EUのAI規制法が本格化:2026年8月に企業チームが対応すべき高リスクAIシステムのコンプライアンス要件
重要なポイント
- 2026年8月2日は、高リスクAIシステムに対するEU AI規制法の義務が企業全体に適用される ターンキー日
- 違反に対する罰金は、最大3500万ユーロまたは世界売上高の7%のいずれか高い方に達する
- 2026年8月2日の期限は、Annex III高リスクAIシステムの要件が強制力を持つようになる日。雇用、信用度判定、教育、法執行の文脈で使用されるAIが対象
- 企業のコンプライアンスプログラムは実装ギャップに直面している。 多くの企業がAIインベントリを体系的に管理していない状況があり、調整された技術標準の到着が遅れているため、実装タイムラインがさらに短縮されている
はじめに:段階的実装から本格執行へ
2024年5月21日に採択された欧州連合のAI規制法は、AIに関する初の包括的な法的枠組みであり、世界規模では初 である。この法律は、企業のAIシステム導入に対して段階的な実装スケジュールを設定している。
理解すべき重要な事実は、このスケジュールが非線形であるということだ。 AI規制法は2024年8月1日に発効し、2年後の2026年8月2日に完全適用される。ただし例外がある。禁止されたAI慣行とAIリテラシー義務は2025年2月2日から適用され、ガバナンス規則とGPAIモデルの義務は2025年8月2日に適用可能になった。規制対象製品に組み込まれた高リスクAIシステムの規則は、AI規制簡素化提案の政治的合意の結果として2028年8月2日まで延長された遷移期間を享受する 。
4つのリスクティア:何がどのように規制されるのか
EU AI規制法の中核は、システムの潜在的な害に基づいてAIを分類する構造化アプローチである。
受け入れられないリスク(禁止対象)
基本的人権に大きな影響を与えるAIシステムは、禁止されているか、より厳しい要件と人的監督の対象となっている 。 これらの禁止は2025年2月2日から強制可能である。違反は最高の罰金段階:世界売上高の7%または3500万ユーロに相当する罰金を伴う 。
| 禁止されたAI慣行 | 具体例 |
|---|---|
| 社会的スコアリングシステム | 社会的行動または個人的特性に基づいて個人または集団を評価または分類するAI |
| 操作的・詐欺的技術 | 潜在意識への訴求、行動の歪曲、情報に基づかない意思決定 |
| 脆弱性の悪用 | 年齢、障害、または社会経済的状況に関する脆弱性を利用するAI |
| 特定のバイオメトリクス分類 | 人種、政治的見方、宗教的信条、性的指向を推測するバイオメトリクスカテゴリー化 |
高リスクAIシステム
これらは、EU内の人々の健康、安全、基本的人権に重大な害をもたらすリスクを構成するAIシステム である。 Annex IIIに列挙されたAIシステムには、バイオメトリクス、重要インフラ、教育および職業訓練、雇用、労働者管理および自営業へのアクセス、必須民間および公的サービス、法執行、移住・難民・国境管理、司法および民主的プロセスの行政が含まれる 。
2026年8月2日は、ほとんどの企業にとって最も重要なコンプライアンス期限。Annex IIIの高リスクAIシステムの要件がこの日に強制力を持つようになる 。
限定的リスク
AI規制法は、人工知能の使用周辺での透明性の必要性に関連するリスクについて、特定の開示義務を導入する。チャットボットなどのAIシステムを使用する場合、人間がマシンと対話していることを認識して、情報に基づいた決定を下せるようにする必要がある。さらに、生成AIのプロバイダーは、AIで生成されたコンテンツが識別可能であることを確保する必要がある 。
最小限のリスク
AI規制法は、最小限または無リスクと見なされるAIについての規則を導入していない。EUで現在使用されているAIシステムの大多数がこのカテゴリーに入る 。
実装タイムラインと重要な期限
| 期日 | 主要な義務 | 対象 |
|---|---|---|
| 2025年2月2日(既に過去) | 禁止されたAI慣行の施行開始 | 全企業 |
| 2025年8月2日(既に過去) | GPAI規則とガバナンス構造の適用開始 | GPAIモデルプロバイダー、各加盟国の当局 |
| 2026年8月2日(現在) | Annex III高リスクAI、透明性規則、規制サンドボックス要件 | 高リスクAIシステムのプロバイダーとデプロイヤー |
| 2027年8月2日 | 製品に組み込まれた高リスクAIの完全適用 | 医療機器、機械、おもちゃなどの既存規制対象製品企業 |
高リスクAIシステム:プロバイダーとデプロイヤーの要件
プロバイダーの責任
プロバイダーは、高リスク人工知能システムを市場に置く前に適合性を証明する主要な責任を負う 。具体的な義務には以下が含まれる:
- リスク管理システムの確立、堅牢なデータガバナンス措置、詳細な技術文書、自動ログ、適切な人的監督、精度、堅牢性およびサイバーセキュリティのための保護措置
- 市場に置く前に、適用可能な適合性評価を実施し、EU適合宣言書を起案し、CEマークを貼付し、EUデータベースに登録する
- Article 10はデータガバナンス慣行が、訓練、検証、試験データセットが関連性があり、十分に代表的であり、可能な限り最適な範囲でエラーのない、意図された目的の観点から完全であることを確保するよう要求している
デプロイヤーの責任
銀行が第三者クレジットスコアリングAIを購入する場合、デプロイヤーになり、人的監督、監視、および事故報告に関する義務を負う。デプロイヤーはプロバイダーよりもコンプライアンスの負担が少ないが、AIシステムの意図された目的を変更するか、プロバイダーの指示に従わない場合、責任を負う可能性がある 。
