2024年8月1日に発効したEU AI規制法(AI Act)は、世界初の包括的なAI規制法として、EU域内だけでなくグローバル企業に大きな影響を与えています。2025年2月の禁止AIプラクティスの適用開始、2025年8月の汎用目的AIモデル(GPAI)規定の適用開始と段階的にルールが動き出しており、2026年8月には透明性義務やGPAIの執行が始まります。
ただし、本記事執筆時点(2026年6月)で重要な前提変更が進行中です。2025年11月に欧州委員会が提案した「デジタル・オムニバス(Digital Omnibus on AI)」により、本来2026年8月2日に予定されていた高リスクAIシステムの主要義務の適用が、後ろ倒しされる方向で2026年5月にEU理事会・欧州議会の暫定政治合意に至りました。最新の適用スケジュールを正確に押さえることが、過剰投資も対応漏れも避ける鍵になります。
「うちはEUとは関係ない」と思っている日本企業でも、EU市場向けのサービス提供やEU市民のデータ処理を行っていれば規制対象になる可能性があります。本記事では、EU AI規制法の全体像から、2026年6月時点の最新スケジュール、そして中堅企業が取るべき具体的な実務対応まで、担当者向けに徹底解説します。
目次
- EU AI規制法(AI Act)とは?成立経緯と施行スケジュール
- リスク分類4段階の詳細と具体例
- 日本企業が影響を受ける3つのケース
- 高リスクAIシステムの要件
- 罰則規定:最大3,500万ユーロの制裁金
- 日本のAIガイドラインとの違い
- 実務対応チェックリスト10項目
- まとめ:今すぐ始めるべきAI Act対応
<a id="section-1"></a>
1. EU AI規制法(AI Act)とは?成立経緯と施行スケジュール
1-1. AI Actの概要
EU AI規制法(Regulation (EU) 2024/1689)は、欧州連合(EU)が制定した世界初の包括的AI規制法です。GDPRがデータ保護で「ブリュッセル効果」を生んだように、AI ActもAIガバナンスの事実上の参照基準となる可能性が高いとみられています。実際、GDPR同様のブリュッセル効果が見込まれ、EUと取引する域外企業の調達・契約実務に波及しやすい構造です。
この法律の核心は、**AIシステムをリスクレベルに応じて分類し、リスクが高いほど厳格な規制を課す「リスクベースアプローチ」**にあります。全てのAIを一律に規制するのではなく、社会に与える影響度に応じた規制を設けることで、イノベーションと安全性のバランスを取る設計になっています。
1-2. 成立までの経緯
AI Actが成立するまでの道のりは以下の通りです。
| 時期 | 出来事 |
|---|---|
| 2018年4月 | 欧州委員会がAI戦略を発表 |
| 2019年4月 | 「信頼できるAIのための倫理ガイドライン」公表 |
| 2020年2月 | AI白書公表、パブリックコメント開始 |
| 2021年4月 | 欧州委員会がAI Act草案を提出 |
| 2023年6月 | 欧州議会が修正案を採択 |
| 2023年12月 | 三者協議(トリローグ)で政治的合意 |
| 2024年3月 | 欧州議会が最終テキストを採択 |
| 2024年7月 | EU官報に掲載 |
| 2024年8月1日 | AI Act発効 |
1-3. 施行スケジュール(2026年6月時点の段階的適用)
AI Actは発効後、段階的に適用が開始されます。下表は本記事執筆時点(2026年6月2日)で確定している適用状況と、今後の予定を整理したものです。「適用済」と「適用予定」を正確に区別してください。
| 適用日 | 適用内容 | 2026年6月時点の状況 |
|---|---|---|
| 2024年8月1日 | AI Act発効 | 発効済 |
| 2025年2月2日 | 禁止AIプラクティス(第5条)・AIリテラシー義務(第4条) | 適用済(既に制裁対象) |
| 2025年8月2日 | 汎用目的AIモデル(GPAI)の義務(第5章)、ガバナンス関連規定 | 適用済(義務発生。執行権限は2026年8月から) |
| 2026年8月2日 | 透明性義務(第50条)の適用、GPAIに対する欧州委員会の執行権限の発動、罰則・ガバナンス規定の本格適用 | 適用予定(あと約2か月) |
| 2027年12月2日(予定) | 附属書IIIの高リスクAIシステム(単体利用:採用・与信・生体認証等)の主要義務 | 後ろ倒しの方向(暫定合意)。詳細は下記注記 |
