jpskill.com
💬 コミュニケーション コミュニティ

eu-ai-act-specialist

EU AI Act (Regulation (EU) 2024/1689) operational compliance for compliance teams. Three Article-level decisions: (1) What's the risk tier of this AI system — prohibited (Art. 5), high-risk (Art. 6 + Annex III), limited-risk (Art. 50), or minimal-risk? (2) For high-risk systems, what's the Article 43 conformity assessment route (Module A internal control vs Module H full QMS + notified body) and what goes in the Annex IV technical documentation? (3) Per organizational role (provider / deployer / importer / distributor / authorized representative), what are the active obligations and deadlines? Use during AI system intake review, when planning conformity assessment, or when scoping deployer obligations. Cites Articles + Annexes for every output. NOT executive AI strategy (see chief-ai-officer-advisor). NOT a legal substitute.

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o eu-ai-act-specialist.zip https://jpskill.com/download/21965.zip && unzip -o eu-ai-act-specialist.zip && rm eu-ai-act-specialist.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/21965.zip -OutFile "$d\eu-ai-act-specialist.zip"; Expand-Archive "$d\eu-ai-act-specialist.zip" -DestinationPath $d -Force; ri "$d\eu-ai-act-specialist.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して eu-ai-act-specialist.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → eu-ai-act-specialist フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
8

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] eu-ai-act-specialist

規則 (EU) 2024/1689 に基づく、条文を引用した運用スキルです。3つの決定、AI戦略の実行はなし:

  1. このAIシステムはどのティアに属しますか? — 禁止 (第5条) / 高リスク (第6条 + 附属書III) / 限定リスク透明性 (第50条) / 最小リスク
  2. 高リスクシステムの場合、適合性評価ルートと文書パックは何ですか? — 第43条 モジュールA 対 モジュールH + 附属書IV 技術文書
  3. 組織の役割ごとに、義務は何ですか? — 第16条、第22条、第25条、第26条に基づくプロバイダー / デプロイヤー / 輸入業者 / 販売業者 / 認定代理人マトリックス

このスキルはchief-ai-officer-advisorではありません。CAIOはAI機能をリリースするかどうかを決定し、ビジネスリスクを受け入れます。このスキルは、「リリースする」という決定を条文に準拠した成果物に変える適合性作業を運用します。

このスキルは法的代替物ではありません。本法は拘束力のある規制です。新規のケース(これはGPAIモデルか? 第6条(2)の除外規定は適用されるか? 基盤モデルのファインチューニングは「実質的な変更」か?)については、資格のある外部弁護士にご相談ください。このスキルは条文と附属書を引用し、委員会/EDPBが公表した解釈を使用しますが、拘束力のある法的意見を提供するものではありません。

このスキルはGDPRではありません。多くのAIシステムはGDPRもトリガーします(トレーニングデータ、出力処理)。DPIAと適法性の根拠に関する作業については、ra-qm-team/skills/gdpr-dsgvo-expert/ を参照してください。本法とGDPRは相互作用します(高リスクのトレーニングデータに関するRecital 10、第10条)。

キーワード

EU AI Act, EU AI Regulation, Regulation 2024/1689, AI Act, AI regulation Europe, high-risk AI, prohibited AI, Article 5 AI Act, Article 6 AI Act, Article 9 AI Act, Article 50 AI Act, Annex III, Annex IV, conformity assessment, CE marking AI, notified body AI, Module A, Module H, technical documentation AI, post-market monitoring AI, fundamental rights impact assessment, FRIA, GPAI, general-purpose AI model, systemic risk GPAI, AI Office, ENISA AI, EDPB AI, AI Act timeline, AI Act penalties, EU AI Act provider, EU AI Act deployer, EU AI Act importer, EU AI Act distributor, EU AI Act fines, AI literacy

クイックスタート

# 決定A: 本法に従ってAIシステムを分類する
python scripts/ai_system_risk_classifier.py                       # 組み込みの5システムサンプル
python scripts/ai_system_risk_classifier.py path/to/systems.json

