「EU AI法はEU企業の話だから、うちには関係ない」——この思い込みが、2027年12月の崖に近づいていることに気づかせてくれない。
現実はこうだ。EU AI法(EU AI Act)は、AIシステムをEUの消費者や企業に提供している事業者すべてに適用される。本社が東京にあっても、EU域内に1社でも取引先があれば対象になる。違反時の罰金は最大でグローバル売上の7%。「遠い欧州の規制」どころか、取引先の所在地次第で今すぐ関係してくる話だ。
2027年12月が高リスクAIシステムの最終コンプライアンス期限だが、そこから逆算すると整備に12〜18ヶ月かかる。つまり2026年中に動き始めなければ、物理的に間に合わない。この記事では、日本企業が最初に確認すべき「自社は対象か」という問いから、実際のアクションプランまでを整理する。
「EU企業だけの話」ではない理由:域外適用の仕組み
EU AI法が厄介なのは、法の管轄外にいても適用されることだ。GDPRが個人データを扱えばEU域外企業にも適用されたように、EU AI法はAIシステムがEUで利用される・EUの人や企業に影響を与えるという事実で適用範囲を決める。
具体的にはこういうケースが対象になる。
- 東京本社のSaaS企業が、EU拠点の企業向けにHR管理AIを提供している
- 大阪の製造業が、品質検査AIをフランスの工場向けに販売している
- 日本のECプラットフォームが、EU在住ユーザーに商品レコメンドAIを使っている
「提供者(Provider)」として独自に開発・カスタマイズしているなら、コンプライアンスの主要責任は自社に来る。「利用者(Deployer)」として既製品を使っているだけなら責任はベンダーが主に負うが、ベンダーとの契約でその所在を確認しておく義務は利用者側にある。
罰金は全世界売上を基準に計算される。EU向け売上だけではない。禁止行為なら35百万ユーロまたは売上7%の大きい方、高リスクAI違反なら15百万ユーロまたは売上3%だ。年商50億円の中小企業でも、高リスクAIを放置すれば最大1.5億円のペナルティになりうる。
4段階のリスク分類:自社のAIはどこに入るか
EU AI法はすべてのAIを一律規制するのではなく、リスクレベルに応じて義務を分けている。大半の日本企業にとって重要な4段階を整理する。
図1:EU AI法 4段階リスク分類と日本企業への影響
日本企業が特に気をつけるべきは「高リスク」カテゴリだ。採用選考にAIを使っている、与信審査にAIスコアを組み込んでいる、生体認証でアクセス管理をしている——これらはすべて高リスクに分類される。チャットボットや営業支援ツールは「限定リスク」以下がほとんどで、透明性の告知をすれば義務を果たせる。
「まだ時間がある」という錯覚:スケジュールの現実
2027年12月という期限を聞いて「2年近くある」と思う人が多い。だが実情は違う。
2025年2月には禁止行為の取り締まりがすでに始まっている。職場での感情認識AIや、EU市民のSNSデータを無断でスクレイピングして顔認証データベースを作るシステムなどは、今この瞬間も違法だ。2025年8月には汎用AI(GPAIモデル)への義務も発効した。
そして高リスクAIへの本格適用は2027年12月。しかしここからが問題だ。適合評価(コンフォーミティアセスメント)を外部機関に依頼する場合、審査に3〜12ヶ月かかる。その前提として、リスク管理文書の作成、学習データの記録整備、人間による監視プロセスの設計、監査ログの実装が必要で、これだけで6〜12ヶ月を要する企業がほとんどだ。
2026年4月時点の調査では、対象企業の78%が実質的なコンプライアンス対応を何もしていない(GLACIS調べ)。裏返せば、今動き始めれば競合に先手を取れる。
日本の規制と何が違うか:ソフトローとハードローの断絶
「日本にもAI規制があるから、それで十分では」という声をよく聞く。2025年5月に成立したAI推進法や、経産省・内閣府のAI事業者ガイドラインがその根拠として挙げられることが多い。
だが、日本のAI規制とEU AI法は本質的に別物だ。
日本のアプローチは「ソフトロー」、つまり罰則のない任意のガイドラインを中心に置く。AI推進法には刑事罰も行政処分も盛り込まれていない。企業の自主的な取り組みを促す設計で、イノベーションを阻害しないことを最優先にしている。
EU AI法は「ハードロー」だ。違反すれば罰金が来る。日本の任意ガイドラインに準拠していても、EU AI法への適合とは無関係だ。EUとJapanで二つの別々のコンプライアンス体制が必要になる。