| 2028年8月2日(予定) | 附属書Iに基づく規制対象製品に組み込まれた高リスクAIシステムの義務 | 後ろ倒しの方向(暫定合意) |
【重要・2026年6月時点の最新情報】高リスクAI義務の適用時期が変わりつつあります
AI Actの原文では、附属書IIIの高リスクAIシステムの主要義務は2026年8月2日、規制対象製品に組み込まれた高リスクAI(附属書I)は2027年8月2日に適用される予定でした。
しかし2025年11月19日、欧州委員会はAI Actを簡素化する「デジタル・オムニバス(Digital Omnibus on AI)」を提案。2026年5月6日にEU理事会・欧州議会が暫定的な政治合意に達し、同月13日に加盟国代表が確認しました。この合意により、高リスクAIの適用が以下のように後ろ倒しされる見込みです。
- 単体の高リスクAIシステム(附属書III):2027年12月2日
- 規制対象製品に組み込まれた高リスクAIシステム(附属書I):2028年8月2日
ただし、これらの変更は本記事執筆時点(2026年6月2日)ではまだ正式採択・EU官報掲載に至っておらず、法的に確定していません。正式採択は2026年8月2日より前に行われる見込みとされています。一方で、第50条の透明性義務(チャットボットやディープフェイクの開示など)は当初どおり2026年8月2日に適用される点に変更はありません。
なお、第50条のうち**AI生成コンテンツのマーキング(機械可読なラベリング)**については、実装のための猶予が別途設けられる見込みです。今回の暫定合意では、提供者がマーキング等の技術的対応を実装するための猶予期間が6か月から3か月へ短縮され、2026年12月2日が期限として設定される方向とされています(2026年8月2日より前から市場にあるシステムが対象。同日以降に投入されるシステムは当初から準拠が必要)。つまり「2026年8月2日=透明性義務の適用開始」「2026年12月2日=AI生成コンテンツのマーキング実装の猶予期限(見込み)」という時間軸の違いに注意してください。これらの実装猶予・期限はいずれも正式採択前であり、最新の確定状況は必ずEU公式(後述の参考資料)でご確認ください。
結論として、2026年6月時点で「適用済み」なのは禁止AIプラクティス・AIリテラシー・GPAI義務です。 高リスクAIの主要義務は後ろ倒しの方向ですが正式確定前であり、また透明性義務は2026年8月に予定どおり適用されます。後ろ倒しはあくまで猶予期間の延長であって免除ではないため、対応の準備自体は今から進めておくのが賢明です。
1-4. 2026年6月時点の運用状況(ガイドライン・行動規範)
法律本体の段階的適用と並行して、実務で使える指針の整備も進んでいます。
- GPAI行動規範(GPAI Code of Practice):2025年7月10日に最終版が公表されました。独立専門家が多様な関係者の参加のもとで作成した任意(voluntary)のツールで、「透明性」「著作権」「安全性・セキュリティ」の3章で構成されます。透明性・著作権の2章は全てのGPAIモデル提供者が対象、安全性・セキュリティの章は**システミックリスクを伴う最先端モデル(第55条該当・世界で十数社程度)**のみが対象です。これに署名することで、AI Actの該当義務への準拠を示しやすくなります。
- GPAIモデル提供者向けガイドライン:欧州委員会がGPAIの範囲・義務の解釈を示すガイドラインを公表しています。
- 高リスクAI分類のガイドライン:欧州委員会は2026年5月に、高リスクAIシステムの分類に関するドラフトガイドラインへの意見募集を実施しました。高リスク該当性の判断基準が今後さらに具体化される見込みです。
中堅企業にとっては、まずGPAIを「利用する側」として、提供元(OpenAI、Google、Anthropic等の海外ベンダーや国内提供事業者)が行動規範に署名し、透明性ドキュメントを提供しているかを調達・契約時に確認することが、現実的な第一歩になります。
<a id="section-2"></a>
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
2. リスク分類4段階の詳細と具体例
AI Actの最大の特徴である「リスクベースアプローチ」では、AIシステムを4つのリスクレベルに分類しています。
2-1. 禁止リスク(Unacceptable Risk):使用自体が禁止