# 決定B: 高リスクシステムの適合性評価計画
python scripts/conformity_assessment_planner.py                   # 組み込みの高リスクサンプル
python scripts/conformity_assessment_planner.py path/to/system.json

# 決定C: 組織の役割ごとの義務トラッカー
python scripts/ai_act_obligation_tracker.py                       # 組み込みサンプル (プロバイダー + デプロイヤー)
python scripts/ai_act_obligation_tracker.py path/to/roles.json

主要な質問 (まずこれらを尋ねてください)

  • このAIシステムは第5条(禁止された行為)に該当しますか? ソーシャルスコアリング、職場/教育における感情認識、操作的なサブリミナル技術、公共の場でのリアルタイム遠隔生体認証 — これらのいずれも完全に禁止されています。
  • 附属書III(高リスクカテゴリ)に該当しますか? 8つのカテゴリ:生体認証、重要インフラ、教育、雇用、必須サービス、法執行、移民、司法。附属書IIIに該当する場合、第6条(2)がトリガーされます — 第6条(3)の除外規定が適用されない限り。
  • 会社はどのような組織的役割を担っていますか? プロバイダー(市場に投入)、デプロイヤー(自身の権限で利用)、輸入業者(第三国のシステムをEU市場に投入)、販売業者(サプライチェーンで利用可能にする)。多くの企業はプロバイダーとデプロイヤーの両方を同時に担っています。
  • これは汎用AIモデルですか? GPAIには独自のトラック(第51条~第55条)があり、10²⁵ FLOPsを超えるトレーニング計算(第51条 システミックリスク)にはより厳格な規則が適用されます。
  • 高リスクの場合:第9条のリスク管理と第27条のFRIAは実行済みですか? 第9条はライフサイクルリスク管理です。第27条は公共部門のデプロイヤーと必須サービスのための基本的人権影響評価です。
  • 第43条に基づく適合性評価モジュールは何ですか? モジュールA(内部管理、ほとんどの附属書IIIシステムで可能) 対 モジュールH(完全なQMS + 認証機関、生体認証および場合によってはその他で必須)。

主要な責任

1. AIシステムのリスク分類

フレームワーク: 本法はリスクベースのアプローチを採用しています(Recital 26)。各AIシステムは、以下の4つのティアのいずれか1つに正確に分類されます。

ティア 出典 義務
禁止 第5条 ソーシャルスコアリング;職場/教育における感情認識;サブリミナル操作;法執行機関によるリアルタイム公共生体認証(狭い例外あり) 市場に投入または使用することはできません(最大3500万ユーロ/売上高の7%の罰則)
高リスク 第6条 + 附属書III;第6条(1) + 附属書I 履歴書スクリーニング、信用スコアリング、生体認証分類、規制製品の安全コンポーネント 第8条~第17条(プロバイダー)+ 第26条(デプロイヤー);適合性評価;CEマーキング
限定リスク (透明性) 第50条 チャットボット、ディープフェイク、第5条の文脈外での感情認識 自然人への透明性開示
最小リスク デフォルト スパムフィルター、ビデオゲームAI、在庫予測 本法に基づく義務なし(自主的な行動規範、第95条)

重要な除外規定 (第6条(3)): 附属書IIIのシステムは、(a) 狭い手続き的タスクを実行する場合、(b) 以前に完了した人間の活動の結果を改善する場合、(c) 人間の評価を置き換えることなく意思決定パターンを検出する場合、(d) 準備タスクを実行する場合、高リスクではありません。ただし、自然人のプロファイリングは、除外規定に関わらず常に附属書IIIの高リスクです。

システム特性を指定して ai_system_risk_classifier.py実行してください。このツールは、まず第5条の禁止事項をチェックし、次に附属書IIIのカテゴリ、次に第6条(3)の除外規定、次に第50条の透明性、そして最後に最小リスクのデフォルトをチェックします。

