EU AI Actの全体像——リスクベースの4段階規制
EU AI Actは、AIシステムをリスクレベルによって4つに分類し、それぞれ異なる義務を課す枠組みだ。
「容認できないリスク」(禁止カテゴリ)には、政府による国民のソーシャルスコアリング、公共空間でのリアルタイム顔認識などが含まれ、これらは原則禁止となる。 「高リスク」カテゴリには、医療診断AI、採用判断AIシステム、信用スコアリング、重要インフラの制御システムなどが含まれ、厳格な適合義務が課せられる。 「限定リスク」カテゴリには、チャットボットや生成AIシステムが含まれ、透明性開示の義務のみが課される。 「最小リスク」カテゴリはスパムフィルターや自動化ゲームNPCなどで、義務なしで使用可能だ。
2026年8月に全面施行されるのは、この「高リスク」カテゴリへの要件だ。
高リスクカテゴリとは何か——対象となるAIシステムの実例
高リスクAIシステムに該当する可能性があるのは、以下のような領域だ。
医療診断支援AI、画像診断・病理診断補助システムは明確に高リスクに分類される。 日本でも医療AIの導入が進んでいるが、EU医療機器規制(MDR)との交差点で複雑な義務が生じる。
採用・人事関連AIも高リスクの典型例だ。 履歴書スクリーニングAI、面接評価システム、昇進推薦アルゴリズムが対象となる。 HRテックを開発しEU市場に展開する企業は、このカテゴリの影響を受ける可能性が高い。
金融機関の信用スコアリング・ローン審査AIも高リスクに分類される。 Anthropicが金融機関向けに展開するAIエージェントのような与信・審査支援ツールは、EU顧客に提供する場合はEU AI Actの要件を満たす必要がある。
教育評価AI(試験採点・入学審査)、司法判断支援システム、選挙・民主的プロセスに関わるAIも高リスクに含まれる。
高リスクAIシステムに課される具体的義務
高リスクカテゴリに分類されるAIシステムの開発者・事業者には、以下の義務が課される。
「リスク管理システムの整備」として、ライフサイクル全体にわたる継続的なリスク評価と軽減措置の記録が義務付けられる。 「データガバナンスの確立」として、訓練・検証・テスト用データセットの品質管理と偏り検査のプロセスが必要になる。 「技術文書の作成」として、システム設計・訓練方法・性能評価の詳細文書を規制当局がアクセス可能な形で保持しなければならない。 「ログ・記録の保全」として、高リスクAIの動作ログを少なくとも一定期間保存する義務がある。 「透明性の確保」として、AIシステムが意思決定に関与していることをエンドユーザーに明示する必要がある。 「人間による監督の担保」として、AIが下す判断に対して人間が介入・覆す機会を保証しなければならない。 「精度・堅牢性・サイバーセキュリティ」として、高い精度基準とサイバー攻撃への耐性が求められる。
域外適用の射程——日本企業も無関係ではない
EU AI Actの適用範囲は、EU内に拠点を持つ事業者にとどまらない。 EUで利用されるAIシステムを開発・提供する事業者、およびEU居住者に影響を与えるAIの出力を利用する事業者も対象となる。
これは「域外適用」と呼ばれるメカニズムで、GDPRが個人データ保護で適用した手法と同様だ。 日本のAIスタートアップがEU向けにSaaSを提供する場合、EUの顧客企業がEU居住者にAI機能を提供する場合、いずれも義務が発生し得る。
法務・ポリシー視点で整理すると、問われるのは「AIシステムがEUでどのように使われるか」だ。 日本のサーバーから提供されるサービスでも、EU居住者が利用するAI機能が高リスクカテゴリに該当すれば、コンプライアンス義務が発生する。
最大€35Mの罰則——罰則体系の詳細
非遵守の場合の罰則は、違反の種類によって3段階に分かれる。
最も重い「禁止事項の違反」(ソーシャルスコアリング等)には最大3500万ユーロまたは全世界売上の7%が科される。 「高リスク要件の不遵守」には最大1500万ユーロまたは全世界売上の3%の罰則が適用される。 「虚偽情報の提供」には最大750万ユーロまたは全世界売上の1.5%が科される。
特筆すべきは、売上に対するパーセンテージがグループ全体の全世界売上を基準としている点だ。 EU売上だけでなく、グローバル売上全体が基準となるため、EUでの収益が小さくても大きな制裁金が発生し得る。
日本・グローバルAIスタートアップへの実務的アドバイス
施行まで残り約3ヶ月という状況で、今すぐ取るべき行動を整理する。
まず「AIシステムのカタログ化とリスク分類」が最優先だ。 自社が開発・利用するAIシステムの全リストを作成し、各システムがどのリスクカテゴリに該当するかを判定する。 判断が難しいケースは法務・コンプライアンス部門に確認を依頼する。
次に「高リスクシステムの優先対応」だ。 高リスクに分類されたシステムについては、EU AI Actが要求する技術文書・リスク管理・ログ保全の整備を開始する。 開発チームと法務チームの連携体制を作ることが鍵になる。
「EU国内法との整合確認」も重要だ。 EU AI Actは各加盟国が国内法に落とし込む作業が進行中で、国によって追加要件が生じる可能性がある。 主要取引先がいる国(ドイツ・フランス・オランダ等)の国内法の動向を継続的に注視する必要がある。
英国・米国の安全保障テスト協定との整合性も確認が必要だ。 EU AI Actと各国のAI安全基準が異なる場合、どの基準に準拠するかの優先順位付けが求められる。
今後の規制強化——生成AI向けコード・オブ・プラクティス
2026年8月の高リスク要件施行と並行して、EU AI Actは「汎用目的AI(GPAI)」向けの義務も段階的に施行する。 ChatGPTやClaudeのような大規模言語モデルを提供するラボは、すでに「コード・オブ・プラクティス(行動規範)」への対応を求められており、2026年中にも追加義務が明確化される見通しだ。
AI規制の「EU版スタンダード」は、GDPRと同様に事実上のグローバルスタンダードになる可能性がある。 EU AI Actへの対応コストは短期的には増大するが、コンプライアンスを整備したAIシステムへの信頼性・国際展開力は長期的な競争優位になり得る。
あなたの組織が開発・利用するAIシステムの中で、2026年8月の施行に向けて最初に確認すべきものはどれだろうか。
ソース:
- AI Regulations around the World - 2026 — Mind Foundry
- Eight ways AI will shape geopolitics in 2026 — Atlantic Council
- The Global AI Race 2026: Why AI Sovereignty Is The New Oil — GeoInflux
- Key US Export Controls Considerations for Global Data Center Projects — Morgan Lewis(2026年2月)
- How China and the US Can Make AI Safer for Everyone — The Diplomat
