「EU AI Actはヨーロッパの話だから、日本の中小企業には関係ない」——2025年まではそう言えたかもしれません。しかし2026年現在、この認識は大きなリスクを抱えることになっています。
EU AI Act(EU人工知能規則)は2024年8月に正式発効し、2025年から段階的に適用が始まりました。日本企業であっても、EU域内の顧客・パートナーとビジネスをしていたり、EU域内でサービスを提供していたりする場合は適用対象になる可能性があります。GDPRが「EU市民のデータを扱う企業すべてに適用される」という形で日本企業にも影響を与えたのと、まったく同じ構造です。
さらに、EU AI Actの枠組みは日本国内のAIガバナンス政策にも影響を与えており、日本国内のみで事業を行う企業でも、近い将来に類似の規制への対応が求められる可能性が高い状況です。
本記事では、EU AI Actの全体像を日本語でわかりやすく解説し、日本企業が今すぐ取り組むべき実務対応と、業種別の具体的なチェックリストを提供します。
AIセキュリティ全般については「AIセキュリティとOWASP Top 10 for LLM」を、社内AIルール整備については「社内AI利用ガイドラインの作り方」も合わせてご覧ください。
EU AI Actとは何か——3分でわかる全体像
EU AI Act(正式名称:Regulation of the European Parliament and of the Council on Artificial Intelligence)は、AIシステムに関する世界初の包括的な法的規制です。
| 項目 | 内容 |
|---|---|
| 正式発効 | 2024年8月1日 |
| 全面適用 | 2026年8月2日(発効から2年後) |
| 早期適用(禁止事項) | 2025年2月2日より適用済み |
| 高リスクAI適用 | 2025年8月より段階的に適用 |
| 違反時の制裁金 | 最大3,500万ユーロ、または全世界年間売上高の7%のいずれか高い方 |
| 適用対象 | EU域内でAIシステムを提供・利用するすべての事業者(所在地問わず) |
GDPRと同様に域外適用が明記されており、日本に本社がある企業でもEU域内でサービスを提供・展開している場合は対象となります。
日本企業に「関係ない」が通用しない4つの理由
① 域外適用——GDPRと同じ構造
EU AI Actは、AIシステムの「提供者(Provider)」だけでなく「展開者(Deployer)」にも義務を課しています。EU域内のユーザーに対してAIを活用したサービス・製品を提供している日本企業は、たとえ日本に法人があるだけの場合でも適用対象になり得ます。
具体的には以下のようなケースが該当する可能性があります。
- EU域内の企業・個人向けにSaaSやアプリを提供している
- EU域内に取引先・子会社・支社がある
- EU域内でリクルーティングや採用活動にAIを使っている
- EU域内の顧客向けにAIを活用したカスタマーサポートを提供している
② サプライチェーンへの波及
EU AI Actの規制対象となるEU企業と取引関係がある日本企業は、取引先からコンプライアンス対応の証明や協力を求められる可能性があります。GDPRでも日本のビジネスパートナーがデータ処理委託契約(DPA)の締結を求められた事例が多数ありましたが、AI Actでも同様の動きが予想されます。
③ 日本の国内規制への影響
日本では現時点(2026年2月)で、AIに関する法的規制は産業別ガイドライン・推奨事項のレベルにとどまっています。しかし内閣府・経済産業省・総務省はEU AI Actを参照しながら国内のAIガバナンス政策を検討しており、中長期的に類似の規制が日本でも導入される可能性が高い状況です。
今からEU AI Actへの対応を進めることは、将来の国内規制への先行対応にもなります。
④ 顧客・投資家からのガバナンス要求の高まり
ESG投資・サステナビリティ経営が広まる中、AIガバナンスは企業価値評価の要素になりつつあります。大手取引先・投資家・金融機関から「AIリスク管理体制はどうなっていますか?」と聞かれる場面が、今後急速に増えることが予想されます。
EU AI Actのリスク分類——4段階のピラミッド構造
EU AI Actの核心は、AIシステムをリスクレベルによって4段階に分類し、それぞれに異なる義務を課すという構造です。
レベル1:容認できないリスク(禁止)
2025年2月2日より適用済み。以下のAIシステムはEU域内での使用が全面禁止されています。
- 人間の無意識の行動を操作するサブリミナル技術を使ったAI
- 脆弱なグループ(子ども・高齢者等)の弱点を悪用するAI
- 政府・公的機関による市民の社会的スコアリングシステム
- 公共空間でのリアルタイム生体認証(例外規定あり)
- 感情認識AIの職場・教育機関での使用
- 犯罪予測のための個人プロファイリング