最もリスクが高く、EU域内での使用が全面的に禁止されるAIシステムです。2025年2月2日に既に施行済みです。
禁止されるAIプラクティスの具体例:
- サブリミナル操作技術:人の意識を超えた手法で行動を操作し、重大な害を与えるAI
- 脆弱性の悪用:年齢・障害・社会的状況による脆弱性を悪用して行動を操作するAI
- ソーシャルスコアリング:社会的行動や個人特性に基づく包括的スコアリングで不利益を与えるAI
- 犯罪予測(個人プロファイリング型):プロファイリングのみに基づいて個人の犯罪リスクを予測するAI
- 顔認識データベースの無差別構築:インターネットやCCTV映像からの無差別な顔画像スクレイピングによるデータベース構築
- 感情推論(職場・教育機関):職場や教育機関における感情認識AI(医療・安全目的を除く)
- リアルタイム遠隔生体認識(公共空間・法執行):公共空間における法執行目的のリアルタイム遠隔生体認識(例外あり)
日本企業への影響ポイント: EU市場向けのSaaSを提供している場合、感情認識機能を含む従業員管理ツールや、顔認識を活用したマーケティングツールは禁止対象になる可能性があります。
2-2. 高リスク(High Risk):厳格な要件を満たす必要あり
高リスクAIシステムは使用自体は許可されますが、適合性評価や継続的モニタリングなど厳格な要件が課されます。
高リスクに分類されるAIシステムの具体例:
附属書III:高リスクAI使用分野
- 生体認識・分類:リアルタイムでない遠隔生体認識システム
- 重要インフラの管理・運用:道路交通の安全管理、水・ガス・電力の供給管理
- 教育・職業訓練:入学選考、試験評価、学習レベルの適切な評価
- 雇用・労務管理:採用選考(履歴書スクリーニング)、昇進・解雇の意思決定
- 重要な民間サービスへのアクセス:信用スコアリング、保険料算定、緊急通報の優先順位付け
- 法執行:証拠の信頼性評価、犯罪分析
- 出入国管理:ビザ申請のリスク評価、入国審査
- 司法・民主的プロセス:法的事実の調査・解釈の支援
附属書I:EU統一法令の下で既に適合性評価が求められる製品のAIコンポーネント
- 機械指令に基づく機械のAIコンポーネント
- 医療機器のAIコンポーネント
- 自動車の安全コンポーネントのAI
- 航空機器のAIコンポーネント
日本企業への影響ポイント: 日本企業が最も注意すべきは「雇用・労務管理」分野です。AI面接ツール、AIによる人事評価システム、AI採用スクリーニングなどを提供・利用している企業は、高リスクAI要件への対応が必須になります。
2-3. 限定リスク(Limited Risk):透明性義務
一定の透明性要件が課されるAIシステムです。
該当するAIシステムの具体例:
- チャットボット:AIと対話していることを利用者に通知する義務
- ディープフェイク生成AI:コンテンツがAIにより生成・操作されたことを明示する義務
- 感情認識システム(禁止対象外のもの):感情認識が行われていることを通知する義務
- 汎用目的AIモデル(GPAIモデル):AI生成コンテンツであることを機械可読な方法でマーキングする義務
日本企業への影響ポイント: カスタマーサポートにAIチャットボットを導入している企業は、EU域内の利用者に対してAIであることの開示が必要です。また、マーケティング用のAI生成コンテンツにもラベリング義務がかかります。
2-4. 最小リスク(Minimal Risk):規制なし
上記のいずれにも該当しないAIシステムは、AI Actによる特別な規制を受けません。ただし、自主的な行動規範への参加が推奨されています。
該当するAIシステムの例:
- AIを活用したスパムフィルター
- ゲーム内のAI
- 在庫管理の最適化AI
- 製造ラインの品質検査AI(安全コンポーネントに該当しないもの)
<a id="section-3"></a>
3. 日本企業が影響を受ける3つのケース
「EU AI ActはEUの法律なので、日本企業には関係ない」という認識は大きな間違いです。AI Actには域外適用規定があり、以下のケースに該当する日本企業は規制対象となります。
ケース1:EU域内にAIシステムの出力を提供している場合
AI Actの適用範囲(第2条) によると、AIシステムの提供者(プロバイダー)がEU域外に拠点を置いていても、AIシステムの出力がEU域内で使用される場合は規制対象になります。
具体例:
- 日本企業が開発したAI面接ツールをEU在住の求職者に提供している
- 日本のSaaS企業がEU企業に信用スコアリングサービスを提供している
