2024年8月1日に発効したEU AI規制法(AI Act)は、世界初の包括的なAI規制法として、EU域内だけでなくグローバル企業に大きな影響を与えています。2025年2月の禁止AIプラクティスの施行を皮切りに、2026年8月には高リスクAIシステムに関する主要規定が全面施行されます。
「うちはEUとは関係ない」と思っている日本企業でも、EU市場向けのサービス提供やEU市民のデータ処理を行っていれば規制対象になる可能性があります。本記事では、EU AI規制法の全体像から日本企業が取るべき具体的な対応策まで、実務担当者向けに徹底解説します。
目次
- EU AI規制法(AI Act)とは?成立経緯と施行スケジュール
- リスク分類4段階の詳細と具体例
- 日本企業が影響を受ける3つのケース
- 高リスクAIシステムの要件
- 罰則規定:最大3,500万ユーロの制裁金
- 日本のAIガイドラインとの違い
- 実務対応チェックリスト10項目
- まとめ:今すぐ始めるべきAI Act対応
1. EU AI規制法(AI Act)とは?成立経緯と施行スケジュール
1-1. AI Actの概要
EU AI規制法(Regulation (EU) 2024/1689)は、欧州連合(EU)が制定した世界初の包括的AI規制法です。GDPRがデータ保護の世界標準となったように、AI ActはAIガバナンスのグローバルスタンダードとなることが確実視されています。
この法律の核心は、AIシステムをリスクレベルに応じて分類し、リスクが高いほど厳格な規制を課す「リスクベースアプローチ」にあります。全てのAIを一律に規制するのではなく、社会に与える影響度に応じた規制を設けることで、イノベーションと安全性のバランスを取る設計になっています。
1-2. 成立までの経緯
AI Actが成立するまでの道のりは以下の通りです。
| 時期 | 出来事 |
|---|---|
| 2018年4月 | 欧州委員会がAI戦略を発表 |
| 2019年4月 | 「信頼できるAIのための倫理ガイドライン」公表 |
| 2020年2月 | AI白書公表、パブリックコメント開始 |
| 2021年4月 | 欧州委員会がAI Act草案を提出 |
| 2023年6月 | 欧州議会が修正案を採択 |
| 2023年12月 | 三者協議(トリローグ)で政治的合意 |
| 2024年3月 | 欧州議会が最終テキストを採択 |
| 2024年7月 | EU官報に掲載 |
| 2024年8月1日 | AI Act発効 |
1-3. 施行スケジュール(段階的適用)
AI Actは発効後、段階的に適用が開始されます。日本企業にとって特に重要な時期を太字で示します。
| 施行日 | 適用開始内容 |
|---|---|
| 2025年2月2日 | 禁止AIプラクティス(第5条)の適用開始 |
| 2025年8月2日 | 汎用目的AIモデル(GPAI)に関する規定、ガバナンス関連規定 |
| 2026年8月2日 | 高リスクAIシステム(附属書IIIに該当するもの)の主要規定が全面施行 |
| 2027年8月2日 | 附属書Iに基づく高リスクAIシステムの規定適用 |
2. リスク分類4段階の詳細と具体例
AI Actの最大の特徴である「リスクベースアプローチ」では、AIシステムを4つのリスクレベルに分類しています。
2-1. 禁止リスク(Unacceptable Risk):使用自体が禁止
最もリスクが高く、EU域内での使用が全面的に禁止されるAIシステムです。2025年2月2日に既に施行済みです。
禁止されるAIプラクティスの具体例:
- サブリミナル操作技術:人の意識を超えた手法で行動を操作し、重大な害を与えるAI
- 脆弱性の悪用:年齢・障害・社会的状況による脆弱性を悪用して行動を操作するAI
- ソーシャルスコアリング:社会的行動や個人特性に基づく包括的スコアリングで不利益を与えるAI
- 犯罪予測(個人プロファイリング型):プロファイリングのみに基づいて個人の犯罪リスクを予測するAI
- 顔認識データベースの無差別構築:インターネットやCCTV映像からの無差別な顔画像スクレイピングによるデータベース構築
- 感情推論(職場・教育機関):職場や教育機関における感情認識AI(医療・安全目的を除く)