全条文については references/eu_ai_act_titles.md を参照してください。

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

EU AI Act Compliance Specialist

Article-cited operational skill for Regulation (EU) 2024/1689. Three decisions, no executive AI strategy:

  1. What tier is this AI system? — prohibited (Article 5) / high-risk (Article 6 + Annex III) / limited-risk transparency (Article 50) / minimal-risk
  2. For high-risk systems, what's the conformity assessment route + documentation pack? — Article 43 Module A vs Module H + Annex IV technical documentation
  3. Per organizational role, what are the obligations? — provider / deployer / importer / distributor / authorized representative matrix per Article 16, 22, 25, 26

This skill is NOT chief-ai-officer-advisor. CAIO decides whether to ship the AI feature at all and accepts business risk. This skill operates the conformity work that turns "we'll ship it" into Article-compliant artefacts.

This skill is NOT a legal substitute. The Act is binding regulation. For novel cases (Is this a GPAI model? Does Article 6(2) carve-out apply? Is fine-tuning a foundation model "substantial modification"?), engage qualified outside counsel. The skill cites Articles + Annexes and uses Commission/EDPB published interpretation but does not provide binding legal opinion.

This skill is NOT GDPR. Many AI systems also trigger GDPR (training data, output processing). See ra-qm-team/skills/gdpr-dsgvo-expert/ for DPIA + lawful basis work. The Acts interact (Recital 10, Article 10 for high-risk training data).

Keywords

EU AI Act, EU AI Regulation, Regulation 2024/1689, AI Act, AI regulation Europe, high-risk AI, prohibited AI, Article 5 AI Act, Article 6 AI Act, Article 9 AI Act, Article 50 AI Act, Annex III, Annex IV, conformity assessment, CE marking AI, notified body AI, Module A, Module H, technical documentation AI, post-market monitoring AI, fundamental rights impact assessment, FRIA, GPAI, general-purpose AI model, systemic risk GPAI, AI Office, ENISA AI, EDPB AI, AI Act timeline, AI Act penalties, EU AI Act provider, EU AI Act deployer, EU AI Act importer, EU AI Act distributor, EU AI Act fines, AI literacy

Quick Start

# Decision A: Classify an AI system per the Act
python scripts/ai_system_risk_classifier.py                       # embedded 5-system sample
python scripts/ai_system_risk_classifier.py path/to/systems.json

# Decision B: Conformity assessment plan for a high-risk system
python scripts/conformity_assessment_planner.py                   # embedded high-risk sample
python scripts/conformity_assessment_planner.py path/to/system.json

# Decision C: Obligation tracker per organizational role
python scripts/ai_act_obligation_tracker.py                       # embedded sample (provider + deployer)
python scripts/ai_act_obligation_tracker.py path/to/roles.json

Key Questions (ask these first)

  • Does this AI system fall under Article 5 (prohibited practices)? Social scoring, emotion recognition in workplace/education, manipulative subliminal techniques, real-time remote biometric identification in public — any of these are flat-out prohibited.
  • Does it fall under Annex III (high-risk categories)? 8 categories: biometrics, critical infrastructure, education, employment, essential services, law enforcement, migration, justice. Triggering Annex III triggers Article 6(2) — unless the Article 6(3) carve-outs apply.
  • What organizational role does the company play? Provider (placed on market), deployer (uses under own authority), importer (places third-country system on EU market), distributor (makes available in supply chain). Many companies are BOTH provider AND deployer simultaneously.
  • Is this a general-purpose AI model? GPAI has its own track (Articles 51–55) with stricter rules above 10²⁵ FLOPs training compute (Article 51 systemic risk).
  • For high-risk: have we run Article 9 risk management AND Article 27 FRIA? Article 9 is the lifecycle risk management; Article 27 is the Fundamental Rights Impact Assessment for public-sector deployers + essential services.
  • What's the conformity assessment Module per Article 43? Module A (internal control, possible for most Annex III systems) vs Module H (full QMS + notified body, required for biometrics + sometimes others).

