EU AI法は発注者も対象？AIシステム外注で押さえる契約・ベンダー選定の実務

「AI活用を進めたいが、外注したシステムで規制違反になったら誰が責任を負うのか」——AIシステムの発注を検討している担当者の方から、こうした不安をよく耳にします。とくに最近は、上司や法務部から「EU AI法は大丈夫なのか」と問われ、答えに詰まってしまうケースが増えています。

難しいのは、AI規制が「自社で開発する企業の話」だと思われがちな点です。実際には、AIシステムを外部ベンダーに発注して使う企業（発注者）にも、EU AI法の義務や責任が及ぶ場面があります。しかも「EU向けに販売していないから関係ない」と考えていても、思わぬ形で対象になることがあります。社内にAI規制の専門家がいない企業ほど、「何を確認すればいいのか分からない」という状態に陥りがちです。

ただし、過度に恐れる必要はありません。ポイントは、最初に自社が規制上どんな立場（提供者なのか利用者なのか）に立つのかを見極め、その立場に応じてベンダーへの要求・契約条項・社内運用を整理することです。立場と該当リスクが分かれば、やるべきことの範囲と優先順位は自然と定まります。

本記事では、AIシステムを発注する企業の視点でEU AI法（AI規制）への対応を解説します。自社の立場判定から、高リスクAIの確認、ベンダー選定・契約で押さえるべき実務ポイント、そして今日から動ける対応ステップまでを、外注プロジェクトの工程に沿って整理します。

なお、EU AI法そのものの全体像（リスク分類・施行スケジュール・国際比較）を先に押さえたい方は、EU AI Actとは？国際AI規制の全体像もあわせてご覧ください。本記事は、その総論を踏まえて「発注者が実務でどう動くか」に絞って解説します。

AIシステムを発注する企業がEU AI法を気にすべき理由

EU AI法に関する解説記事の多くは「規制とは何か」を説明するものです。しかし発注者にとって本当に知りたいのは、「規制の中身」よりも「自社が外注したAIシステムで、自社が責任を負うのか」という点ではないでしょうか。まずは、なぜ発注者がこの規制を自分ごととして捉える必要があるのかを整理します。

発注したAIシステムの責任は「ベンダー任せ」では済まない

AIシステムを外部に発注すると、「規制対応はベンダーの仕事」と考えたくなります。確かに、システムを作って市場に出す提供者（プロバイダー）には重い義務が課されます。しかし、EU AI法では、そのシステムを業務に使う側、つまり発注して導入・運用する企業（デプロイヤー＝利用者）にも独自の義務が定められています（EU AI法 第26条）。

たとえば、納品されたAIシステムを「使用説明書どおりに使う」「人による監視体制を置く」「動作ログを保存する」といった運用上の責任は、ベンダーではなく発注者側が負います。つまり、契約して納品されたら終わりではなく、使い始めてからも継続的に果たすべき義務があるのです。「ベンダーが対応してくれているはず」という思い込みが、後々の責任問題につながりかねません。

EU向け事業がなくても対象になりうる（域外適用の発注者への影響）

「自社はEUで事業をしていないから関係ない」と考える方は多いはずです。ところがEU AI法には域外適用の規定があり、EUに拠点がない企業でも、AIシステムの出力（アウトプット）がEU域内で使われる場合には規制の対象になりえます。

発注者にとって身近な例を挙げると、次のようなケースが考えられます。

• EU在住の顧客に対してAIによる与信判断や採用選考の結果を使っている
• EUの取引先や従業員の個人データをAIシステムで処理している
• 将来的な海外展開を見据えてEU市場向けのサービスを準備している

これらに一つでも当てはまる可能性があるなら、「うちは関係ない」と早合点せず、自社のAI利用がEU域内に影響しないかを確認しておくべきです。確認した結果、本当にEUと無関係であれば、EU AI法への対応負担は大きく下がります。逆に少しでも接点があるなら、早めの備えが安心につながります。

