AI

EU AI Actとは?リスク分類・域外適用と日本企業の対応を解説【2026年時点】

EU AI Act(欧州AI法)は、2024年8月1日に発効した世界初の包括的なAI規制です。EU域内の企業だけを対象にする法律ではなく、EU市場にAIを提供する事業者や、EU域内の人にAIでサービスを届ける事業者にも及びます。日本からEUと取引する企業、あるいはEUに拠点を持つ企業にとっては、対応の要否を早めに切り分けておきたい制度でしょう。この記事では、4段階のリスク分類、域外適用が生じる条件、違反時の罰則、2024年から2028年までの適用スケジュールを整理します。あわせて、2026年5月に暫定合意されたDigital Omnibus(AI簡素化パッケージ)によるハイリスクAI義務の延期という最新動向と、日本企業が2026年時点で着手すべき実務対応まで踏み込みます。

目次

まとめ:EU AI Actの要点と日本企業が最初に取るべき対応

EU AI Actは、AIを危険度で4段階に分け、段階ごとに義務の重さを変える「リスクベースアプローチ」を採ります。許容できないリスクのAIは禁止、ハイリスクAIは技術文書やリスク管理体制など重い義務、限定リスクは透明性の表示義務、最小リスクは原則自由、という配分です。禁止AIとAIリテラシー義務は2025年2月から、汎用目的AI(GPAI)モデルの義務は2025年8月から、すでに適用が始まっています。

日本企業が最初に確かめるべきは「自社が域外適用の対象になるか」です。EUにAIを売る、EUの人向けにAIでサービスを提供する、といった接点があれば、日本に本社があっても義務が生じ得ます。対象になりそうなら、社内で使うAIと外部に提供するAIを棚卸しし、どのリスク分類に当たるかを判定するところから始めます。

もう一点、2026年時点で見落とせないのがスケジュールの変更です。本来2026年8月に始まる予定だったハイリスクAI(用途ベース)の義務は、Digital Omnibusにより2027年12月へ延期される見込みとなりました。ただし延期されたのは一部で、GPAIモデルの義務や罰則の枠組みは予定どおり進みます。延期を「対応不要」と読み違えないことが、この局面での分かれ目です。

EU AI Actとは何か:世界初の包括的なAI規制の全体像

EU AI Actは、AIの開発・提供・利用を横断的に規律する法律で、正式名称は「Regulation (EU) 2024/1689」です。EUの官報公布を経て2024年8月1日に発効し、条項ごとに適用開始日をずらす形で段階的に効力を持ちます。GDPR(一般データ保護規則)がデータ保護で世界標準になったのと同じ構図で、AI規制の事実上の基準として各国の法整備に影響を与えています。

EU AI Actが制定された背景と規制がめざす主な二つの目的

立法の出発点は、AIがもたらす便益を残しながら、健康・安全・基本的権利へのリスクを抑えるという二本立ての目的でした。欧州委員会が2021年4月に草案を公表し、生成AIの急速な普及を受けてGPAI(汎用目的AI)への規定が追加されたうえで、2024年に成立しています。個別のAI技術を名指しで禁じるのではなく、用途と影響の大きさで線を引くのが設計思想です。医療機器や採用選考のように人の権利や安全に直結する使い方ほど、重い義務がかかります。

危険度でAIの扱いを変えるリスクベースアプローチという規制の骨格

EU AI Actの骨格は、AIを一律に縛らず危険度で扱いを変える「リスクベースアプローチ」にあります。危険度は上から、許容できないリスク・ハイリスク・限定リスク・最小リスクの4段階です。EUのこの分類を含む世界全体のAI規制の見取り図は、AI規制とは何か・EUや日本など主要国の違いで整理しています。加えて、用途を特定しない汎用目的AIモデルには、この4段階とは別枠の横断的な義務が課されます。自社のAIがどの段階に当たるかを見極めることが、義務の重さと対応コストを左右する起点です。分類を誤ると、必要な文書化を怠ったり、逆に過剰な体制を組んだりという判断ミスにつながります。

