EU AI Act、2026年8月に完全施行——企業が今準備すべきこと
2026年8月2日——この日、世界で最も包括的なAI規制法である「EU AI Act(欧州AI規則)」が完全施行を迎える。一部の高リスクAI製品(Annex I Section Aに該当するもの)に対しては2027年8月まで猶予が設けられているが、それ以外のすべてのAIシステムに対する義務が2026年8月2日をもって適用される。
罰則は最大で**3,500万ユーロ(約56億円)または全世界売上高の7%**のいずれか高い方。GDPRの罰則(最大€20Mまたは売上の4%)をも上回るこの制裁金は、EU域内でビジネスを行うすべてのテクノロジー企業に対し、準備不足の代償が極めて高いことを突きつけている。
完全施行まで残り約4ヶ月。企業が今何を理解し、何を準備すべきかを徹底解説する。
EU AI Actとは何か
世界初の包括的AI規制法
EU AI Act(正式名称: Regulation (EU) 2024/1689)は、2024年8月1日に発効した世界初の包括的なAI規制法だ。欧州委員会が2021年4月に原案を提出してから約3年の議論を経て成立した。
この法律の核心は「リスクベースアプローチ」にある。すべてのAIシステムを一律に規制するのではなく、そのリスクレベルに応じて4段階に分類し、リスクの高いものほど厳しい規制を課すという設計だ。
以下の図は、EU AI Actの4段階リスク分類を示しています。
この図が示す通り、ピラミッドの上に行くほどリスクが高く規制が厳しい。最下層の「最小リスク」に分類されるAIシステム(スパムフィルタ、ゲームAI等)は規制対象外であり、大多数のAIアプリケーションはここに該当する。
段階的な施行スケジュール
EU AI Actは一度にすべてが施行されるのではなく、以下の段階を踏んで適用範囲が拡大してきた。
| フェーズ | 施行日 | 内容 |
|---|---|---|
| 第1段階 | 2025年2月2日 | 禁止されるAIシステム(第5条)の適用開始 |
| 第2段階 | 2025年8月2日 | 汎用目的AIモデル(GPAI)に関する規則の適用開始 |
| 第3段階 | 2026年8月2日 | 大部分の規則の完全施行(今回の焦点) |
| 第4段階 | 2027年8月2日 | 高リスクAI(Annex I Section A)への完全適用 |
2026年8月2日の第3段階で施行される主な内容は以下の通りだ。
- 高リスクAIシステム(Annex III)の適合評価義務
- 限定リスクAIシステムの透明性義務
- AI識字率(AI Literacy)義務
- データガバナンス要件
- 市場監視・執行メカニズムの完全稼働
4段階のリスク分類——詳細解説
第1層: 禁止されるAIシステム
最も厳しいカテゴリであり、EU域内での開発・販売・使用が一切禁止される。2025年2月2日にすでに施行済み。
禁止対象の具体例:
- ソーシャルスコアリング: 社会的行動に基づいて個人を点数化し、不利益な扱いをするAIシステム。中国の「社会信用スコア」のようなシステムが典型例
- 無意識の操作: 人の意識下で行動を操作するサブリミナル手法を用いたAI
- 脆弱性の悪用: 年齢、障害、社会的・経済的状況に基づく脆弱性を悪用して行動を歪めるAI
- リアルタイム遠隔生体認証: 法執行機関によるリアルタイムの顔認識。ただし、テロ攻撃の差し迫った脅威、行方不明者の捜索、特定の重大犯罪の容疑者追跡に限り例外あり
- 感情推論: 職場や教育現場での感情を推測するAI(医療・安全目的を除く)
- 予測型ポリシング: プロファイリングのみに基づく犯罪予測
第2層: 高リスクAIシステム
2026年8月2日の完全施行で最も影響が大きいカテゴリだ。以下の分野で使用されるAIシステムが該当する。
| 分野 | 具体例 | 主な義務 |
|---|---|---|
| 採用・人事 | 履歴書スクリーニング、面接AI | 適合評価、バイアステスト |
| 信用評価 | ローン審査AI、保険引受AI | リスクマネジメント、説明義務 |
| 教育 | 学生の成績評価AI、入試選考AI | 透明性、人的監視 |
| 重要インフラ | 交通管制AI、エネルギー管理AI | 安全性テスト、ログ記録 |
| 法執行 | 証拠評価AI、再犯リスク評価 | 基本的権利影響評価 |
| 移民管理 | ビザ審査AI、国境管理AI | 人的監視、説明義務 |
| 司法 | 法的文書分析AI、量刑支援AI | 透明性、人的最終判断 |
| 医療機器 | AI診断装置、AI医療ロボット | CE適合評価(既存医療機器規制と連動) |
