- EU AI法は2026年8月に完全施行。採用・人事・与信審査などに使うAIは「高リスク」に分類され、リスク管理・技術文書・透明性確保など厳格な義務が課される
- EU市場への製品・サービス提供やEU企業のサプライチェーンに参加する日本企業も適用対象となり、違反時の制裁金は最大3,500万ユーロまたは全世界売上の7%に上る
- 準備には最低12〜18ヶ月かかるため対応は今すぐ開始すべき。AIインベントリの作成→ギャップ分析→体制整備→外部検証の4フェーズで計画的に進めることが重要
EU AI法とは何か——2026年完全施行が迫る「世界初のAI包括規制」
2024年8月に発効したEU人工知能法(EU AI Act)は、AIシステムをリスクレベルに応じて分類し、それぞれに異なる義務を課す世界初の包括的AI規制だ。段階的な施行スケジュールのなかで、最大の節目となるのが2026年8月の完全施行である。
この規制はEU域内の企業だけを対象にしているわけではない。EU市場に製品やサービスを提供する日本企業、あるいはEU拠点の取引先にAIシステムを組み込んだソリューションを納入するベンダーも、その射程に入る。「自社はEUと無関係」という判断は、今や通用しなくなっている。
EU AI法の違反に対する制裁金は最大3,500万ユーロ(約56億円)または全世界年間売上高の7%。これはGDPRを上回る水準であり、経営リスクとして無視できない規模だ。
施行スケジュールの全体像:2025〜2026年に何が起きるか
EU AI法は一度にすべての条項が適用されるわけではなく、段階的に義務が拡大していく構造になっている。現時点での主要なマイルストーンを整理しておこう。
- 2024年8月:法律発効。「禁止されるAI慣行」に関する第5条が2025年2月から適用開始
- 2025年2月:禁止AIシステムの使用・提供が違法に(感情認識AIの職場利用禁止など)
- 2025年8月:汎用AI(GPAI)モデルへの義務が適用開始。GPT系モデルを組み込んだサービスも対象
- 2026年8月:高リスクAIシステムへの義務が完全適用。企業コンプライアンスの最大の山場
2026年8月まで残り約2年と見えるが、コンプライアンス体制の整備には最低でも12〜18ヶ月かかるとされており、実質的な準備期限はすでに始まっている。
自社のAIは「高リスク」に該当するか——リスク分類の判定基準
EU AI法の核心は、AIシステムを「禁止」「高リスク」「限定リスク」「最小リスク」の4段階に分類する点にある。最も重い義務が課される「高リスク」AIに該当するかどうかの判定が、コンプライアンス対応の出発点となる。
高リスクAIに該当する代表的なユースケースは以下のとおりだ。
- 採用選考・人事評価・昇進判断に用いるAI
- 与信審査・ローン審査・保険引受に用いるAI
- 医療診断や治療方針の決定を支援するAI
- インフラ(電力・水道・交通)の管理に用いるAI
- 教育機関における成績評価・入学審査に用いるAI
- 出入国管理・ビザ審査・亡命申請に用いるAI
多くの日本企業にとって特に注意が必要なのが、採用・人事領域のAI活用だ。履歴書のスクリーニングや面接評価スコアリングにAIを使用している場合、高リスク分類に該当する可能性が高い。自社のAI活用状況をリスト化し、各ユースケースがどの分類に当たるかを専門家とともに確認することが急務となる。
企業が今すぐ対応すべき5つの義務
高リスクAIシステムに課される主要な義務を整理する。以下の5項目は、2026年8月の完全施行に向けて体制整備が必要なコンプライアンスの柱だ。
① リスク管理システムの構築と文書化
高リスクAIシステムのライフサイクル全体を通じて、リスク管理システムを維持することが義務付けられる。具体的には、AIの開発・導入・運用・廃棄の各フェーズでリスクを特定・評価・軽減するプロセスを文書化し、定期的にレビューする体制が求められる。
実務上のポイントは、既存のISO 31000(リスク管理)やISO/IEC 27001(情報セキュリティ)の枠組みとの統合だ。ゼロから構築するよりも、既存のリスク管理体制をAI固有のリスク(バイアス、不透明性、予測不能性など)に対応できるよう拡張するアプローチが現実的かつ効率的である。
② データガバナンスと学習データの品質管理
高リスクAIの学習・検証・テストに使用するデータセットに対して、適切なデータガバナンス慣行の適用が求められる。特に重要なのは、学習データにバイアスが含まれていないかを評価し、その結果を記録する義務だ。
日本企業が陥りやすい落とし穴は、AIベンダーから提供されたモデルやAPIを「ブラックボックス」のまま使用しているケースだ。この場合、データの出所や品質管理の状況が把握できず、コンプライアンス上の説明責任を果たせない。ベンダー選定の段階から、データガバナンスに関する情報開示を契約条件に盛り込む必要がある。
③ 技術文書の作成と最新化
AIシステムの設計・開発・性能・限界・目的外使用のリスクなどを網羅した技術文書を作成・維持する義務が生じる。この文書は規制当局への提出が求められる可能性があり、専門家でない監督者にも理解できる水準で記述する必要がある。
