ここ最近、X(旧Twitter)のテックニュースで「EU AI法」という話題を見かけることが増えていませんか?「AI法?規制?うちの会社に関係あるの?」と感じている人も多いでしょう。実は、日本企業でもAIを使っているなら、無視できない重要なニュースです。この記事では、2024年8月に発効し、2026年8月に高リスクAI規制が本格適用されるEUのAI法が何なのか、企業にどんな影響を与えるのかを、初心者向けにお伝えします。難しい規制の内容も、できるだけ身近な例で説明していきます。
EUのAI法とは?簡単に言うと
EUのAI法(AI Act)は、人工知能の安全性と信頼性を確保するための包括的なルールです。2024年5月21日に欧州理事会で採択・承認され、2024年8月1日に正式発効しました。その後は段階的に適用が始まっており、2025年2月から禁止行為の規定が発効、そして2026年8月に高リスクAIへの規制が本格的に適用されるという流れです。「2026年3月施行」という情報が一部で流れていましたが、正確には2026年8月が高リスクAI規制の主要な適用開始タイミングです。すでに規制は動き始めており、「まだ先の話」という認識は今すぐ改める必要があります。
イメージでいうなら、「食品衛生法」がレストランの調理方法を規制するように、AI法はAIの開発・販売・利用方法を規制します。EUを中心としながらも、EUと取引のある世界中の企業に影響を及ぼす仕組みになっているのが最大の特徴です。
GDPRという個人情報保護規制をご存知の方もいるかもしれません。AI法はそれと似た「とにかく厳しい」ヨーロッパの規制姿勢の延長線上にあります。GDPRが2018年に施行された際、対応が遅れた企業がEU当局から多額の制裁金を受けた事例が相次ぎました。たとえばMetaは2023年に約1,680億円相当の制裁金を科されています。AI法においても、違反した場合は最大3,500万ユーロ(約55億円)または全世界年間売上高の7%という高額な制裁金が設定されており、「知らなかった」では済まない規制です。
また、AI法は単なる努力義務ではなく、罰則付きの強制規制である点を強調しておく必要があります。欧州AI局(European AI Office)が設置され、EU各国の規制当局と連携しながら企業の対応状況を監査する体制が整備されています。2026年3月現在、日本のAI規制は「促進重視」のスタンスが中心です。2025年9月にはAI推進法が全面施行され、2026年3月末にはAI事業者ガイドラインがv1.2に改定されてAIエージェントとフィジカルAIが新たに対象に加わりました。ただし、EUへ製品・サービスを輸出する日本企業はこれとは別に、EU AI法への準拠も求められます。日本の国内ルールに従っていれば十分、とはならない点に注意が必要です。
企業が気になる「リスクレベル」の4つの分類
EU AI法の最大の特徴が、AIシステムを「リスク」によって4段階に分類している点です。リスクが高いほど、求められる対応も厳しくなります。この分類は「リスクベースアプローチ」と呼ばれ、業界内では規制の核心として広く認識されています。自社のAIがどのカテゴリに該当するかを把握することが、対応の出発点になります。
【禁止レベル】そもそも使ってはいけないAI
「社会信用スコアシステム」や特定の生体認証による大規模監視など、人権侵害につながるAIはEUでの使用・販売が全面禁止です。日本企業でも、こうしたAIの開発・輸出は避けなければなりません。この禁止規定は2025年2月にすでに適用が始まっており、現時点で即アウトのカテゴリです。「規制開始は2026年」という認識が残っている方は、禁止行為については今この瞬間から規制対象であることを改めて確認してください。
【高リスク】最も厳格な対応が必須
採用試験の自動判定、犯罪者予測、自動運転、医療診断支援、重要インフラ管理など、人間の人生や社会に大きな影響を与えるAIが該当します。このカテゴリには、適合性評価の実施、詳細なドキュメンテーション、継続的な監視体制の構築、そして人間による最終確認(ヒューマン・オーバーサイト)の義務付けが課されます。2026年8月が主要な適用開始タイミングであり、準備コストが最も高く、社内の法務・技術・経営の各部門が連携しなければ対応しきれないのが現実です。PwCの調査では、高リスクAI対応のコンプライアンスコストは企業規模によって数千万円から億単位に達するケースもあるとされています。また、記録の保存期間は少なくとも10年間が義務付けられており、システム導入だけでなく長期的な管理体制の整備が不可欠です。
