「うちはEUで事業をしていないから関係ない」が通じなくなった
2026年8月2日、EU AI Actのハイリスク規制が本格的な施行期限を迎える。多くの日本企業の第一反応は「うちはEUで商売していないから関係ない」だろう。だが、それは誤解だ。
EU AI Actは地域法ではなく、EUに関係するすべての人・企業に適用される域外適用法だ。EU市場にサービスを提供するソフトウェア企業、EUに子会社を持つ日本企業、EUユーザーを持つSaaSを使っている企業——これらは直接の対象になりうる。
しかしより重要な論点がある。EU AI Actが定義する「ハイリスクAI」の使用要件は、EU向け事業にかかわらず、社内でのAI活用ガバナンスを整備する際の最良の基準になるという視点だ。
本記事では、EU AI Actの核心を整理した上で、日本企業が今すぐ取るべき3つの行動を解説する。日本政府が2026年3月に更新した「AI事業者ガイドラインv1.2」との関係も合わせて押さえておきたい。
EU AI Actの全体構造:リスクレベルで義務が変わる
EU AI Actは、AIシステムをリスクレベルに応じて4段階に分類し、段階ごとに異なる義務を課す構造だ。
最も重要な区分は「ハイリスクAI」(High-Risk AI)。ここに分類されたシステムは、事前の適合性評価・技術文書整備・人間監視の仕組み・EU公式データベースへの登録が義務付けられる。この区分に含まれる用途が想像以上に広いことを、まず把握してほしい。
「ハイリスクAI」に分類される主な用途(EU AI Act Annex III):
- 採用・人事評価:AIを使った求人掲載の最適化、履歴書スクリーニング、採用・昇進・解雇の意思決定支援
- 教育・職業訓練:受験者評価、学習成果測定
- 与信・保険:信用スコアリング、保険料算定、融資審査
- 重要インフラの安全コンポーネント:水道・電力・交通の管理システム
- 法執行・司法:犯罪リスク評価、量刑支援(公共機関に限定)
- 入国管理・難民審査:リスクアセスメント、申請処理
「うちは採用にAIを使っているだけ」という企業も、EU市場に関係する事業でそのAIを使っていればハイリスク規制の対象になりうる。2026年5月に欧州委員会が公表した分類ガイドラインにより、判定基準がより具体化されている(出典: European Commission Draft Guidelines, May 2026年)。
施行タイムライン:いつまでに何が必要か
施行スケジュールは複数回の調整が加えられており、現時点(2026年6月)の正確な把握が重要だ。
| 期限 | 対象 | 要件 |
|---|---|---|
| 2026年8月2日 | ハイリスクAI(スタンドアローン) | 技術文書・適合性評価・人間監視・EU DB登録 |
| 2026年12月2日 | 限定リスクAI | AI生成コンテンツのラベル表示義務 |
| 2027年12月2日 | ハイリスクAI(製品への組み込み、延長対象) | 同上(既存製品安全規制対象品への組み込みは1年延長) |
| 2028年8月2日 | 医療機器・おもちゃ等のAI安全コンポーネント | 同上(製品安全規制との調整のため延長) |
出典: EU AI Act Implementation Timeline, European Commission, 2026年
「まだ2027年でいい」と思うケースもあるが、技術文書の整備や適合性評価には最短でも6〜12ヶ月かかる。準備期間を逆算すると、今すぐ開始する必要がある企業が多い。
違反した場合のペナルティは大きい。ハイリスクAIの義務違反には最大3,500万ユーロ(約57億円)または全世界年間売上の7%(いずれか大きい方)の制裁金が課される(出典: EU AI Act Article 99)。日本企業であっても域外適用の対象になれば、このペナルティは免れない。
日本の状況:EU規制と対照的な「イノベーション優先」
日本政府の立場はEUとは対照的だ。2025年5月に施行された「AI推進法」(AI社会実装推進基本法)は、罰則・禁止規定を持たない「ソフトロー」アプローチを採用している。キャッチフレーズは「世界で最もAIフレンドリーな国」だ(出典: METI, 2025年)。
これを「規制がない=対応不要」と読むのは誤りだ。日本政府が発行しているガイドラインの中身は、EU AI Actと実質的に同じ方向性を向いている。
