EU AI法とは — 2026年8月2日に「全面適用」を迎える世界初の包括規制
EU AI法(AI Act)は2024年8月に発効した、AIを包括的に規制する世界初の法律です。一度に施行されるのではなく段階適用が特徴で、2025年2月に「許容できないリスク」のAI(サブリミナル操作や公的機関によるソーシャルスコアリング等)の禁止、2025年8月に汎用AI(GPAI)モデル提供者への義務が先行して適用されました。そして2026年8月2日には、高リスクAIシステムへの義務や透明性義務を含む主要部分が全面適用となる予定です。違反時の制裁金は最大3,500万ユーロまたは全世界売上高の7%のいずれか高い方と、GDPRを上回る水準が設定されており、「知らなかった」では済まされない規模感といえます。
「16カ月延期案」はまだ成立していない — 8月施行前提が安全
欧州委員会は2025年11月、規制簡素化パッケージ(デジタル・オムニバス)の一環として、高リスクAI義務の適用を最長16カ月延期する案を提示しました。ただしこの案は欧州議会と理事会の審議・合意を経て初めて成立するもので、2026年3月時点では成立していません。このため実務界では「延期を当てにせず、2026年8月施行を前提に準備を進める」のが安全側の判断とされる傾向があります。また、仮に延期が成立した場合でも対象は主に高リスクAI関連の義務に限られ、すでに適用済みの禁止規定などが巻き戻るわけではないと見られています。いま準備した内容が無駄になる可能性は低い、と考えておくのが現実的です。
域外適用 — EUに拠点がなくても対象になる3つの典型パターン
EU AI法の大きな特徴が「域外適用」です。EU域内に法人や支店がなくても、次のようなケースでは日本企業も適用対象になり得ます。
- EU市場へのAI提供: 自社開発のAI機能付きSaaSやアプリをEU域内のユーザーにも提供している場合(有償・無償を問わず対象とされています)
- AIの出力がEU域内で利用される: 日本国内でAIを稼働させていても、その出力(判定結果、生成コンテンツ、スコア等)がEU域内の顧客・取引先に使われる場合
- EU企業のサプライチェーンに組み込まれている: 直接の適用がなくても、取引先のEU企業からAI法対応の証明や契約条項の追加を求められるケースが増える傾向にあります
「越境ECでEUからの注文を受けている」「英語版サイトにAIチャットボットを置いている」といった中小企業でも接点が生じ得る点は、GDPRのときと似た構図です。
自社は対象か? 5分でできる簡易判定フロー
まずは次の順番で確認するのが効率的です。
- EU域内に顧客・ユーザー・取引先はいるか? — いなければ現時点で直接適用となる可能性は低いと考えられます(将来のEU展開予定がある場合は別途確認)
- その相手にAI機能を提供している、またはAIの出力が届いているか? — チャットボット、レコメンド、自動翻訳、生成AIで作ったコンテンツ等も含めて棚卸しします
- そのAIは高リスク類型に該当するか? — 採用・人事評価、与信・保険、教育の合否判定、重要インフラ等が代表例です。該当すれば適合性評価やリスク管理体制など本格的な対応が必要になります
- 高リスクでなくても透明性義務はないか? — 人と対話するAIには「AIであることの明示」、AI生成コンテンツには機械可読な形での表示が求められるのが一般的です
多くの中小企業は3で「非該当」、4で「一部該当」に落ち着くと見られますが、判断に迷う場合は専門家やJETRO等の公的窓口への確認が推奨されます。
リスク4分類と義務の対応表
| リスク区分 | 代表例 | 主な義務 |
|---|---|---|
| 許容できないリスク(禁止) | サブリミナル操作、ソーシャルスコアリング | 提供・利用の禁止(適用済み) |
| 高リスク | 採用選考AI、与信審査AI、教育評価AI | リスク管理、データガバナンス、人間の監督、ログ保存、適合性評価 |
| 限定リスク(透明性) | チャットボット、生成AI、ディープフェイク | AIであること・AI生成であることの明示 |
| 最小リスク | 迷惑メールフィルタ、在庫予測 | 義務なし(自主的な行動規範を推奨) |
中小企業がまず影響を受けやすいのは「限定リスク」の透明性義務と、高リスクAIを利用者(デプロイヤー)として使っている場合の義務です。自社開発でなくても、高リスク類型のAIツールを業務利用していれば、提供元の指示に沿った運用や人間による監督などの義務が生じ得る点に注意が必要です。
中小企業向け・最低限の対応チェックリスト
- AI利用の棚卸し: 自社が提供するAI機能と、業務で利用中のAIツール(SaaS含む)を一覧化する
- EU接点の確認: 顧客・ユーザー・取引先にEU域内が含まれるか、営業・EC・サイトアクセスの実態を確認する
- 高リスク該当性の一次判定: 採用・与信・教育など高リスク類型に触れるAIがないか確認する
- ベンダー対応状況の確認: 利用中のAIツール提供元にEU AI法への対応方針を照会し、契約・利用規約を確認する
- 透明性表示の実装: チャットボットへの「AIが応答しています」の明示、AI生成コンテンツへの表示を追加する
- Human-in-the-Loopの設計: 重要なAIの出力は人間が承認してから確定・送信するフローにする。2026年にはこの承認設計がAI運用の標準的な作法として定着しつつあり、AI法対応と業務品質の両面で有効とされています
- 記録の保存: いつ・どのAIが・何を出力したかを追えるログ体制を整える
すべてを一度に行う必要はなく、上から「棚卸し→接点確認→該当性判定」まで進めるだけでも、リスクの所在はかなり明確になります。
まとめ — 「対象かどうかの確認」だけでも早めに
EU AI法は2026年8月2日に高リスクAI義務を含めて全面適用となる予定で、延期案は2026年3月時点で未成立のため、8月施行を前提とした準備が推奨されています。域外適用により、EUに拠点のない日本の中小企業でも、EU向けのAI提供やAI出力の到達があれば対象になり得ます。もっとも、多くの中小企業に求められる第一歩は、「自社は対象か」の判定と、透明性表示・Human-in-the-Loop承認・記録保存といった基本動作の整備です。これらはEU顧客の有無にかかわらずAIガバナンスの土台として機能し、取引先からの信頼獲得にもつながる投資と捉えるのが建設的でしょう。