2026年8月2日、世界で初めて包括的にAIを規制する法律「EU AI Act(欧州AI法)」がついに全面適用を迎える。違反した場合の制裁金は最大3,500万ユーロ(約55億円)、または全世界売上高の7%という厳しいものだ。
「うちはヨーロッパで事業をしていないから関係ない」と思うかもしれない。しかし、EU市場にサービスを提供している企業、AIの出力結果がEU域内で使われる企業は、日本企業であっても適用対象となる。本記事では、残り半年を切ったEU AI Act完全施行に向けて、日本企業が今すぐ始めるべき対応を徹底解説する。
EU AI Actとは何か――世界初の包括的AI規制法
EU AI Actって、結局どんな法律なんですか?日本にも影響があるんでしょうか。
簡単に言えば、AIの「リスクの高さ」に応じて規制レベルを変える法律です。日本企業でもEU向けにサービスを提供していれば対象になります。
EU AI Act(正式名称:Regulation (EU) 2024/1689)は、2024年8月1日に発効した世界初の包括的AI規制法だ。EUが「信頼できるAI」の実現を目指し、AIシステムのリスクレベルに応じた義務を定めている。
リスクベースの4段階分類
EU AI Actの最大の特徴は、AIシステムを4つのリスクレベルに分類する点にある。
| リスクレベル | 内容 | 規制の程度 |
|---|---|---|
| 禁止 | 社会的スコアリング、無差別監視等 | 全面禁止 |
| 高リスク | 採用AI、医療AI、信用審査AI等 | 厳格な義務 |
| 限定リスク | チャットボット、ディープフェイク等 | 透明性義務 |
| 最小リスク | スパムフィルター等 | 義務なし |
特に注目すべきは、「禁止」レベルのAI行為が既に2025年2月2日から適用されている点だ。以下の8カテゴリーが対象となる。
- 人間の行動を潜在意識レベルで操作するAI
- 脆弱な立場の人々を搾取するAI
- 社会的スコアリングシステム
- 犯罪リスクの予測AI(個人のプロファイリングのみに基づくもの)
- インターネット・監視カメラからの無差別な顔認識データベース構築
- 職場・教育機関での感情推論AI
- 生体認証による人種・政治信条等の分類
- 法執行目的のリアルタイム遠隔生体認証(限定的例外あり)
禁止AIの規定は2025年2月2日から既に施行されている。知らずに該当するAIシステムを運用していた場合、既に違反状態になっている可能性がある。
施行スケジュール――2026年8月2日が最大のXデー
EU AI Actは一度にすべてが施行されるわけではなく、段階的に適用が進む。
段階的施行タイムライン
| 施行日 | 適用内容 | 状況 |
|---|---|---|
| 2025年2月2日 | 禁止AIの利用行為、AIリテラシー義務 | 適用済み |
| 2025年8月2日 | 汎用目的AIモデル(GPAI)の義務 | 適用済み |
| 2026年8月2日 | 高リスクAIシステムの全義務 | あと半年 |
| 2027年8月2日 | 附属書I記載のAIシステム(特定製品安全規則に基づくもの) | 今後 |
2026年8月2日が事実上の「Xデー」だ。この日から高リスクAIシステムに対する包括的なコンプライアンス義務が適用される。
欧州委員会のガイドライン策定状況
注意すべきは、欧州委員会が高リスクAIシステムに関するガイドライン策定に遅れが出ている点だ。IAPP(International Association of Privacy Professionals)によると、当初2026年2月2日までに提供予定だったガイドラインの最終採択は2026年3月〜4月にずれ込む見込みだという。
また、2025年末には「Digital Omnibus」パッケージが提案され、附属書III(Annex III)の高リスクAIシステムに関する義務を2027年12月まで延期する可能性も浮上している。ただし、これはまだ提案段階であり確定ではない。
ガイドラインの遅延や延期提案があるとはいえ、2026年8月2日の施行日は現時点で変わっていない。「延期されるかも」と待つのではなく、今から対応を進めるのが安全だ。
日本企業に適用されるケースとは
EU域内に拠点がない中小企業でも、本当に対象になるんですか?