2024年から2028年までAI Actが段階適用される期日

EU AI Actは発効後、複数の期日に分けて義務が立ち上がります。2026年時点で確定している主な期日と、後述するDigital Omnibusで延期される見込みの期日を、現行と改正案を区別して整理します。施行日が未来の項目は、公式スケジュールの更新を都度確認してください。

時期 対象 状態
2024年8月1日 法律の発効 適用済み
2025年2月2日 禁止AIとAIリテラシー義務 適用済み
2025年8月2日 GPAIモデル提供者の義務 適用済み
2026年8月2日 統治構造と罰則の枠組み 予定どおり
2027年12月2日 ハイリスクAI(用途ベース) 延期案
2028年8月2日 ハイリスクAI(製品規制型) 延期案

禁止AIやGPAIの義務はすでに動いています。日本企業がEU向けにAIを提供している場合、これらは「これから」ではなく「もう始まっている」対応対象です。

EU AI Actの4段階リスク分類とAIシステムの義務の違い

リスク分類ごとに義務の性質と重さが変わります。自社のAIがどこに位置するかで、必要な書類も体制もコストも大きく変わるため、分類の判定は対応計画の土台になります。

許容できないリスクとして市場投入も利用も禁止されるAIの類型

人の尊厳や基本的権利を著しく損なうAIは、市場投入も利用も禁じられます。具体例は、行動を操作するサブリミナル技術、社会的信用スコアリング、公共空間でのリアルタイム遠隔生体認証(法執行の一部例外を除く)などです。この禁止規定は2025年2月2日からすでに効力を持ちます。さらにDigital Omnibusでは、非同意の親密画像や児童性的虐待素材を生成・操作するAIを禁止対象へ加える改正が示され、2026年12月2日からの適用が見込まれています。

ハイリスクAIの提供者に課される技術文書とリスク管理体制の整備

採用選考、与信審査、重要インフラの制御、医療機器など、人の権利や安全に大きく関わる用途はハイリスクに分類されます。ハイリスクAIの提供者には、リスク管理システムの構築、学習データの品質管理、技術文書と自動ログの整備、人間による監督の設計、適合性評価などが求められます。EUのデータベースへの登録が必要になる類型も少なくありません。義務の数と深さが4段階のなかで最も重く、対応には設計段階からの作り込みが必要です。運用者(デプロイヤー)側にも、指示に沿った利用やログ保存といった義務が及びます。

限定リスクの透明性の表示義務と最小リスクの原則自由という扱い

チャットボットのように人がAIと対話していると分かりにくいAIや、ディープフェイクなど生成・加工されたコンテンツには、限定リスクとして透明性の表示義務がかかります。「AIによる生成・操作である」と利用者に分かる形で示すのが要点です。この透明性義務(第50条(2))のうち、既存システム向けの一部は2026年8月から2026年12月へ4か月ずれる見込みです。一方、スパムフィルタやゲーム内AIといった大半のAIは最小リスクに当たり、法的な追加義務は原則ありません。多くの日常的なAIはこの区分に収まります。

汎用目的AI(GPAI)モデルの提供者に課される横断的な義務

大規模言語モデルのように用途を限定しない汎用目的AIモデルには、4段階とは別枠で義務がかかります。提供者に求められるのは、技術文書の作成、学習に用いた著作物の要約公開、EU著作権法への対応方針の整備などです。計算資源が一定規模を超え「システミックリスク」を持つとされたモデルには、モデル評価や重大インシデントの報告など上乗せの義務が加わります。この規定は2025年8月2日から適用が始まっており、生成AIを自社サービスに組み込む企業は、利用するモデルの提供者がどこまで対応しているかを確認する段階に入っています。