- リアルタイム遠隔生体認識(公共空間・法執行):公共空間における法執行目的のリアルタイム遠隔生体認識(例外あり)
日本企業への影響ポイント: EU市場向けのSaaSを提供している場合、感情認識機能を含む従業員管理ツールや、顔認識を活用したマーケティングツールは禁止対象になる可能性があります。
2-2. 高リスク(High Risk):厳格な要件を満たす必要あり
高リスクAIシステムは使用自体は許可されますが、適合性評価や継続的モニタリングなど厳格な要件が課されます。
高リスクに分類されるAIシステムの具体例:
附属書III:高リスクAI使用分野
- 生体認識・分類:リアルタイムでない遠隔生体認識システム
- 重要インフラの管理・運用:道路交通の安全管理、水・ガス・電力の供給管理
- 教育・職業訓練:入学選考、試験評価、学習レベルの適切な評価
- 雇用・労務管理:採用選考(履歴書スクリーニング)、昇進・解雇の意思決定
- 重要な民間サービスへのアクセス:信用スコアリング、保険料算定、緊急通報の優先順位付け
- 法執行:証拠の信頼性評価、犯罪分析
- 出入国管理:ビザ申請のリスク評価、入国審査
- 司法・民主的プロセス:法的事実の調査・解釈の支援
附属書I:EU統一法令の下で既に適合性評価が求められる製品のAIコンポーネント
- 機械指令に基づく機械のAIコンポーネント
- 医療機器のAIコンポーネント
- 自動車の安全コンポーネントのAI
- 航空機器のAIコンポーネント
日本企業への影響ポイント: 日本企業が最も注意すべきは「雇用・労務管理」分野です。AI面接ツール、AIによる人事評価システム、AI採用スクリーニングなどを提供・利用している企業は、高リスクAI要件への対応が必須になります。
2-3. 限定リスク(Limited Risk):透明性義務
一定の透明性要件が課されるAIシステムです。
該当するAIシステムの具体例:
- チャットボット:AIと対話していることを利用者に通知する義務
- ディープフェイク生成AI:コンテンツがAIにより生成・操作されたことを明示する義務
- 感情認識システム(禁止対象外のもの):感情認識が行われていることを通知する義務
- 汎用目的AIモデル(GPAIモデル):AI生成コンテンツであることを機械可読な方法でマーキングする義務
日本企業への影響ポイント: カスタマーサポートにAIチャットボットを導入している企業は、EU域内の利用者に対してAIであることの開示が必要です。また、マーケティング用のAI生成コンテンツにもラベリング義務がかかります。
2-4. 最小リスク(Minimal Risk):規制なし
上記のいずれにも該当しないAIシステムは、AI Actによる特別な規制を受けません。ただし、自主的な行動規範への参加が推奨されています。
該当するAIシステムの例:
- AIを活用したスパムフィルター
- ゲーム内のAI
- 在庫管理の最適化AI
- 製造ラインの品質検査AI(安全コンポーネントに該当しないもの)
3. 日本企業が影響を受ける3つのケース
「EU AI ActはEUの法律なので、日本企業には関係ない」という認識は大きな間違いです。AI Actには域外適用規定があり、以下のケースに該当する日本企業は規制対象となります。
ケース1:EU域内にAIシステムの出力を提供している場合
AI Actの適用範囲(第2条) によると、AIシステムの提供者(プロバイダー)がEU域外に拠点を置いていても、AIシステムの出力がEU域内で使用される場合は規制対象になります。
具体例:
- 日本企業が開発したAI面接ツールをEU在住の求職者に提供している
- 日本のSaaS企業がEU企業に信用スコアリングサービスを提供している
- 日本の製造業がEU向け輸出製品にAI安全コンポーネントを組み込んでいる
ケース2:EU域内に子会社・支店がある場合
EU域内に拠点を持つ日本企業のグループ会社がAIシステムを運用している場合、その拠点はAI Act上の「配置者(deployer)」として規制対象になります。
具体例:
- EU現地法人が採用にAIスクリーニングツールを使用している
- EU支店がAIを活用した顧客対応システムを運用している