適用スケジュールの最新動向と、発注者が見落とせないタイムリミット

EU AI法は段階的に適用が進んでいます。禁止される用途（許容できないリスク）に関するルールはすでに2025年2月から適用されています。一方、高リスクAIシステムに関する提供者・利用者双方の義務は、当初2026年8月2日からの本格適用が予定されていました（European Commission: AI Act 施行枠組み）。

ここで、発注者がいま正確に押さえておくべき重要な最新動向があります。2026年5月7日、EUの欧州議会・欧州理事会・欧州委員会の三者間で「Digital Omnibus on AI」と呼ばれる改正案について政治的な仮合意（暫定合意）が成立しました。この合意により、附属書III（Annex III）に基づく高リスクAIシステム（採用・与信などの用途ベースの高リスクAI）の義務適用期限は、2026年8月2日から2027年12月2日へと約16ヶ月延期されることが決まりました（Council of the EU / Bird & Bird による解説、Gibson Dunn による解説）。なお、これは2026年6月時点では「仮合意」の段階であり、EU官報への正式掲載・発効に向けた最終手続きが残っています（正式採択は2026年6月中、官報掲載は7月中が見込まれています）。

ただし、ここで発注者が誤解してはいけない点があります。「高リスクの義務が2027年12月まで延びたから、当面は何もしなくてよい」というわけではありません。延期されたのは附属書IIIの高リスクAIに関する義務が中心であり、次の2点には注意が必要です。

• 禁止用途のルールはすでに適用済み: 許容できないリスク（社会的スコアリングなど禁止される用途）に関するルールは2025年2月から適用されています。延期の対象外です。
• 透明性義務は予定どおり2026年8月2日から適用: AIと対話していることを知らせる義務などの透明性ルール（後述）は今回の延期対象に含まれず、原則として2026年8月2日から適用されます（Latham & Watkins による解説）。

発注からシステムが本番運用に乗るまでには、数ヶ月から年単位の時間がかかります。高リスクの適用が2027年12月へ延びたとはいえ、いまから発注するプロジェクトは適用開始時点で稼働している可能性が高く、しかも顧客接点でAIを使うなら2026年8月の透明性義務がすぐそこに迫っています。延期に安心して着手を遅らせるのではなく、「猶予期間を準備に使う」という姿勢で、企画段階から規制を織り込んでおくのが現実的です。

発注したAIは「提供者」か「利用者」か——自社の立場を見極める

ここからが本記事の中心です。発注者がやるべきことは、立場によって大きく変わります。EU AI法では、AIシステムに関わる事業者を役割ごとに区分しており、自社がどの役割に当たるかで義務の重さがまったく異なります。「何から手をつければいいか分からない」という状態を抜け出す第一歩は、この立場判定です。

AI法の登場人物を発注文脈で整理する

EU AI法には主に次の役割が登場します。発注の文脈に置き換えて整理します。

• 提供者（プロバイダー）: AIシステムを開発し、自社の名前やブランドで市場に出す・サービス提供する主体。最も重い義務（適合性評価・技術文書の整備・品質管理体制など）を負います。
• 利用者（デプロイヤー）: AIシステムを業務に使う主体。発注してシステムを自社業務に導入する企業は、基本的にこちらに当たります。提供者ほどではないものの、運用上の義務を負います。
• 輸入者（インポーター）・流通者（ディストリビューター）: EU域外の提供者のシステムをEU市場に持ち込む・流通させる事業者。

多くの発注企業は、システムを「自社の業務に使う」だけであれば利用者（デプロイヤー）の立場にとどまります。問題は、発注の仕方しだいで利用者のつもりが提供者になってしまうケースがある点です。