デプロイヤーは人的監督メカニズムを実装し、最低6ヶ月間は自動ログを保持し、必要に応じて基本的人権影響評価を実施する必要がある 。
罰金体系:コンプライアンス違反のコスト
EU AI規制法は、階層化された罰金体系を確立している。重要な点は、固定額と世界売上高のパーセンテージのいずれか「高い方」が適用されることである。
| 違反カテゴリー | 固定額 | 売上高のパーセンテージ | 適用対象 |
|---|---|---|---|
| 禁止されたAI慣行(Article 5) | 3500万ユーロ | 世界売上高の7% | 社会的スコアリング、操作的AI、特定の生体認証 |
| 高リスク要件違反(Articles 9-15) | 1500万ユーロ | 世界売上高の3% | リスク管理、データガバナンス、技術文書 |
| 情報提供違反 | 750万ユーロ | 世界売上高の1% | 誤った情報、不完全な文書 |
最大罰金は3500万ユーロまたは世界売上高の7%。これにより、AI規制法の最大罰金は典型的なGDPR罰金の5倍であり、委員会が今まで発した最大反トラスト制裁とほぼ同等 である。
重要な注意点: 罰金決定時の考慮事項には、違反の性質、重大性、期間および結果、影響を受ける人の数、被害の程度、以前に同じプロバイダーに課された行政罰金の有無、サイズ、年間売上高、市場シェア、過去の違反、当局との協力の程度、違反がどのように明らかになったか(自己報告対規制当局による発見)が含まれる 。
規制体系:誰が誰を監督するのか
欧州AI室は欧州委員会内に設立され、汎用AIモデルを監督し、欧州人工知能委員会を調整して加盟国全体での一貫した実装を確保する。国家的に適切な当局が高リスクシステムに対する市場監視を処理する。加盟国は、適合性評価機関を監督する認定当局と、コンプライアンスを監視し制裁を課す市場監視当局を指定する必要がある 。
管轄権は効果に基づいている。つまり、位置は安全保護を提供しない。中国のAI企業が欧州子会社を設立していなくても、その顔認識システムがEU法執行機関によってデプロイされている場合は準拠する必要がある 。
すぐに実施すべき企業アクション
1. AIシステムの完全なインベントリを構築する
インベントリは、システムの意図された目的、処理するデータ、影響する決定、対象人口、動作または動作する可能性のあるEU市場をキャプチャする必要がある。その後、各システムをAnnex IIIカテゴリーに対してマッピングして、高リスク義務が適用されるかどうかを判断する 。
2. リスク分類を完了する
企業は各AIシステムについて、それが禁止されているか、高リスクか、限定的リスクか、最小限のリスクかを判断する必要がある。 欧州委員会は、申請の5~15%のみが厳しい規則の対象になると推定している。106の企業AIシステムに関する研究では、18%が高リスク、42%が低リスク、40%が高リスクか低リスクか不確定であることが判明した 。
3. 適合性評価を計画する
複雑なシステムの適合性評価には数ヶ月を要する。技術文書はシステムの設計および開発と同時に開発する必要があり、事後的に組み立てるのではない。2025年にこのプロセスを開始する組織は良好な立場になるが、2026年8月をコンプライアンス作業の開始日として扱う組織はそうではない 。
4. 技術文書を準備する
高リスクAIシステムの技術文書は、システムをEUに置く前に、またはサービスに投入する前に作成する必要がある。この文書は、システムがAI規制法で定められた要件を満たしていることを実証する必要がある 。
日本の企業にとっての含意
EU AI規制法は欧州限定ではない。 管轄権は効果に基づいており、企業が欧州に物理的に存在していなくても、EUの人々に影響を与えるAIシステムはコンプライアンス対象 。
日本の大企業がEU市場にAIシステムを提供している場合、または欧州の顧客がいる場合、この規制に対応する必要がある。特に、クレジットスコアリング、採用支援AI、顔認識システムなどの高リスクシステムを開発または提供している企業は、2026年8月のコンプライアンス期限に直面している。
次に何が起こるか
欧州委員会が提案した「AI omnibus」は2025年11月に採択され、2026年5月7日に政治的合意に達した 。この提案には、いくつかの規則の簡素化が含まれているが、 企業は、この拡張がまだ法律として制定されていないため、2026年8月を実行可能な期限として扱うべき 。
Article 57に従い、各加盟国は2026年8月2日までに少なくとも1つの国レベルのAI規制サンドボックスを設立する必要がある 。これらのサンドボックスは、企業が市場投入前に規制ガイダンスの下でシステムをテストできる環境を提供する。
最終的な考察
EU AI規制法は、単なる技術的なコンプライアンス要件以上のものである。それは、企業がAIシステムの設計、開発、導入の方法を再考することを要求する基本的なシフトである。
実装タイムテーブルはガイドライン、調整された標準、および自主的な実践規範によってサポートされており、これらはAIの段階的適用に関して組織と規制当局を支援することを目指している 。
企業チームにとって重要なテイクアウェイ:進行中のコンプライアンスプロセスは、今月開始する必要があった。2026年8月のコンプライアンス義務に向けて残りの時間は、適合性評価を完了し、技術文書を確認し、運用上の人的監督体制が整っていることを確認するためのものである。コンプライアンスを単なる法的チェックボックスとしてではなく、ビジネス継続性の必要性として扱う組織が、この規制環境をナビゲートするうえで最も効果的である。