EU AI Actとは?国際AI規制の全体像と日本企業・開発会社が今すぐやるべき対応ガイド
2026年8月2日。この日は、多くの日本企業にとって重要な分岐点となります。
EU AI Act(欧州人工知能規制法)の高リスクAIシステムに関する義務が、この日から本格的に適用開始となるからです。「うちはEUに拠点がないから関係ない」と思う方も多いかもしれませんが、それは誤解です。EU向けのサービスを提供している企業、EU企業にシステムを納品している企業、そして今後EU市場への展開を考えている企業は、このタイミングまでに対応の準備を整えておく必要があります。
本記事では、EU AI Actの概要とリスク分類の仕組みから、韓国・日本との国際規制比較、そしてシステム開発会社・発注企業が今すぐ確認すべき具体的な対応ポイントまでを整理します。「自社のAIが規制対象かどうか」「何から始めればよいか」という判断の軸を得るための実務ガイドとして活用してください。
目次
はじめての AI 導入ガイド――中小企業が失敗しないための7ステップ
この資料でわかること
こんな方におすすめです
EU AI Actとは?世界初の包括的AI規制法
EU AI Actが生まれた背景
EU AI Act(正式名称: Regulation on Artificial Intelligence)は、世界で初めて制定されたAIに関する包括的な法的枠組みです。
AIの急速な普及に伴い、欧州では様々な懸念が高まっていました。採用選考における不公平な判断、顔認識技術による大規模監視、信用スコアリングによる個人の権利侵害、さらには医療診断や司法判断への誤ったAI介入といった問題が現実のリスクとして浮上していたのです。
欧州委員会はこれらのリスクに対応するため、2021年4月にAI規制の法案を提出しました。その後3年間の審議を経て、2024年5月に欧州議会が採択し、2024年8月1日に正式に施行されました。
注目すべきは、EU AI ActがGDPR(一般データ保護規則)と同じく「EU発の規制が世界標準になる」可能性を持っている点です。GDPRは欧州の地域規制でありながら、世界中の企業が対応を迫られ、今やグローバルスタンダードとなっています。EU AI Actも同様の影響力を持つ可能性があります。
EU AI Actの核心:リスクベースアプローチ
EU AI Actが採用した規制の仕組みが「リスクベースアプローチ」です。
すべてのAIシステムに一律の規制を課すのではなく、AIが社会や個人に与えるリスクの大きさに応じて、4つのカテゴリに分類し、それぞれ異なる義務を設ける仕組みです。これにより、日常的な低リスクのAI活用を妨げることなく、社会的影響の大きいAIには厳格な管理を求めるというバランスを実現しています。
4段階のリスク分類を理解する
EU AI Actの最も重要な概念が、AIシステムを4つのリスクレベルに分類する仕組みです。自社のAIがどのカテゴリに該当するかを理解することが、対応の第一歩となります。
リスクレベル1:許容できないリスク(完全禁止)
社会的に重大な危害をもたらすと判断されるAIシステムは、EU AI Actによって完全に禁止されています。
禁止される代表的なAIシステムには以下のものが含まれます。
公共空間でのリアルタイム遠隔バイオメトリクス識別 街中のカメラ映像を使った顔認識によるリアルタイムの人物識別は、法執行目的の例外的なケースを除いて禁止されます。不特定多数の市民を常時監視するような使い方はできません。
ソーシャルスコアリング 政府や企業が市民の行動・習慣・社会的特性に基づいてスコアを付け、社会的不利益を与えるようなシステムは禁止です。
サブリミナル技術を使ったAI 人の意識に気づかれないかたちで判断・行動を操作するAIは、リスクレベルに関わらず禁止されます。
脆弱な層を操作するAI 子供や障害者など、特定の脆弱なグループを意思に反して操作・誘導するAIも禁止対象です。
これらのAIシステムは、提供・展開・利用のすべてが禁止されます。2025年2月2日からすでに適用が開始されており、開発中であっても完成後にEU域内で提供する意図があれば即座に対応が必要です。
リスクレベル2:高リスクAI(厳格な義務あり)
開発会社にとって最も重要なのが、この「高リスクAI」の分類です。高リスクAIに該当する場合は、市場投入前に多くの厳格な義務を果たす必要があります。
高リスクAIとみなされる主な分野(EU AI Act附属書III)を以下に示します。
分野 |
具体的なシステム例 |
|---|---|
医療・診断 |
AI医療診断支援システム、AI画像診断ツール |
採用・人事評価 |