発注者が提供者になってしまう典型ケース

EU AI法には、もともと利用者だった企業が提供者とみなされる規定があります（EU AI法 第25条）。発注者が押さえておくべき典型的なケースは次のとおりです。

• 自社の名前・ブランドを付けて提供する: ベンダーが開発した高リスクAIシステムを、自社製品・自社サービスとして自社名やロゴを付けて顧客に提供する場合。
• 大幅な改変を加える: 既存の高リスクAIシステムに対して、本来の設計を超える大幅な変更（実質的な改変）を加える場合。
• 本来の用途を変えて高リスク化させる: 高リスクに分類されていなかったAIシステムの用途を変更し、結果として高リスク用途で使う場合。

重要なのは、この立場の切り替わりが自動的に起こる点です。ベンダーとの契約書に「規制対応はベンダーが行う」と書いてあっても、上記に当てはまれば、発注者が提供者としての義務を負う立場に変わります。「自社ブランドで顧客に提供するつもりはあるか」「ベンダーのシステムに自社で大きな手を加える予定はあるか」を、企画段階で必ず確認しておきましょう。

立場判定フロー

迷ったときは、次の順序で考えると整理しやすくなります。

1. 発注するAIシステムを、自社の業務内部で使うだけか？それとも自社の名前・ブランドで外部（顧客）に提供・販売するか？
   • 内部で使うだけ → 基本は利用者（デプロイヤー）
   • 自社名で外部提供する → 提供者（プロバイダー）になりうる
2. ベンダーのシステムに、本来の設計を超える大幅な改変を加えるか？用途を変えて高リスク化させるか？
   • はい → 提供者になりうる
   • いいえ → 利用者のまま
3. そのAIシステムは高リスク分野に当たるか？（次の章で詳述します）
   • 当たる → 利用者でも一定の義務が発生
   • 当たらない → 義務は大幅に軽くなる

この判定で「自社は利用者にとどまる」と分かれば、対応の中心は運用と契約の整備になります。「提供者になりうる」と分かった場合は、ベンダーと役割分担を早期に詰める必要があり、法務・外部専門家への相談が不可欠です。

自社の発注するAIが「高リスクAI」に当たるか確認する

立場の次に確認すべきは、発注するAIシステムが「高リスクAI」に該当するかどうかです。EU AI法はリスクの大きさに応じて規制の強さを変えており、高リスクに当たると発注者の負担が一段と重くなります。逆に高リスクに該当しなければ、過度に身構える必要はありません。

発注で関わりやすい高リスク分野

高リスクAIに該当する用途は、EU AI法の附属書III（Annex III）などで分野ごとに列挙されています。発注企業が業務で関わりやすいものとしては、次のような分野があります。

• 採用・人事: 求人応募者の選別、採用判断、人事評価・昇進判断などにAIを使うケース
• 与信・保険: 個人の信用評価、与信判断、生命保険・健康保険の審査にAIを使うケース
• 重要インフラ: 電気・水道・交通などの安全管理にAIを使うケース
• 教育・職業訓練: 入学・採点・能力評価にAIを使うケース
• 公共サービス・必須サービスへのアクセス判断: 行政給付や必須サービスの利用可否判断

採用や与信は、業務効率化のためにAI導入が進みやすい領域であると同時に、人の権利に直接影響する高リスク分野でもあります。「効率化のために発注しようとしていたAIが、実は高リスクに該当した」というのは珍しくありません。これらの附属書IIIの用途に基づく高リスクAIが、前述のとおり義務適用が2027年12月2日へ延期された対象です。延期されたからといって対応不要になるわけではなく、準備にあてられる時間が増えたと捉えるのが妥当です。

高リスク該当を企画段階で見極める簡易チェック

正式な該当性判定は条文に沿った精査が必要ですが、企画段階で「専門家に相談すべきか」を判断するための簡易チェックとして、次の問いが目安になります。

• そのAIは、個人の採用・評価・与信・保険・教育など、人の権利や生活に大きく影響する判断に使うか？
• そのAIの出力が、人の不利益（不採用・与信否決など）につながりうるか？
• 安全に関わる製品やインフラの一部としてAIを組み込むか？