レベル2:高リスクAI(厳格な規制)
最も重要な規制カテゴリーです。以下の分野で使用されるAIが該当します。
別表I(製品安全規制の対象機器に組み込まれたAI):
- 医療機器・体外診断用医療機器
- 航空機・鉄道・自動車等の安全システム
- 玩具・エレベーター等の安全関連機器
別表III(スタンドアロン型の高リスクAI):
- 採用・人事:求人票の配信・選考・採用・昇進・解雇の判断に使うAI
- 教育:入学試験・試験評価・学習到達度の評価に使うAI
- 金融:個人への融資・保険・信用スコアリングに使うAI
- 医療:診断支援・治療推奨・患者トリアージに使うAI
- 行政サービス:社会保障・公共サービスの資格審査に使うAI
- 重要インフラ:電力・水・交通等のインフラ管理に使うAI
- 法執行:犯罪リスク評価・証拠分析に使うAI
- 入国管理:ビザ・難民審査に使うAI
- 司法:判決支援・事件結果予測に使うAI
レベル3:限定リスクAI(透明性義務)
特定の透明性義務のみが課されるカテゴリーです。
- チャットボット・会話AIシステム:AIであることをユーザーに明示する義務
- ディープフェイク・生成コンテンツ:AI生成であることの明示義務
- 感情認識AI(職場・教育以外):使用目的の開示義務
レベル4:最小リスクAI(義務なし)
スパムフィルター・AIゲーム・特定の画像認識システムなど、リスクが極めて低いAIは規制の対象外です。ただし、EU AI Actはプロバイダーに対して自主的な行動規範(Code of Practice)の策定を奨励しています。
汎用AI(GPAI)への特別規制
ChatGPT・Claude・Geminiのような汎用AI(General Purpose AI:GPAI)は、EU AI Actで別途の規制対象として扱われます。
| 区分 | 対象 | 義務 |
|---|---|---|
| 全GPAIモデル | すべての汎用AIモデル提供者 | 技術文書の作成・著作権法遵守・学習データの要約公開 |
| システミックリスクのあるGPAI | 学習コスト10^25 FLOPSを超えるモデル(GPT-4・Claude 3等が該当) | 上記に加えてモデル評価・重大インシデント報告・サイバーセキュリティ対策 |
日本企業への影響:ChatGPT・Claude・GeminiをAPIで利用してサービスを構築している日本企業は、GPAIの「展開者(Deployer)」として透明性義務や高リスクAI要件が連鎖的に課される可能性があります。
高リスクAIに課される主な義務
高リスクAIに分類されるシステムを開発・提供・利用する事業者には、以下の義務が課されます。
① リスクマネジメントシステムの構築
AIシステムのリスクを特定・分析・評価する体系的な仕組みを構築し、文書化する義務があります。一度作れば終わりではなく、継続的な更新・モニタリングが求められます。
② データガバナンス
AIの学習・テスト・バリデーションに使用するデータが適切に管理されていることを確認し文書化する義務があります。データの偏り(バイアス)のチェックも含まれます。
③ 技術文書(Technical Documentation)
AIシステムの設計・開発プロセス・性能・リスク対策に関する詳細な文書を作成・維持する義務があります。
④ 記録・ログの保管
AIシステムが行った判断・処理の記録を自動的に保管し、監査に備える義務があります。
⑤ 透明性とユーザーへの情報提供
AIシステムの能力・限界・使用方法についてユーザーに明確に情報提供する義務があります。
⑥ 人間による監視(Human Oversight)
AIシステムの出力に対して人間が監視・介入・修正できる仕組みを設ける義務があります。「AIが決めたから」という言い訳は通用しません。
⑦ 正確性・堅牢性・サイバーセキュリティ
AIシステムが適切な精度で動作し、不正アクセスや操作に対して耐性を持つことを確保する義務があります。
⑧ EU適合宣言とCEマーキング
製品安全規制の対象となる高リスクAI(医療機器・自動車等に組み込まれたAI)には、EU適合宣言とCEマーキングが必要です。
業種別:高リスクAI該当チェックリスト
以下の業種別チェックリストで、自社のAI活用が高リスクカテゴリーに該当するかを確認してください。
✅ 金融・保険・証券業
- □ 個人の信用スコアリング・融資審査にAIを使っている
- □ 保険料算定・リスク評価にAIを使っている
- □ 個人の投資適合性判断にAIを使っている
- □ 不正検知・マネーロンダリング対策にAIを使っている
1つでも該当する場合:高リスクAI(別表III)の対象となる可能性があります。
✅ 医療・介護・ヘルスケア業
- □ 診断支援・画像診断にAIを使っている
- □ 治療方針・投薬推奨にAIを使っている
- □ 患者の優先順位付け(トリアージ)にAIを使っている