はい。EU市場にAI搭載の製品やサービスを提供している場合、会社の規模に関係なく適用される可能性があります。
EU AI Actは域外適用の規定を含んでいる。以下のケースに該当する日本企業は対象となり得る。
適用対象となる3つのパターン
- EU域内にグループ会社がある場合 ―― 現地法人が開発・利用するAIシステムが対象
- EU域内向けにAIサービスを提供する場合 ―― SaaS型AIツール、AI搭載アプリ等
- AIのアウトプットがEU域内で使用される場合 ―― 日本で開発したAIの出力がEUの顧客に届く場合
中小企業への影響
「うちは中小だから」と安心はできない。特に以下のケースは注意が必要だ。
- 海外向けECサイトでAIレコメンドを使っている
- EU圏のクライアントにAI翻訳サービスを提供している
- 多言語対応のAIチャットボットを運用している
- EU圏のパートナー企業にAI分析レポートを提供している
違反時の制裁金は最大3,500万ユーロ(約55億円)、または全世界売上高の7%のいずれか高い方。中小企業にとっては事業存続を脅かすレベルだ。
高リスクAIシステムの義務――8月2日から何が変わるか
2026年8月2日から適用される高リスクAIシステムへの義務は多岐にわたる。
高リスクAIに該当する主な領域
- 採用・人事:履歴書のスクリーニング、面接AI、業績評価
- 信用・金融:ローン審査AI、保険リスク評価
- 教育:入学選考AI、試験採点AI
- 医療:診断支援AI、治療計画AI
- 法執行:証拠信頼性評価、犯罪予測(一部禁止)
- インフラ管理:交通管理、水道・電力・ガスの安全管理
プロバイダー(開発者)に課される主な義務
高リスクAIシステムの開発者には以下が求められる。
- リスク管理システムの構築と維持
- データガバナンス(学習データの品質・代表性の確保)
- 技術文書の作成と最新化
- 自動ログ記録機能の実装
- 透明性の確保(利用者への十分な情報提供)
- 人間による監視機能の組み込み
- 正確性・堅牢性・サイバーセキュリティの確保
- 適合性評価の実施
- EU市場への上市前のCEマーキング
- EUデータベースへの登録
デプロイヤー(利用者)にも義務がある
AIシステムを「使う側」にも義務がある点を見落としてはいけない。
- プロバイダーの使用説明書に従った運用
- 自動ログの保存(最低6か月)
- 個人への影響がある決定を行う前の人間によるレビュー
- AIによる決定を受けた個人への説明義務
汎用目的AIモデル(GPAI)の規制――既に適用中
ChatGPTやClaude、Geminiのような汎用目的AIモデル(GPAI: General-Purpose AI)については、2025年8月2日から既に規制が適用されている。
GPAIプロバイダーの義務
- 技術文書の作成・維持
- ダウンストリームプロバイダーへの情報提供
- EU著作権法の遵守
- 学習データの要約の公表
システミックリスクを持つGPAIへの追加義務
計算量が10^25 FLOP以上のモデルは「システミックリスク」を持つGPAIとして追加義務が課される。
- モデル評価(adversarial testing含む)の実施
- システミックリスクの評価・軽減
- 重大インシデントの追跡・報告
- サイバーセキュリティの確保
AI生成コンテンツの透明性に関する実践規範(Code of Practice)の策定も進んでいる。業界・学術界・市民社会から数百人が参加し、第1次ドラフトが公開された。2026年8月2日の適用に向けて最終化が進められている。
今すぐ始める対応チェックリスト
残り半年ですが、今からでも十分間に合います。まずはこのチェックリストで自社の状況を把握してください。
ステップ1:AIシステムの棚卸し
自社が開発・利用しているAIシステムをすべてリストアップする。
- 社内で使っているAIツール(チャットボット、分析ツール等)
- 顧客に提供しているAI搭載サービス
- 外部から調達しているAIコンポーネント
- EU市場との接点の有無
ステップ2:リスク分類の実施
各AIシステムがEU AI Actの4段階リスク分類のどこに該当するかを判定する。
ステップ3:ギャップ分析
現在の運用体制と、EU AI Actが求める義務とのギャップを特定する。
ステップ4:対応計画の策定
ギャップを埋めるための具体的なアクションプランを策定する。優先度は以下の通り。
- 禁止AI行為に該当するシステムがないか確認(最優先)
- 高リスクAIシステムの技術文書・リスク管理体制の整備
- 透明性義務への対応(AI利用の告知、説明義務等)
- 社内AIリテラシー教育の実施
ステップ5:体制構築
- AIガバナンス責任者の任命
- コンプライアンスチームの組成
- 外部専門家(法務・技術)の確保
- 定期的なレビュー体制の確立
欧州委員会は、全面適用前の自主的なコンプライアンスを促す「AI Pact」への参加を推進している。参加は強制ではないが、対応の進捗を示す良いシグナルになる。
まとめ
EU AI Actの完全施行まであと半年。対応すべきポイントを整理しよう。
- 2026年8月2日に高リスクAIシステムへの義務が全面適用
- 禁止AI行為とGPAI義務は既に適用済み
- 日本企業もEU市場との接点があれば規模を問わず対象
- 制裁金は最大3,500万ユーロ or 売上高の7%
- 今すぐAIシステムの棚卸しとリスク分類を始めるべき
AI規制は今後、EUだけでなく世界的に広がっていく流れだ。EU AI Actへの対応は、グローバルなAIガバナンス体制構築の第一歩と捉えるのが賢明だろう。自社だけで対応が難しい場合は、合同会社四次元のようなAI導入・ガバナンス支援の専門家に相談することも検討してほしい。
半年あれば十分準備できそうですね。まずは棚卸しから始めてみます!
よくある質問(記事のおさらい)
AIシステムをリスクレベルに応じて4段階(禁止・高リスク・限定リスク・最小リスク)に分類し、それぞれに義務を課す世界初の包括的AI規制法です。2024年8月に発効し、2026年8月2日に全面適用されます。
はい。EU域内に拠点がなくても、EU市場にAI搭載の製品・サービスを提供している場合や、AIのアウトプットがEU域内で使われる場合は適用対象になり得ます。
最大3,500万ユーロ(約55億円)、または全世界売上高の7%のいずれか高い方が制裁金として課されます。
まず自社のAIシステムを棚卸しし、EU AI Actの4段階リスク分類で判定します。その上で、現状とのギャップ分析を行い、技術文書やリスク管理体制を整備してください。
はい。EU AI Actは企業規模による適用除外はありません。EU市場との接点があれば、中小企業であっても対象になります。ただし、一部の義務についてSME向けの簡素化措置が検討されています。