高リスクAIの提供者(プロバイダー)に求められる主な義務は以下の通り。
- リスクマネジメントシステム: AIシステムのリスクを継続的に特定・評価・軽減する体制の構築
- データガバナンス: 学習データの品質管理、バイアスの検出・是正
- 技術文書: AIシステムの設計・開発・テスト過程の詳細な文書化
- 自動ログ記録: AIシステムの判断過程を追跡可能な形で自動記録
- 透明性情報の提供: 利用者に対するAIシステムの機能・限界の明確な説明
- 人的監視: 人間がAIの判断を監視・介入できる仕組みの確保
- 精度・堅牢性・サイバーセキュリティ: 適切な性能水準の維持
- 適合評価: 第三者機関またはセルフアセスメントによる適合性評価
第3層: 限定リスクAIシステム
チャットボット、ディープフェイク生成AI、感情認識AIなどが該当する。これらのシステムには主に「透明性義務」が課される。
- AI使用の開示: ユーザーがAIと対話していることを明確に通知する義務
- ディープフェイクのラベリング: AI生成コンテンツにはその旨を表示する義務
- 感情認識の通知: 感情を分析するAIを使用する場合はその旨を通知する義務
第4層: 最小リスクAIシステム
スパムフィルタ、推薦アルゴリズム、ゲームAI、工場の品質検査AIなど。規制は課されず、自由に開発・使用できる。EU AI Actの対象外であり、大半のAIアプリケーションはこのカテゴリに該当するとされている。
汎用目的AIモデル(GPAI)の規制
GPT-4、Claude、Geminiのような大規模言語モデルは「汎用目的AIモデル(General-Purpose AI Model: GPAI)」として独立した規制カテゴリが設けられている。2025年8月2日に施行済みだ。
GPAIの2つの階層
| 階層 | 基準 | 義務 | 該当するモデル(推定) |
|---|---|---|---|
| 標準GPAI | すべてのGPAI | 技術文書、著作権ポリシー開示 | Llama、Mistral等 |
| システミックリスクGPAI | 学習に10^25 FLOP以上使用 | 上記+レッドチーム、モデル評価、インシデント報告 | GPT-4以降、Claude 3以降、Gemini Ultra |
「システミックリスク」の閾値は10^25 FLOP(浮動小数点演算回数)で設定されている。GPT-4の学習に使用された計算量は推定10^25 FLOP前後とされており、最先端のモデルはほぼすべてこの閾値を超えることになる。
Anthropic、OpenAI、Google DeepMind、Meta、Mistral AIなどの主要AIラボは、2025年8月の施行に向けてEU AI Officeに対する技術文書の提出とコンプライアンス体制の構築を進めてきた。ただし、実際の適合状況については2026年中にEU AI Officeが初の評価レポートを公表する見込みだ。
罰則——GDPR超えの制裁金
EU AI Actの罰則体系はGDPRよりも厳格だ。
| 違反の種類 | 最大制裁金 | GDPR比較 |
|---|---|---|
| 禁止AIの使用・提供 | €35Mまたは売上の7% | GDPRの1.75倍 |
| 高リスクAIの義務違反 | €15Mまたは売上の3% | GDPRの0.75倍 |
| 不正確な情報提供 | €7.5Mまたは売上の1.5% | - |
| SME・スタートアップ | 上記の低い方を適用 | 同様 |
「売上の7%」という罰則は、大手テック企業にとっては天文学的な金額になり得る。たとえばAlphabetの2025年連結売上高は約3,500億ドルであり、その7%は**245億ドル(約3.7兆円)**に達する。もちろんこれは理論上の最大値であり、実際にこの水準の罰金が科される可能性は低いが、コンプライアンスを軽視するインセンティブは存在しない。
GDPR・Digital Services Actとの関係
EU AI Actは既存のEU規制と相互補完的に機能する設計になっている。
3つの規制の役割分担
| 規制 | 対象 | 焦点 | 施行年 |
|---|---|---|---|
| GDPR | 個人データの処理 | プライバシー・データ保護 | 2018年 |
| Digital Services Act (DSA) | オンラインプラットフォーム | 違法コンテンツ・アルゴリズムの透明性 | 2024年 |
| EU AI Act | AIシステム全般 | AIの安全性・基本的権利 | 2024-2027年 |