一つでも「はい」があれば、高リスクに該当する可能性を念頭に置き、ベンダーや法務に確認するのが安全です。逆にすべて「いいえ」で、社内の業務効率化（議事録作成、文章要約など、人の権利に直接影響しない用途）にとどまるなら、高リスク該当の可能性は低くなります。

限定リスク（チャットボット等の透明性義務）に当たるケース

高リスクに該当しなくても、注意すべき類型があります。AIと対話していることを利用者に知らせる「透明性義務」です。たとえば、顧客対応にチャットボットを発注して導入する場合、相手が人間ではなくAIと話していると分かるようにする必要があります。生成AIで作った画像・音声・テキストにも、AI生成物であることを示す対応が求められる場合があります。

ここで重要なのは、適用スケジュールです。高リスクAIの義務が2027年12月へ延期されたのに対し、この透明性義務は今回のDigital Omnibusの延期対象に含まれず、原則として2026年8月2日から適用される見込みです（生成AIの機械可読な表示など一部の項目には限定的な経過措置があります）。つまり、顧客接点でチャットボットやAI生成コンテンツを発注する企業にとっては、透明性義務のほうが先に迫ってくるタイムリミットになります。チャットボットやAI生成コンテンツを発注する際は、表示・告知の仕様を要件に含めておきましょう。

発注者（利用者）に課される義務を発注プロジェクトに落とし込む

自社が利用者（デプロイヤー）にとどまり、かつ高リスクAIを使うと分かった場合、EU AI法の第26条が定める義務を果たす必要があります（EU AI法 第26条）。ここで大切なのは、これらが「導入して終わり」ではなく、使い続けるかぎり継続して負う運用フェーズの責任だという点です。発注プロジェクトの体制設計に、あらかじめ織り込んでおきましょう。

人的監視と「使用説明書どおりに使う」責任

第一に、ベンダーから提供される使用説明書（インストラクション）に沿ってシステムを使う責任があります。説明書で想定されていない使い方をして問題が起きれば、その責任は発注者側に向かいます。

第二に、人による監視（ヒューマン・オーバーサイト）の体制が求められます。AIの判断をそのまま鵜呑みにせず、適切に訓練された担当者がAIの出力をチェックし、必要に応じて介入・停止できる仕組みを置く必要があります。採用や与信のように人の権利に関わる判断では、とくにこの監視体制が重要です。発注の段階で「誰が・どの工程で・どう監視するか」を運用設計に含めておきましょう。

入力データの管理とログ保存（6ヶ月）

AIシステムに入力するデータが、その用途に照らして適切で代表性のあるものかを管理する責任も発注者側にあります。偏ったデータを入力すれば、出力も偏り、差別的な判断につながりかねません。

加えて、高リスクAIシステムが自動的に生成するログ（動作記録）を、原則として最低6ヶ月間保存する義務があります。これは問題が起きたときに原因を追跡できるようにするためのものです。実務上は、納品されるシステムにログ出力・保存の機能が備わっているか、自社のデータ保持ポリシーと整合するかを、発注時に確認しておく必要があります。ログ機能がないシステムを発注してしまうと、後から義務を果たせなくなります。

インシデント通知・基本的権利影響評価が必要なケース

システムに重大な不具合やリスクが見つかった場合、提供者（ベンダー）へ通知し、必要に応じて使用を停止する責任があります。社内に「何かおかしいと気づいたとき、誰に・どう連絡するか」の連絡経路を用意しておきましょう。

さらに、公共サービスを提供する事業者などが高リスクAIを使う一定のケースでは、AIの利用が人々の基本的権利に与える影響を事前に評価する「基本的権利影響評価」が求められる場合があります。自社がこの評価の対象になるかどうかは判断が難しいため、該当しそうなときは法務・外部専門家に確認するのが安全です。