EU域外の日本企業にも規制が及ぶ域外適用の条件と対象判定の軸

EU AI Actは、事業者の所在地ではなく「EU市場やEU域内の人との接点」で適用範囲を決めます。日本に本社があっても、条件に当たれば義務の対象です。まず自社が対象かを切り分けることが、過不足のない対応につながります。

EU域外の日本企業にも域外適用が生じる主な三つの接点パターン

域外適用が問題になる接点は、大きく次の3類型に整理できます。いずれも「EUにいるかどうか」ではなく「EU市場やEUの人に届いているか」で判断します。

  • EU域内にAIシステムやGPAIモデルを提供・上市する(提供者)
  • EU域内で自社のAIを業務に利用する(運用者・EU拠点での利用を含む)
  • AIの出力がEU域内の人に向けて使われる(EUの顧客・従業員が対象になる場合)

たとえば、日本で開発したAIを直接EUに売っていなくても、提供先の日本企業がそのEU支社で使う、あるいはEUの顧客向けサービスに組み込む、といった経路で自社に義務が及ぶことがあります。

提供者と運用者という立場によって異なる義務の重さと切り分け方

同じAIでも、作って提供する側(プロバイダー)と、使う側(デプロイヤー)で義務は異なります。提供者は技術文書や適合性評価など製品としての責任を負い、運用者は指示に沿った利用・人間による監督・ログ保存といった運用面の責任を負います。自社が開発元なのか、他社製AIを組み込んで提供しているのか、単に業務で使っているだけなのか。この立場の切り分けを誤ると、負うべき義務を取り違えます。生成AIをAPI経由で組み込んで自社ブランドで提供する場合は、実質的に提供者としての義務を問われる場面がある点に注意します。

自社が域外適用の対象になるかどうかを見極めるための判定の視点

対象判定は、次の順で確かめると整理しやすくなります。第一に、EU市場・EU域内の人との接点があるか。第二に、その接点で自社は提供者か運用者か。第三に、対象AIのリスク分類はどこか。この3点が定まれば、義務の有無と重さの見当がつくはずです。判定にあたっては、社内で使うAIツールと外部に提供するAIを別々に棚卸しし、シャドーAIのように把握できていない利用がないかも確認します。無断で使われるAIの管理については、シャドーAIとは何か・情報漏洩リスクと対策の整理も判断材料になります。

EU AI Act違反時の罰則と日本企業が負う実務上のリスク

EU AI Actの制裁金は、違反の性質で3段階に分かれ、上限はGDPRを上回る水準です。金額の大きさだけでなく、取引や信用への波及も含めてリスクを見積もる必要があります。

違反の性質によって三段階に分かれる制裁金の上限額と算定の基準

制裁金は違反の重さで段階化されています。金額は「定額」と「全世界年間売上高に対する割合」のいずれか高い方が上限です。

違反の種類 制裁金の上限
禁止AIの違反 3,500万ユーロ / 売上7%
その他の義務違反 1,500万ユーロ / 売上3%
不正確な情報提供 750万ユーロ / 売上1%

売上高比の算定は「全世界」が基準です。EU向け事業の規模が小さくても、グループ全体の売上に割合をかけた金額が上限になり得るため、事業規模が大きい企業ほど絶対額が膨らみます。

制裁金の額以外に生じる取引の失注と信用低下という実務上のリスク

実務で効いてくるのは制裁金だけではありません。EUの取引先が調達条件としてAI Act適合を求めるようになれば、未対応は契約要件を満たせず失注につながります。ハイリスクAIが適合性評価を通らなければ、そもそもEU市場に出せません。加えて、規制違反が公になれば、AIの信頼性を疑われ、EU以外の市場での評価にも響きます。金銭的な制裁の手前で、取引機会そのものを失うリスクまで見積もる必要があります。

