2026年8月2日、EU AI Act(欧州AI規則、Regulation (EU) 2024/1689)の高リスクAIシステム規制が本格適用されます。同法は2024年8月成立、2026年2月に禁止AI規制が、同年8月に高リスク規制が、2027年8月に汎用AIモデル(GPAI)規制が段階的に適用される構造です。日本企業もEU市場でAIシステムを提供する場合は域外適用の対象となります。
適用スケジュール
| 適用日 | 規制内容 |
|---|---|
| 2026年2月2日 | 禁止AI(サブリミナル・ソーシャルスコアリング等)の禁止 |
| 2026年8月2日 | 高リスクAIシステム規制の本格適用(本稿) |
| 2027年8月2日 | 汎用AIモデル(GPAI)規制の全面適用 |
| 2030年8月2日 | 既存の大規模ITシステム組込AIへの完全適用 |
高リスクAIの該当用途
附属書IIIで列挙された以下の用途のAIシステムは「高リスク」に該当します。
| カテゴリ | 具体例 |
|---|---|
| 生体認証 | 顔認証、感情認識(公共空間以外) |
| 重要インフラ | 電力・水道・交通の制御AI |
| 教育・職業訓練 | 入学選考、試験採点、進路推薦 |
| 雇用・人事 | 採用スクリーニング、業績評価、解雇判断 |
| 必須サービス | 公的給付の判定、医療リソース配分 |
| 法執行 | 犯罪予測、証拠評価支援 |
| 移民・国境管理 | ビザ審査、亡命者リスク評価 |
| 司法・民主主義 | 判決予測、選挙影響評価 |
日本企業への域外適用(AI Act 2条)
日本企業も以下のいずれかに該当する場合、EU AI Actの適用を受けます。
- EU市場でAIシステムを提供(プレイス・オン・ザ・マーケット)する場合
- AIシステムの出力がEU域内で利用される場合
- EU内に確立された輸入者・販売業者・代理人を通じてEU市場参入する場合
該当例
- 日本本社のSaaS企業がEU子会社・代理店経由でAI採用ツールを販売
- 日本のメーカーが高度自動運転車をEUで販売
- 日本のAIスタートアップが医療画像診断AIをEU病院に提供
高リスクAIシステムの主要義務
1. 適合性評価(Article 43)
EU市場投入前に適合性評価を実施する必要があります。
- 内部適合性評価: 一部の高リスクシステム
- 第三者認証機関による評価: 生体認証等の特定用途
2. CEマーキング(Article 48)
適合性評価を経たAIシステムにはCEマーキングを付与し、EU適合宣言書(DoC)を作成・保管します。
3. リスクマネジメントシステム(Article 9)
- ライフサイクル全体でのリスク特定・評価・軽減
- 既知の予見可能リスクと残存リスクの文書化
- 定期的なテストと検証
4. データガバナンス(Article 10)
- 訓練・検証・テストデータの品質管理
- バイアス検出と緩和
- 適切な代表性の確保
5. 技術文書(Article 11)
- システム設計の詳細記述
- 開発プロセスの記録
- 性能評価結果の保持(市場投入後10年間)
6. ログ保持(Article 12)
- 自動ログ生成機能の実装
- 監督機関アクセス可能な保存
7. 透明性と利用者情報(Article 13)
- 利用者向け使用説明書の提供
- システムの能力と限界の明示
8. 人間による監督(Article 14)
- 適切な人間の監督を可能にする設計
- 自動化バイアスの認識訓練
9. 正確性・堅牢性・サイバーセキュリティ(Article 15)
- 適切なレベルの正確性保証
- サイバー攻撃への耐性
10. 基本権影響評価(FRIA、Article 27)
公的機関や民間の特定事業者が高リスクAIを使用する前に、基本権影響評価を実施する義務があります。
違反時のペナルティ
| 違反類型 | 最大罰金 |
|---|---|
| 禁止AI(Article 5)違反 | €3,500万または全世界年間売上の7% |
| 高リスクAI義務違反 | €1,500万または全世界年間売上の3% |
| 当局への虚偽情報提供 | €750万または全世界年間売上の1.5% |
中小企業は売上比率(%)の方を適用。GDPR(最大€2,000万または4%)よりも高水準のペナルティです。
日本企業の実務対応5ステップ
Step 1: AIシステム棚卸し(〜2026年6月)
EU市場で提供している全AIシステムをリストアップ。附属書IIIの8カテゴリに該当するか判定。
Step 2: 適合性評価準備(〜2026年7月)
- 第三者認証機関の選定(生体認証等の場合)
- リスクマネジメントシステムの設計
- 技術文書の整備
Step 3: 体制構築(〜2026年8月)
- EU代理人の選任(EU内に拠点がない場合)
- データガバナンス体制の整備
- ログ保持システムの実装
Step 4: 利用者向け情報開示(適用開始時点)
- 使用説明書のEU公用語翻訳
- システムの能力・限界の明示
Step 5: 継続監視(2026年8月以降)
- 市場後監視(Post-Market Monitoring)
- 重大インシデントの当局報告
- 定期的な適合性再評価
日本国内法との関係
AI事業者ガイドライン(経産省)
- 2024年4月公表の「AI事業者ガイドライン第1.0版」と相互補完
- EU AI Actは法的拘束力、日本ガイドラインは自主規制
個人情報保護法
- 高リスクAIが個人データ処理を伴う場合、APPI+EU AI Act+GDPRの三層規制
- 2026年4月施行の改正APPI(AI関連規定)との整合性確認
著作権法30条の4
- AI学習データに関する日本法の例外と、EU AI ActのGPAIモデル規制(訓練データ概要開示義務)の関係整理
業種別の影響度
| 業種 | 影響度 | 主な該当用途 |
|---|---|---|
| HR Tech | ★★★★★ | 採用AI、適性検査 |
| 金融 | ★★★★ | 信用評価、不正検知 |
| 医療機器 | ★★★★★ | 診断支援AI |
| 自動車 | ★★★★ | 高度自動運転 |
| 教育Tech | ★★★ | 進路推薦、自動採点 |
| SaaS全般 | ★★ | EU向け提供時 |
| 製造業 | ★★ | 産業AI、品質管理 |
まとめ
EU AI Actの高リスクシステム規制は2026年8月2日から本格適用され、日本企業も域外適用の対象となります。違反時のペナルティは最大全世界売上の7%と極めて高水準であり、AIシステム棚卸し→適合性評価→体制構築→情報開示→継続監視の5ステップで早急な対応が必要です。
特にHR Tech・医療機器・金融等の高リスクカテゴリ事業者は、2026年6月までにEU代理人選任と適合性評価の着手をお勧めします。AI規制対応について、IT・国際法務に詳しい弁護士へのご相談をお勧めします。