- □ 介護・リハビリ支援ロボットにAIが組み込まれている
✅ 人材・採用業(人材派遣・人材紹介・HR担当部門)
- □ 求人票の配信ターゲティングにAIを使っている
- □ 書類選考・スクリーニングにAIを使っている
- □ 採用・不採用の判断にAIスコアリングを使っている
- □ 人事評価・昇進・解雇判断にAIを使っている
✅ 教育・学習サービス業
- □ 入学選考・試験採点にAIを使っている
- □ 学習到達度の評価・修了判定にAIを使っている
- □ 受講者の学習行動の監視・分析にAIを使っている
✅ 製造・重要インフラ業
- □ 安全システム(機械の緊急停止・異常検知等)にAIが組み込まれている
- □ 医療機器・自動車・航空機部品にAIが組み込まれている
- □ 電力・水道・通信インフラの管理にAIを使っている
✅ すべての企業(限定リスク・透明性義務の確認)
- □ 顧客向けにAIチャットボットを提供している
- □ AIで生成したコンテンツ(画像・動画・文章)を公開している
- □ 従業員・顧客の感情状態を分析するAIを使っている
該当する場合:AIであることの明示・開示義務があります。
日本企業が今すぐ取り組むべき5つの実務対応
① AIシステムの棚卸しと分類
まず自社が使っているAIシステムをすべて洗い出し、EU AI Actのリスク分類に照らして整理することが最初のステップです。
確認すべき項目:
- どのAIツール・サービスを使っているか(ChatGPT・Claude・社内システム等)
- それぞれのAIをどの業務目的で使っているか
- EU域内の顧客・従業員に影響する使い方をしているか
- AIの判断が人に対して重大な影響(採用・融資・医療等)を与えているか
② GDPRとの整合性確認
EU AI ActはGDPRと深く関連しており、特に高リスクAIの利用はGDPRの「自動的な意思決定に対する権利(第22条)」の問題とも連動します。すでにGDPR対応を行っている企業は、その体制をAI Actにも拡張する形での対応が効率的です。
③ AIガバナンス体制の文書化
高リスクAIを使っている・使う可能性がある企業は、以下の文書を整備しておくことを推奨します。
- AI利用台帳:どのAIを・何の目的で・誰が使っているかの一覧
- リスク評価シート:各AIの用途ごとのリスク分類と対策
- 人間監視プロセス:AIの出力を人間がチェックする手順
- インシデント対応手順:AIが問題を起こした場合の報告・対応フロー
④ AIチャットボット等の開示対応
限定リスクカテゴリーに該当するチャットボットや生成AIコンテンツについては、すぐに対応可能な項目です。
- 顧客向けチャットボットに「このシステムはAIです」という明示を追加する
- AIで生成したマーケティング画像・動画に「AI生成」の旨を表示する
- AI生成コンテンツのポリシーを利用規約・プライバシーポリシーに追記する
⑤ 専門家・法律事務所への相談
高リスクAIに該当する可能性がある場合、またはEU域内での事業規模が大きい場合は、EU AI Act対応を専門とする弁護士・コンサルタントへの早期相談を強く推奨します。対応コストは先手を打つほど低く抑えられます。
EU AI Act対応の実務チェックリスト(全企業共通版)
以下のチェックリストを自社の現状確認にお使いください。
【フェーズ1:現状把握(今すぐ)】
- □ 社内で使用しているAIツール・サービスをすべてリストアップした
- □ 各AIツールの使用目的(業務内容)を明確にした
- □ EU域内の顧客・従業員への影響があるかを確認した
- □ 採用・融資・医療・教育など高リスク分野へのAI適用有無を確認した
【フェーズ2:基礎対応(1〜3ヶ月)】
- □ AIシステムの分類(リスクレベル)を行った
- □ 顧客向けチャットボットに「AI」である旨の明示を追加した
- □ AI生成コンテンツへの開示表示を実施した
- □ 社内AI利用ガイドラインにEU AI Act関連事項を追記した
- □ AIの使用に関する記録・ログの保管ルールを決めた
【フェーズ3:高リスクAI対応(3〜6ヶ月)】
- □ 高リスクAI該当システムのリスク評価書を作成した
- □ 人間監視(Human Oversight)プロセスを設計・文書化した
- □ AIに関するインシデント対応手順を整備した
- □ データガバナンス(学習データの品質・偏り管理)を確認した
- □ 必要に応じてGDPRとの整合性確認を行った
【フェーズ4:継続的対応(6ヶ月〜)】
- □ AI利用状況の定期的な監査体制を構築した
- □ EU AI Actの規制動向・ガイダンスの更新をモニタリングする担当を決めた
- □ 取引先・パートナーへのAIコンプライアンス確認手順を整備した
- □ 従業員へのAIガバナンス研修を実施した
よくある質問(FAQ)
Q1. 日本にしか拠点がない中小企業でも対応が必要ですか?