AI採用選考ツール、AIパフォーマンス評価システム |
教育・試験評価 |
AI試験採点システム、学習評価AI |
信用・保険 |
AI信用スコアリング、AI保険料算出システム |
司法・法執行 |
AI犯罪予測システム、AI量刑補助ツール |
重要インフラ管理 |
電力・水道・交通などのAI制御システム |
国境・移民管理 |
AI審査システム、顔認識を使った入国管理 |
高リスクAIの提供者(開発会社含む)に課される主な義務は以下のとおりです。
リスク管理システムの構築 AIのライフサイクル全体にわたってリスクを継続的に特定・評価・対処するためのプロセスを確立します。
データガバナンス 学習データや検証データの品質・代表性・バイアスを管理するための手順を整備します。
技術文書の作成・保管 AIシステムの設計・開発・性能・リスクに関する詳細な技術文書を作成し、10年間保管する義務があります。
ログ記録と人的監視 自動ログ機能を実装し、担当者によるAIの判断監視体制を整えます。
透明性の確保 AIシステムの目的・能力・限界についてユーザーに情報提供します。
適合性評価の実施 製品安全の観点から附属書IIに含まれる製品(医療機器・玩具等)に組み込まれたAIは第三者機関による審査が必要です。それ以外の高リスクAIは内部管理に基づく自己評価も選択できます。
EUデータベースへの登録 市場投入前にEUが設置するデータベースへの登録が義務付けられています。
EU内での代理人の選任(EU外の企業のみ) 日本企業など、EU域外に拠点を置く高リスクAI提供者は、EU域内に「認定代理人(Authorised Representative)」を選任する必要があります。
リスクレベル3:限定リスクAI(透明性義務のみ)
限定リスクAIに課される義務は、主に「ユーザーへの開示」です。
代表的な例として、チャットボットやAIアシスタントが挙げられます。これらのシステムは、ユーザーがAIと対話していることを明確に開示しなければなりません。また、ディープフェイク動画・画像など、AIが生成したコンテンツにはその旨を表示する義務があります。
義務の内容は限定的であり、多くの企業にとって対応コストは低いと言えます。
リスクレベル4:最小リスクAI(ほぼ規制なし)
現在利用されているAIシステムの大多数はこのカテゴリに該当します。
スパムフィルター、レコメンデーションエンジン、在庫最適化ツール、画像認識による商品検索といった一般的なAIアプリケーションはほぼ対象外です。法律上の新たな義務は課されませんが、業界自主規制や行動規範への自発的な参加が推奨されています。
施行スケジュール:いつから何が義務になるのか
EU AI Actは段階的に適用が始まっています。現時点(2026年4月)で、すでに一部の規定が効力を持っています。
時期 |
内容 |
|---|---|
2024年8月1日 |
EU AI Act 施行(法律として発効) |
2025年2月2日 |
禁止AI規定・一般条項の適用開始 |
2025年8月2日 |
汎用目的AIモデル(GPAI)の義務適用開始 |
2026年8月2日 |
高リスクAI(附属書III)の本格適用開始 |
2027年8月2日 |
高リスクAI(製品安全コンポーネント)の適用開始 |
2026年8月2日が特に重要な理由
この日から、採用・医療・信用審査・教育など実務に密接な高リスクAIシステムへの義務が本格適用されます。開発期間を考えると、2026年8月に間に合わせるためには、2025年中には対応の着手が必要です。
汎用目的AIモデル(GPAI)について
ChatGPTのような「さまざまな用途に使える汎用のAIモデル」は、2025年8月2日からGPAI提供者としての義務が適用されています。透明性の確保(技術文書・著作権ポリシーの公開)、EU AI Officeへの登録などが求められます。日本の生成AI関連企業も、EU向けにサービスを提供している場合は対象になります。
日本企業はなぜ対象になるのか?域外適用の仕組み
EU AI Actはヨーロッパの法律ですが、GDPRと同様に「域外適用」の原則を採用しています。つまり、EU域内に拠点がなくても、EU域内の利用者に影響を及ぼすAIを提供・利用している場合は適用対象になります。
GDPRと同じ「域外適用」原則
EU AI Actが適用される基準は「企業の所在地」ではなく「AIシステムがEU市場に投入・提供されているかどうか」です。これは、日本に本社を置く企業であっても例外ではありません。
日本企業が対象になる3つのシナリオ
シナリオ1: EU市場向けのAIシステム・サービスを直接提供している EU域内のユーザーが使えるかたちでAIサービスを提供している場合、明確に適用対象です。グローバルに展開するSaaSやアプリを開発・提供している企業は確認が必要です。