2026年3月31日に経産省・総務省が更新した「AI事業者ガイドラインv1.2」の改定ポイントで最も重要なのは、AIエージェントに対する「人間による最終確認(HITL)」の要件が明文化されたことだ(出典: 経産省/総務省, AI事業者ガイドラインv1.2, 2026年3月)。エージェントが自律的に判断・実行するシステムを構築する場合、人間が介入・停止できる仕組みの設計が明示的に求められている。
EUとの比較整理:
| 観点 | EU AI Act | 日本 AI事業者ガイドラインv1.2 |
|---|---|---|
| 規制の性格 | 強制法規(罰則あり) | 自主規範ガイドライン(罰則なし) |
| 対象 | 製品・サービスカテゴリ別に規定 | 全事業者(AI開発者・提供者・利用者) |
| ハイリスクAI | 義務的な事前審査・文書整備・DB登録 | リスクに応じた自主的なガバナンス強化 |
| AIエージェント | 人間監視・停止機能を義務付け | HITL要件を2026年3月改定で明文化 |
| ペナルティ | 最大3,500万ユーロまたは全世界売上7% | なし(ただし他法令での制裁は別途) |
図1: EU AI Actのリスク分類。ハイリスクは日本企業でも「採用・与信・保険」で直接関係する。
日本企業が今すぐ取るべき3つの行動
EU AI Actの全要件を今すぐ完全準拠する必要はない。だが「どこを確認すべきか」を把握していない状態のまま放置するのはリスクだ。以下の3ステップを優先したい。
行動1:自社のAI利用を棚卸しして「ハイリスク該当」を確認する
まず現状把握なしには対策が立てられない。社内で使われているAIツール・システムをすべてリストアップし、以下の判断軸で分類する。
ハイリスクに該当する可能性が高いケース:
- 採用・人事評価にAIスクリーニングや分析を使っている
- 顧客の与信・保険料計算にAIを使っている
- EU圏のユーザーへのサービスにAIを組み込んでいる
- 安全に関わる設備・インフラの制御にAIを使っている
これらに1つでも該当する場合、EU AI Actの適用可能性を法務・コンプライアンス部門と確認することが必要だ。「外部の専門家に聞く前に自社で確認できること」から始めると、相談コストも削減できる。
行動2:AIシステムに「人間が止められる仕組み」を設計する
EU AI ActのArticle 14が定める「実効的な人間監視」要件の核心は、AIシステムを人間が理解・解釈でき、必要な場合は介入・停止できることだ。これはEU向け対応としてだけでなく、日本のAI事業者ガイドラインv1.2でも同様の要件が明文化されている。
具体的に実装すべき設計要素:
- 停止ボタン:AIエージェントやパイプラインを人間がいつでも停止できるメカニズム
- 判断の透明性:AIがなぜその結論を出したかを人間が確認できるログ・説明機能
- エスカレーション設計:AIが判断を保留して人間に回す条件の明確化
- 出力の上書き権限:AIの判断結果を担当者が無効化・修正できる権限設計
「AIエージェントを導入したが、何をやっているか分からない」という状態は、EU AI Actだけでなく日本のガイドラインでも問題とみなされる。自律型AIシステムを運用している企業は、今すぐこの設計を見直してほしい。
行動3:技術文書の準備を「今から」始める
ハイリスクAIに分類された場合、EU AI Actが求める技術文書の整備は相当な作業量になる。最低限、以下の記録を今から整備し始めることを推奨する。
- 使用しているAIシステムの目的・機能・対象ユーザーの記述
- 学習データの出典・多様性・バイアス対策の記録
- パフォーマンス測定結果(精度・適用範囲・限界)
- 人間監視の実装方法とその責任者
- インシデント発生時の対応手順
適合性評価や第三者審査が必要になった場合、これらの文書が整備されているかどうかで対応コストが大きく変わる。ゼロから整備するには平均で50万〜200万円の費用と数ヶ月の期間が必要と試算されている(出典: McKenna Consultants, 2026年)。早めの準備が対応コストを削減する。
EU規制を「ガバナンスの設計基準」として使う発想
EU AI Actへの対応を「コスト」としてだけ捉えると、対応が後手に回る。別の見方を提示したい。
