EU AI Actの全体像:何がいつから適用されるか
EU AI Actは2024年8月に発効し、段階的に施行されてきた。 重要なのは、施行スケジュールが複数のフェーズに分かれている点だ。
まず、2025年2月には「禁止AIシステム」(リアルタイム感情認識・ソーシャルスコアリング等)の禁止が適用された。 そして2026年8月2日が、医療・雇用・与信・教育・法執行などの分野で使用される「Annex III高リスクAI」に関する義務の適用開始日だ。
ただし、ここで注意すべき重要な変更がある。 2026年5月7日、欧州委員会の「デジタル・オムニバス」パッケージに関する政治合意が成立し、Annex IIIシステムの一部(エレベーターや玩具に組み込まれるAI等)の施行は2027年12月および2028年8月に延期された。 これにより、純粋なソフトウェア型のAIシステム(HRツール、採用AI、与信モデル、医療診断AIなど)は2026年8月2日の適用対象として残る一方、製品組み込み型は猶予期間が延びた。
対象企業は何をすべきか:5つの実務ステップ
法務担当者が今週から動くべきことを5ステップで整理する。
ステップ1: AI使用実態の棚卸し 自社で開発・使用しているすべてのAIシステムをリスト化する。 社内ツール、SaaS経由のAI機能、外部委託先のAIシステムを含め、「誰が・何の目的で・どのデータを使って」動いているかを把握する。 Deloitteの調査では、組織の過半数がこの「AIシステムインベントリ」を整備していない。
ステップ2: リスク分類(Risk Classification)の実施 Annex IIIの8カテゴリ(採用・HR、与信評価、教育入学選考、必須インフラ、法執行、移民管理、司法・行政、医療診断)に該当するかを判定する。 いずれかに該当する場合は「高リスクAI」として以下の義務が発生する。
ステップ3: 義務要件の確認と対応計画 高リスクAIには以下が義務付けられる。 リスク管理システムの構築、訓練・検証データのドキュメント化、技術文書の整備、ログの記録・保持、透明性確保(ユーザーへの開示)、人間による監視体制、正確性・堅牢性・サイバーセキュリティの確保、適合性評価(Conformity Assessment)の完了。
ステップ4: 社内ガバナンス体制の設計 EU AI Actは「AI担当責任者」の指定を義務付けていないが、実務的には専任または兼任の「AI Governance Officer」を置くことを推奨する。 コンプライアンス・法務・IT・ビジネス部門を横断するAIガバナンス委員会の設置も有効だ。
ステップ5: ベンダー・サプライチェーンの確認 自社が使用するAI SaaSベンダーがAI Act準拠の証明書・適合宣言書を発行しているかを確認する。 特にHRツール、採用プラットフォーム、与信スコアリングサービスは優先的にチェックすべき領域だ。
日本企業が見落としがちな「域外適用」問題
EU AI ActはGDPRと同様に「域外適用」を持つ。 EU域内の個人に影響を与えるAIシステムを使用している日本企業も対象になりうる。 具体的には、EU拠点や子会社がAIを使って採用・評価を行っているケース、EU顧客向けに与信判断を行っているケースなどが該当する。
GDPRへの対応が不十分だった日本企業がEUから制裁を受けた事例は複数ある。 EU AI Actでは最大3,500万ユーロ(約58億円)または年間全世界売上の7%という罰則が設定されており、GDPRよりも罰則水準が高い点に注意が必要だ。
テスラのロボタクシー事故開示義務に見られるように、AI・自動化システムの「説明責任」を巡る規制の潮流は世界的に加速している。
Coloradoでも同様の流れ:米国規制の先行指標
EU AI Actとほぼ同時期(2026年6月30日)に施行されるものとして、米国コロラド州のColorado AI Act(SB205)がある。 こちらはAIシステムの開発者・使用者に対し、「アルゴリズム差別」を防止する合理的な注意義務を課すものだ。 ニューヨーク州、イリノイ州なども類似法案を検討しており、米国でも州レベルのAI規制が林立しつつある。
EU AI Actへの対応は、将来の米国規制対応の「練習台」としても機能する。
8月2日まで75日:具体的なタイムラインを引く
今日(5月19日)から8月2日まで75日。逆算すると以下のようなスケジュールが現実的だ。 5月中: AIシステム棚卸し・リスク分類着手。 6月末: 高リスクAI特定・義務要件チェックリスト完成・ガバナンス体制設計。 7月末: 技術文書・ログ記録・適合性評価完了。 8月2日: 施行。
「法律が施行されてから考える」という姿勢は、GDPRで多くの企業が手痛い失敗をした後の反省が活かされていないことを意味する。
あなたの会社は今日、どのステップから動き始めるだろうか。 AIガバナンスは「リスク管理」ではなく、「信頼されるAI企業」としてのブランド構築でもある。
ソース:
- EU AI Act 2026 Compliance Guide for US Companies — Tredence (2026年)
- U.S. Companies Face EU AI Act's Possible August 2026 Compliance Deadline — Holland & Knight (2026年4月)
- EU AI Act Compliance: How to Prepare for 2026 — Security Boulevard (2026年5月)
- Battle for AI Governance: White House's Plan to Centralize AI Regulation — Vorys (2026年)