Digital Omnibusによるハイリスク義務の延期と2026年時点の最新動向

2026年に入り、適用スケジュールは一度見直されました。EUが2026年5月に暫定合意した簡素化パッケージ「Digital Omnibus」により、ハイリスクAIの義務が後ろ倒しされる見込みです。ここは2026年時点でのみ正確に押さえられる論点で、古いスケジュールのまま計画を立てると期日を読み違えます。

2026年5月に暫定合意されたDigital Omnibusの延期内容

Digital Omnibus(AI簡素化パッケージ)は、EU理事会・欧州議会・欧州委員会の交渉担当者が2026年5月7日に暫定合意したものです。標準規格や実装ガイドの準備が間に合わないという実務上の事情を背景に、ハイリスクAIの義務適用を先送りします。2026年7月時点では正式採択と官報公布が最終段階にあり、確定前提での前倒し対応と、確定後の再確認の両方を想定しておくのが安全でしょう。EUの規制簡素化という同じ流れは、接続製品を対象とするサイバーレジリエンス法(CRA)の対象製品と義務の議論とも地続きで、EUデジタル規制全体の動きとして捉えると見通しが立てやすくなります。

Digital Omnibus延期後に想定される新しい適用スケジュール

延期案での主な変更は次の3点です。用途ベースのハイリスクAI(附属書III)の義務は、2026年8月2日から2027年12月2日へ約16か月後ろ倒しされます。製品規制型のハイリスクAI(附属書I)の義務は、2027年8月2日から2028年8月2日へ1年延びる見込みです。既存システム向けの一部の透明性義務(第50条(2))は、2026年8月2日から2026年12月2日へ4か月ずれます。一方で、GPAIモデルの義務、統治構造、罰則の枠組みは延期の対象外で、予定どおり進む点を取り違えないことが要点です。

義務が一部延期されても2026年時点で対応に動くべき三つの理由

期日が延びたことを「対応不要」と読むのは誤りです。理由は3つあります。第一に、禁止AIとGPAIの義務はすでに適用済みで、EU向けにAIを提供していれば今すぐ対象になります。第二に、ハイリスクAIの技術文書やリスク管理体制は、設計段階からの作り込みを要し、公布から着手しても期日に間に合わないことが多いためです。第三に、EU取引先が調達条件として適合を求める動きは、法の適用日を待たずに前倒しで進みます。延期は準備期間の猶予であって、着手を止める理由にはなりません。むしろ、標準規格が固まる前の今こそ、自社AIの棚卸しと分類判定を進める好機と捉えるべきでしょう。

日本企業がEU AI Act対応でいま着手すべきAIガバナンス実装

EU AI Actへの対応は、法務の読み込みだけでは完結せず、AIの設計・記録・運用という実装面の作り込みが必要です。ここでは、事実(何が変わるか)を踏まえて、日本企業が2026年時点で取るべき具体的な着手順を、判断を交えて示します。

社内で使うAIと外部に提供するAIの棚卸しとリスク分類の判定

最初の一歩は、社内で使うAIと外部に提供するAIをすべて洗い出し、それぞれのリスク分類と自社の立場(提供者か運用者か)を確定することです。ここが曖昧なままだと、後続の文書化も体制構築も的を外します。生成AIを組み込んだ社内ツールが把握されずに使われているケースも多く、棚卸しの段階でシャドーAIの有無まで見ておくと手戻りが減ります。分類の判定は、法務と技術の双方が同じ台帳を見て進めるのが実務では有効です。

技術文書と自動ログ・リスク管理システムを設計段階から組み込む

ハイリスクAIに該当するなら、リスク管理システム、学習データの品質管理、技術文書、自動ログ、人間による監督の仕組みを、AIの設計に組み込んで用意します。これらは後付けが難しく、モデルの学習・推論のパイプラインに記録と監督の仕組みを最初から埋め込む設計が求められます。とくに自動ログと技術文書は、適合性評価や当局への説明で証跡になるため、運用開始後も継続して残せる形にしておくのが実務です。こうしたAIのリスク管理やガバナンスの実装を外部と組んで進める場合は、AIセキュリティ対策の受託支援のように、設計段階からリスク管理を織り込める体制を選ぶと、後戻りのコストを抑えられます。