EU域内での事業活動が一切ない純粋な国内事業者であれば、現時点では直接的な法的義務は発生しません。ただし、以下のケースでは対応の検討が必要です。①EU域内の企業と取引がある、②EU域内向けにWebサービス・アプリを提供している、③将来のEU展開を検討している、④日本国内の類似規制への先行対応として整備したい。
Q2. ChatGPTやClaudeを社内で使っているだけでも規制対象ですか?
ChatGPT・ClaudeなどのGPAIを社内業務(文章作成・分析等)に使っているだけであれば、通常は高リスクAIには該当しません。ただし、そのAIを採用判断・信用評価・医療診断補助などに活用している場合は、「展開者(Deployer)」として高リスクAI規制の対象となる可能性があります。用途が鍵です。
Q3. 違反した場合の制裁金は現実的に発生しますか?
最大3,500万ユーロという数字はあくまで上限です。規制当局は企業規模・違反の重大性・悪意の有無・協力姿勢などを考慮して判断します。ただし、GDPRの制裁事例(Meta・Googleへの数百億円規模の制裁)を見ると、EUの規制執行は本気であることが分かります。特に高リスクAI分野での違反は厳しく扱われる可能性があります。
Q4. GPAI(ChatGPT等)のプロバイダーではなく利用者には何の義務がありますか?
AIシステムの「展開者(Deployer)」には以下の義務があります。①高リスクAIに関する技術文書の確認・保管、②AIシステムが意図した目的に沿って使われていることの確認、③人間監視の実施、④重大インシデントの報告(規制当局へ)。「使うだけ」でも義務は発生します。
Q5. EU AI Actと日本のAI政策の関係は?
日本政府(内閣府・経済産業省)は「AI事業者ガイドライン」を2024年に策定しており、EU AI Actとの整合性を意識した内容になっています。現時点では法的拘束力のないガイドラインですが、今後の法制化の検討においてEU AI Actが参照されることは確実です。日本企業がEU AI Actへの対応を進めることは、将来の国内規制への対応にもなります。
まとめ——「知らなかった」では済まされない時代の準備を
EU AI Actは2026年8月に全面適用を迎えます。GDPRが最初は「EU企業だけの問題」と思われていたにもかかわらず、日本企業にも多大な影響を与えたように、EU AI Actも同様の波及効果をもたらすことは確実です。
本記事のポイントをまとめます。
まず、採用・金融・医療・教育でAIを使っている企業は、今すぐ高リスクAI該当チェックを行うことが急務です。EU域内への展開有無にかかわらず、将来的な規制の方向性を理解するためにも重要です。
次に、チャットボット・AI生成コンテンツの「AI明示」対応は、すぐに実施できる最初の一歩です。コストもかからず、顧客への透明性向上にもなります。
そして、AI利用の棚卸しと文書化は、EU AI Act対応だけでなく社内ガバナンス強化・取引先への説明責任のためにも価値があります。「どのAIを・何の目的で・誰が使っているか」を整理するところから始めてください。
⚠️ 対応が特に急がれる業種
以下の業種はEU AI Actの「高リスクAI」に直接関わる可能性が高いため、早期の専門家相談を推奨します。
・金融・保険・証券業——融資・保険・信用スコアリングへのAI活用
・医療・介護業——診断支援・患者管理へのAI活用
・人材派遣・人材紹介業——採用スクリーニング・マッチングへのAI活用
・教育サービス業——試験採点・入学選考へのAI活用
詳しくは各業種ガイドをご覧ください:
▶ AI×金融・保険・証券業ガイド
▶ AI×人材派遣・人材紹介業ガイド
AIガバナンス・セキュリティの全体像については「AIセキュリティとOWASP Top 10 for LLM」を、社内ルール整備については「社内AI利用ガイドラインの作り方」を、社内AIシステムのセキュリティについては「社内AIシステムのセキュリティ対策ガイド」も合わせてご覧ください。
※本記事の情報は2026年2月時点のものです。EU AI Actの適用詳細・ガイダンスは今後更新される場合があります。法的対応については必ず専門家(弁護士・コンサルタント)にご相談ください。
コメント