重要なのは、これらの規制は重複適用されるという点だ。たとえばAIを用いた採用スクリーニングツールは、EU AI Actの高リスクAI規制に加えて、GDPRの自動化された意思決定に関する規定(第22条)にも準拠する必要がある。さらに、そのツールがオンラインプラットフォーム上で提供される場合はDSAの透明性要件も適用される。
企業は「1つの製品に複数の規制が同時に適用される」ことを前提にコンプライアンス体制を構築する必要がある。
各国AI規制の比較
以下の図は、主要国・地域のAI規制の施行タイムラインを比較したものです。
この図が示す通り、AI規制へのアプローチは各国で大きく異なる。
主要国・地域のAI規制比較
| 項目 | EU | 米国 | 中国 | 日本 |
|---|---|---|---|---|
| 規制形態 | 包括法(AI Act) | 州法中心、連邦法なし | 個別規制の積み重ね | ガイドライン(ソフトロー) |
| リスク分類 | 4段階 | なし(州により異なる) | 用途別に個別規定 | なし |
| 罰則 | 最大€35M / 売上7% | 州法による($10K〜$100K程度) | 行政処罰(罰金・営業停止) | なし(行政指導) |
| 対象範囲 | EU域内で利用されるすべてのAI | 州ごとに異なる | 中国国内のAIサービス | 日本国内のAI事業者(努力義務) |
| GPAI規制 | あり(システミックリスク) | なし | 生成AI管理規則 | なし |
| 域外適用 | あり(GDPR同様) | 限定的 | 限定的 | なし |
| 施行状況 | 段階施行中 | 州法が乱立中 | 順次施行中 | 2025年策定 |
米国: パッチワーク型の規制
米国には連邦レベルの包括的AI規制法が存在しない。バイデン大統領の「AIに関する大統領令(Executive Order 14110, 2023年10月)」はトランプ政権下で撤回され、連邦レベルでの規制枠組みは白紙に戻った。
一方で州レベルでは規制の動きが加速している。コロラド州は2024年にAI消費者保護法を成立させ、2026年2月に施行開始。イリノイ州はAI採用における差別を禁止する法律を制定。テキサス州やカリフォルニア州でもAI規制法案が審議中だ。
この「パッチワーク」型の規制は、複数の州で事業を展開する企業にとって大きな負担となっている。EU AI Actの統一的なアプローチとは対照的であり、米国企業の中にはEU AI Actを「事実上のグローバル標準」として自主的に採用する動きも出ている。
中国: セクター特化型の規制
中国はEUのような包括法ではなく、用途ごとに個別の規制を積み重ねるアプローチを取っている。
- 生成AI管理暫定弁法(2023年8月施行): 生成AIサービスの提供者に安全評価と届出を義務付け
- 深度合成(ディープフェイク)規制(2023年1月施行): AI生成コンテンツのラベリングを義務付け
- アルゴリズム推薦管理規定(2022年3月施行): 推薦アルゴリズムの登録と透明性を義務付け
- AI安全管理条例(2026年施行予定): AI全般の安全管理を包括的に規定
中国の規制の特徴は、政府による事前審査(アルゴリズム登録制度)が存在する点だ。AIサービスを公開する前に当局への届出が必要であり、EU AI Actよりもある意味では踏み込んだ規制と言える。
企業が今すべき5つの準備
2026年8月2日の完全施行まで残り約4ヶ月。企業が今から着手すべき具体的なステップを整理する。
1. AIシステムの棚卸し(AI Inventory)
自社が開発・使用しているすべてのAIシステムを洗い出し、EU AI Actのリスク分類に照らしてカテゴリ分けする。多くの企業は自社のAI利用状況を正確に把握できていないのが現状だ。
実施すべき項目:
- 社内で利用しているAIツール・サービスの一覧を作成
- 各AIシステムの用途、データ入力、出力、意思決定への影響度を文書化
- EU AI Actの4段階リスク分類に基づくカテゴリ分け
- 特に高リスクに該当する可能性のあるシステムの特定
2. ギャップ分析と対応計画の策定
AIシステムの棚卸しが完了したら、現状のコンプライアンス体制とEU AI Actの要件との間のギャップを分析する。
高リスクAIシステムについてのチェックリスト:
- リスクマネジメントシステムは構築されているか
- 学習データの品質管理・バイアス対策は十分か
- 技術文書は整備されているか
- 自動ログ記録の仕組みはあるか
- 人的監視(Human Oversight)の体制はあるか
- 適合評価の準備はできているか
