EU AI法(Regulation (EU) 2024/1689、通称 AI Act)は2024年8月1日に発効し、2025年2月から段階的に適用が拡大しています。2026年8月 には大半の規定が本格適用となり、日本企業が EU市場でAIシステム・AIモデルを提供 する場合、技術文書・市場監視・適合性評価などの重い義務に対応する必要があります。
本記事では、EU AI法の構造を 日本企業の実務担当者目線 で整理し、自社が「プロバイダー」「インポーター」「ディストリビューター」「デプロイヤー」のいずれに該当するかの判定、リスク分類、対応すべき義務、罰則、2026年〜2027年のコンプライアンスロードマップを解説します。
EU AI法の基本構造
適用タイムライン
| 適用日 | 対象規定 |
|---|---|
| 2024年8月1日 | 発効(一般規定) |
| 2025年2月2日 | 禁止AIプラクティス・AIリテラシー要件の適用開始 |
| 2025年8月2日 | GPAI(汎用AI)モデル提供者の義務適用開始 |
| 2026年8月2日 | 大半の規定(高リスクAI含む)の本格適用 |
| 2027年8月2日 | 一部の高リスクAI(製品組込型)の適用開始 |
域外適用の原則
EU AI法は GDPR と同様の域外適用原則 を採用:
- 提供者がEU域外でも、AIシステムをEU市場で利用可能にする または EU内のユーザーがその出力を利用 する場合に適用
- 日本本社・日本子会社・第三国子会社からEUに提供する全ての日本企業が対象
リスク分類の4階層
EU AI法は AI システムを リスクの高さで4階層 に分類し、階層ごとに異なる義務を課します。
① 禁止AIプラクティス(Prohibited AI Practices)
2025年2月から 完全禁止。違反時は 最大3,500万EUR または全世界年間売上高の7%(いずれか高い方)の罰金。
主な禁止対象
- サブリミナル技術:ユーザーの認識を超えた操作・誘導
- 脆弱性の悪用:年齢・障害・社会経済的状況を悪用
- 社会的スコアリング(公的機関による)
- リアルタイム遠隔生体認証(公共空間、原則禁止)
- 感情認識AI(職場・教育機関での使用)
- 生体分類AI(人種・宗教・政治的意見等)
日本企業が注意すべき点
- マーケティングAIの境界:行動分析・パーソナライゼーションが「サブリミナル技術」に抵触しないか
- HR Tech・採用AI:感情認識や生体分類が含まれていないか
- 店舗内AIカメラ:生体認証・感情分析機能が無効化されているか
② 高リスクAI(High-Risk AI Systems)
最も重い規制対象。2026年8月 から本格適用。違反時は 最大1,500万EUR または全世界年間売上高の3%。
高リスクの2つのカテゴリ
A. 製品安全規制対象の組込AI(Annex I)
- 機械(Machinery Regulation)、医療機器、玩具、自動車、航空機、エレベーター、無線機器等の安全部品としてのAI
B. 8つの特定領域のスタンドアロンAI(Annex III)
- 生体認証:遠隔生体認証システム
- 重要インフラ:水道、ガス、電気、デジタルインフラの管理
- 教育・職業訓練:入学判定、評価、不正検知
- 雇用・労務管理:採用、人事評価、業務配分、解雇判断
- 基本サービス・公的給付:信用スコアリング、生命・健康保険の保険料算定
- 法執行:犯罪予測、証拠評価
- 移民・国境管理:ビザ申請評価、移民リスク評価
- 司法・民主プロセス:法的判断支援、選挙の影響操作
高リスクAI提供者の義務
| 義務 | 内容 |
|---|---|
| リスク管理システム | 全ライフサイクルでのリスク特定・評価・軽減 |
| データ・データガバナンス | 訓練データの代表性、バイアス管理 |
| 技術文書 | 設計、テスト、性能、想定用途の詳細記録 |
| 記録保持(Logging) | 自動的なログ記録、検証可能性 |
| 透明性・情報提供 | デプロイヤーへの十分な情報提供 |
| 人間による監督 | 効果的な人間の介入を可能に |
| 正確性・堅牢性・サイバーセキュリティ | 適切なレベルの確保 |
| 適合性評価 | CEマーク取得(製品組込型)または自己宣言 |
| EU適合宣言書 | 提供者による作成・保持 |
| 登録 | EUデータベースへの登録 |
| 品質管理システム | ISO/IEC 42001等の標準準拠が望ましい |