ベンダー選定・RFP・契約書で発注者が押さえるべきこと

ここまでで「自社が何の義務を負うか」が見えてきました。最後の実務は、それを発注先との関係に落とし込むことです。発注者が自社を守るためには、ベンダー選定・提案依頼（RFP）・契約の各段階で、規制対応を明確に求めておく必要があります。本章は、検索者の中心的な悩み「発注先に何を求め、契約のどこを押さえれば守られるのか」に直接お答えする部分です。

RFP・提案依頼段階で確認すべき項目

発注先を選ぶ段階で、次の項目を提案依頼（RFP）や評価基準に組み込むと、EU AI法への対応力でベンダーを見極めやすくなります。

• EU AI法への対応経験・体制があるか（自社にAIガバナンスのポリシーを持っているか）
• 提案するAIシステムが高リスクに該当する可能性をベンダー自身が把握しているか
• 適合性評価（提供者として必要な手続き）への対応方針が示せるか
• 納品物として、後述の技術文書・使用説明書・ログ機能を提供できるか
• 法改正があった場合の追随対応をどう考えているか（Digital Omnibusのように適用期限や要件が変わる動きが続いているため、改正への追随姿勢は重要な評価軸です）

これらに明確に答えられるベンダーは、規制リスクを一緒に管理できるパートナーになりえます。逆に「規制は気にしていない」というベンダーに高リスク用途を発注すると、リスクを発注者が一手に抱え込むことになりかねません。

ベンダーに求める成果物

発注者が自社の義務を果たすには、ベンダーから一定のドキュメント・機能を受け取る必要があります。契約や仕様に、次のような成果物を明記しておきましょう。

• 技術文書: システムの設計・データ・性能・リスク管理に関する記録。提供者が整備すべきものですが、発注者が自社の確認や監督官庁への説明に使う場面があります。
• 適合性評価の記録: 高リスクAIの提供者が実施すべき評価の結果。発注したシステムが適切な手続きを経ていることの裏付けになります。
• 使用説明書（インストラクション）: 利用者が「説明書どおりに使う」義務を果たすための前提。これがなければ発注者は義務を果たせません。
• ログ出力・保存機能: 6ヶ月のログ保存義務を満たすために不可欠な機能。

これらを「納品時に提供する」だけでなく、「運用中も最新版を継続的に提供する」よう求めておくことが、後々の安心につながります。

契約書に盛り込むべきEU AI法関連条項と責任分担

契約段階では、規制対応の責任分担を曖昧にしないことが最大のポイントです。盛り込みを検討したい条項の例を挙げます。

• EU AI法準拠の表明・保証: 提供するAIシステムがEU AI法の関連義務に適合していることをベンダーが表明・保証する条項
• 役割（提供者・利用者）の明確化: 誰が提供者で誰が利用者かを契約上で確認する条項。ただし前述のとおり、自社名での提供や大幅な改変があれば、契約の記載にかかわらず発注者が提供者とみなされる点には注意が必要です
• ドキュメント・情報の継続提供義務: 技術文書・使用説明書・適合性評価記録などを、納品時および運用中に提供し続ける義務
• 法改正・基準変更への対応: 規制やガイドラインの変更があった場合の対応範囲・費用負担の取り決め。EU AI法はDigital Omnibusのように適用期限や要件が見直される動きが続いているため、改正時の対応をあらかじめ取り決めておくと安心です
• インシデント時の協力義務: 問題発生時に、原因究明・通知・是正にベンダーが協力する義務
• 責任の分担と補償: 規制違反が生じた場合の責任の所在と、損害が出た場合の補償についての取り決め

契約上で役割と責任を整理しておくことは大切ですが、契約だけでEU法上の義務がすべてベンダーに移るわけではない点は改めて意識しておきましょう。契約はあくまで当事者間の取り決めであり、規制当局に対する義務は法律が定める立場に従って発生します。だからこそ、「契約で守る」と「自社の運用で守る」の両輪が必要になります。