3. AI Literacy(AI識字率)プログラムの実施
EU AI Actの第4条は、AIシステムを開発・運用するすべての組織に対して、従業員の「AI識字率」を確保することを義務付けている。これは2026年8月2日から適用される。
具体的には、AIシステムに関わる従業員がAIの基本的な仕組み、リスク、限界を理解していることを確保するための研修・教育プログラムを実施する必要がある。
4. サプライチェーンの確認
自社で開発したAIだけでなく、サードパーティから調達したAIシステムについてもEU AI Actのコンプライアンスを確認する必要がある。
AIプロバイダーに対して以下を確認すべきだ。
- EU AI Actへの準拠状況
- CE適合評価の取得予定
- 技術文書の提供可否
- インシデント報告体制
5. データガバナンス体制の強化
EU AI Actは、高リスクAIシステムの学習データに対して厳格な品質要件を求めている。GDPRのデータ保護要件と合わせて、以下の体制を整備する必要がある。
- 学習データの出所・ライセンスの文書化
- バイアスの検出・軽減メカニズムの導入
- データ品質モニタリングの継続的な実施
- GDPRとの整合性確認(合法的根拠、データ主体の権利)
日本のAI規制——ソフトローの現状と今後
AI事業者ガイドラインの概要
日本は現時点でEU AI Actのような法的拘束力を持つAI規制を制定していない。代わりに、2025年4月に総務省・経済産業省が「AI事業者ガイドライン(第1.0版)」を策定した。
このガイドラインの主な内容は以下の通り。
| 項目 | 内容 |
|---|---|
| 対象 | AI開発者、AI提供者、AI利用者 |
| 法的拘束力 | なし(ソフトロー) |
| リスク分類 | なし(事業者の自主的なリスク評価を推奨) |
| 罰則 | なし |
| 国際整合 | OECD AI原則、広島AIプロセスと整合 |
| 改定予定 | 2026年中にv2.0策定予定 |
なぜ日本はハードローに踏み切らないのか
日本がソフトローにとどまっている背景には、いくつかの戦略的判断がある。
第一に、AI産業の育成を優先している。日本はAI分野で米中に大きく遅れをとっており、厳格な規制がイノベーションの足かせになることを懸念している。特にスタートアップにとって、EU AI Actレベルのコンプライアンスコストは参入障壁になり得る。
第二に、GDPR・EU AI Actの「ブリュッセル効果」を見極めている。EUが世界に先駆けて規制を導入した結果、EU域外の企業もEU基準に準拠せざるを得なくなる「ブリュッセル効果」が発生する。日本は自ら規制を作らなくても、EU AI Actに準拠するグローバル企業の行動が事実上の規制となることを見込んでいる面がある。
第三に、業界団体主導のガバナンスを重視している。日本では経団連やAI戦略会議が自主規制の枠組み策定を主導しており、政府は「ガイドライン+業界自主規制」の組み合わせで柔軟な対応を図っている。
日本企業への影響
しかし、ソフトローであることは「何もしなくてよい」ことを意味しない。以下の理由から、日本企業もEU AI Actへの準備が不可欠だ。
EU域内でサービスを提供する企業: EU AI Actには域外適用規定がある。日本企業であっても、EU域内のユーザーにAIサービスを提供する場合は規制対象となる。これはGDPRの域外適用と同じ構造だ。
グローバルサプライチェーンの一部である企業: EU域内の企業からAI開発を受託している日本企業は、発注元のコンプライアンス要件を満たす必要がある。
将来の日本国内規制への準備: AI事業者ガイドラインのv2.0(2026年改定予定)では、一部分野でのハードロー化が検討されている。特に医療・金融分野のAIについては、既存の業法との整合性を踏まえた規制強化の可能性がある。
日本企業の対応状況
PwCの調査(2025年12月)によると、日本の大企業のEU AI Act対応状況は以下の通りだ。
| 対応状況 | 割合 |
|---|---|
| 対応完了 | 8% |
| 対応中 | 27% |
| 検討中 | 33% |
| 未着手 | 32% |
**65%**の企業がまだ具体的な対応に着手していないという結果であり、2026年8月の完全施行に間に合わない企業が続出する可能性がある。特にEU向けにAI製品・サービスを提供している企業は、早急な対応が求められる。
産業別の影響度
EU AI Actの完全施行は、産業によって影響度が大きく異なる。
| 産業 | 影響度 | 主な該当AIシステム | 対応の緊急度 |
|---|---|---|---|