Core Responsibilities

1. AI System Risk Classification

The framework: The Act takes a risk-based approach (Recital 26). Each AI system falls into exactly one of four tiers:

Tier Source Examples Obligations
Prohibited Article 5 Social scoring; emotion recognition in workplace/education; subliminal manipulation; real-time public biometrics by law enforcement (with narrow exceptions) Cannot be placed on market or used (penalties up to EUR 35M / 7% turnover)
High-risk Article 6 + Annex III; Article 6(1) + Annex I CV-screening, credit scoring, biometric categorisation, safety components of regulated products Articles 8–17 (provider) + Article 26 (deployer); conformity assessment; CE marking
Limited-risk (transparency) Article 50 Chatbots, deepfakes, emotion recognition outside Article 5 contexts Transparency disclosures to natural persons
Minimal-risk Default Spam filters, video-game AI, inventory forecasters None under the Act (voluntary codes of conduct, Article 95)

Critical carve-outs (Article 6(3)): an Annex III system is NOT high-risk if it (a) performs a narrow procedural task, (b) improves the result of previously completed human activity, (c) detects decision-making patterns without replacing human assessment, (d) performs a preparatory task. Caveat: profiling of natural persons is always Annex III high-risk regardless of carve-outs.

Run ai_system_risk_classifier.py with system characteristics. The tool checks Article 5 prohibitions first, then Annex III categories, then Article 6(3) carve-outs, then Article 50 transparency, then minimal-risk default.

See references/eu_ai_act_titles.md for the full Article-by-Article walkthrough.

2. Conformity Assessment + Annex IV Technical Documentation

The framework (Article 43 + Annex VI/VII): for high-risk AI systems, the provider must demonstrate conformity before placing on market. Two routes:

  • Module A — Internal control (Annex VI): provider self-assesses against the requirements. Applies to most Annex III systems where the provider has implemented harmonised standards.
  • Module H — Full quality management system + technical documentation (Annex VII): notified body involvement. Required for biometrics systems (Article 43(1)).

Required artifacts per Annex IV — Technical Documentation:

  1. General description of the AI system (intended purpose, identification, version)
  2. Detailed description of system elements (architecture, training data, validation procedures)
  3. Information about monitoring, functioning and control
  4. Description of risk management system (Article 9)
  5. Description of changes after placing on market
  6. List of harmonised standards applied (or alternative)
  7. EU declaration of conformity (Article 47)
  8. Description of the post-market monitoring system (Article 72)

Run conformity_assessment_planner.py to select the Module and produce the Annex IV checklist for a given high-risk system.

See references/high_risk_systems_annex_iii.md for which systems require which conformity route.

3. Per-Role Obligation Tracker

The framework (Articles 16, 22, 23, 24, 25, 26): the Act distinguishes provider obligations (most) from downstream-actor obligations (deployer, importer, distributor, authorized representative). A single company can play multiple roles simultaneously.

Role Primary Articles Key obligations
Provider (Article 3(3)) 8–17, 47, 49, 72 Conformity assessment; CE marking; risk management; data governance; technical documentation; post-market monitoring; serious incident reporting (Article 73)
Deployer (Article 3(4)) 26 Use according to instructions; human oversight; input data quality; record-keeping (Article 19); inform workers (Article 26(7)); FRIA if public-sector/essential-services (Article 27)
Importer (Article 3(6)) 23 Verify conformity; affixed CE marking; technical documentation availability
Distributor (Article 3(7)) 24 Verify CE marking + documentation before making available
Authorized representative (Article 22) 22 Non-EU providers must appoint one; representative liable for provider obligations

Important: under Article 25, a deployer who substantially modifies a high-risk AI system, or places it on the market under their own name, becomes a provider and inherits provider obligations.

Run ai_act_obligation_tracker.py with the roles JSON to produce a deadline-sorted obligation matrix.

See references/gpai_obligations.md for the separate GPAI Articles 51–55 track.

Workflows

Workflow 1: AI System Intake Review (per system, ~2 hours)

Goal: classify, identify obligations, scope the conformity work.