- EU拠点で従業員管理にAI搭載ツールを使用している
ケース3:EU市民のデータを処理している場合
GDPRと同様に、EU市民の個人データを処理するAIシステムは、データ処理の場所に関わらず規制の影響を受ける可能性があります。
具体例:
- 日本のECサイトがEU在住のユーザーにAIレコメンデーションを提供している
- 日本企業がEU市民を含むグローバルな人材採用でAIツールを使用している
- 日本のフィンテック企業がEU市民向けの金融サービスでAI与信判断を行っている
域外適用の「ブリュッセル効果」
GDPRがそうであったように、AI Actも「ブリュッセル効果」を通じてグローバルな事実上の標準になることが予想されます。現時点でEU市場との接点がない企業でも、以下の理由から今から対応を進めるべきです。
- 取引先からの要求:EU企業との取引において、サプライチェーン全体でのAI Act準拠を求められる可能性が高い
- 日本の規制強化:日本政府もAI規制の法制化を検討しており、AI Actを参考にした国内法が制定される可能性がある
- グローバル競争力:AI Act準拠の体制を早期に構築することで、EU市場への参入障壁を低くできる
4. 高リスクAIシステムの要件
高リスクAIシステムのプロバイダー(提供者)には、AI Actにより以下の包括的な要件が課されます。2026年8月2日の全面施行に向けて、各要件の具体的な内容を把握しておく必要があります。
4-1. リスク管理システム(第9条)
高リスクAIシステムのライフサイクル全体をカバーする継続的なリスク管理プロセスの構築が求められます。
必要な対応:
- 既知および合理的に予見可能なリスクの特定・分析
- リスクが現実化した場合の影響の推定・評価
- リスク軽減策の設計・実施
- 残留リスクの許容可能性の評価
- リスク管理システムの定期的なレビューと更新
4-2. データガバナンス(第10条)
高リスクAIシステムの訓練、検証、テストに使用されるデータセットには、厳格な品質基準が求められます。
必要な対応:
- データセットの設計選択の文書化
- データ収集プロセスとデータソースの記録
- 統計的バイアスの検出・是正措置
- データの関連性・代表性・正確性・完全性の確保
- 個人データの処理に関するGDPR準拠の確認
4-3. 技術文書(第11条)
AIシステムの適合性を証明するための包括的な技術文書の作成・維持が求められます。
技術文書に含むべき主要項目:
- AIシステムの一般的な説明(意図された目的、開発者情報)
- AIシステムの要素と開発プロセスの詳細な説明
- モニタリング、機能、制御に関する詳細情報
- リスク管理システムの説明
- AIシステムのライフサイクルを通じた変更の記録
- 第15条に基づく精度・堅牢性・サイバーセキュリティの措置
- 適用された整合規格またはその他の技術仕様のリスト
4-4. 記録保持と自動ログ(第12条)
高リスクAIシステムには、その動作を追跡可能にするための自動ログ記録機能が必要です。
必要な対応:
- システムの動作期間全体にわたるログの自動記録
- 各使用期間の開始日時と終了日時の記録
- 入力データの参照データベースとの照合結果の記録
- 結果の検証に関与した自然人の識別情報
- ログの少なくとも6か月間の保管(別途法令で定める場合はそれに従う)
4-5. 透明性と利用者への情報提供(第13条)
配置者(利用者企業)が適切にAIシステムを運用できるよう、十分な情報提供が必要です。
必要な対応:
- 使用説明書の提供(プロバイダーの身元、AIシステムの特性・能力・限界を含む)
- 精度レベル(適切な精度指標を含む)の明示
- 想定される誤用・悪用のリスクとその対策の説明
- 人間による監視を容易にするための情報提供
4-6. 人間による監視(第14条)
高リスクAIシステムは、自然人(人間)が効果的に監視できる設計でなければなりません。
必要な対応:
- AIシステムの出力を人間が理解・解釈できるインターフェースの提供
- 監視者がAIシステムの使用を中断・停止できる機能(「停止ボタン」)
- 自動化バイアスのリスクに対する適切な対策
- 監視者に対する適切な訓練・教育の実施
