メインコンテンツへスキップ
EU のユーザーに AI エージェントを出荷する場合、AI Act はシステム自体に 3 つの 義務を課します:禁止行為を駆動しないこと、人々が AI と話していることを伝えること、 そしてシステムが何をしたかの技術的記録を保持すること。EU AI Act パックは、 それらの義務を実在するゲートウェイコントロールにマッピングし、まず観察モードで 動かしてからライブにできるガードレールに実体化します — 末尾に監査人が検証可能な レポートを伴って。 このページは、一般的なコンプライアンスフローの上に乗る EU AI Act 固有のランディング です。すべてのパックが共有する仕組み — 観察ファースト、プランゲーティング、署名付き レポート — については、コンプライアンス概要から 始めてください。

1. EU AI Act コンプライアンスがゲートウェイ上でカバーするもの

eu_ai_act パックは、EU 人工知能法(管轄 EU、発効 2024-08-01)を 3 つの コンテンツプレーンのコントロールにマッピングします。それぞれは実在する編集可能な ガードレールルールであり — チェックボックスではなく — あなたが手でオーサリングできる のと同じプリセットライブラリから構築されています。
禁止された挙動を駆動する操作とジェイルブレイクの試みをブロックします。 Prompt-Injection Basics プリセットに加えてジェイルブレイク regex-block ルールから構築され、インジェクションとジェイルブレイクの意図がモデルに見られる 前にリクエスト上で捕捉されます。
ユーザーが AI と対話していることを知るための開示を強制します。Legal Disclaimer Enforce プリセットから構築され、決定的な法的/金融的助言を与える 出力をチームレビューのためにフラグします。
技術的記録のためにガードレール決定をログします。Compliance Logger (observe-only) プリセットから構築され — トラフィックをブロックまたは変更 せずに、PII の出現とポリシー決定を記録します。
これらはゲートウェイが運べる義務です:入力と出力の強制、開示サーフェス、決定 記録。規制が課す組織的義務 — 第 9 条のリスク管理システムと第 14 条の人間による 監督措置 — は、ゲートウェイの外部であなたが証拠立てるための Organizational: true 項目として、パックのコントロールマトリクスに存在します。 責任共有を参照。

2. ひとつの具体例:インストール、観察、ゴーライブ

パック作業はあなたのコンソールセッション(UserAuth)を使います — リレー sk-orca-… キーではありません。カタログの閲覧と準備状況の確認はどのワークスペース メンバーにも無料です;インストール有料プランのワークスペース管理者 アクションで、サーバー側で強制されるため直接の API 呼び出しではゲートを回避でき ません。
1

閲覧して準備状況を確認(メンバー、無料)

Compliance → Frameworks を開いて EU AI Act を選びます。準備状況は、 何にもコミットする前に、3 つのコントロールが現在のポリシーにどうマッピングする かを示します。
2

パックをインストール(管理者、有料)

コンソールからのインストールは POST /api/compliance/packs/eu_ai_act/install を 発行します。ひとつの呼び出しが、コントロールをパックの来歴でタグ付けされた 実在する編集可能なガードレールに実体化します — 観察モードで作成されるため、 ブロックする代わりにフラグし、影響を与えずにライブトラフィックで「ブロックした であろう」エビデンスを収集します。
POST /api/compliance/packs/eu_ai_act/install
3

マッチを見守る

禁止行為と透明性のコントロールが何を捕捉するかを Guardrails マッチフィード (GET /api/guardrail/match、メンバー)でレビューします。コンソールで任意の ルールをチューニングします — それは標準のガードレールなので、すべての編集、 バージョン、リバートのパスが変更なしに動作します。
4

ライブにしてアタッチ

エビデンスが正しく見えたらガードレールを観察モードから切り替え、それから キーに guardrail_id を設定して(またはワークスペースデフォルトにして)、 EU 向けエージェントが使うキーにアタッチします。これで第 5 条のブロックが メータリング前にリクエスト上で強制されます。
guardrail_blocked 結果は、クォータを消費しない HTTP 400 です — 入力ステージ のブロックはメータリング前に捕捉され、skip-retry とマークされるため、ブロックされた 禁止行為の試みが支出を消費したりループしたりすることは決してありません。

3. 署名付きで検証可能なレポートを出荷する

強制しているとき、コンプライアンスレポートを生成します:Ed25519 署名、 SHA-256 スタンプされたアーティファクトで、CSV、JSON、PDF としてエクスポートし 監査人に手渡せます。誰もがアカウントなしにそれを検証できます。

署名付きレポート

レポートが何を含み、どう署名されるか。

レポートを検証する

公開検証エンドポイントと pubkey — 監査人が独立して真正性を確認します。
レポートは、宣言されたデータレジデンシーリージョン(us / eu / uk / ap / cn / global)の下でスタンプされ保存されます。EU AI Act の申請では通常 レジデンシーを eu に設定します;レポートは一致する宣言されたリージョンの下でのみ 配信され、クロスリージョン読み取りは保留されます。
データレジデンシーはコンプライアンスレポートアーティファクトのリージョンであり、 推論がどこで動作するかの地理的固定ではありません。それはあなたの署名付きエビデンス がどこに存在し、誰が読めるかを統制し、モデルトラフィックがどこにルーティングされる かは統制しません。データレジデンシーを参照。

4. EU AI Act をプログラムの他の部分と並べて

EU AI Act が単独で着地することは稀です。同じインストールフローが、隣接する AI ガバナンスと EU プライバシーのフレームワークをカバーし、それぞれが独自の編集可能な コントロールを実体化します(AI ガバナンスパックはガードレールのみ;GDPR パックは その越境移転コントロールのためにファイアウォールポリシーも追加します):
パックフレームワーク
iso_42001ISO/IEC 42001 AI マネジメントシステム
nist_ai_rmfNIST AI リスクマネジメントフレームワーク
gdprEU 一般データ保護規則

ISO 42001

AI マネジメントシステムのエビデンス。

NIST AI RMF

Map / Measure / Manage コントロール。

GDPR

EU 個人データの義務。
第 5 条の禁止行為コントロールは、あなたのセキュリティポリシーが既に追跡している のと同じ脅威 — プロンプトインジェクションとジェイルブレイク — に対するゲートウェイ の防御です。コンプライアンスパックとは独立してそれらを強化したいなら、ファイア ウォールとガードレールのリファレンスがより深く掘り下げます。

5. 次に行く場所

パックをインストールする

すべてのフレームワークで共有される完全なインストールの仕組み。

観察 vs 強制

観察モードがどう意図的にライブ強制になるか。

ガードレールリファレンス

EU AI Act パックが構築されるコンテンツプレーンのコントロール。

プロンプトインジェクション

第 5 条の禁止行為ガードが防御する脅威。
観察モードでインストールし、禁止行為と透明性のコントロールが何を捕捉するかを見守り、 EU 向けキーでそれらをライブにし、それから署名付きレポートを出荷します。それが プロジェクトではなく設定としての EU AI Act コンプライアンスです。