EU AI Actが2026年8月に完全施行——違反企業に売上7%の罰金、8つの禁止行為とは
2026年8月2日、世界初の包括的AI規制法である**EU AI Act(人工知能法)が完全施行される。違反した企業には全世界売上高の最大7%**という巨額の罰金が科される可能性があり、EUで事業を展開する全てのテック企業にとって避けては通れない規制だ。日本企業も例外ではない。EU市場向けにAI製品・サービスを提供していれば、たとえ本社が日本にあっても法律の適用対象となる。
本記事では、EU AI Actの全体像から8つの禁止行為の詳細、高リスクAIに課される義務、罰金体系、そして日本企業が今すぐ取るべきアクションまで、包括的に解説する。
EU AI Actとは何か
EU AI Act(Regulation (EU) 2024/1689)は、欧州連合が2024年8月1日に発効させた、AIシステムの開発・配備・利用に関する世界初の包括的な法的枠組みだ。GDPRがデータ保護の世界標準となったように、EU AI ActはAI規制のグローバルスタンダードになることが確実視されている。
この法律の核心はリスクベースアプローチにある。全てのAIシステムを一律に規制するのではなく、そのリスクレベルに応じて4段階に分類し、リスクが高いほど厳しい義務を課す仕組みだ。
以下の図は、EU AI Actの施行タイムラインとリスク分類の全体像を示しています。
この図のとおり、EU AI Actは段階的に施行されてきた。2025年2月に禁止行為が適用開始、2025年8月に汎用AIモデル(GPAIモデル)への規制が開始され、そしていよいよ2026年8月2日に高リスクAIを含む全規定が完全施行される。一部の高リスク製品(EU製品安全法規に関連するもの)については2027年8月まで猶予が設けられているが、大半の企業にとっては2026年8月がデッドラインだ。
8つの禁止行為——「やってはいけないAI」
EU AI Actで最も厳しく規制されるのが、**受け入れがたいリスク(Unacceptable Risk)に分類される8つのAI実践だ。これらは2025年2月2日からすでに禁止されており、違反した場合の罰金は最大3,500万ユーロ(約56億円)または全世界売上高の7%**のいずれか高い方となる。
禁止行為の一覧
| # | 禁止行為 | 具体例 |
|---|---|---|
| 1 | 有害な操作技術 | サブリミナル手法や心理的操作で人の行動を歪めるAI |
| 2 | 脆弱性の悪用 | 年齢・障害・社会的状況など、個人の脆弱性を利用するAI |
| 3 | ソーシャルスコアリング | 社会的行動に基づいて市民を格付けするAI(中国の社会信用スコアのようなシステム) |
| 4 | 犯罪予測(個人ベース) | プロファイリングのみに基づいて個人の犯罪リスクを予測するAI |
| 5 | 無差別顔認識スクレイピング | インターネットやCCTV映像から無差別に顔画像を収集してデータベースを構築するAI |
| 6 | 職場・教育での感情推論 | 職場や教育機関で従業員・学生の感情を推定するAI(医療・安全目的を除く) |
| 7 | 生体分類(機微情報ベース) | 生体データから人種・政治的信条・性的指向などを推定するAI |
| 8 | 法執行でのリアルタイム遠隔生体認証 | 公共空間でのリアルタイム顔認識(例外:誘拐事件の被害者捜索など限定的ケース) |
特に注目すべきは**第5項の「無差別顔認識スクレイピング」**だ。これは、Clearview AIのようにインターネット上の画像を無差別に収集して顔認識データベースを構築する行為を明確に禁止するものだ。すでにイタリアのデータ保護当局はClearview AIに2,000万ユーロの罰金を科しているが、EU AI Actの施行により、こうした行為はEU全域で法的に禁止される。
また、**第6項の「職場での感情推論」**も日本企業に影響が大きい。近年、従業員のエンゲージメント測定やストレスチェックにAI分析を導入する企業が増えているが、EUではこうした感情推論が原則禁止となる。日本国内での利用は直ちに違法とはならないが、EUに拠点を持つ企業やEU市民を雇用する企業は注意が必要だ。
高リスクAI——最も対応コストが大きい領域
2026年8月2日の完全施行で最も大きなインパクトを与えるのが、高リスクAIに対する規制だ。以下の分野で使用されるAIシステムは「高リスク」に分類され、厳格なコンプライアンス要件が課される。
