NIS2指令・EU AI Actが日本の中小企業に与える影響と対応チェックリスト

"EUの話"ではない。日本の中小企業も巻き込まれる

EUで2024年から段階的に適用が始まったNIS2指令（サイバーセキュリティ）とEU AI Act（AI規制）は、日本国内のみで事業展開する企業にも影響を及ぼします。EU親会社・取引先・顧客との契約を介して、実質的な遵守要請が日本の中小企業にも降りてくるためです。

本記事では「自社に関係あるのか？」「何を対応すべきか？」を中小企業の視点で整理します。

NIS2指令の基本

NIS2（Network and Information Security Directive 2）は、EU域内の重要インフラおよび重要サプライヤに対して高度なサイバーセキュリティ対策を義務付ける指令です。2024年10月17日が加盟国への国内法化期限でした。

NIS2が日本企業に及ぶ3つの経路

• 経路①：EU子会社を持つ日本本社 → 子会社に直接適用されるため、グループポリシーと報告体制の整備が必要
• 経路②：EU企業のサプライヤ → 契約を通じてサイバーセキュリティ要求水準を課される
• 経路③：EU企業の ICTサービス提供者（SaaS、受託開発等） → 「重要なサプライヤ」とみなされ、リスク管理・報告義務が契約に盛り込まれる

NIS2対応チェックリスト（日本企業向け）

• □ EU拠点／EU企業との取引がある契約の棚卸し
• □ 契約書に含まれるサイバーセキュリティ要求条項の確認
• □ インシデント対応手順（24時間・72時間・1ヶ月の報告）
• □ サプライチェーンのリスク評価プロセス
• □ 経営陣のサイバーリスクトレーニング記録
• □ 多要素認証、暗号化、アクセス管理の実装状況
• □ バックアップと事業継続計画（BCP/DR）
• □ サイバーセキュリティ監査ログの保存

EU AI Actの基本

EU AI Actは、AIシステムをリスクレベルで4分類し、それぞれ異なる規制を課す世界初の包括的AI規制法です。2024年8月に発効、段階的に適用中です。

EU AI Actが日本企業に及ぶケース

• EU市場に製品・サービスを提供（域外適用）
• EU居住者が対象ユーザーのAIシステムを提供
• AIシステムの出力がEU域内で使用される場合

具体的には、採用AIをEU子会社で使う、EU顧客向けSaaSにAI機能を組み込む、EU向けWebサービスでチャットボットを提供するといったケースが該当します。

AI Act対応チェックリスト

• □ 自社が提供／使用しているAIシステムの棚卸し
• □ 各AIシステムのリスク分類（ハイリスクに該当するか）
• □ ハイリスクAIの場合：リスク管理システム、データガバナンス、技術文書、ログ保持、透明性、人間による監視、精度・堅牢性
• □ チャットボット等：AI利用を明示するUI表示
• □ 汎用AIモデル利用時のトレーサビリティ
• □ AI利用ポリシー（社内規程）の整備

主な適用タイムライン

• 2024年10月：NIS2加盟国法化期限
• 2025年2月：EU AI Act "禁止AIシステム" 適用
• 2025年8月：EU AI Act 汎用AIモデル規則適用
• 2026年8月：EU AI Act ハイリスクAIシステム規則（一部）適用
• 2027年8月：EU AI Act 完全適用

BTNコンサルティングの支援

BTNでは、EU関連取引の棚卸し、契約条項レビュー、セキュリティ成熟度評価、AI利用ポリシー策定を支援します。「Security365」「AI365」「Consult365」サービスラインで包括的に対応可能です。

まとめ

NIS2・EU AI Actは"EU企業向け"ではなく"EUと繋がるすべての企業向け"です。日本の中小企業も契約経由で要求が降りてくる時代。今のうちに取引契約・AIシステムの棚卸しと対応ロードマップ作成を始めることが、将来の案件継続・拡大のカギになります。