| 金融 | 極めて高 | 信用スコア、不正検知、ロボアドバイザー | 最優先 |
| ヘルスケア | 極めて高 | AI診断、創薬AI、患者トリアージ | 最優先 |
| 人材・HR | 高 | 採用スクリーニング、パフォーマンス評価 | 優先 |
| 教育 | 高 | 学生評価AI、適応型学習 | 優先 |
| 製造 | 中 | 品質検査AI、予知保全 | 計画的に |
| 小売・EC | 中 | 推薦システム、価格最適化 | 計画的に |
| メディア | 中 | コンテンツ推薦、AI生成コンテンツ | 限定リスク対応 |
| SaaS | 低〜高 | 製品の用途による | 個別評価必要 |
金融とヘルスケアは既存の業界規制(MiFID II、MDR等)とEU AI Actの両方に対応する必要があり、コンプライアンスの複雑さが特に高い。
コンプライアンスコストの現実
EU AI Actへの準拠には相当のコストがかかる。European Commissionの試算によると、高リスクAIシステムのプロバイダーが適合評価を完了するまでのコストは1システムあたり**6,000〜30,000ユーロ(約100万〜500万円)**とされている。ただしこれは楽観的な見積もりであり、複雑なAIシステムの場合は数千万円規模になるケースも想定される。
| コスト項目 | 中規模企業の目安 | 大企業の目安 |
|---|---|---|
| AI棚卸し・リスク分類 | €20K〜€100K | €100K〜€500K |
| 技術文書の整備 | €50K〜€200K | €200K〜€1M |
| 適合評価 | €6K〜€30K/システム | €30K〜€200K/システム |
| ログ記録システム構築 | €30K〜€150K | €100K〜€500K |
| 研修・AI Literacy | €10K〜€50K | €50K〜€300K |
| 外部コンサル・法律顧問 | €50K〜€200K | €200K〜€1M |
| 合計(年間) | €166K〜€730K | €680K〜€3.5M |
これらのコストは一時的なものではなく、継続的なコンプライアンス維持費用が毎年発生する。中小企業にとっては重い負担であり、EU AI Act第62条ではSME向けの「規制サンドボックス」制度を設けているものの、その実効性はまだ未知数だ。
今後の展望——2026年8月以降
初期の執行はどうなるか
GDPRの事例から推測すると、EU AI Actの施行直後は「啓発・是正指導」が中心になり、大型制裁金の発動は2027年以降になる可能性が高い。GDPRも施行後1年は大きな罰金事例がほとんどなく、執行当局が体制を整えた2019年後半以降に本格的な制裁が始まった。
ただし、明らかな禁止AIの使用やシステミックリスクGPAIの義務違反に対しては、初期段階から厳格な対応が取られる可能性がある。
「ブリュッセル効果」の拡大
EU AI Actは、GDPRと同様に世界のAI規制の「テンプレート」となることが予想される。すでにカナダ(AIDA法案)、ブラジル(AI法案)、韓国(AI基本法)など、EU AI Actを参考にした規制法案が各国で審議されている。
グローバルに事業を展開する企業は、EU AI Actへの準拠を「EU向けの対応」としてではなく、「グローバル標準への準拠」として位置付けることが長期的には効率的だ。
まとめ——準備は今日から
EU AI Actの2026年8月2日完全施行は、AIを活用するすべての企業にとっての転換点だ。罰則の厳しさ(最大€35M / 売上7%)と域外適用の広さを考えれば、「うちはEU域内にないから関係ない」という考えは通用しない。
読者が今取るべきアクションは以下の3つだ。
- 自社のAIシステムを今週中に棚卸しする: 社内で利用しているAIツール・サービスをすべてリストアップし、EU AI Actのリスク分類に照らしてカテゴリ分けを行う。特に採用AI、信用スコアリング、医療診断などの高リスク領域を優先的にチェックする
- AI Literacyプログラムを4月中に開始する: EU AI Act第4条のAI識字率義務は全企業に適用される。AIに関わる従業員向けの研修プログラムを策定し、8月2日までに少なくとも1回の実施を完了させる。外部の研修サービスも活用を検討する
- コンプライアンス専門家に相談する: EU AI ActとGDPR、DSAの重複適用は複雑であり、社内リソースだけでの対応は困難なケースが多い。AI規制を専門とする法律事務所やコンサルティングファームへの相談を今月中に開始し、完全施行までのロードマップを策定する