2026年8月2日、EU AI Actが本格適用へ

世界初の包括的なAI規制法であるEU AI Act(人工知能法)は、2024年8月1日に発効し、段階的に適用範囲を拡大してきました。2026年8月2日、Annex IIIに列挙されるハイリスクAIシステムGPAI(汎用AI)プロバイダ義務、透明性義務、ガバナンス当局の設置といったほぼすべての主要条文が本格適用されます。

この記事は、EU域内に拠点を持たない日本企業であっても規制対象となる「域外適用」の仕組み、自社のAI利用がどのリスク分類に該当するか、施行までの2か月で実施すべき7ステップを実務目線でまとめます。

📌 結論先出し

(1) EU AI Actは域外適用あり。EU子会社・EU顧客SaaS・EU向け製品にAIを使う日本企業は対象。 (2) AIの提供者(Provider)だけでなく、Microsoft 365 Copilot/Geminiを社内で使う導入者(Deployer)にも義務がある。 (3) 制裁金は最大3,500万ユーロまたは全世界売上の7%。GDPRより重い。 (4) 2026年8月2日までに、AIインベントリ・リスク分類・社内ガバナンス・従業員リテラシーの4点セット整備が最低ライン。

適用スケジュール

日付適用される条文影響
2024年8月1日AI Act発効カウントダウン開始
2025年2月2日第II章(禁止AIプラクティス)、AIリテラシー義務サブリミナル操作・社会的スコアリング等の禁止
2025年8月2日第V章(GPAIプロバイダ義務)、ガバナンス・制裁金新規GPAIモデルに義務発生
2026年8月2日第III章(ハイリスクAI、Annex III)、透明性、市販後監視等大部分の規制が本格運用開始
2027年8月2日Annex I(製品安全規制対象)に組み込まれたAI、既存GPAIモデルの移行期限医療機器・車両等のハイリスクAI適用

域外適用:日本企業の対象範囲

EU AI ActはGDPR同様、「EUに拠点がないこと」を理由に逃れることはできません。次のいずれかに該当する日本企業はすべて規制対象です。

  • AIシステム・GPAIモデルをEU市場に提供している(製品・SaaS・APIとして)
  • AIシステムの出力(推論結果)がEU域内で使用されることを意図している(例:EU顧客向け与信スコア、EU従業員向け人事評価)
  • EU子会社・支店でAIシステムを業務利用している(M365 Copilot、Gemini、ChatGPT Enterprise含む)
  • EU顧客のデータをAIで処理し、結果をEUに返している(クロスボーダーSaaS)
⚠️ 「うちは関係ない」が間違いやすいケース

(1) EU向けECサイトのレコメンドエンジン、(2) EU従業員の採用スクリーニングAI、(3) EU子会社で導入したCopilot Studioエージェント、(4) グローバルSaaSのAI機能をEU顧客に提供しているケース、(5) 多言語AIチャットボットでEU圏の問い合わせを受けるケース、はすべて対象になり得ます。

リスク4分類

EU AI Actは、AIシステムをリスクに応じて4つに分類します。

分類義務
禁止AI(Unacceptable Risk)サブリミナル操作、社会的スコアリング、職場の感情認識(一部除く)、公共空間でのリアルタイム遠隔生体認証(一部除く)使用禁止
ハイリスクAI(High Risk)採用、信用評価、教育、医療機器、重要インフラ、法執行、移民、司法(Annex III)リスク管理、データガバナンス、技術文書、ログ保存、人間の監視、適合性評価、CE マーキング、市販後監視
限定的リスク(Limited Risk)チャットボット、ディープフェイク、AI生成コンテンツ透明性義務(AIである旨の表示、AI生成物のラベリング)
最小リスク(Minimal Risk)スパムフィルタ、ゲームAI原則として義務なし(自主的なコード・オブ・コンダクト推奨)

ハイリスクAIに該当する業務領域(Annex III)