- 日本の製造業がEU向け輸出製品にAI安全コンポーネントを組み込んでいる
ケース2:EU域内に子会社・支店がある場合
EU域内に拠点を持つ日本企業のグループ会社がAIシステムを運用している場合、その拠点はAI Act上の「配置者(deployer)」として規制対象になります。
具体例:
- EU現地法人が採用にAIスクリーニングツールを使用している
- EU支店がAIを活用した顧客対応システムを運用している
- EU拠点で従業員管理にAI搭載ツールを使用している
ケース3:EU市民のデータを処理している場合
GDPRと同様に、EU市民の個人データを処理するAIシステムは、データ処理の場所に関わらず規制の影響を受ける可能性があります。
具体例:
- 日本のECサイトがEU在住のユーザーにAIレコメンデーションを提供している
- 日本企業がEU市民を含むグローバルな人材採用でAIツールを使用している
- 日本のフィンテック企業がEU市民向けの金融サービスでAI与信判断を行っている
域外適用の「ブリュッセル効果」
GDPRがそうであったように、AI Actも**「ブリュッセル効果」**を通じてグローバルな事実上の参照基準になっていく可能性が高いとみられます。現時点でEU市場との接点がない企業でも、以下の理由から影響を受ける可能性があり、早めに状況を把握しておくのが安全です。
- 取引先からの要求:EU企業との取引において、サプライチェーン全体でのAI Act準拠を求められる可能性が高い
- 日本の規制強化:日本政府もAI規制の法制化を検討しており、AI Actを参考にした国内法が制定される可能性がある
- グローバル競争力:AI Act準拠の体制を早期に構築することで、EU市場への参入障壁を低くできる
<a id="section-4"></a>
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
4. 高リスクAIシステムの要件
高リスクAIシステムのプロバイダー(提供者)には、AI Actにより以下の包括的な要件が課されます。前述のとおり、単体の高リスクAI(附属書III)の主要義務の適用は2027年12月2日へ後ろ倒しされる方向(暫定合意・正式確定前)ですが、要件の内容自体は変わりません。準備には相応の期間を要するため、各要件の具体的な内容を今から把握しておく必要があります。
4-1. リスク管理システム(第9条)
高リスクAIシステムのライフサイクル全体をカバーする継続的なリスク管理プロセスの構築が求められます。
必要な対応:
- 既知および合理的に予見可能なリスクの特定・分析
- リスクが現実化した場合の影響の推定・評価
- リスク軽減策の設計・実施
- 残留リスクの許容可能性の評価
- リスク管理システムの定期的なレビューと更新
4-2. データガバナンス(第10条)
高リスクAIシステムの訓練、検証、テストに使用されるデータセットには、厳格な品質基準が求められます。
必要な対応:
- データセットの設計選択の文書化
- データ収集プロセスとデータソースの記録
- 統計的バイアスの検出・是正措置
- データの関連性・代表性・正確性・完全性の確保
- 個人データの処理に関するGDPR準拠の確認
4-3. 技術文書(第11条)
AIシステムの適合性を証明するための包括的な技術文書の作成・維持が求められます。
技術文書に含むべき主要項目:
- AIシステムの一般的な説明(意図された目的、開発者情報)
- AIシステムの要素と開発プロセスの詳細な説明
- モニタリング、機能、制御に関する詳細情報
- リスク管理システムの説明
- AIシステムのライフサイクルを通じた変更の記録
- 第15条に基づく精度・堅牢性・サイバーセキュリティの措置
- 適用された整合規格またはその他の技術仕様のリスト
4-4. 記録保持と自動ログ(第12条)
高リスクAIシステムには、その動作を追跡可能にするための自動ログ記録機能が必要です。
必要な対応:
- システムの動作期間全体にわたるログの自動記録
- 各使用期間の開始日時と終了日時の記録
- 入力データの参照データベースとの照合結果の記録
- 結果の検証に関与した自然人の識別情報
- ログの少なくとも6か月間の保管(別途法令で定める場合はそれに従う)
4-5. 透明性と利用者への情報提供(第13条)
配置者(利用者企業)が適切にAIシステムを運用できるよう、十分な情報提供が必要です。
必要な対応:
- 使用説明書の提供(プロバイダーの身元、AIシステムの特性・能力・限界を含む)