シナリオ2: EU企業に開発したAIシステムを納品している 日本の開発会社がEU企業向けにAIシステムを受託開発し、そのシステムがEU域内で使われる場合、開発会社は「提供者(Provider)」として扱われる可能性があります。この場合、高リスクAIに該当すれば、日本の開発会社がコンプライアンス義務を負います。
シナリオ3: EU企業が利用するシステムの出力生成プロセスにAIを使用している 直接AIシステムを提供していなくても、EU企業向けのシステム開発においてAIを活用した処理が含まれていれば、間接的に規制の影響を受けることがあります。
対象外になるケース
以下のケースは現時点でEU AI Actの適用外です。
- 純粋に日本国内のみで利用されるAIシステム
- 研究・開発目的の非公開AIシステム
- 国家安全保障・軍事目的のAI(EU加盟国が明示的に除外)
はじめての AI 導入ガイド――中小企業が失敗しないための7ステップ
この資料でわかること
こんな方におすすめです
国際AI規制の全体像:EU・韓国・日本を比較する
EU AI Actの登場をきっかけに、世界各国でAI規制の整備が加速しています。日本企業がグローバルに事業を展開する際には、EU以外の規制動向も把握しておくことが重要です。
韓国AI基本法(2026年1月施行)
韓国は2026年1月22日に「人工知能の開発及び信頼基盤の確立に関するフレームワーク法」(AI基本法)を施行しました。アジア諸国の中では最も包括的なAI法制度を持つ国となっています。
韓国AI基本法の特徴はEUとは対照的な「産業振興優先」のアプローチです。「まず許容し、例外的に制限する」という基本姿勢を取っており、禁止規定は設けていません。高影響AIと生成AIの2分類のみで、EUの4段階分類より簡素です。罰則もEUに比べて大幅に軽く、最大3,000万ウォン(約300万円相当)にとどまります。
日本のAI推進法(2025年成立)
日本は2025年にAI推進法(仮称)を成立させました。「イノベーション優先」の姿勢はEUとは対照的で、ソフトロー(法的拘束力のないガイドライン)を中心とした自主的なガバナンス構築を企業に促す内容となっています。
罰則規定はなく、企業の自主性を重んじる路線を維持しながらも、従来の完全自主規制から一歩踏み込んだ内容です。AI活用の推進と適切なリスク管理を両立させる「アクセルとブレーキを同時に踏む」アプローチといえます。
3カ国の規制アプローチ比較
観点 |
EU |
韓国 |
日本 |
|---|---|---|---|
法の性質 |
ハードロー(法的拘束力あり) |
ハードロー(法的拘束力あり) |
ソフトロー中心(義務規定は限定的) |
規制アプローチ |
規制先行(リスク防止重視) |
振興優先(産業育成重視) |
振興優先(自主ガバナンス) |
リスク分類 |
4段階(禁止・高・限定・最小) |
2分類(高影響・生成AI) |
なし(ガイドライン) |
禁止規定 |
あり(許容できないリスク) |
なし |
なし |
最大罰則 |
7%/3,500万€いずれか高い方 |
約3,000万ウォン(約300万円) |
なし |
日本企業への影響 |
域外適用あり(強制力高) |
韓国市場展開時のみ(実質限定的) |
努力義務 |
この比較から明らかなように、EU AI Actは日本企業にとって最も影響力の大きな規制です。韓国AI基本法は韓国市場への展開を考えている企業に、日本のAI推進法は国内ビジネスの枠組みとして意識しておく必要があります。
システム開発会社・発注企業が確認すべきポイント
ここからは、特にシステム開発会社と、AIシステムを発注する企業に向けた実務的なポイントをまとめます。
自社のAIが「高リスク」に該当するか確認する
高リスクAIへの該当性を確認するための簡易チェックフローを示します。
Step 1: 開発・提供するAIシステムが、EU域内で利用されるか?(EU向けサービスを提供しているか、EU企業に納品しているか) → No の場合 → 現時点では優先度が低い(ただし将来的なEU展開を検討している場合は早期の確認を推奨) → Yes の場合 → Step 2 へ
Step 2: そのAIシステムは附属書IIIに列挙された分野(医療・採用・教育・信用審査・司法・重要インフラ・国境管理)に関連するか? → No の場合 → 高リスクAIには該当しない可能性が高い(ただし限定リスクAIとしての透明性義務は確認する) → Yes の場合 → Step 3 へ