技術文書には以下の情報を含めることが推奨される。
- AIシステムの目的と想定される使用文脈
- システムのアーキテクチャと主要なアルゴリズムの概要
- 学習データの説明(出所、規模、前処理手順)
- 性能指標と評価方法(精度、再現率、F値など)
- 既知の限界とリスク、およびその軽減策
- サイバーセキュリティ対策
④ 透明性の確保とユーザーへの情報提供
AIシステムと相互作用する人間に対して、適切な情報を提供する義務がある。高リスクAIを使用する場合、その事実をユーザーに開示し、システムの能力と限界を説明しなければならない。
特に注目すべきは「人間による監視(Human Oversight)」の確保だ。高リスクAIの判断を最終的に人間がレビュー・修正・覆す能力を保持することが義務付けられる。AIに完全な自律判断を委ねるシステム設計は、コンプライアンス上のリスクとなる。人事評価や与信審査にAIを用いている企業は、ワークフローの見直しが必要になる可能性が高い。
⑤ 精度・堅牢性・サイバーセキュリティの確保
高リスクAIシステムには、適切なレベルの精度・堅牢性・サイバーセキュリティを備えることが求められる。特にサイバーセキュリティの観点では、敵対的攻撃(Adversarial Attack)への耐性が論点になる。悪意ある入力によってAIが誤った判断を下すリスクへの対策が必要だ。
また、AIシステムが意図せぬ動作をした場合のログ記録も義務化される。インシデント発生時に何が起きたかを事後的に検証できる体制を整えることが、コンプライアンスと同時にシステム改善の観点からも重要となる。
日本企業への具体的な影響:3つの重要シナリオ
「EU AI法は欧州の話」と捉えている日本企業は多いが、実際には以下の3つのシナリオで日本企業にも直接的な影響が及ぶ。
シナリオ1:EU市場への直接展開
AIシステムを組み込んだ製品・サービスをEU市場で販売・提供している場合、提供者(プロバイダー)として義務を負う。SaaSプロダクトをEUユーザーに展開している日本のスタートアップや、EU拠点に業務システムを導入している日系大企業が該当する。
シナリオ2:EU企業のサプライチェーン参加
EU企業がエンドユーザーとなるAIシステムやAI搭載コンポーネントを製造・供給している場合、EU AI法の義務がサプライチェーンを通じて日本企業に流れ込んでくる。EU取引先から技術文書の提供やコンプライアンス証明を求められるケースが増加すると予想される。
シナリオ3:日本国内での先行対応
直接的なEU接点がない企業であっても、日本政府がEU AI法に倣った国内規制を整備する可能性がある。内閣府のAI戦略会議でもリスクベースのAIガバナンスが議論されており、EU対応の体制整備は将来の国内規制への備えにもなる。グローバルスタンダードに沿ったAIガバナンス体制の構築は、中長期的な競争優位性にもつながる。
コンプライアンス対応のロードマップ:今から何をすべきか
2026年8月の完全施行に向けて、現時点から逆算した対応ロードマップを示す。
フェーズ1(今すぐ〜3ヶ月):現状把握
まず自社が利用・提供するすべてのAIシステムのインベントリ(一覧)を作成する。次に、各システムのユースケースを整理し、EU AI法上のリスク分類を仮判定する。この段階では法律の専門家やAIコンサルタントの助けを借りることが有効だ。
フェーズ2(3〜9ヶ月):ギャップ分析と計画策定
高リスクAIに該当するシステムについて、現在の体制とEU AI法の要求事項のギャップを詳細に分析する。技術的な改修が必要な箇所、プロセスの変更が必要な箇所、新たに文書化が必要な箇所をそれぞれリストアップし、対応コストと優先順位を明確にする。
フェーズ3(9〜18ヶ月):体制整備と実装
リスク管理システムの構築、技術文書の作成、データガバナンスの強化、ログ記録の仕組みの実装を進める。並行して、AIシステムに携わる従業員へのコンプライアンス研修を実施する。
フェーズ4(施行3〜6ヶ月前):検証と最終調整
外部の専門家による適合性評価を実施し、是正が必要な事項を最終的に対処する。必要に応じて、EU適合宣言(Declaration of Conformity)の準備を行う。
まとめ:AI規制対応は「コスト」ではなく「競争力」の源泉
EU AI法への対応を単なるコンプライアンスコストと捉えるのは短絡的だ。透明性の高いAIシステム、堅牢なリスク管理、適切なデータガバナンスは、顧客・取引先・投資家からの信頼を高め、長期的な競争優位性の基盤となる。
特に日本企業がBtoB領域でグローバル展開を目指す場合、EU AI法への適合は欧州市場への「参入券」となる。逆に対応が遅れれば、欧州のパートナーやクライアントから調達先として排除されるリスクも現実化する。
2026年8月の完全施行まで、準備に使える時間は限られている。まずは自社のAI活用状況の棚卸しから着手し、段階的にコンプライアンス体制を構築していくことが、今この瞬間に経営層が下すべき判断だ。