4-7. 精度・堅牢性・サイバーセキュリティ(第15条)
高リスクAIシステムは、適切なレベルの精度・堅牢性・サイバーセキュリティを確保し、ライフサイクルを通じて一貫したパフォーマンスを維持する必要があります。
必要な対応:
- 精度レベルの宣言と検証手順の確立
- 入力データのエラーや障害に対するレジリエンス確保
- 敵対的攻撃(adversarial attack)への対策
- サイバーセキュリティ対策の実装と検証
4-8. 適合性評価(第43条)
高リスクAIシステムは、市場投入前に適合性評価を受ける必要があります。
評価方法:
- 内部統制に基づく適合性評価:多くの高リスクAIシステムはプロバイダー自身による内部評価が認められる
- 第三者適合性評価:生体認識システムなど特定のカテゴリでは、公認適合性評価機関(Notified Body)による評価が必要
- CEマーキングの取得と市場投入
5. 罰則規定:最大3,500万ユーロの制裁金
AI Actの罰則は、GDPRを上回る厳格なものとなっています。違反の種類に応じて、以下の制裁金が科される可能性があります。
制裁金の3段階
| 違反の種類 | 制裁金上限 | 中小企業の上限 |
|---|---|---|
| 禁止AIプラクティスの違反 | 3,500万ユーロまたは前年度全世界売上高の7%のいずれか高い方 | 上記金額の割合的引き下げ |
| 高リスクAI要件等の違反 | 1,500万ユーロまたは前年度全世界売上高の3%のいずれか高い方 | 上記金額の割合的引き下げ |
| 不正確な情報の提供 | 750万ユーロまたは前年度全世界売上高の1%のいずれか高い方 | 上記金額の割合的引き下げ |
日本円での影響規模
2026年4月時点のレートで概算すると:
- 禁止AIプラクティス違反:最大約56億円(1ユーロ=160円換算)
- 高リスクAI要件違反:最大約24億円
- 情報提供義務違反:最大約12億円
売上高ベースの計算の場合、日本企業の全世界売上高が基準となるため、EU市場での売上が小さくても巨額の制裁金を科される可能性があります。
GDPRとの比較
| 項目 | GDPR | AI Act |
|---|---|---|
| 最大制裁金(金額) | 2,000万ユーロ | 3,500万ユーロ |
| 最大制裁金(売上高比率) | 4% | 7% |
| 基準売上高 | 全世界売上高 | 全世界売上高 |
6. 日本のAIガイドラインとの違い
6-1. 日本のAI規制の現状
日本は現時点でAIに特化した包括的な法律を制定しておらず、主にソフトロー(ガイドライン・指針) によるアプローチを取っています。
主要な日本のAI関連ガイドライン:
| 名称 | 策定主体 | 特徴 |
|---|---|---|
| AI事業者ガイドライン(2024年4月) | 総務省・経済産業省 | AI開発者・提供者・利用者の3層構造。10の基本原則を提示 |
| 広島AIプロセス国際指針(2023年12月) | G7 | 高度AI開発者向けの国際的な指導原則。法的拘束力なし |
| 広島AIプロセス包括的政策枠組み(2024年) | G7 | 国際指針を踏まえた包括的な政策フレームワーク |
| AI利活用ガイドライン(2019年) | 総務省 | AI利用者向けの基本的な指針 |
6-2. EU AI Actとの主要な違い
| 比較項目 | EU AI Act | 日本のアプローチ |
|---|---|---|
| 法的性質 | 法律(ハードロー) | ガイドライン(ソフトロー) |
| 法的拘束力 | あり(違反時は制裁金) | なし(自主的遵守) |
| リスク分類 | 4段階の明確な分類 | 原則ベース(明確な分類なし) |
| 適合性評価 | 必須(高リスクAI) | 推奨レベル |
| 罰則 | 最大3,500万ユーロ/売上高7% | 罰則規定なし |
| 域外適用 | あり | なし |
| 禁止されるAI | 明確なリスト | 明確な禁止リストなし |
| CEマーキング | 必須(高リスクAI) | 該当制度なし |
6-3. 日本の今後の動向
日本政府もAI規制の法制化に向けた動きを加速しています。2025年の通常国会にはAI基本法案の提出が検討されており、以下のような方向性が示されています。