日本のAI規制（AI推進法・AI事業者ガイドライン）との関係

「国内のAI規制に沿っていれば十分では」と考える方もいるかもしれません。しかし、日本のAI規制とEU AI法では性質が大きく異なります。両者の関係を整理し、どちらを優先すべきかの判断軸を持っておきましょう。

日本のAI推進法・AI事業者ガイドラインの位置づけ

日本では、AIの開発・活用を促進する枠組みとして法整備が進み、総務省・経済産業省による「AI事業者ガイドライン」などが整備されています。これらは事業者の自主的な取り組みを促す「ソフトロー」の性格が強く、EU AI法のように違反へ直接的な高額の制裁金を科す「ハードロー」とは異なります。

つまり、国内のガイドラインに沿って社内のAIガバナンス（利用ルール・チェック体制）を整えることは重要ですが、それだけでEU AI法の義務を満たせるわけではありません。

国内対応とEU対応の優先順位の付け方

実務的な優先順位の付け方としては、次の順で考えると整理しやすくなります。

1. まず、自社のAI利用にEUとの接点があるかを確認する（EU在住の顧客・取引先・従業員のデータを扱うか、出力がEU域内で使われるか）。接点がなければ、当面はEU AI法対応の優先度は下がります。
2. 接点があるなら、本記事で示した立場判定・高リスク該当性の確認に進む。
3. どちらの場合でも、国内ガイドラインに沿った社内AIガバナンスの整備は土台として進める。社内ルールや監視体制を整えておけば、EU AI法が求める人的監視やログ管理の体制づくりにもそのまま活きます。

国内のガバナンス整備は、EU対応の「土台」になります。両者を別物として捉えるのではなく、社内体制という共通基盤の上に、EU向けの上乗せ対応を載せるイメージで進めると無駄がありません。EU AI法と各国規制の比較をより詳しく知りたい場合は、EU AI Actとは？国際AI規制の全体像を参照してください。

今すぐ始める発注者の対応ステップ

ここまでの内容を、発注者が今日から動けるステップに整理します。完璧を目指すより、優先順位の高いものから着手することが大切です。

1. EU取引・利用者の有無を確認する: 自社のAI利用に、EU在住の顧客・取引先・従業員のデータや、EU域内で使われる出力が関わるかを確認します。ここで「無関係」と確認できれば、当面の対応負担は大きく下がります。
2. 自社の立場を判定する: 発注するAIを自社業務で使うだけ（利用者）か、自社名で外部に提供する・大幅に改変する（提供者になりうる）かを見極めます。
3. 高リスク該当性を確認する: 採用・与信・保険・重要インフラなど、人の権利に影響する用途かをチェックします。該当しそうなら専門家への相談を検討します。
4. RFP・契約に規制要件を反映する: ベンダーへの要求事項（技術文書・使用説明書・適合性評価記録・ログ機能）と、契約条項（準拠表明・責任分担・継続提供・法改正対応）を盛り込みます。
5. 運用体制を設計する: 人的監視の担当・ログ保存・インシデント連絡経路・入力データ管理を、運用設計に組み込みます。
6. 専門家に相談するタイミングを見極める: 提供者になりうる、または高リスクに該当しそうな場合は、早い段階で法務・外部の専門家に相談します。判断が難しい論点を抱え込まないことが、結果的にコストと時間の節約になります。

この6ステップのうち、まず手をつけるべきは1と2です。EU接点の有無と自社の立場が分かれば、その先にやるべきことの範囲が一気に絞り込まれます。高リスクAIの義務適用が2027年12月へ延期されたとはいえ、顧客接点でAIを使うなら2026年8月の透明性義務が先に迫る点に注意し、延期で生まれた猶予期間を準備にあてる姿勢で進めましょう。

