汎用AI(GPAI)モデルの提供者がEU AI法に準拠するための自主的なガイドラインであるGPAI Code of Practiceの最終版が2025年7月10日に発表され、8月2日にEU委員会によって承認されました。本ガイドラインは、LLMを含む生成AIモデルやシステムを対象とした、AI法における初の技術ガイドラインの一部を定めています。
Code of Practiceは主に、OpenAI、Anthropic、GoogleなどのGPAIモデルを開発・商業化する「提供者」に適用されます。ただし、モデルを利用する「下流の事業者」に対するガイドラインも含まれており、多くのビジネスユースケースが対象となります。
2025年8月4日時点では、OpenAI、Google、Anthropic、Microsoft、Mistralといった企業がCode of Practiceに署名しています。一方で、xAIのように「イノベーションへの悪影響」を理由に一部の章のみに署名する企業もあれば、Metaのように「法的な不確実性」への懸念から署名そのものを見送る企業も存在します。企業による対応の差が見られる状況ではありますが、GPAI提供者への義務の締切(2025年8月2日)および罰則の適用開始(2026年8月2日:最大で3,500万ユーロまたは世界売上高の7%)が迫っていることから、Code of Practiceは、生成AIモデルの提供者や下流の事業者にとって、重要な指針となります。
GPAI Code of Practiceとは?
Code of Practiceは、GPAIモデルの提供者がAI法に準拠する支援を目的とした自主的な枠組みです。「提供者」とは、市場にGPAIモデルを提供する事業者を指し、GPAIモデルを統合したAIシステムを提供する「下流提供者」とは区別されます。既存のGPAIモデルが変更またはファインチューニングされた場合、その提供者に求められるリスク評価や文書化の義務は、その変更の範囲に限られます。
Code of Practiceは以下の3章から構成されます:
- 透明性
- 著作権
- 安全性とセキュリティ
透明性と著作権の章はすべてのGPAIモデル提供者に適用されますが、「システミックリスクのあるGPAIモデル」(学習の累積計算量が10²⁵ FLOPs以上のモデル)に関しては、安全性とセキュリティの章が適用されます。
下流提供者にとってなぜ重要なのか?
GPAIモデルを高リスクAIシステム(感情認識、重要インフラの管理、人事評価、犯罪プロファイリングなど)に組み込んで提供する下流事業者は、技術文書、リスク評価、安全対策・政策介入など、EU AI法の要件を満たす必要があります。Code of Practiceは、モデルの開発目的・性能・限界・使用条件(透明性の章)、著作権対策(著作権の章)、システミックリスクの情報(安全性とセキュリティの章)を提供することで、こうした下流事業者の対応を支援します。
また、高リスクでない用途でGPAIモデルを使用する事業者にとっても本ガイドラインは有用性が期待されます。訓練データの性質や著作権侵害出力に対する対策情報を把握することで、適切なモデル選択が可能となり、意図しない結果の発生リスクを軽減できるためです。
| 提供者の種類 | 該当する項目 |
|---|---|
| GPAIモデル提供者 | 透明性と著作権の項目の対象 |
| システミックリスクのあるGPAIモデル提供者 | 透明性、著作権、安全性とセキュリティ全ての項目の対象 |
| オープンソースのGPAIモデルを変更する提供者 | 変更に必要な計算量がモデルの学習に使用された計算量の1/3を超える場合は透明性と著作権の項目の対象に |
| 下流提供者 | モデル提供者のウェブサイトまたは情報請求を通じてリスク評価や文書を確認することが推奨される |
| GPAIモデルを変更・ファインチューニングする下流提供者 | 透明性と著作権に関する項目の対象。リスク評価や文書化の義務は、変更・ファインチューニングに関わる訓練プロセス/データの範囲に限定 |
| GPAIモデルをを高リスクシステムに統合する下流提供者 | モデル提供者が透明性、著作権、安全性とセキュリティの項目に準拠しているかの確認が強く推奨される |
GPAIモデル提供者に求められる対策
透明性に関する項目
この章で明文化されている、事業者の行動指針は以下3つです:
- モデル文書の作成と継続的なアップデート
- 下流提供者およびAI Office(後者は要請に応じて)への関連情報の提供
- 文書化された情報の品質と完全性の確保
この章にはModel Documentation Formという報告文書のテンプレートが提供されており、提供者名や公開日、モデルの性質、配布方法、使用条件、訓練プロセス、訓練データ、計算資源やエネルギー消費などの回答欄が含まれています。事業者は、過去に作成したModel Documentation Formをモデルの市場投入後10年間保持することが求められています。また、提供者は、この文書フォームへのアクセス請求を受けるための連絡先情報をウェブサイト等で公開する必要があります。
著作権に関する項目
この章では、技術的およびポリシーベースのアプローチを通じて著作権方針を策定・維持するための5つの対策を定めています。技術的な対策としては、対象サイトが設定したアクセス制限(robots.txt等)にもとづく学習データの収集や、EUの著作権に関するブラックリストに配慮した合法的なデータ収集が含まれます。また、GPAIモデルが統合されたAIシステムから著作権侵害コンテンツが出力されないよう、技術的対策と下流提供者向けの使用条件設定も求められます。さらに、権利者向けの問い合わせ窓口と苦情受付の仕組みの設置も義務化されています。提供者には最新の著作権ポリシーの要約を一般公開することが推奨されています。
安全性とセキュリティに関する項目
この章では、「システミックリスク」を管理するために、10のコミットメント(各々に複数の具体的な対策を含む)を定めています。ここでいうシステミックリスクとは、「最先端のモデルや、同等の影響力を持つその他のモデルによる大規模な被害のリスク」を指し、「健康、安全、公共の安全、基本的権利、社会全体への悪影響」などが含まれます。この章ではさらに、2つの文書の作成方法を明記しています:
安全性・セキュリティフレームワーク (Safety and Security Framework)
- モデルの市場投入の少なくとも2週間前までに「承認」される必要があります。
- モデルのライフサイクル全体にわたって実施され、12ヶ月ごとまたは妥当性が疑問視された時点で更新が必要です。
- 内容には、評価基準とその適用方法、基盤モデルを提供する上でのシステミックリスクの受容基準、既存モデルのリスク水準超過の予測、開発への外部影響などが含まれます。
安全性・セキュリティモデル報告書(Safety and Security Model Report)
- モデルの市場投入前にAI Officeへ提出し、最新状態を維持する必要があります。
- 内容には、モデルの設計・挙動、リスクの正当化、リスク分析と緩和策に関する記述などが含まれます。
下流提供者は、これら2つの文書の要約版をGPAI提供者のウェブサイト等を通じて確認できます。
欧州委員会はCode of Practiceと並行して、AI法におけるGPAIモデルに関する条文に登場する用語や定義を分かりやすく解説したGPAIガイドラインを公開しています。こちらもCode of Practiceとともにご参照ください。
企業が取るべき具体的アクション
Code of Practiceは主にGPAIモデル提供者向けのものですが、他者が開発したGPAIモデルを統合してサービスを構築する下流事業者にとても重要です。
下流提供者に期待されるアクション:
- 使用中のGPAIモデル提供者が行動規範に署名しているかを確認(未署名の場合は、EU AI法第53条・55条に対する代替的な遵守手段を確認)
- モデル文書フォームの請求とレビュー
- モデルの能力や制限を理解するための追加情報の請求(要請後14日以内に提供義務あり)
- 著作権ポリシー、安全性・セキュリティ枠組み、およびモデル報告書(システミックリスク対象モデルの場合)の要約を確認