Step 3: AIによる判断・推薦が、人や組織の重要な決定(採用・診断・融資等)に実質的な影響を与えるか? → No の場合 → 安全側コンポーネントとしての位置づけを確認 → Yes の場合 → 高リスクAIとして対応を開始する
開発受託会社として注意すべきこと
「提供者(Provider)」として扱われる条件
EU AI Actでは、自社ブランドでAIシステムを市場に提供する企業が「提供者」とされます。受託開発の場合、以下の条件を満たすと受注側(開発会社)が提供者として扱われる可能性があります。
- 発注元の仕様を大幅に超えて、AIシステムに実質的な変更・設計を加えた場合
- 自社名義でAIシステムをEU市場に公開・提供した場合
一方、発注元の仕様どおりに実装した場合や、AIコンポーネントを部品として納品した場合は、展開者(Deployer)側の発注企業が責任を負うことになります。
契約書への「EU AI Act準拠条項」の盛り込み
EU市場向けのシステム開発を受注する場合、契約書に以下の要素を含めることを推奨します。
- AIシステムのリスク分類と該当する義務の確認
- 技術文書の作成・保管の責任分担
- コンプライアンス対応の費用分担
- 義務違反が発生した場合の責任の帰属
発注企業側の注意点
AIシステムを外注する際、発注企業(展開者)も義務を免れません。
確認すべき事項
- 発注するAIシステムが高リスクに該当するか
- 開発会社がEU AI Actの要件を満たせるか(適合性評価の実施能力)
- 技術文書・ログ記録の引き渡しを契約に明記しているか
ベンダー要件への追加 EU市場向けシステムを発注する際は、RFP(提案依頼書)に「EU AI Act対応可否」を明記し、対応実績のある開発会社を選定することが重要です。
今すぐ始める対応ステップ(中小企業向け)
「2026年8月まで時間がある」と思っている方も多いかもしれませんが、高リスクAIへの対応には実装・評価・文書化のプロセスに相当の時間がかかります。今すぐできるところから着手することを強くお勧めします。
Step 1:AIインベントリの作成
まず、社内で使用・開発しているすべてのAIシステムをリストアップします。市販のAIツール(ChatGPT Enterprise、コパイロット等の導入事例)も含めて一覧化します。業務プロセスへのAI組み込みがある場合は、用途と影響範囲も記録します。
Step 2:リスク分類の実施
作成したインベントリをEU AI Actの4段階分類に照らし合わせます。EU市場と接点のないシステムは一旦除外し、EU向けサービスや開発受託案件を優先して分類します。附属書IIIに列挙された分野に関係するシステムは「高リスク」の可能性ありとして重点確認します。
Step 3:EU取引の確認
法務・営業部門と連携し、EU域内での事業展開・EU企業との取引状況を確認します。現在は取引がなくても、将来的に展開を検討している場合は早めに規制要件を把握しておきます。
Step 4:AIガバナンスポリシーの策定
社内でのAI利用に関するルール(用途の制限・判断の最終権限・ログ管理等)を明文化します。AIの利用に責任を持つ担当者または部門を設定します。
Step 5:技術文書の整備
高リスクAIに該当するシステムがある場合は、設計書・性能評価・リスク分析などの技術文書を整備します。すでに存在する開発ドキュメントをベースに、EU AI Actの要求仕様に合わせて補完します。
Step 6:専門家への相談
リスク分類に迷う場合や、EU代理人の選任・適合性評価の方法について確認が必要な場合は、EU AI Act対応の実績がある法律事務所またはコンサルティングファームへの相談を検討します。
まとめ:EU AI Actを「他人事」にしないために
EU AI Actは、単なる欧州のローカルルールではありません。GDPRと同様に、グローバルビジネスを展開するすべての企業に影響を与えうる「国際標準」になりつつあります。
整理すると以下のポイントが重要です。
- 2026年8月2日から高リスクAIへの義務が本格適用される
- EU向けビジネスがなくても、EU企業へのシステム納品や間接的な関係がある場合は対象になりうる
- システム開発会社は「提供者」か「展開者」かの立場を明確にし、それぞれの義務を把握する
- 今すぐできることは「AIインベントリの作成」から始めること
秋霜堂株式会社では、AI機能を含むシステム開発の企画・構想段階から、要件定義・コンプライアンス確認まで一貫してサポートしています。EU AI Act対応を視野に入れたシステム開発をご検討の際は、ぜひお気軽にご相談ください。
はじめての AI 導入ガイド――中小企業が失敗しないための7ステップ