【中リスク(限定的リスク)】透明性の確保が義務
チャットボットや感情認識AIなど、人間と直接やり取りするAIが該当します。「これはAIが回答しています」と利用者に明確に伝える義務が生じます。一見シンプルに見えますが、ウェブサイトのカスタマーサポートやSNS上の自動応答ボットを運用している企業は多く、実態として対応が必要なケースは少なくありません。また、ディープフェイク生成AIを使ったコンテンツには、AIが生成したものであることを明示する義務も含まれます。マーケティング部門やカスタマーサポート担当者も、このルールの存在を把握しておく必要があります。
【低リスク・規制なし】ただし自己判断は禁物
スパムメール検出や在庫管理の最適化など、リスクが低いAIはほぼ規制の対象外です。ただし、「うちのAIは低リスクだろう」という自己判断は危険です。自己判断で「低リスク」と分類したAIが後から高リスクと指摘された場合、遡及的に違反とみなされるリスクがあります。後述するリスク評価のプロセスを経て正式に確認することが大切です。
【汎用目的AIモデル(GPAIモデル)への規制】
EU AI法では、上記4分類に加えて、ChatGPTのような汎用目的AIモデル(GPAI: General Purpose AI Model)に対する規制も設けられています。提供者はモデルの能力・限界を文書化し、著作権ポリシーの遵守を証明する義務があります。特に「システミックリスク」を持つとされる大規模モデル(学習に使われた演算量が10の25乗フロップス以上が一つの基準)には、さらに厳格なリスク評価と報告義務が課されます。自社でAIモデルを開発・公開している企業は、このGPAI規制にも注意が必要です。
keikun日本企業への具体的な影響
「EU法だし、うちはEUに売ってないから大丈夫」と思うかもしれません。しかし、日本企業も他人事ではありません。EU AI法は、EU域内に所在していない企業であっても、EUに製品・サービスを提供している場合は適用対象となります。以下のケースに当てはまるものがあれば、早急に確認が必要です。
ケース1:グローバル展開している企業の場合
日本の本社で開発したAIをEUで販売している、またはEU企業に販売しているなら、AI法への対応が必須です。自社の全AIシステムがどのリスクレベルに該当するか把握する必要があります。製造業や自動車メーカーなど、EU市場に製品を輸出している日本企業にとっては特に優先度の高い課題です。実際、国内大手メーカーの複数社が2025年内に専任のAI規制対応チームを設置し、製品に搭載するAI機能のリスク評価を開始したことが業界内で報告されています。
ケース2:海外子会社やパートナーと関わる場合
海外の子会社がAIを使っている、または海外パートナーと共同でAIプロジェクトを進めている場合、その子会社やパートナーの対応状況が経営リスクになる可能性があります。サプライチェーン全体を通じたコンプライアンス確認が求められるため、調達・購買部門も巻き込んだ対応が必要になります。EU当局は、チェーンの上位企業が下位企業の違反に対して責任を問われるケースもあると明示しており、注意が必要です。
ケース3:クラウドAIサービスを業務で使っている場合
OpenAIのChatGPTやMicrosoft Copilot、GoogleのGeminiなど、海外のAIツールを業務で使っている企業も急増しています。EU AI法では、こうしたAIツールの提供者が規制に対応していることが前提になります。一方で、利用企業側(Deployer)にも「適切な利用」の責任が課される場面があるため、利用規約の確認や社内AIポリシーの整備が求められます。特に高リスクカテゴリに該当するAIを業務で使う場合、導入前にリスク管理措置を講じる義務があります。
注意点:「開発していないから関係ない」という誤解
EU AI法は、AIシステムの「提供者(Provider)」だけでなく、「展開者(Deployer)」にも義務を課しています。つまり、他社が開発したAIを自社業務に導入して使っている企業も規制の対象になりえます。「自社ではAIを開発していないから関係ない」という誤解が最も危険です。業務でAIツールを使っているすべての企業が、何らかの形でこの規制と向き合う必要があります。