EU AI Actが定義するハイリスクAIの要件——人間監視、技術文書、パフォーマンス評価、バイアス検査——は、AIシステムを安全・確実に運用するためのベストプラクティスそのものだ。EU向けかどうかに関係なく、これらを満たすAIシステムは社内リスクも低い。
グローバルで見ると、EUだけでなくカナダ・シンガポール・米国各州でもAI規制の整備が進んでいる。今後5年でAIガバナンスは「任意対応」から「事業継続の前提条件」になると予測している。EU AI Actを先行して読み込み、社内ガバナンスの設計に活かすことは、将来のコンプライアンスコストを分散させる合理的な判断だ。
エストニアは政府全体のAI利用をEU AI Actの枠組みに沿って自主分類し、ハイリスクとみなしたシステムに対して民間と同等の説明責任基準を自主適用している(出典: Estonian Government AI Strategy, 2025年)。法的義務がない状態での先行対応が、国際的な信頼性につながっている。
よくある誤解への回答
「OpenAI/Claudeを使っているだけで対象になるのか?」
ツールを使うだけでは対象にならない。EU AI Actの義務主体は、AIシステムの「プロバイダー(開発者)」と「デプロイヤー(業務展開者)」だ。社内業務にClaude APIを使って採用スクリーニングシステムを自社開発した場合は「プロバイダー」または「デプロイヤー」として義務対象になりうる。一方、外部のSaaSツールをそのまま使っている場合は、そのSaaSベンダーが主たる義務主体となる。ただしデプロイヤーとしての一部責任は残る。
「日本国内の採用システムはEU AI Actの対象外では?」
その通り。EUユーザーに影響しない純粋な国内用途であれば直接の対象外だ。ただし日本のAI事業者ガイドラインv1.2が類似の要件を求めており、EU向け対応と日本対応を一体で設計することがコスト効率の観点から推奨される。
「違反が発覚したとき、日本企業にどう執行されるのか?」
EU内の監督機関(National Competent Authorities)がEU市場に出回るAIシステムを調査対象にできる。日本企業でも、EUでサービスを提供・販売している場合、EU当局の調査を受けることがある。現時点では具体的な域外執行事例は少ないが、EU AI Act域外執行の仕組みは整備されており、大手企業では実際のリスクとして経営会議で議論されはじめている。
2027年に何が変わるか
2027年12月2日の延長期限を迎える時点では、ハイリスクAIの大多数に適合性評価が完了していることが求められる。その頃には、EU AI Act対応を済ませた企業と未着手の企業の間に、取引機会・パートナーシップ・調達基準での差が明確に現れていると予測している。
日本国内でも、大手企業が取引先に対してAIガバナンス基準の提示を求める動きが2027年頃から本格化すると見ている。「AIを使っているが、ガバナンスの文書は何もない」という状態は、今後のBtoB取引でリスクとして評価される可能性が高い。
早く準備を始めた企業が享受するメリットは2つある。一つは対応コストの分散(一気に対応するよりも段階的な方がコストは低い)。もう一つはAI活用の信頼性が競争優位になるタイミングでの差別化だ。
まとめ:今すぐできる3つのアクション
EU AI Actは2026年8月に最初の施行期限を迎える。「うちは関係ない」が通じない業種・規模の企業は、想定よりも広い。
今すぐ始めるべき3つの行動:
- 行動1:社内AIシステムを棚卸しし、採用・与信・教育評価などハイリスク用途の該当確認
- 行動2:AIエージェント・自律システムに「人間が止められる仕組み」(停止機能・ログ・エスカレーション)を設計
- 行動3:技術文書の整備を今から開始(AI目的・データ出典・パフォーマンス記録)
この3点は、EU対応であると同時に、日本国内での責任あるAI活用ガバナンスの土台でもある。「規制に対応する」から「信頼できるAI活用を設計する」へ視点を変えると、取り組みの意味が変わる。
Lat91では、AIエージェントの設計・導入から運用まで、一気通貫でサポートしています。
「EU AI Act対応や社内AIガバナンスの整備について相談したい」という方は、まずは無料相談からお気軽にどうぞ。