多くの中堅企業に関係するのが以下のカテゴリです。業務でこれらに該当するAIを使うと、提供者・導入者ともに義務が発生します。

  • 採用・人事:履歴書スクリーニング、面接評価、昇進・解雇判断、業務割当、業績評価
  • 教育・職業訓練:入試評価、学習評価、不正検出
  • 信用・保険:個人の信用スコア、生命・健康保険料の算定
  • 重要インフラ:交通、水道、ガス、電力、デジタルインフラ
  • 法執行・移民・司法:(公的機関中心)
  • 生体認証:感情認識、生体カテゴリ化(職場・教育機関を除く)

GPAI(汎用AI)プロバイダ義務

GPT-5/Claude 4.x/Gemini/Llamaのような汎用AIモデルを提供する事業者には、別建ての義務体系が設けられています(2025年8月2日適用済み)。

  • すべてのGPAIプロバイダ:技術文書の作成・維持、利用者への情報提供、著作権法遵守、学習データの公開(要約)
  • システミックリスクGPAI(10^25 FLOPs超):モデル評価、敵対的テスト、システミックリスクの軽減、重大インシデント報告、サイバーセキュリティ確保

OpenAI/Anthropic/Google/Meta/Microsoft自身は対応中。日本企業がこれらのAPIを再販する場合、再販事業者もGPAI関連義務の一部を負う可能性があります(自社で学習させたモデルを公開する場合も該当)。

「導入者(Deployer)」の義務 — Copilot利用企業も対象

日本企業が誤解しやすいのが、AIを「使うだけ」でも義務がある点です。Microsoft 365 Copilot/Gemini Enterprise/ChatGPT Enterpriseを社内利用している場合の主な義務:

  • AIリテラシー教育(2025年2月から既に適用):従業員が利用するAIに対する十分な理解を持つよう確保
  • ハイリスクAI利用時:プロバイダの利用説明書に従った運用、人間による監視、利用ログ6か月保存、データの入力品質確保、影響を受ける個人への通知
  • 透明性義務:AIチャットボット利用時は「AIである旨」を相手に明示、AI生成画像・音声・動画はラベリング
  • 禁止AIの未使用:感情認識AIを職場や教室で用いない(医療・安全目的の例外を除く)
  • 基本権影響評価(公共機関・公共サービス提供者の一部)

制裁金体系

違反内容制裁金上限
禁止AIプラクティス違反最大35M EUR または全世界年間売上の7%(高い方)
その他の義務違反(ハイリスクAI、GPAI、透明性等)最大15M EUR または全世界年間売上の3%
規制当局への不正確・誤導的情報提供最大7.5M EUR または全世界年間売上の1.5%

GDPR(最大4%)より重い水準で、年間売上1,000億円企業なら最大70億円の制裁金リスクがあります。中小企業向けには上限を絞った特例規定もありますが、安心材料にはなりません。

2026年8月までの7ステップ実務対応

ステップ1:AI利用棚卸し(Day 1〜10)

  • 社内で使われているAIサービスをすべてリスト化(M365 Copilot、Gemini、ChatGPT、Notion AI、Adobe Firefly、各種SaaSのAI機能、自社開発AI、シャドウAI含む)
  • 業務領域・利用目的・取り扱うデータ種別を記録
  • EU関連業務(EU顧客/EU従業員/EU向け製品)との接点を抽出

ステップ2:リスク分類(Day 11〜20)

  • 各AI利用がAnnex III/II/I(製品規制)/GPAIのどれに該当するかを判定
  • 判定根拠を文書化(後の監査対応に必須)
  • 禁止AIに該当するものはただちに利用停止

ステップ3:ガバナンス体制の整備(Day 21〜30)

  • AI責任者(DPO的存在)の任命
  • AI利用ポリシー策定(既存の生成AIガイドラインを拡張)
  • ハイリスクAI承認プロセスの設計
  • サプライヤ(AIプロバイダ)との契約条項見直し

ステップ4:AIリテラシー教育(Day 21〜45)