- 精度レベル(適切な精度指標を含む)の明示
- 想定される誤用・悪用のリスクとその対策の説明
- 人間による監視を容易にするための情報提供
4-6. 人間による監視(第14条)
高リスクAIシステムは、自然人(人間)が効果的に監視できる設計でなければなりません。
必要な対応:
- AIシステムの出力を人間が理解・解釈できるインターフェースの提供
- 監視者がAIシステムの使用を中断・停止できる機能(「停止ボタン」)
- 自動化バイアスのリスクに対する適切な対策
- 監視者に対する適切な訓練・教育の実施
4-7. 精度・堅牢性・サイバーセキュリティ(第15条)
高リスクAIシステムは、適切なレベルの精度・堅牢性・サイバーセキュリティを確保し、ライフサイクルを通じて一貫したパフォーマンスを維持する必要があります。
必要な対応:
- 精度レベルの宣言と検証手順の確立
- 入力データのエラーや障害に対するレジリエンス確保
- 敵対的攻撃(adversarial attack)への対策
- サイバーセキュリティ対策の実装と検証
4-8. 適合性評価(第43条)
高リスクAIシステムは、市場投入前に適合性評価を受ける必要があります。
評価方法:
- 内部統制に基づく適合性評価:多くの高リスクAIシステムはプロバイダー自身による内部評価が認められる
- 第三者適合性評価:生体認識システムなど特定のカテゴリでは、公認適合性評価機関(Notified Body)による評価が必要
- CEマーキングの取得と市場投入
<a id="section-5"></a>
5. 罰則規定:最大3,500万ユーロの制裁金
AI Actの罰則は、GDPRを上回る厳格なものとなっています。違反の種類に応じて、以下の制裁金が科される可能性があります。
制裁金の3段階
| 違反の種類 | 制裁金上限 | 中小企業の上限 |
|---|---|---|
| 禁止AIプラクティスの違反 | 3,500万ユーロまたは前年度全世界売上高の**7%**のいずれか高い方 | 上記金額の割合的引き下げ |
| 高リスクAI要件等の違反 | 1,500万ユーロまたは前年度全世界売上高の**3%**のいずれか高い方 | 上記金額の割合的引き下げ |
| 不正確な情報の提供 | 750万ユーロまたは前年度全世界売上高の**1%**のいずれか高い方 | 上記金額の割合的引き下げ |
日本円での影響規模
概算すると(1ユーロ=160円換算の目安):
- 禁止AIプラクティス違反:最大約56億円(1ユーロ=160円換算)
- 高リスクAI要件違反:最大約24億円
- 情報提供義務違反:最大約12億円
売上高ベースの計算の場合、日本企業の全世界売上高が基準となるため、EU市場での売上が小さくても巨額の制裁金を科される可能性があります。
GDPRとの比較
| 項目 | GDPR | AI Act |
|---|---|---|
| 最大制裁金(金額) | 2,000万ユーロ | 3,500万ユーロ |
| 最大制裁金(売上高比率) | 4% | 7% |
| 基準売上高 | 全世界売上高 | 全世界売上高 |
AI ActはGDPRよりも厳しい制裁金が設定されており、EU当局のAI規制に対する本気度が伺えます。
<a id="section-6"></a>
6. 日本のAIガイドラインとの違い
6-1. 日本のAI規制の現状
日本は2025年に初のAI法(AI推進法)を成立させましたが、これはAIの研究開発・活用を「推進」する基本法的な性格の法律であり、EU AI Actのような個別のAIシステムに対する直接の規制・罰則は設けていません。引き続き、実務上のルールは主にソフトロー(ガイドライン・指針) によって形成されています。
日本初のAI法(AI推進法)の概要:
- 正式名称:人工知能関連技術の研究開発及び活用の推進に関する法律
- 2025年5月28日成立、6月4日公布、9月1日に全面施行(AI戦略本部の設置等を含む)
- 内閣に「AI戦略本部」(本部長=内閣総理大臣)を設置し、「AI基本計画」を策定
- 国・関係者の責務やイノベーション促進とリスク対応の両立を定める基本法。企業向けの直接的な罰則規定はなし
主要な日本のAI関連ガイドライン:
| 名称 | 策定主体 | 特徴 |
|---|---|---|
| AI事業者ガイドライン(2024年4月。以後改定) | 総務省・経済産業省 | AI開発者・提供者・利用者の3層構造。基本原則を提示 |