よくある質問（FAQ）

Q. EU向けに販売していなくても対象になりますか？

A. なりうるケースがあります。EU AI法には域外適用の規定があり、AIシステムの出力がEU域内で使われる場合などには、EUに拠点がない企業でも対象になる可能性があります。EU在住の顧客・取引先・従業員のデータを扱っているなら、「販売していないから無関係」と即断せず確認することをおすすめします。

Q. ベンダーが対応してくれれば発注者は何もしなくてよいですか？

A. いいえ。AIシステムを業務に使う利用者（デプロイヤー）には、提供者とは別の義務（使用説明書どおりの利用・人的監視・ログ保存・入力データ管理など）が課されます。これらは運用フェーズで発注者が果たすべき責任であり、ベンダーに丸ごと移すことはできません。

Q. 高リスクAIの適用が2027年12月まで延びたと聞きました。当面は対応不要ですか？

A. 「当面は何もしなくてよい」とは言えません。2026年5月の仮合意（Digital Omnibus on AI）で延期されたのは、附属書III（採用・与信など用途ベース）の高リスクAIに関する義務が中心で、適用期限は2027年12月2日とされています。一方、禁止される用途のルールはすでに2025年2月から適用済みで、AIと対話していることを知らせる透明性義務などは原則2026年8月2日からの適用が見込まれています。延期は「準備にあてられる時間が増えた」と捉え、いまから企画段階で規制を織り込むのが現実的です（なお、この延期は2026年6月時点で仮合意の段階であり、正式採択・官報掲載の手続きが残っています）。

Q. 違反した場合の罰則はどのくらいですか？

A. 違反の類型によって異なります。禁止される用途への違反は最大3,500万ユーロまたは全世界年間売上高の7%、高リスクAIに関する義務違反は最大1,500万ユーロまたは全世界年間売上高の3%といった、大きな制裁金が定められています（EU AI法 第99条）。金額の大きさからも、早めの備えが重要だと分かります。

Q. 中小企業でも対応は必要ですか？

A. 企業規模で一律に免除されるわけではありません。ただしEU AI法は、制裁金が中小企業やスタートアップの状況を考慮して比例的であるべきとしており、規模に応じた配慮はあります。とはいえ義務そのものは発生しうるため、まずは自社が対象かどうかの確認から始めるのが現実的です。

Q. 既存の発注済みAIシステムも対象ですか？

A. すでに導入済みのシステムも、高リスク用途で使い続けるかぎり利用者としての義務の対象になりえます。新規発注だけでなく、現在運用中のAIシステムについても、用途と立場を一度棚卸ししておくことをおすすめします。

まとめ

AIシステムを発注する企業がEU AI法に向き合うとき、最初にすべきなのは「規制の説明」を読み込むことではなく、自社の立場を見極めることです。自社がEUと接点を持つか、提供者になるのか利用者にとどまるのか、発注するAIが高リスクに当たるのか——この3点が分かれば、やるべきことの範囲と優先順位は自然と定まります。

そして、規制対応を「ベンダー任せ」にしないことが肝心です。利用者には運用フェーズの義務があり、契約に書いてあっても法律上の義務がすべて移るわけではありません。RFP・契約でベンダーに必要なドキュメントと協力を求めつつ、自社の運用体制でも守る——この両輪で備えることが、発注者が自社を守る道筋になります。

適用スケジュールは変化が続いています。2026年5月の仮合意で高リスクAIの義務適用は2027年12月2日へ延期されましたが、禁止用途はすでに適用済みで、透明性義務は2026年8月2日に迫っています。延期に安心するのではなく、生まれた猶予を準備期間として活かすことが賢明です。まずは「自社のAI利用にEUとの接点があるか」「自社は提供者か利用者か」という第一歩から動いてみてください。そこが定まれば、過度に恐れることなく、必要な対応に着実に取り組めるはずです。