  • 全社員向けの基礎研修(AIの仕組み、リスク、責任ある使い方)
  • AI担当者向けのアドバンス研修(バイアス、説明可能性、ハルシネーション対策)
  • 受講記録の保管(監査証跡)

ステップ5:ハイリスクAI対応(Day 31〜60)

  • ハイリスクAIに該当するシステムの技術文書化
  • 人間の監視メカニズム設計(最終判断は人間が下す等)
  • 利用ログの6か月以上保存設計
  • 影響を受ける個人への通知方法策定

ステップ6:透明性対応(Day 31〜60)

  • 顧客対応チャットボットに「AIです」表示を追加
  • マーケティング素材のAI生成画像・動画にラベリング
  • ディープフェイク検知ツールの導入検討

ステップ7:監査・継続的モニタリング(Day 61〜)

  • AIシステムの定期レビュー体制構築
  • 重大インシデント報告フローの確立
  • EU当局からの問い合わせ窓口設置
  • 年次でのリスク再評価

主要AIベンダーの対応状況

ベンダーEU AI Act対応
Microsoft(Copilot/Azure OpenAI)Responsible AI Standard、AI影響評価テンプレート、EU Data Boundary対応済み
Google(Gemini/Vertex AI)AI Principles準拠、技術文書整備、EU向けデータレジデンシー対応
OpenAI(ChatGPT Enterprise)GPAIプロバイダとしての文書整備、Trust Portal提供
Anthropic(Claude)Acceptable Use Policy、Responsible Scaling Policy

主要ベンダー側はGPAIプロバイダ義務に対応中ですが、導入者(Deployer)側の義務は各社で対応する必要があります。ベンダー任せにはできません。

日本国内規制への波及

EU AI Actは、世界各国のAI規制の事実上のスタンダードを形成しつつあります。日本国内でも、2026年中に新たなAI関連法案の議論が本格化する見込みで、現時点ではソフトロー(経産省・総務省のAI事業者ガイドライン、広島AIプロセス)が主軸です。EU AI Act対応の枠組みを先行整備すれば、日本の将来規制への準備にもなります。

💡 関連記事

→ AI事業者ガイドライン(経産省・総務省)の実務対応
→ AI利用ポリシー策定ガイド
→ AIへの既知の攻撃と対策

FAQ

Q1:日本企業でもEU AI Actの対象になりますか?

A:はい。EU子会社、EU向けSaaS、EU市場向け製品にAIを組み込んでいる場合、または出力がEU域内で使われる場合は対象。GDPRと同じ域外適用の考え方です。

Q2:Copilot/Geminiを使っているだけなら対象外ですか?

A:いいえ。「導入者(Deployer)」にも義務(AIリテラシー教育、人間の監視、ハイリスクAI利用記録、透明性等)があります。

Q3:制裁金はいくらですか?

A:最大35M EUR または全世界売上の7%。GDPRより重い水準です。

Q4:2026年8月2日に何が変わりますか?

A:Annex IIIのハイリスクAI規制、GPAIプロバイダ義務、透明性義務、ガバナンス当局設置が本格運用開始。Annex Iの製品安全規制対象AIは2027年8月適用です。

Q5:日本国内でも同様の法律ができますか?

A:2026年中に新法案の議論が本格化。現状はソフトロー中心。EU AI Act対応は日本の将来規制への準備にもなります。

まとめ

EU AI Actの本格適用まで残り約2か月。日本企業の多くは「EU圏ではない」「うちはAI開発企業ではない」という理由で対応を後回しにしがちですが、Copilot/Geminiを社内で使う限り、導入者として義務が発生します。最低ラインは「AIインベントリ・リスク分類・社内ガバナンス・従業員リテラシー教育」の4点セット。GDPR対応を経験した企業は、その延長として整備するのが最短ルートです。「制裁金リスクの軽減」と「日本国内の将来規制への先行準備」を兼ねた投資として、稟議を通すのが賢明です。

参考リンク
EU AI Act 公式条文(英文・解説) ↗European Commission — AI Act ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、生成AI活用、IT-PMI、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援します。