日本の規制環境との違い
2026年3月時点で、日本のAI規制はEUとは大きく異なるアプローチをとっています。2025年9月に全面施行されたAI推進法は「促進重視」のスタンスであり、義務規定よりもガイドライン・推奨ベースの内容が中心です。2026年3月末にはAI事業者ガイドラインがv1.2に改定され、AIエージェントとフィジカルAIが新たに対象に加わりました。ただし、この日本のガイドラインはEUの法的義務と並立するものであり、「日本のガイドラインに従っていればEU法も大丈夫」とはなりません。EU向けにビジネスをする日本企業は、両方への対応を別々に検討する必要があります。
keikun2026年8月までに企業がやるべき準備
高リスクAI規制の本格適用まで、2026年3月時点で残り約5か月です。「まだ余裕がある」と感じるかもしれませんが、対応に半年以上かかるケースも珍しくなく、今すぐ着手することが現実的な判断です。大きく3段階に分けて整理します。
第1段階:現状把握(今すぐ着手)
まずは、自社がどのようなAIを使っているか、全て洗い出すことが重要です。
- 社内システムで使われているAI(人事評価、与信判断、品質管理など)
- 外部SaaSサービスに組み込まれているAI機能
- 開発中・検討中のAIプロジェクト
- 子会社や外部パートナーが使っているAI
チェックリストを作り、各システムが「EU AI法のどのカテゴリに該当するか」を整理します。この段階では完璧な分類は不要で、まず「存在を把握する」ことが目的です。情報システム部門だけでなく、人事・営業・マーケティング・法務など現場部門にもヒアリングすることで、見落としを防げます。特に人事採用システムや融資審査システムは高リスクに該当する可能性が高いため、優先的に確認することをお勧めします。
第2段階:リスク評価(早急に実施)
洗い出したAIについて、本当にどのリスクレベルに分類されるのか、専門家を交えて評価する段階です。ここは自分たちだけで判断するより、外部の規制専門家やコンサルタントに相談した方が確実です。欧州AI局(European AI Office)が公開しているガイドラインやセルフアセスメントツールも活用できます。この評価の結果は文書として保管し、監査の際に提出できる状態にしておく必要があります。高リスクAIの場合、記録の保存期間は少なくとも10年間が義務付けられています。
第3段階:対応計画と実装(2026年8月までに完了)
高リスクのAIなら、ドキュメンテーション、テスト計画、監視体制の整備、適合性評価の実施、EU域内でのデータベース登録などを進めます。中リスクなら透明性の確保(ユーザーへのAI使用明示など)を実装します。この段階で見落としがちなのが「従業員教育」です。どれだけシステムを整えても、現場担当者がAIを不適切に使えば規制違反につながります。社内研修やAI利用ガイドラインの整備も並行して進めることが重要です。
対応コストと現実的なデメリット
正直に言うと、AI法への対応はコストがかかります。Business Lawyersの解説によれば、高リスクAIの適合性評価だけでも専門家費用・システム改修・文書整備を含めると、中小企業では数百万円から数千万円規模になるケースがあります。体制整備に1年以上かかることも珍しくありません。EU当局も中小企業向けの支援措置(簡略化された適合性評価や規制サンドボックスへのアクセスなど)を設けていますが、義務そのものが免除されるわけではありません。「対応が大変だから」という理由でEU市場からの撤退を検討する日本企業が出ていることも、業界内では実際に話題になっています。準備を早く始めるほど、コストと負担を分散できます。
keikun準備に役立つツールやサービス
ここまで読んで「そういえば、うちの会社はどこまで準備できてるんだろう?」と不安になった方もいるでしょう。実際、AI法への対応は専門知識が必要で、社内だけでは進めきれないケースも多いです。
法務・規制対応の相談
EU AI法への対応は、法律知識だけでなく技術的な理解も必要です。こういう時に便利なのが、専門家に個別相談できるサービスです。
PR
