EU理事会は3月13日、AI法(AI Act)の高リスクAIシステムに対する規制適用を最大16ヶ月延期する方針で合意した。技術標準やガイダンスの整備が追いつかないことが主な理由だ。欧州議会のIMCO(域内市場)委員会とLIBE(市民的自由)委員会も3月18日に101対9で延期案を採択した。
延期の詳細——新たなタイムライン
| 対象 | 当初期限 | 新期限(バックストップ) |
|---|---|---|
| Annex III 高リスクAI(単体) | 2026年8月 | 2027年12月 |
| Annex I 高リスクAI(製品組込み) | 2027年8月 | 2028年8月 |
| SME向け免除 | 中小企業のみ | 小規模中堅企業にも拡大 |
| 施行条件 | 期日固定 | 欧州委員会が十分なコンプライアンス支援を確認した後、6〜12ヶ月の猶予期間 |
なぜ延期が必要だったのか——ガイダンス不在の異常事態
最大の問題は、欧州委員会自身が設定したガイダンス期限を守れなかったことだ。2026年2月2日までに公表すべきだったAI法第6条の詳細ガイダンスが、いまだに発行されていない。
企業側は「どのAIシステムが高リスクに該当するのか」「具体的に何を準備すべきか」が分からないまま、施行日だけが迫るという異常事態に置かれていた。EU加盟27カ国のうち、国内監督機関を設置したのは2026年3月時点でわずか8カ国——2025年8月の設置期限から7ヶ月以上遅れている。
高リスクAIカテゴリ——何が規制対象なのか
AI法が「高リスク」と分類するAIシステムは、人々の基本的権利に影響を与える可能性がある領域に限定される。
| カテゴリ | 具体例 | 規制内容 |
|---|---|---|
| 生体認証 | リアルタイム顔認証(法執行機関向けは限定的例外を除き禁止)。人種・宗教・性的指向による分類は全面禁止 | 適合性評価、透明性義務 |
| 雇用 | 採用AI、求人ターゲティング、応募者フィルタリング、昇進・解雇判断 | バイアス評価、人間の監視義務 |
| 法執行 | 犯罪被害者リスク評価、ポリグラフ的ツール、証拠信頼性評価 | 基本的権利影響評価 |
| 重要インフラ | エネルギー、水道、交通の管理AI | 安全性テスト、ログ保持 |
| 教育 | 入試選考、成績評価AI | 透明性、説明可能性 |
| 移民管理 | ビザ審査、亡命申請の処理AI | 人間の判断を維持 |
標準化の遅れ——CEN/CENELECの課題
技術標準を策定するCEN/CENELECの合同技術委員会JTC 21は、スケジュールに大幅な遅れが出ている。2025年10月に例外的な加速措置(正式投票なしでの直接公開)を採択したが、最初の標準規格(prEN 18286、AI法準拠の品質管理システム)の納品目標は2026年第4四半期だ。
標準規格が存在しない以上、企業はコンプライアンスの具体的な方法が分からない。これは2018年のGDPR施行時にも見られたパターンだが、AI法はGDPRより技術的複雑性が格段に高い。
Digital Omnibus——デジタル規制の簡素化パッケージ
延期はより大きな「Digital Omnibus」パッケージの一部だ。EU全体のデジタル規制を簡素化し、イノベーションを阻害しない形に再設計する試みである。
| 変更点 | 内容 |
|---|---|
| バイアス検出のデータ処理 | 個人データの処理許容範囲を拡大。AIシステムの公平性検証を容易に |
| AIオフィスの権限強化 | 汎用AIモデルの中央集権的な執行権限を確立 |
| ガバナンスの統合 | 国内監督機関間の分断を解消 |
| コンプライアンス証明 | 技術標準準拠→法的義務充足のより明確な経路を提供 |
GDPRからの教訓——繰り返される「施行の混乱」
GDPRの施行時も、各国の監督機関による解釈の違いが企業を混乱させた。AI法はGDPRの教訓を踏まえ、汎用AIモデルについてはEU AIオフィスによる中央集権的な執行を導入した。しかし、高リスクAIシステムの監督は各国の監督機関に委ねられており、「規制のばらつき」が再び問題化する可能性がある。EU加盟国の監督機関設置の遅れは、その前兆と言える。
加盟国の監督体制——遅れる国内実装
EU AI法の施行には各加盟国での国内監督機関の設置が前提となるが、その進捗は大幅に遅れている。2025年8月の設置期限に対し、2026年3月時点で監督機関を設置したのは27カ国中わずか8カ国にとどまる。フィンランドは2025年12月に完全な執行権限を持つ監督機関を設置し、EU初の「AI法執行体制」を整えた先進事例だが、大多数の加盟国はまだ準備段階にある。
この「実装の遅れ」は、GDPRで経験した問題の再現だ。GDPRでは各国の監督機関(DPA)による解釈の違いが企業を混乱させ、「規制のばらつき」が単一市場の趣旨を損なった。AI法はGDPRの教訓を踏まえ、汎用AIモデルについてはEU AIオフィスによる中央集権的な執行を導入したが、高リスクAIシステムの監督は依然として各国の監督機関に委ねられている。監督機関間の能力格差は、域内での「規制アービトラージ」(規制の緩い国を選んで事業展開する行動)を招くリスクがある。
AI法はGDPRと同様の域外適用効果を持ち、EU市場にAIシステムを提供するすべての企業——本社所在地を問わず——が規制対象となる。いわゆる「ブリュッセル効果」により、AI法の基準は事実上のグローバルスタンダードとなる可能性が高い。特に医療機器規制の枠組みから派生したリスクベースの規制アプローチは、日本を含む多くの国の規制設計に影響を与えるだろう。
米中との規制競争——EUのジレンマ
一方、米国ではトランプ政権がAI規制を最小限に抑える方針を示し、中国は独自の規制体系を施行済みだ。EUが規制を強化すれば競争力を失い、緩和すれば安全性が担保できない。延期はこのジレンマの表れだ。
延期のもう一つの背景には、AI技術の急速な進歩と規制フレームワークの乖離がある。AI法の起草は2021年に始まり、成立までに3年を要した。その間にGPT-4、Claude、Geminiといった大規模言語モデルが登場し、規制の前提条件そのものが変化した。汎用AIモデル(GPAI)に関する条項は後から追加されたもので、技術の進化スピードに法制度が構造的に追いつけないことを示している。EU AIオフィスは「規制の追い越し車線」として機能することを目指すが、その実効性はまだ証明されていない。
企業側の準備も十分ではない。調査によれば、EU域内のAI企業の半数以上がAI法のコンプライアンス要件を「理解していない」または「部分的にしか理解していない」と回答している。特に中小企業にとっては、適合性評価、技術文書の作成、リスク管理システムの構築にかかるコストが大きな負担だ。延期による猶予期間の拡大は、これらの企業に準備の時間を与える一方で、「いつまでも準備が整わない」という悪循環に陥るリスクもある。
日本企業への影響——「待ちの姿勢」は危険
EU市場でAI製品を展開する日本企業にとって、延期は準備期間の確保を意味する。しかし、AI法はGDPRと同様の域外適用効果(「ブリュッセル効果」)を持ち、EU市場にAIシステムを提供するすべての企業が対象だ。最終的な規制要件が不透明なまま対応を進めなければならない点は変わらない。最も厳格な想定でコンプライアンス体制を構築しておくことが、唯一の合理的戦略だ。
出典: EU理事会プレスリリース、ResultSense、Harvard Petrie-Flom Center、CEN/CENELEC JTC 21