- AIの定義の法定化:AI事業者ガイドラインのAI定義をベースに法的定義を検討
- リスクベースアプローチの導入:EU AI Actを参考にしつつ、日本の実情に合ったリスク分類の検討
- ハードローとソフトローの組み合わせ:特にリスクの高い分野のみ法的規制を導入し、その他はガイドラインで対応
- 国際的な整合性の確保:広島AIプロセスの枠組みとEU AI Actとの整合性を意識した法設計
つまり、AI Actへの対応は、将来の日本国内規制への先行投資にもなります。
7. 実務対応チェックリスト10項目
2026年8月の全面施行に向けて、日本企業が今すぐ着手すべき10項目を以下にまとめます。
チェックリスト
Phase 1:現状把握(今すぐ着手)
- [ ] 1. AIシステムの棚卸し
- 各AIシステムの利用目的、対象ユーザー、処理データの範囲を整理する - EU域内との関連性(EU向けサービス提供、EU市民データ処理、EU拠点での利用)を確認する
- [ ] 2. リスク分類の判定
- 特に禁止AIプラクティスに該当するシステムがないか最優先で確認する(既に施行済みのため) - 高リスクAIに該当するシステムを特定し、優先対応リストを作成する
- [ ] 3. ギャップ分析の実施
- 技術文書、データガバナンス、リスク管理、人間による監視の各観点で不足事項を洗い出す - 対応に必要なコスト・期間・人材を概算する
Phase 2:体制構築(1〜3か月以内)
- [ ] 4. AIガバナンス体制の構築
- 経営層、法務、IT、事業部門を横断するAIガバナンス委員会を設置する - AIシステムの開発・調達・運用に関する社内ポリシーを策定する
- [ ] 5. リスク管理プロセスの整備
- リスクの特定・評価・軽減・モニタリングの一連のプロセスを文書化する - 定期的なリスクレビューのスケジュールを確立する
- [ ] 6. データガバナンスの強化
- バイアス検出・是正のための手順を整備する - GDPR準拠のデータ処理体制を確認・強化する
Phase 3:技術対応(3〜6か月以内)
- [ ] 7. 技術文書の作成
- AIシステムの設計、開発プロセス、テスト結果を包括的に文書化する - 技術文書の更新・維持管理プロセスを確立する
- [ ] 8. 透明性・説明可能性の確保
- チャットボット等についてAIであることの開示機能を実装する - AI生成コンテンツのラベリング機能を実装する
- [ ] 9. 人間による監視機能の実装
- AIの出力を人間が理解・解釈できるインターフェースを設計する - 緊急時の停止ボタン(キルスイッチ)機能を実装する
Phase 4:検証と継続改善(6か月以降)
- [ ] 10. 適合性評価と継続的モニタリング
- 市場投入後のモニタリングシステムを構築する - 重大インシデント発生時のEU当局への報告プロセスを整備する - 定期的な内部監査とガバナンス体制の見直しを行う
8. まとめ:今すぐ始めるべきAI Act対応
EU AI規制法(AI Act)は、AIガバナンスの世界標準として日本企業にも確実に影響を及ぼします。
押さえるべき3つのポイント
- 域外適用がある:EU域内にサービスを提供したり、EU市民のデータを処理したりする日本企業は規制対象です
- 制裁金が巨額:最大3,500万ユーロまたは全世界売上高の7%という制裁金は、中小企業にとっても事業存続に関わるリスクです
- 2026年8月が全面施行のデッドライン:高リスクAIシステムの主要規定が全面施行されるまであと数か月です
対応の優先順位
まず取り組むべきは、自社のAIシステムの棚卸しとリスク分類です。禁止AIプラクティスに該当するシステムがないか最優先で確認し、高リスクAIに該当するシステムを特定してから、ギャップ分析に進んでください。
AI Act対応は、単なるコンプライアンスコストではありません。適切なAIガバナンス体制を構築することで、AIの信頼性向上、ブランド価値の強化、グローバル市場での競争力確保につながります。そして何より、将来の日本国内でのAI規制法制化に向けた先行投資として、今から体制を整えておくことが経営上の合理的な判断です。