のアプローチを取っている。
EUが規制主導で「透明性・著作権・安全性」を実務に落とし込もうとしているのに対し、日本はイノベーションを妨げないことを優先。両者の温度差は明確だ。
こうしたEUと日本の温度差は、米国の“自主規制主導”とも対照的だ。各国のアプローチを並べてみると、その違いがより鮮明に浮かび上がる。
各国・地域のAI規制比較
| 項目 | EU | 日本 | 米国 |
|---|---|---|---|
| 基本法制 | AI法(AI Act)(2024年施行、2025年8月2日からGPAI規制適用) | AI活用推進法(AI Promotion Act)(2025年6月施行) | 大統領令(2023年10月)やNISTフレームワーク、州レベルの規制 |
| 補完ルール | 行動規範(Code of Practice):透明性・著作権・安全性 | 各省庁ガイドライン(経産省・総務省など)、ソフトロー中心 | 自主規制+政府機関向けガイドライン |
| 規制スタンス | 強制+自主規範の組み合わせ。リスク分類、高リスク用途は禁止・厳格義務 | イノベーション優先。罰則はなく「推進」重視 | 分権的・産業主導。強制力は限定的だが調達要件や業界標準で影響 |
| 主な焦点 | GPAI(汎用AIモデル)、ディープフェイク、著作権保護、リスク評価 | AIの研究開発支援、利用促進、人権配慮 | 安全性・セキュリティ、透明性、雇用や国家安全保障への影響 |
| 企業への影響 | EU市場で事業する場合、コード準拠が実務上必須 | 国内展開中心なら規制圧力は低いが、海外展開でEU基準の影響大 | 大手は自主ガイドラインで対応、小規模事業者は州法対応が中心 |
日本企業への影響
国内企業にとってもEUの動きは無縁ではない。EU市場に展開する場合は、以下の対応が求められる。
- 学習データの権利処理方針の策定
- 生成物の透明性説明(出所やリスクの開示)
- 悪用防止・安全評価のルーチン化
AIを直接開発していない利用企業でも、契約上「コード準拠」を求められる可能性がある。任意規範とはいえ、実務上の“デファクト標準”となるリスクは高い。
EU規制は「まとも」か? DMA・GDPRとの比較
過去のEU規制を振り返ると、デジタル市場法(DMA)はGAFAなどゲートキーパー企業に強制的な義務を課し、GDPRはプライバシー侵害に巨額制裁を科してきた。いずれも世界的に影響を及ぼす一方で「過剰規制」との批判も強い。
今回の行動規範は任意型で、強制力はDMAやGDPRほどではない。だが、背後にはAI法本体が控えており、システミック・リスクモデルに対しては今後重い義務が課される。EUの規制姿勢は依然として「厳格」だが、コード自体は比較的現実的な範疇に収まっていると評価できる。
まとめ
EUの行動規範は、単なる自主ルールにとどまらず、世界標準化を狙う布石でもある。Googleは規制設計に加わることで先行優位を築き、Metaは抵抗戦へ。日本は促進型アプローチを維持しているが、海外展開を視野に入れる企業はコード準拠を無視できない。
ターゲットはディープフェイク、個人情報漏えい、著作権侵害といった悪質事例。自主規範の整備が競争力の条件になる時代が、すぐそこまで来ている。