高リスクに分類される主な領域
- 採用・人事: 履歴書スクリーニング、面接評価、昇進判断に使うAI
- 法執行: 証拠分析、リスク評価、犯罪捜査支援AI
- 重要インフラ: 電力・水道・交通などの制御に使うAI
- 教育: 入学選考、成績評価、学習支援AI
- 金融: 信用スコアリング、保険料算定AI
- 移民管理: ビザ審査、入国審査支援AI
- 司法: 判決支援、法的文書分析AI
以下の図は、高リスクAIに求められる具体的なコンプライアンス要件と、EUと日本の規制アプローチの違いを示しています。
この図が示すように、高リスクAIの提供者には5つの主要な義務が課される。
1. リスク評価の実施と文書化
AIシステムが個人の権利や安全に与える影響を事前に評価し、その結果を文書化する必要がある。**基本権影響評価(FRIA: Fundamental Rights Impact Assessment)**と呼ばれるこのプロセスでは、差別リスク、プライバシーへの影響、安全性への影響などを網羅的に分析しなければならない。
2. データガバナンス
学習データの品質管理が義務化される。具体的には、データの偏り(バイアス)を検証し、代表性のあるデータセットを使用していることを証明する必要がある。特に採用AIでは、性別・年齢・人種によるバイアスがないことを統計的に示すことが求められる。
3. 透明性の確保
技術文書の整備と利用者への情報提供が義務付けられる。AIがどのようなロジックで判断を下しているのか、その精度や限界はどの程度なのかを、利用者が理解できる形で文書化しなければならない。いわゆる「説明可能なAI(Explainable AI)」への対応が実質的に必須となる。
4. 人間による監視(ヒューマンオーバーサイト)
高リスクAIの出力を人間が監視し、必要に応じてオーバーライド(無効化・修正)できる仕組みを実装する義務がある。完全自動化された意思決定は原則として認められず、最終判断には必ず人間が介在する設計が求められる。
5. 活動ログの記録・保存
AIシステムの全ての意思決定プロセスを自動的に記録し、監査に対応可能な状態で保存する義務がある。ログの保存期間は最低6か月とされており、当局から求められた場合には速やかに提出しなければならない。
罰金体系——売上7%の衝撃
EU AI Actの罰金体系は3段階に分かれており、その水準はGDPRの売上4%を大幅に上回る。
| 違反の種類 | 罰金上限 | 売上比率 |
|---|---|---|
| 禁止行為への違反 | 3,500万ユーロ(約56億円) | 売上の7% |
| 高リスクAI義務違反 | 1,500万ユーロ(約24億円) | 売上の3% |
| 虚偽情報の提供 | 750万ユーロ(約12億円) | 売上の1% |
これを具体的な企業に当てはめると、その金額の大きさが分かる。例えば、Googleの親会社Alphabetの2025年度売上高は約3,500億ドルだ。禁止行為に違反した場合、理論上の罰金上限は**約245億ドル(約3.7兆円)**に達する。もちろん実際にはここまでの罰金が科されることは考えにくいが、GDPRでも数百億円規模の制裁金が現実に課されていることを考えると、決して絵空事ではない。
中小企業やスタートアップについては、罰金額の上限が引き下げられる緩和措置が設けられているが、義務そのものが免除されるわけではない点に注意が必要だ。
2027年までの猶予——安心はできない
一部の高リスクAI製品については2027年8月まで猶予期間が設けられている。具体的には、EU製品安全法規(機械指令、医療機器規則、民間航空規則など)のAnnex I Section Aに該当する製品が対象だ。しかし、この猶予は製品安全法規との整合性を取るための技術的な猶予であり、「まだ対応しなくても良い」という意味ではない。
2026年8月の完全施行時点で対応が必要な企業は、今から逆算すると残り約5か月しかない。コンプライアンス体制の構築には通常6〜12か月かかると言われており、まだ着手していない企業は極めて厳しい状況にある。
日本への影響——「関係ない」は通用しない
日本政府のAI規制に対するアプローチは、EUとは対照的だ。日本は「AI事業者ガイドライン」(2024年4月公表)に基づくソフトロー(法的拘束力のないガイドライン)を採用しており、罰金付きのハードローは現時点では導入されていない。