| 広島AIプロセス国際指針(2023年12月) | G7 | 高度AI開発者向けの国際的な指導原則。法的拘束力なし |
| 広島AIプロセス包括的政策枠組み(2024年) | G7 | 国際指針を踏まえた包括的な政策フレームワーク |
| AI利活用ガイドライン(2019年) | 総務省 | AI利用者向けの基本的な指針 |
6-2. EU AI Actとの主要な違い
| 比較項目 | EU AI Act | 日本のアプローチ |
|---|---|---|
| 法的性質 | 規制法(ハードロー) | 推進法(基本法)+ガイドライン(ソフトロー) |
| 法的拘束力 | あり(違反時は制裁金) | 企業への直接規制・拘束力は弱い(基本法+自主的遵守) |
| リスク分類 | 4段階の明確な分類 | 原則ベース(明確な分類なし) |
| 適合性評価 | 必須(高リスクAI) | 推奨レベル |
| 罰則 | 最大3,500万ユーロ/売上高7% | 企業向け罰則規定なし |
| 域外適用 | あり | なし |
| 禁止されるAI | 明確なリスト | 明確な禁止リストなし |
| CEマーキング | 必須(高リスクAI) | 該当制度なし |
6-3. 日本の今後の動向
2025年に成立したAI推進法は基本法であり、今後はAI基本計画の策定や個別分野のガイドライン整備を通じて、具体的なルールが肉付けされていく段階にあります。方向性としては以下が想定されます。
- AI基本計画の運用開始:AI戦略本部のもとで国の基本計画が策定・運用され、分野別の指針に展開される
- ソフトロー中心の規律:当面は事業者ガイドライン等のソフトローを軸にしつつ、必要に応じて情報提供要請・指導等で対応
- 国際的な整合性の確保:広島AIプロセスの枠組みやEU AI Actとの整合性を意識した制度設計
- 将来的な規律強化の可能性:リスクの高い分野で、EU AI Actを参考にした規律強化が議論される可能性は残る
つまり、AI Actへの対応で培ったAIガバナンス体制は、国内のAI推進法対応や将来の規律強化にもそのまま活きる先行投資になります。
<a id="section-7"></a>
7. 実務対応チェックリスト10項目
高リスクAIの主要義務は2027年12月へ後ろ倒しされる方向ですが、2026年8月には透明性義務の適用とGPAI執行が始まります。猶予期間は「準備期間」と捉え、日本企業(特に専任のコンプライアンス部門を持たない中堅企業)が今すぐ着手すべき10項目を以下にまとめます。
中堅企業向けの現実的な優先順位 リソースが限られる中堅企業は、(1) 自社AIの棚卸しで禁止AI該当の有無を最優先確認(既に適用済みでリスク最大)、(2) チャットボット等の**透明性義務(2026年8月適用)**への対応、(3) 調達・契約面でのGPAIベンダーの行動規範署名・透明性ドキュメントの確認——の3点から着手すると、限られた工数で大きなリスクを潰せます。高リスクAIのフル対応(技術文書・適合性評価等)は、自社が高リスクに該当することが判明した場合に、後ろ倒し後の期限から逆算して計画的に進めれば十分です。
チェックリスト
Phase 1:現状把握(今すぐ着手)
-
1. AIシステムの棚卸し
- 自社で開発・利用・提供している全てのAIシステムをリストアップする
- 各AIシステムの利用目的、対象ユーザー、処理データの範囲を整理する
- EU域内との関連性(EU向けサービス提供、EU市民データ処理、EU拠点での利用)を確認する
-
2. リスク分類の判定
- 各AIシステムがAI Actの4段階リスク分類のどこに該当するか判定する
- 特に禁止AIプラクティスに該当するシステムがないか最優先で確認する(既に施行済みのため)
- 高リスクAIに該当するシステムを特定し、優先対応リストを作成する
-
3. ギャップ分析の実施
- 高リスクAIシステムについて、現状の管理体制とAI Act要件のギャップを特定する
- 技術文書、データガバナンス、リスク管理、人間による監視の各観点で不足事項を洗い出す
- 対応に必要なコスト・期間・人材を概算する
Phase 2:体制構築(1〜3か月以内)
-
4. AIガバナンス体制の構築
- AI Act対応の責任者(AI Officer等)を任命する
- 経営層、法務、IT、事業部門を横断するAIガバナンス委員会を設置する
- AIシステムの開発・調達・運用に関する社内ポリシーを策定する
-
5. リスク管理プロセスの整備
- 高リスクAIシステムのリスク管理システムを設計・構築する
