この記事で分かること
- EU AI Act の主要な施行スケジュールと2026年のマイルストーン
- 罰則体系の詳細(最大3,500万ユーロ)
- 日本企業がEU AI Actの対象になるケース
- 高リスクAIシステムの定義と具体例
- 今すぐ着手すべき3つのコンプライアンス対策
「遠い話」ではなくなってきた、EU AI Actの現在地
「EU AI Actは欧州の話で、日本企業には関係ない」——そう思っていませんか?
2026年現在、その認識は危険です。EU AI Actは2024年8月に発効し、2026年2月には違反行為への適用が始まり、そして2026年8月2日には高リスクAIシステムへの要件が完全施行されます。
しかも重要なのは、EU AI Actには域外適用があることです。EU市民を対象とするAIシステムを提供する事業者は、日本企業であっても規制の対象になります。
フィンランドは2025年12月22日、EU加盟国の中で最初に完全な執行権限を持つ国家AI当局を設置しました。EU全体の執行体制が整いつつある中、日本のビジネスリーダーはこの規制を真剣に受け止める必要があります。
EU AI Actの構造:リスクレベル別の規制体系
EU AI Actは、AIシステムをリスクの高さに応じて4段階に分類しています。
禁止されるAI(受容不可能リスク)
以下の行為は、AI Act施行後は原則として禁止されます。
- 人の意識に気づかれない形で行動を操作するAI
- 社会的スコアリング(政府機関によるもの)
- 公共スペースでのリアルタイム生体認証(例外あり)
- 感情認識AI(職場・教育機関での使用)
- 人種・宗教・政治的信条に基づく個人のプロファイリング
高リスクAIシステム(2026年8月から完全施行)
医療診断・採用選考・信用スコアリング・重要インフラ管理などに使われるAIが対象です。これらのシステムには、リスク管理・データガバナンス・技術文書・人間による監視・透明性確保が義務付けられます。
限定的リスク(透明性義務)
チャットボットなど、人間と対話するAIは「AIであること」を明示する義務があります。
最小リスク(任意対応)
スパムフィルターや生産性向上ツールなどは規制対象外です。
罰則体系:最大3,500万ユーロの制裁金
EU AI Actの罰則は、GDPRをさらに上回るレベルに設定されています。
| 違反の種類 | 罰則上限 |
|---|---|
| 禁止されたAIの開発・提供 | 3,500万ユーロ、または全世界年間売上の7%(高い方) |
| 高リスクAI要件違反 | 1,500万ユーロ、または全世界年間売上の3%(高い方) |
| 当局への虚偽情報提供 | 750万ユーロ、または全世界年間売上の1%(高い方) |
中堅企業でも、世界売上の7%という罰則は経営を揺るがす規模になり得ます。GDPRで実績を積んだEUの執行当局が、AI分野でも積極的に動き始めています。
日本企業が対象になる典型ケース
「EU市場向けにSaaSを提供している」「欧州拠点の顧客がいる」——これだけでEU AI Actの対象になりえます。具体的には以下のようなケースで適用可能性があります。
ケース1:採用管理システムのAI機能
欧州の求職者を選考するためのAI機能(レジュメスクリーニング・適性評価など)は高リスクAIに分類されます。
ケース2:医療・ヘルスケアAI
診断支援AIや患者管理AIは高リスクに分類されます。日本の医療テック企業が欧州に展開する場合、適合審査が必要です。
ケース3:一般公開のチャットボット
カスタマーサポートや相談対応のAIチャットボットには、「AI利用の明示」が義務付けられます。
日本企業が今すぐ着手すべき3つの対策
対策1:自社AIシステムのリスク分類を実施する
まず自社で使用・提供しているAIシステムを棚卸しし、EU AI Act上のリスク分類を確認しましょう。欧州委員会が公開しているガイドラインに沿って、高リスクに該当するシステムを特定することが出発点です。
対策2:データガバナンスの整備を始める
高リスクAIには、学習データの品質管理・文書化・ログ保存が求められます。「個人データをAIに入れない、または入れる際は適切に保護する」というデータガバナンス体制の整備は、EU AI ActとGDPRを同時に満たすための基盤になります。
PII Firewall は、AIへの入力から個人情報を自動検知・マスキングすることで、データガバナンス要件への対応を技術的にサポートします。GDPR・EU AI Act・個人情報保護法(日本)に対応した設計になっています。
対策3:AIポリシーとリスク管理手順を文書化する
EU AI Actは文書化を重視しています。リスクアセスメントの記録・インシデント対応手順・人間による監視体制を文書として整備しておくことが、監査への備えになります。
まとめ:2026年8月が実質的な「ゼロ時刻」
EU AI Actの主要スケジュールを改めて確認しましょう。
| 時期 | 内容 |
|---|---|
| 2024年8月 | 発効 |
| 2025年2月 | 禁止AI(受容不可能リスク)への適用開始 |
| 2025年12月 | フィンランドが最初のEU AI Act執行機関設置 |
| 2026年8月 | 高リスクAIシステムへの要件が完全施行 |
| 2027年8月以降 | 一部の高リスクシステムへの猶予期間終了 |
「2026年8月2日」を実質的なタイムリミットとして、今から準備を進めることが日本企業にとって急務です。
「うちはまだEUに進出していないから大丈夫」という考え方は危険です。AIシステムが越境サービスに組み込まれる現代では、意図せずEU市場向けのAIを提供していることがよくあります。早めのリスク評価と対策が、長期的なコスト削減にもつながります。
関連用語
- EU AI Act(EU人工知能規制): EUが制定した世界初の包括的なAI規制法。リスクベースのアプローチで分類される
- 高リスクAIシステム: 採用・医療・重要インフラ等で使用されるAIで、厳格な要件が課される
- 域外適用: EU市民を対象とする事業者にはEU域外でも法律が適用される原則
- GDPR: EU一般データ保護規則。EU AI Actと並んで企業のAI活用を規律する
参考文献
- EU AI Act 2026 Updates: Compliance Requirements and Business Risks | LegalNodes
- EU AI Act Takes Full Effect in August | State of Surveillance
- EU AI Act News 2026: Compliance Requirements & Deadlines | Axis Intelligence
- Penalties of the EU AI Act | Holistic AI
- Article 99: Penalties | EU Artificial Intelligence Act(公式条文)