しかし、以下の3つの理由から、日本企業もEU AI Actへの対応は避けられない。
1. 域外適用の原則
EU AI Actは、EUの市場に投入されるAI製品・サービスの全てに適用される。日本企業であっても、EU市場向けにSaaSを提供していたり、EU企業にAIモデルをライセンスしていたりすれば、規制の対象だ。GDPRと同じく、「EU域内に物理的な拠点がなくても適用される」という域外適用の原則が貫かれている。
2. ブリュッセル効果
GDPRがそうであったように、EUの規制は事実上のグローバルスタンダードになる傾向がある。これをブリュッセル効果と呼ぶ。多くの多国籍企業は、EU向けとそれ以外の市場向けで別々のコンプライアンス体制を維持するコストを嫌い、最も厳しいEU基準を全世界で採用する選択をする。Apple、Google、Microsoftなどの大手テック企業はすでにこの動きを見せている。
3. 日本の規制強化の可能性
日本政府も2025年のG7議長国として「広島AIプロセス」を主導し、AI規制の国際協調を推進した実績がある。EUの規制が定着すれば、日本でもハードロー化の議論が加速する可能性がある。先行してEU基準に準拠しておくことは、将来の日本国内規制への備えにもなる。
日本企業の対応状況
日本企業のEU AI Act対応は大きく遅れているのが実情だ。PwCの2025年調査によれば、日本企業でEU AI Actへの対応方針を策定済みの企業は約15%にとどまっている。特に、採用AIや顧客スコアリングAIを利用している企業は、高リスクAI分類に該当する可能性があり、早急な対応が求められる。
今すぐ取るべきアクション
企業が対応すべきステップ
EU AI Actの完全施行まで残り5か月を切った今、以下のアクションを優先的に進めるべきだ。
- AIシステムの棚卸し: 自社が開発・利用している全てのAIシステムをリストアップし、EU AI Actのリスク分類に照らしてカテゴリ分けする
- 禁止行為のチェック: 8つの禁止行為に該当するAI実践がないか確認し、該当するものは即座に中止する
- 高リスクAIの特定: 採用・金融・教育など高リスク領域で使用しているAIを特定し、コンプライアンス要件とのギャップ分析を行う
- 技術文書の整備: 高リスクAIについて、リスク評価、データガバナンス、透明性に関する技術文書を準備する
- 人間の監視体制構築: AIの判断を人間がレビュー・オーバーライドできるプロセスとシステムを設計・実装する
- ログ基盤の整備: AIの意思決定プロセスを記録・保存するインフラを構築する
- 社内教育: AI開発者・利用者向けにEU AI Actの要点と自社の対応方針を周知する
開発者が意識すべきポイント
AIシステムの開発者にとって、EU AI Actは技術的な要件も多い。特に以下の点が重要だ。
- Explainability(説明可能性): モデルの判断根拠を説明できる仕組みを設計段階から組み込む
- Audit Trail(監査証跡): 全ての推論結果とその入力データをログとして記録する
- Kill Switch(停止機能): 問題が発生した場合にAIシステムを即座に停止できる機能を実装する
- Bias Testing(バイアステスト): 保護属性(性別、年齢、人種など)に基づく差別的出力がないか定期的にテストする
まとめ
EU AI Actの完全施行は、AI業界にとってGDPR以来最大の規制変更だ。2026年8月2日のデッドラインまで残りわずか5か月——対応は待ったなしの状況にある。
今すぐ取るべき3つのアクション:
- 自社AIの棚卸しを完了させる ── 禁止行為に該当するものがないか、高リスクに分類されるものがないかを確認
- 高リスクAIのコンプライアンス体制を構築する ── リスク評価、データガバナンス、透明性確保、人間の監視、ログ記録の5要件を整備
- 経営層にリスクを報告する ── 売上7%の罰金リスクは経営判断として対応すべき事案。法務・コンプライアンス部門と連携し、全社的な対応計画を策定
EU AI Actは「規制」であると同時に、信頼されるAIを構築するためのフレームワークでもある。コンプライアンスをコストではなく競争優位の源泉と捉え、早期に対応を進めた企業が、AI時代のグローバル市場をリードすることになるだろう。