適合性評価(Conformity Assessment)は、AIシステムが法令・規格・社内規程などの要件を満たしているかを審査・証明する手続きです。本記事はEU AI Actの条文詳細ではなく、高リスクAIの文脈で「何を・誰が・いつ確認するか」——審査の流れ——に焦点を当てます。
試験で問われる見方
適合性評価という語の単独問題は少ないですが、高リスクAIで求められる事前評価・文書化・監視(TF-498)のうち、市場投入前の適合確認として位置づけて理解します。
適合性評価とは
製品安全分野の「適合性評価手続」と同様、AIでもリスク管理・データ・文書・性能などが要件を満たすかを確認し、必要に応じてCEマーキング等の表明に至る流れが想定されます(EU AI Actの高リスクAI)。
社内のみで使うAIでも、影響評価・セキュリティレビュー・法務チェックの総称として「適合性を評価する」と言い換えられます。
審査の流れ
- スコープ定義 — 対象AI、用途、リスク区分
- 要件の特定 — 適用される法令・規格・契約
- 証拠収集 — 技術文書、テスト結果、ログ設計
- ギャップ分析 — 不足要件の洗い出し
- 是正・再評価 — 対策実施後の再確認
- 表明・登録 — 必要な届出・マーキング(法域による)
- 運用後監視 — 継続的な適合性(変更管理)
第三者機関の関与の要否は、製品カテゴリと法域により異なります。試験では手続の細部より事前に適合を確認する文化が要点です。
必要な証拠(例)
ガバナンスとの関係
| 概念 | 焦点 |
|---|---|
| AIガバナンス | 継続的な統制の仕組み |
| 適合性評価 | 特定時点・要件への適合の審査 |
| EU AI Act | 法的義務の源泉(EU) |
| AI倫理 | 価値・原則 |
よくある質問
適合性評価は一度きり?
モデル・用途・データが変われば再評価が必要です。ガバナンスの継続監視とセットです。
生成AIパスポートでも出る?
語彙としてはG検定・ガバナンス寄りですが、法令遵守・リスク管理の文脈で間接的に関連します。
社内PoCにも必要?
本番・対外提供前の影響評価は推奨されます。規模に応じた簡易評価から始めることもあります。