# 1. Document system characteristics: purpose, users, data, autonomy, deployment context
# 2. Run classifier
python scripts/ai_system_risk_classifier.py systems.json
# 3. If high-risk: run planner
python scripts/conformity_assessment_planner.py system.json
# 4. Identify org roles played (provider / deployer / both)
python scripts/ai_act_obligation_tracker.py roles.json
# 5. Cross-check with GDPR DPIA (gdpr-dsgvo-expert) if personal data
# 6. Cross-check with ISO 42001 AIMS evidence (compliance-team-iso42001)
# 7. Output: classification memo + conformity plan + obligation list

Workflow 2: Annex IV Technical Documentation Build (per high-risk system, 2–4 weeks)

Goal: assemble the Annex IV pack before conformity assessment.

# 1. Run conformity assessment planner to get the checklist
python scripts/conformity_assessment_planner.py system.json
# 2. Assemble: system description, architecture, training data, validation, risk management
# 3. Reference ISO 42001 evidence where it satisfies Annex IV items
# 4. Reference ISO 27001 evidence for security controls
# 5. Run Article 9 risk management lifecycle
# 6. Sign EU declaration of conformity (Article 47) AFTER assessment passes
# 7. Affix CE marking (Article 48)
# 8. Register in EU database (Article 71) — high-risk Annex III systems

Workflow 3: Pre-Deployment Obligation Audit (per system, before launch)

Goal: confirm all active obligations are in place before EU placement.

# 1. Confirm classification still correct (re-run classifier if system changed)
# 2. Confirm conformity assessment completed (if high-risk)
# 3. Confirm transparency requirements (Article 50) — for chatbots, deepfakes, emotion detection
# 4. Confirm post-market monitoring system (Article 72) is live
# 5. Confirm serious-incident reporting procedure (Article 73) is documented
# 6. For deployers: FRIA done (Article 27, if applicable); workers informed (Article 26(7))
# 7. For GPAI: Articles 51-55 obligations met if applicable

Workflow 4: Annual Compliance Refresh (per organization, yearly)

Goal: re-verify classifications + obligations as the Act phases in.

  1. List all AI systems on or planned for EU market
  2. Run classifier for each — Article 5 prohibited list may expand via delegated acts
  3. Run obligation tracker — deadlines shift as Title III phases in (2025 → 2026 → 2027)
  4. For each high-risk system: verify post-market monitoring data flow + serious incident reporting capacity
  5. Update Annex IV technical documentation per Article 11 ongoing requirement
  6. Pair with ISO 42001 management review (Clause 9.3) if both operate

Output Standards

**Bottom Line:** [one sentence — classification + most-significant obligation]
**Article Citation:** [Article + paragraph number; do not paraphrase without cite]
**The Decision:** [one of: classify | conformity-route | obligation-scope]
**The Evidence:** [Article + Annex references; classification confidence]
**How to Act:** [3 concrete next steps with owner + deadline aligned to phasing]
**Your Decision:** [the call for compliance officer or legal counsel — risk-class disputes, novel cases, GPAI threshold determinations]

Adjacent Skills

  • ../../skills/gdpr-dsgvo-expert/ — GDPR DPIA + lawful basis (most AI systems also trigger GDPR)
  • ../../../compliance-team-iso42001/ — ISO 42001 AIMS (voluntary management system that satisfies parts of Article 17 QMS for providers)
  • ../../skills/information-security-manager-iso27001/ — ISO 27001 for cybersecurity requirements (Article 15)
  • ../../skills/risk-management-specialist/ — ISO 14971 risk management (referenced for safety-component AI under Article 6(1))
  • ../../skills/mdr-745-specialist/ — MDR 2017/745 (medical-device AI overlap)
  • ../../../../compliance-os/ — Meta-orchestrator for multi-framework programs
  • ../../../../c-level-advisor/chief-ai-officer-advisor/ — Executive AI strategy

References

Version: 1.0.0 Status: Production Ready

同梱ファイル

※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。