EU AI法が施行されるまであと21日
詳細はこちら →

付録III 高リスクAIシステム:第6条の分類ガイド

EU AI法の第6条では、高リスク分類への2つの経路が定義されています。このガイドでは、両方の経路、付録IIIの使用事例カテゴリ、第6条(3)の免除、および自己評価フローチャートについて説明します。

第6条 + 付録III

付録III 高リスクAIシステム:第6条の分類ガイド

EU AI法の第6条では、高リスク分類への2つの経路が定義されています。このガイドでは、両方の経路、付録IIIの使用事例カテゴリ、第6条(3)の免除、および自己評価フローチャートについて説明します。

最終更新日: 2026年7月4日

AIシステムを高リスクにするものは何ですか?

第6条は、2つの独立した経路を作成します。どちらかの経路に該当する場合、高リスクとなり、完全な付録IVの文書、第9条から第15条の管理、および適合性評価の義務が適用されます。

2つの経路:第6条(1)は、規制対象の製品における安全コンポーネントとして使用されるAIを対象とします。第6条(2)+付録IIIは、8つの特定のユースケースカテゴリにおけるスタンドアロンのAIを対象とします。

経路1:安全コンポーネント(第6条(1))

AIが、EUのセクター別法によって規制された製品(医療機器、車両、機械、リフト、おもちゃなど)の安全コンポーネントである場合、またはそれ自体がそのような製品である場合は、自動的に高リスクになります。

適合性評価は、指定された認証機関によって実施される必要があります。

経路2:付録IIIの使用事例(第6条(2))

8つのユースケースカテゴリは、基盤となるテクノロジーに関係なく、高リスク分類をトリガーします。

  • 生体認証:リモート生体認証および感情認識システム
  • 重要インフラ:エネルギー、水、ガス、暖房、およびデジタルインフラにおけるAI
  • 教育:学生の評価、試験の採点、および学習分析のためのAI
  • 雇用:履歴書のスクリーニング、面接の分析、タスクの割り当て、パフォーマンスの評価、解雇の決定
  • 不可欠なサービス:信用スコアリング、融資の承認、保険の価格設定、緊急サービスの派遣
  • 法執行:リスク評価、ポリグラフ、証拠の評価、プロファイリング
  • 移住と亡命:ビザ申請、亡命手続き、国境管理
  • 司法:量刑の支援、事件の結果の予測、法的調査

第6条(3)の免除

第III条のAIシステムは、健康、安全、または基本的人権に重大なリスクをもたらさない場合、免除の対象となる可能性があります。

認められる事例としては、狭い範囲の手続きタスク、以前に完了した人間の活動の結果を改善すること、人間の評価に取って代わることなく意思決定パターンを検出すること、または下流の人間による意思決定のための準備タスクなどがあります。プロファイリングは常に高リスクです。 この免除は、システムが個人のプロファイリングを実行する場合には適用されません。

免除を主張する場合は、その根拠を詳細に文書化してください。規制当局が異議を申し立てる可能性があります。

高リスクの場合の文書化要件

高リスクのAIシステムは、包括的なコンプライアンス文書を維持する必要があります。

  • 第IV条の技術文書
  • 第9条のリスク管理システム
  • 第10条のデータガバナンス記録
  • 第12条の運用中のロギング
  • 第14条の人間による監視設計
  • 適合性評価 + CEマーク
  • EU AIデータベースへの登録

How AIAgentree helps

If your system is high-risk, AIAgentree produces the ongoing evidence that classification triggers:

  • Article 12 automatic decision logging — tamper-evident, captured via SDK, MCP, A2A, or the OpenTelemetry bridge with no rewrite
  • Article 14 human-oversight and approval workflows that record who overrode what, when, and why
  • Audit-fit retention (at least six months) plus Annex IV-aligned exports for your technical file, with EU data residency (Germany)

Frequently Asked Questions

How do I know if my AI system is high-risk under Annex III?

Work through the two Article 6 pathways: (1) your system is a safety component of a product covered by the EU legislation in Annex I, or (2) it falls into one of the Annex III use cases (biometrics, critical infrastructure, education, employment, essential services, law enforcement, migration, justice). If either applies and no Article 6(3) exemption holds, it is high-risk.

What is the Article 6(3) exemption?

An Annex III system can avoid high-risk status if it does not pose a significant risk to health, safety, or fundamental rights — for example narrow procedural tasks or preparatory work for a human decision. Profiling of natural persons is always high-risk, and you must document your exemption reasoning because regulators can challenge it.

When do high-risk obligations start applying?

For stand-alone Annex III high-risk systems, full obligations apply from August 2, 2026. AI that is a safety component of products regulated under existing EU sectoral law reaches full applicability on August 2, 2027.

What happens once my system is classified high-risk?

You must implement Article 9 risk management, Article 10 data governance, Article 11/Annex IV technical documentation, Article 12 logging, Article 14 human oversight, complete a conformity assessment, affix CE marking, and register in the EU database. AIAgentree covers the logging, oversight, and audit-evidence portion of that stack.

Continue exploring the EU AI Act guide

EU AI Act Compliance Guide

The complete guide to EU AI Act compliance for AI agents — start here.

Article 12 — Record-Keeping & Logging

What every high-risk AI system must log, and how to capture it.

Article 14 — Human Oversight

Designing effective human-in-the-loop controls for AI decisions.

EU AI Act Compliance Checklist

A step-by-step checklist to reach and document compliance.

Compliance Cost Calculator

Estimate your EU AI Act compliance effort and cost.

Deadlines & Timeline

Key enforcement dates, including the August 2, 2026 deadline.

Fines & Penalties

Penalty tiers up to €35M or 7% of global annual turnover.

Transparency Obligations (Art. 13 & 50)

Disclosure duties for AI systems and their outputs.

Risk Management & Conformity Assessment

Build a risk management system and assess conformity.

GPAI Obligations

Rules for providers of general-purpose AI models.

EU AI Act for US Companies

Extraterritorial scope and what US providers must do.

Omnibus Update

The latest changes to the EU AI Act timeline and rules.

Penalty Calculator

Estimate your maximum fine under the Article 99 tiers.

Article 11 + Annex IV

What technical documentation the EU AI Act requires.

Article 26: Deployer Obligations

What deployers of high-risk AI must do, including log retention.

Article 17: Quality Management

The QMS providers of high-risk AI must document.

Article 10: Data Governance

Data quality, bias mitigation, and governance duties.

Article 4: AI Literacy

The staff AI-literacy duty in force since February 2025.

Deployer vs Provider

Who bears which obligation — and when a deployer becomes a provider.

FRIA (Article 27)

Who must run a Fundamental Rights Impact Assessment, and how.

Who Does It Apply To?

Scope, operators, and the extraterritorial reach of the EU AI Act.

Post-Market Monitoring

Articles 72–73: ongoing monitoring and incident reporting.

ISO 42001 vs EU AI Act

How the voluntary standard and the binding law fit together.

NIST AI RMF vs EU AI Act

A practical crosswalk between the framework and the law.

EU AI Act for Healthcare

High-risk medical AI, MDR/IVDR interplay, and clinician oversight.

EU AI Act for Financial Services

Credit scoring, insurance pricing, and existing financial regulation.

EU AI Act for HR & Employment

Hiring AI as high-risk, plus NYC LL144 and EEOC overlap.