外注・受託開発の要件定義でAI Actへの対応を設計に織り込む

AI開発を外注する場合、コンプライアンスは発注時の仕様として明記するのが実務のコツです。「技術文書を整備する」「学習データの出所と品質を記録する」「人間による監督を組み込む」といった要件を要件定義に入れておかないと、完成後に義務充足のためのやり直しが発生します。全社のAI利用を統制する枠組みづくりは、AIガバナンスの統制の枠組みの考え方と合わせて設計すると、EU AI Actと社内ルールを一貫させやすくなるはずです。受託開発の段階で規制要件を織り込めば、法対応を「後から足すコスト」ではなく「設計の一部」にできます。

対応を今すぐ急ぐべき企業と後回しにできる企業を分ける線引き方

すべての日本企業が同じ速度で動く必要はありません。ここは判断を明示します。EU市場にAIを提供している、EU拠点でAIを業務利用している、EUの顧客・従業員をAIの出力対象にしている――このいずれかに当たる企業は、延期の有無にかかわらず今すぐ着手すべきです。とくにハイリスク用途に該当するなら、2027年12月の期日を「まだ先」と見送るのは危険で、設計の作り込みに要する時間を逆算すると2026年時点での着手が現実的な下限になります。一方、EUとの接点が現時点でまったくなく、将来的な進出予定もない企業は、EU AI Actそのものへの即応より、国内のAIガバナンス整備を先行させるほうが投資対効果は高くなります。ボリュームの大きい話題だからと一律に飛びつくのではなく、自社の接点の有無で優先順位を切り分けることが、過剰投資を避ける分岐点です。

よくある質問

EU AI Actについて、日本企業からよく挙がる質問に簡潔に答えます。

EU AI Actはいつから適用されますか?

2024年8月1日に発効し、義務は段階適用です。禁止AIとAIリテラシー義務は2025年2月2日、GPAIモデルの義務は2025年8月2日から適用済みです。ハイリスクAI(用途ベース)は本来2026年8月の予定でしたが、2026年5月合意のDigital Omnibusにより2027年12月2日へ延期される見込みです(2026年7月時点)。

日本企業もEU AI Actの対象になりますか?

なり得ます。EU市場にAIを提供する、EU域内でAIを業務利用する、AIの出力がEU域内の人に向けて使われる、といった接点があれば、日本に本社があっても義務が生じます。まず自社にこれらの接点があるかを確認し、提供者か運用者かの立場と、対象AIのリスク分類を切り分けてください。

ハイリスクAIに該当するとどんな義務がありますか?

リスク管理システムの構築、学習データの品質管理、技術文書と自動ログの整備、人間による監督の設計、適合性評価などが求められます。EUのデータベースへの登録が必要な類型もあるでしょう。義務が最も重い区分で、AIの設計段階からの作り込みを前提に準備します。

違反した場合の罰則はどのくらいですか?

禁止AIの違反は最大3,500万ユーロまたは全世界年間売上高の7%、その他の義務違反は1,500万ユーロまたは3%、不正確な情報提供は750万ユーロまたは1%が上限で、いずれも高い方が適用されます。売上高比は全世界売上が基準のため、事業規模が大きい企業ほど絶対額が大きくなります。

ハイリスク義務が延期されたので対応は後回しでよいですか?

後回しは推奨しません。禁止AIとGPAIの義務はすでに適用済みで、EU向けにAIを提供していれば今すぐ対象です。ハイリスク対応は技術文書やリスク管理体制の作り込みに時間を要し、EU取引先が調達条件として適合を求める動きも法の適用日を待ちません。延期は準備の猶予であり、着手を止める理由にはなりません。

関連記事

資料請求

RELATED POSTS 関連記事