EU AI法が監査テクノロジーに与える影響

この記事で学べること

- EU AI法の4段階リスク分類と監査AIシステムの該当性判定 - 高リスクAIシステムに該当する場合の具体的コンプライアンス要件 - 日本の監査法人がEUクライアントに対してAI監査ツールを使用する際の法的留意点 - 監基報220号改訂版の品質管理要件とAI法要件の統合方法

EU AI法の基本枠組み

AI法はAIシステムを4つのリスクカテゴリーに分類する。監査テクノロジーの多くは「高リスクAIシステム」に該当する。

監査AI技術の分類基準

監査で使われるAIシステムは、その機能によって異なるリスクレベルに分類される。

高リスク該当の可能性が高いシステム： - 財務諸表の重要な虚偽記載リスクを自動判定するツール - サンプリング戦略をAIが決定するシステム - 異常取引の検出と重要性評価を組み合わせたツール - クライアントの継続企業の前提に関する自動判定システム

限定リスクまたは最小リスクの可能性があるシステム： - 基本的な計算補助ツール(重要性計算機等) - 文書管理システムのAI検索機能 - 標準的な監査調書(以降、調書)テンプレート生成ツール

この分類は、AIシステムが監査人の専門的判断にどの程度影響するかで決まる。監基報200号が求める「合理的な保証」の判断プロセスに直接関与するシステムほど、高リスクに分類されやすい。経験上、ここの線引きは書面上で見るより現場で見る方がはるかに難しい。

適用スケジュールと段階的施行

AI法の施行は段階的。

- 2025年8月2日：禁止されたAI慣行の規制開始 - 2026年8月2日：汎用AI基盤モデルの規制開始 - 2027年8月2日：高リスクAIシステムの本格規制開始

事務所は2027年8月までに、使用するAIシステムの分類確認と必要な対応を終えておく。ただし、新しくAIシステムを導入する場合は、導入時点で適用される規制に即座に準拠する必要がある。

高リスクAIシステムの要件

AIシステムが高リスクに分類された場合、以下のコンプライアンス要件を満たす必要がある。

技術文書とリスク管理

必要な文書化： - AIシステムの設計仕様と訓練データの詳細 - アルゴリズムの決定ロジックと限界の明記 - 監査用途での想定パフォーマンス指標 - システム障害時の代替手順

これらの要件は、監基報220号改訂版(2025年12月15日施行)の品質管理システムと統合して管理するのが現実的。同改訂版ではIT環境の監視と品質リスクへの対応が強化されており、AI関連リスクもこの枠組みで管理できる。品管担当者と監査責任者の役割分担をここで整理しておくのが得策。

人間による監視と透明性

高リスクAIシステムには、人間による効果的な監視が義務付けられる。

監視の具体的要求： - AIの出力を監査人が検証可能な形で提示 - システムが不確実性の高い判断を行う場合の警告機能 - 監査人がAIの推奨を覆す仕組みの提供 - AI判定の根拠を調書で説明可能な形で記録

この要求は監基報500号の監査証拠に関する要求と整合する。AIが提供する情報も監査証拠の一種として、監査人が評価・検証することになる。

データガバナンスと訓練データ管理

AIシステムの訓練データには厳格な品質要件が課される。

- バイアスの特定と軽減措置 - データの代表性確保 - 個人データ保護規則(GDPR)との整合性 - 訓練データの出所と品質の文書化

日本の監査法人がEU域内のクライアントデータでAIシステムを訓練する場合、これらの要件に加えてGDPRの越境データ移転規制も考慮することになる。正直、実装してみて初めてわかる難しさがある論点。

実例：AIリスク評価システムの運用

田中監査法人の事例

田中監査法人は、売上500億円の製造業クライアント向けに、AIを活用したリスク評価システムを開発している。このシステムは、クライアントの財務データと業界データを分析し、監基報315号に基づく重要な虚偽記載リスクの識別と評価を半自動化する。

ステップ1：システム分類の確定 文書化：AIシステム分類評価書にて、本システムが監査人の専門的判断に直接影響を与える高リスクシステムであることを記録。

ステップ2：技術文書の整備 - 使用する財務指標（流動比率、負債比率、売上総利益率）の選定根拠を明記 - 業界ベンチマークデータの収集方法と更新頻度を文書化 - AIモデルの精度指標（適合率92%、再現率88%）を記録 文書化：品質管理システムファイルの「IT環境」セクションにて一元管理。

ステップ3：人間監視システムの構築 - AIが「高リスク」と判定した勘定科目について、シニアマネージャーによる再検証を必須化 - システムの信頼度が70%未満の判定については警告を表示 - 監査人がAI判定を変更した場合、その理由を調書に記録 文書化：各調書に「AI判定検証」欄を追加し、監査人の判断プロセスを記録。

ステップ4：データガバナンスの確立 - 訓練データに使用する業界データの匿名化処理を実施 - 四半期ごとにモデル精度の再検証を実施 - クライアントデータの保存期間を監査調書保存期間と同一に設定 文書化：データ管理規程を改定し、AI関連データの取扱いルールを明記。

結果： 田中監査法人は、EU AI法の要件を満たしながらAI技術を用いたリスク評価を継続している。年間の追加コンプライアンス費用は約300万円だが、監査効率の向上により投資は回収されている。審査の局面でAI判定の根拠説明が最初に突かれたため、ここに投資したことが結果的に効いている。

実務チェックリスト

1. 現在使用中のAI監査ツールのリスク分類を完了する(監基報220号改訂版の品質リスク評価と同時実施) 2. 高リスクシステムについて、EU AI法要求項目への適合性評価を行う(技術文書、リスク管理、データガバナンス) 3. AIシステムの監視手順を監査マニュアルに組み込む(監基報500号の監査証拠要求と整合させる) 4. AI関連の品質リスクを事務所の品質管理システムに統合する(2025年12月15日の監基報220号改訂版施行に合わせる) 5. EUクライアントを持つ場合、データ越境移転とAI法の両方への対応策を整備する 6. 最重要事項：AIに依存した監査判断の根拠説明能力を確保する - 規制当局の検査で最も突かれる項目

よくある誤解

- 「基本的な計算ツールは規制対象外」という思い込み - 重要性計算にAIを使い、その結果が監査戦略に直接影響する場合、高リスク分類の可能性がある。 - 「日本の事務所は関係ない」という誤認 - EUクライアントへのサービス提供や、EUで開発されたAIツールの使用時には適用される。 - 「2027年まで対応不要」という先延ばし - 新システム導入時は即座に適用されるため、計画的な準備が要る。ぶっちゃけ、本気で準備している法人の方が少ない。