ココナラなら、AI規制やコンプライアンスの専門家に、時間単位で相談することができます。「うちの企業は対応が必要か?」という基本的な質問から、「高リスクAIの具体的な対応方法」まで、幅広く相談可能です。大手コンサルに依頼するほどの予算がない中小企業でも、まずスポットで専門家の見解を聞くことで、対応の優先度を判断しやすくなります。ただし、相談相手の専門性は事前にプロフィールや実績で確認することをお勧めします。EU法の専門家と日本法の専門家では知見が異なる場合があるためです。
情報収集と継続的な学習
AI法は今後もガイドラインや施行規則の追加・改正が見込まれます。最新情報をキャッチアップしたいなら、テック系のニュースレターやオーディオコンテンツが役に立ちます。
Audibleなら、AI規制やテック業界の最新動向を扱う書籍をオーディオブック形式で学べます。通勤時間や作業中に「ながら学習」できるので、忙しいビジネスパーソンには実用的な選択肢です。ただし、Audibleの日本語コンテンツでEU AI法を直接扱う書籍はまだ少ないため、PwCや大手法律事務所が公開している無料の解説レポートと組み合わせて活用するとより効果的です。
ドキュメンテーション・システムの整備
AI法への対応で最も重視されるのが「証拠を残すこと」です。どんなリスク評価をしたのか、どんなテストを実施したのか、何を根拠にリスク分類したのか、すべてを記録する必要があります。社内の複数部門と連携が必要になるケースも多いので、クラウドベースのドキュメント管理システムがあると便利です。NotionやConfluenceのようなナレッジ管理ツールを活用し、AI関連の意思決定記録を一元管理する体制を早めに整えておくことをお勧めします。また、欧州AI局が公開している公式テンプレートも活用の価値があります。
よくある質問(FAQ)
- Q. EUにビジネス展開していない日本企業でも対応が必要ですか?
- A. EUに直接販売していない場合は対応義務が生じないケースが多いですが、EU企業と取引がある場合や海外子会社がEUで事業を行っている場合は対象になります。まず自社の取引状況を確認することが先決です。
- Q. 違反した場合、どのくらいの制裁金が科されますか?
- A. 違反内容によって異なりますが、最大で3,500万ユーロまたは全世界売上高の7%のいずれか高い方が上限です。中小企業には一定の軽減規定もありますが、制裁がゼロになるわけではありません。
- Q. 高リスクAIへの規制は具体的にいつから始まりますか?
- A. 2026年8月が主な適用開始タイミングです。禁止行為の規定は2025年2月にすでに発効済みで、段階的に義務が積み上がっています。「まだ先」という認識は今すぐ改めてください。
- Q. 高リスクAIかどうかは自分たちで判断できますか?
- A. 欧州AI局のガイドラインを参照すれば自己評価は可能ですが、判断を誤ると後から指摘を受けるリスクがあります。重要な分類判断は法律・技術の専門家にも確認することを強くお勧めします。
- Q. 自社でAIを開発していなければ関係ありませんか?
- A. 関係あります。EU AI法は開発者だけでなく「展開者(Deployer)」にも義務を課しており、他社製AIを業務に使っている企業も規制の対象になります。利用しているAIツールのリスク分類確認が必要です。
まとめ
- EU AI法は2024年8月に発効済みで、2026年8月に高リスクAI規制が本格適用される。禁止行為の規定は2025年2月からすでに動いており、「2026年から考えればいい」は通用しません。
- AIは「リスク」で4段階+GPAIモデルに分類される。自社のAIがどのレベルに該当するか把握することが第一歩です。
- 日本企業も対象になりえる。EU向けに製品・サービスを提供している企業はもちろん、AIを業務利用している「展開者」にも義務が課されます。
- 対応は「現状把握→リスク評価→実装」の3段階で進める。2026年8月までに高リスクAIの対応を完
keikun|AIツール研究家
AIとプロンプトエンジニアリングに魅了され、毎日のようにAIツールを試し続けるブロガー。海外の最新AI情報をキャッチアップしながら、日本のユーザーが実際に使える形で発信しています。
keikun
AIツール研究家 / PromptTeq 管理人
ChatGPT・Claude・Geminiなど主要AIツールを毎日使い込みながら、実践的な活用法を発信しています。「難しそう」と感じているあなたに、使える形でお届けするのがミッションです。