Lat91では、クライアント企業のAIエージェント設計を支援する中で「日本のガイドラインに沿って設計してきたから大丈夫」と考えていたが、EU向けにシステムを展開しようとした時に対応範囲の広さに気づくケースを複数見てきた。EU展開を視野に入れているなら、早い段階から両方の観点を持つ設計が必要だ。
今年中に動く企業がやっている5つのこと
コンプライアンスを先行している企業が、2026年中に完了させているステップを整理する。
図2:EU AI法対応ロードマップ(2026〜2027年)
STEP 1:自社のAIをリストアップする(今すぐ)
商用ツール(Salesforce, HubSpot, 会計ソフトなど)に組み込まれたAIも含め、業務で使っているすべてのAIを列挙する。「AIを使っている」という認識がなくても、自動振り分けや推奨機能がある製品はほぼAIを内包している。
STEP 2:4段階のどこに入るかを分類する(9〜10月)
採用判断、与信判断、生体認証が含まれているかを確認する。これらが高リスクの主要カテゴリだ。EUの公式サイトに無料のコンプライアンスチェッカーが公開されており、自社で一次判断できる(artificialintelligenceact.eu)。
STEP 3:高リスクAIの文書を整備する(11月〜)
高リスクに分類されたシステムには、リスク管理文書、学習データの記録、システムアーキテクチャの説明、バイアステストの結果が必要になる。1つの高リスクシステムにつき40〜80時間が目安だ。
STEP 4:ログ・人間監視・監査体制を実装する(2027年1月〜)
AIが下した判断を記録し、人間が確認・修正できる体制を作る。ログは7年間保存が求められる。
STEP 5:外部の適合評価を受ける(2027年9月〜)
生体認証など特定の高リスクシステムは、EU認定機関による外部審査が義務だ。審査には3〜12ヶ月かかる。費用は50万〜500万円程度。2027年9月には審査を開始していないと12月の期限に間に合わない。
「まだ2年あるから大丈夫では?」という反論に答える
最もよく聞かれる反論がこれだ。
この批判には一理ある。EU AI法の施行当局(EU加盟国の市場監督機関)はまだ整備途上で、2026年6月時点で本格的な執行インフラを持つ国はフィンランドなど少数だ。最初の罰金ケースが出るのは早くても2027年以降になる可能性が高い。
ただし、ここには二つの盲点がある。
一つはコンプライアンス整備の時間だ。前述の通り、高リスクAIの文書化と外部審査だけで12〜18ヶ月かかる。2027年初頭に動き始めても12月には間に合わない計算になる。
もう一つは取引先への波及だ。EU域内の大企業は、自社のAIサプライチェーンに含まれるベンダー(日本の中小企業を含む)にコンプライアンス証明を求め始めている。罰金が来る前に、EU顧客から「EU AI法への対応状況を教えてほしい」という問い合わせが来るケースの方が先に増えるだろう。その時に「まだ検討中です」と答えるのと、「STEP 2まで完了しています」と答えるのでは、取引継続の判断が変わる。
EUで事業を持たない企業はどうするか
日本国内のみで事業を行い、EUへの輸出も取引も一切ない企業には、EU AI法は関係しない。その場合は日本の任意ガイドライン(AI事業者ガイドライン)への対応を軸に置けばいい。
しかし自社のSaaS製品がいつかグローバル展開する可能性があるなら、設計段階からEU AI法を念頭に置いておく方がコストを抑えられる。後から設計を変えるのは、一から対応するより時間も費用もかかる。
また、EU AI法の設計思想はISO/IEC 42001(AI管理システム国際規格)とも整合しており、このフレームワークに沿って社内体制を作れば、日本・EU両方のコンプライアンスに対応できる下地になる。
まとめ:確認すべき3つの問い
- 自社の製品・サービスがEU域内で使われているか、または使われる可能性があるか
- 採用判断、与信審査、生体認証などにAIを組み込んでいるか(高リスク確認)
- ベンダーのAI製品を使っている場合、EU AI法への対応状況を契約で確認しているか
この3つのうち1つでも「わからない」が残るなら、まず棚卸し(STEP 1)から始めるべき時期だ。EU市場への関与が薄い会社でも、今後5年でその関係が変わることは十分ある。設計の「借金」は時間が経つほど返済コストが上がる。
2027年12月は、動き始めた企業と動かなかった企業が初めて可視化される期限でもある。
Lat91では、AIエージェントの設計・導入から運用まで、コンプライアンスを考慮した設計を含めてサポートしています。
「自社のAI活用がEU AI法の対象になるかわからない」「設計段階からリスクを考えた構成にしたい」という方は、まずは無料相談からお気軽にどうぞ。