EU AI法 第12条：ログ記録と監査証跡の要件

第12条で求められること

高リスクAIシステムは、設計上、システムのライフサイクル全体にわたってイベント（「ログ」）を自動的に記録できるようにする必要があります。ログは、市場投入後の監視、規制当局による検査、および第14条に基づく人間の監視のために十分なトレーサビリティを可能にする必要があります。

第12条は、単なるプロセス文書ではなく、技術的な機能に重点を置くEU AI法の数少ない義務の1つです。つまり、AIシステムは、実際に動作中にこれらの記録を生成する必要があります。

監査証跡に記録する必要があること

第12条のログには、意思決定がどのように行われ、その理由は何であったかを再構築するために十分な詳細を記録する必要があります。

• 信頼性の高いタイムスタンプ付きのイベントレベルのログ記録
• AIシステムが受信した入力と生成された出力
• 内部のプロセスステップ（検討、中間的な意思決定、ポリシーの評価）
• 人間の介入アクション：承認、オーバーライド、エスカレーション
• 意思決定のコンテキストを再現するのに十分なシステム状態データ
• 異常イベントとその処理

技術的要件

規制では、ログ記録インフラストラクチャが満たす必要のあるいくつかの技術的特性が指定されています。

• 自動ログ記録 — 手動のログエントリは第12条を満たしません
• 信頼性の高い完全なイベント記録
• 改ざん防止機能付きの安全なストレージ
• 意図された目的とリスクプロファイルに比例した保持期間
• 規制当局によるレビューに適した形式でエクスポート可能

一般的なコンプライアンスの課題

エンタープライズAIチームとの連携に基づいて、最も頻繁に発生する第12条のコンプライアンスの課題は次のとおりです。

• それらを生成した推論ではなく、出力のみをログに記録する
• 不足している、または不完全な人間のオーバーライド記録
• 改ざん防止機能を満たさない可変のログストレージ
• 規制当局による検査には短すぎる保持期間
• 構造化されたエクスポートがない — 臨時データベースクエリのみ

第11条 + 第IV編の技術文書

第11条では、第12条のログとともに、適合性を実証する技術文書が必要です。

第IV編では、システムの説明、意図された目的、設計の選択、トレーニングとテストのデータ、検証手順、監視、およびログ自体を含む構造が指定されています。これら2つを1つの作業の流れとして扱ってください。