世界初の包括的なAI規制法「EU AI Act(欧州AI規制法)」の中核部分である「高リスクAIシステム」に対する義務が、2026年8月から全面適用される。
違反した場合の制裁金は最大3,500万ユーロ(約55億円)、または全世界売上高の7%。GDPRをも上回る厳しさだ。
世界初の包括的AI規制法とは何か
EU AI Actは、2024年7月にEU官報に掲載・発効した、AIを包括的に規制する世界初の法律である。
その設計思想は明快で、「AIのリスクの大きさに応じて、課される義務も重くなる」というリスクベースアプローチを採用している。
規制は大きく4段階に分類される。
1.許容されないリスク
潜在意識への働きかけや、市民への社会的スコアリングなど、人権を根本から脅かすAIはすべて禁止。これはすでに2025年2月から適用が始まっている。
2.高リスク
採用判断、医療診断、信用審査、顔認識など、人の人生に直接影響する分野のAIがここに分類される。2026年8月がこの段階の施行日。
3.限定的リスク
チャットボットなどが該当し、利用者への通知など一定の透明性義務が課される。
4.低リスク
AI搭載ゲームやスパムフィルターなどが該当し、原則として追加規制はない。
ChatGPTやClaudeのような汎用AI(GPAI)については、すでに2025年8月から透明性確保や著作権ポリシーの遵守が義務化されていて、規制の第一波はすでに始まっている。
「高リスクAI」とは何を指すのか
2026年8月から本格適用される「高リスクAIシステム」の範囲は、意外なほど広い。
具体的には、履歴書のスクリーニングや面接AIといった採用・人事系のAI、ローン審査や保険リスク評価などの金融系AI、医療診断支援、教育・試験での評価AI、そして官公庁向けの業務判断を補助するAIなどが該当する。
これらのシステムを提供・運用する企業には、ログの保存と管理、技術文書の整備、利用者への透明性の確保、そして「人による監視体制」の構築といった多層的な義務が課される。
また、個人のプロファイリングを伴うAIシステムについても、高リスクに該当するケースがあるため注意が必要。
「日本企業は関係ない」という誤解
ここで多くの日本企業が陥る誤解がある。
「うちはEU展開していないから対象外」という考え方だ。
しかし現実はそう単純ではない。
EU AI Actの適用範囲は、EU域外の企業にも及ぶ。
たとえば日本でAIを開発・提供している企業であっても、その提供先がEU域内で事業を行っていたり、提供先企業の欧州拠点がシステムを利用していたりする場合は、適用対象となる可能性がある。
つまり、直接EUと取引がなくても、サプライチェーンのどこかでEUと接点があれば無縁ではいられない。
この構図はGDPR(EU一般データ保護規則)のときと酷似している。
2018年当初は「EU向けビジネスをしていない」と軽視した企業も多かったが、GDPRは急速にグローバルなデータプライバシーのデファクトスタンダードとなり、世界中の企業が対応を迫られた。
EU AI Actもまた、企業のAIガバナンスにおける事実上の国際標準となる可能性がある。
実際、韓国では2026年1月にAI基本法が施行され、日本でも2025年にAI新法が成立し、世界規模での規制の連鎖はすでに始まっている。
残り2ヶ月、いま何をすべきか
施行まであと2ヶ月を切った今、「何から手をつければいいか」という問いへの答えは比較的シンプル。
まず、社内で利用・開発しているすべてのAIシステムをリストアップする「AIインベントリの作成」から始めること。
ChatGPT Enterpriseや、Copilotなどの市販ツールも含めて一覧化し、EU AI Actの4段階分類に照らし合わせ、自社のシステムがどのカテゴリに該当するかを確認する。
次に、自社が「提供者」なのか「展開者(デプロイヤー)」なのかを明確にすること。
それぞれに課される義務が異なるため、立場の整理が対応の出発点になる。
そして、高リスクに分類されたシステムについては、リスク管理体制の整備、技術文書の作成、透明性の確保といった実装作業を速やかに進める必要がある。
規制は「コスト」ではなく「信頼の先行投資」
EU AI Actへの対応を単なるコストと見るか、それとも競争優位の源泉と見るか、この視点の差が、数年後に大きな差を生む。
GDPR対応を早期に完了させた企業が、その後「データガバナンスの信頼性」を武器に顧客を獲得したように、AI規制への先行対応は「説明できる企業」としての信頼につながる。
「AIを使える企業」から「AIを使える上で説明できる企業」へ。
2026年8月2日は、その分岐点になるだろう。