- リスクの特定・評価・軽減・モニタリングの一連のプロセスを文書化する
- 定期的なリスクレビューのスケジュールを確立する
-
6. データガバナンスの強化
- 訓練データ・検証データの品質管理プロセスを確立する
- バイアス検出・是正のための手順を整備する
- GDPR準拠のデータ処理体制を確認・強化する
Phase 3:技術対応(3〜6か月以内)
-
7. 技術文書の作成
- 高リスクAIシステムの技術文書を作成する(第11条の要件に基づく)
- AIシステムの設計、開発プロセス、テスト結果を包括的に文書化する
- 技術文書の更新・維持管理プロセスを確立する
-
8. 透明性・説明可能性の確保
- AIシステムの利用者に対する情報提供の仕組みを構築する
- チャットボット等についてAIであることの開示機能を実装する
- AI生成コンテンツのラベリング機能を実装する
-
9. 人間による監視機能の実装
- 高リスクAIシステムに人間による監視・介入機能を組み込む
- AIの出力を人間が理解・解釈できるインターフェースを設計する
- 緊急時の停止ボタン(キルスイッチ)機能を実装する
Phase 4:検証と継続改善(6か月以降)
- 10. 適合性評価と継続的モニタリング
- 高リスクAIシステムの適合性評価を実施する(内部統制または第三者評価)
- 市場投入後のモニタリングシステムを構築する
- 重大インシデント発生時のEU当局への報告プロセスを整備する
- 定期的な内部監査とガバナンス体制の見直しを行う
<a id="section-8"></a>
8. まとめ:今すぐ始めるべきAI Act対応
EU AI規制法(AI Act)は、AIガバナンスの事実上の参照基準として、EUと接点を持つ日本企業に直接の影響を及ぼします。直接の接点がない企業にも、ブリュッセル効果や取引先からの要請を通じて間接的に波及する可能性があります。
押さえるべき3つのポイント
- 域外適用がある:EU域内にサービスを提供したり、EU市民のデータを処理したりする日本企業は規制対象です
- 制裁金が巨額:最大3,500万ユーロまたは全世界売上高の7%という制裁金は、中堅・中小企業にとっても事業存続に関わるリスクです
- スケジュールを正確に:禁止AI・GPAI義務は既に適用済み。2026年8月に透明性義務とGPAI執行が始まり、高リスクAIの主要義務は2027年12月へ後ろ倒しの方向(暫定合意・正式確定前)です。後ろ倒しは免除ではなく、準備期間と捉えるべきです
対応の優先順位
まず取り組むべきは、自社のAIシステムの棚卸しとリスク分類です。禁止AIプラクティスに該当するシステムがないか最優先で確認し、高リスクAIに該当するシステムを特定してから、ギャップ分析に進んでください。
AI Act対応は、単なるコンプライアンスコストではありません。適切なAIガバナンス体制を構築することで、AIの信頼性向上、ブランド価値の強化、グローバル市場での競争力確保につながります。そして何より、将来の日本国内でのAI規制法制化に向けた先行投資として、今から体制を整えておくことが経営上の合理的な判断です。
<!-- CTA -->AI規制対応のコンサルティングをお探しですか? GXOでは中堅企業のAIシステムのリスクアセスメントからガバナンス体制の構築、技術文書の作成支援まで、EU AI Act対応を包括的にサポートします。無料相談はこちら
参考資料
EU AI Actは段階的適用やオムニバス改正で状況が変化します。必ずEU公式の一次情報で最新の確定状況をご確認ください(いずれも2026年6月時点で参照)。
- AI Act|Shaping Europe's digital future(欧州委員会・公式概要/施行スケジュール)
- Regulation (EU) 2024/1689(AI Act 本文・EUR-Lex)
- Artificial intelligence: Council and Parliament agree to simplify and streamline rules(EU理事会プレスリリース・2026年5月7日/デジタル・オムニバス暫定合意)
- The General-Purpose AI Code of Practice(GPAI行動規範・2025年7月10日公表)
- Guidelines for providers of general-purpose AI models(欧州委員会・GPAIガイドライン)
- 人工知能関連技術の研究開発及び活用の推進に関する法律(AI推進法)|内閣府