| 市販後監視 | 市場投入後の継続的なモニタリング |
| 重大インシデント報告 | 当局への通知(15日以内) |
③ 限定リスクAI(Limited Risk)
透明性義務のみ:以下のAIシステムは、ユーザーがAIと対話していることを認識できる必要があります。
- チャットボット:「これはAIです」の表示
- 生成AI(Generative AI):AI生成コンテンツの透明性
- ディープフェイク:合成・操作されたコンテンツの開示
- 感情認識・生体分類:ユーザーへの通知(許可されている用途)
④ 最小リスクAI(Minimal Risk)
規制なし(行動規範への自主的準拠を推奨)。多くのスパムフィルター、ゲームAI、レコメンドエンジンの一部等が該当。
GPAI(汎用AI)モデルの特別規定
ChatGPT、Gemini、Claude等の 汎用AIモデル(General-Purpose AI Models) には独自の規制が課されます(2025年8月から適用)。
全GPAIモデル提供者の義務
- 技術文書の作成・維持
- 下流提供者への情報提供(モデルの統合・利用に必要な情報)
- EU著作権法へのコンプライアンス(EU著作権指令第4条のオプトアウトの尊重)
- 訓練データの公開サマリー(テンプレートはAI Office提供)
システミック・リスクGPAI(特に強力なモデル)
訓練に 10^25 FLOPs以上 を使用したモデル等は「システミック・リスク」と分類され、以下の追加義務:
- モデル評価:敵対的テスト含む
- システミック・リスク評価・軽減
- 重大インシデント報告:開発者に発生したインシデントを当局に報告
- 適切なサイバーセキュリティ確保
役割別の義務マッピング
プロバイダー(Provider / 提供者)
AIシステムを開発し、自社名・商標で市場に投入する事業者。最も重い義務 を負います。
日本企業がプロバイダーになるケース
- 日本本社で開発したAIシステムをEU子会社経由で販売
- EU内顧客向けに直接AIサービスを提供(SaaS含む)
- 自社製品にAIを組み込んで EU で販売
インポーター(Importer / 輸入者)
EU域外のプロバイダーが製造したAIシステムを、自身の名でEU市場に投入する事業者。
日本企業がインポーターに「させる」ケース
- 日本本社が開発、EU内パートナー企業が EU で販売
- → パートナーが「インポーター」となり、技術文書の保管・市場監視等の義務
インポーターの主な義務
- プロバイダーが適合性評価を完了していることの検証
- 技術文書のEU内での保管(10年間)
- 自社の連絡先表示
- 当局からの要請への対応
ディストリビューター(Distributor / 販売者)
サプライチェーン上で AIシステムを販売・流通させる事業者。
ディストリビューターの主な義務
- CEマークと EU適合宣言書の確認
- 関連書類のEU内での保管
- 不適合品の市場からの除去
- リスク発見時の当局通知
デプロイヤー(Deployer / 使用者)
AIシステムを 業務として使用 する事業者(個人利用は対象外)。
日本企業がデプロイヤーになるケース
- EU子会社が他社製AIを業務で利用(採用AI、CRM分析AI等)
デプロイヤーの主な義務
- プロバイダーの指示に従った使用
- 入力データの代表性・適切性の確保
- AIシステム稼働中のモニタリング
- ログの保持(高リスクAIの場合)
- 影響評価(公的機関、銀行・保険、雇用判断時)
- 個人への通知(採用判断、保険料算定等のAI使用時)
罰則体系
| 違反内容 | 上限罰金 |
|---|---|
| 禁止AIプラクティス | 3,500万EUR または 全世界年商7% |
| 高リスクAI義務違反 | 1,500万EUR または 全世界年商3% |
| GPAI提供者義務違反 | 1,500万EUR または 全世界年商3% |
| 当局への虚偽情報提供 | 750万EUR または 全世界年商1% |
中小企業(SME)には軽減規定あり:上限が「いずれか低い方」になる場合があります。
日本企業の典型的な対応パターン
パターンA:日本で開発、EU内で販売するAI製品
例:日系メーカーが工場用AI画像認識システムを EU で販売
- 役割:プロバイダー
- リスク分類:機械Annex Iに該当するため 高リスク
- 2026年8月までに対応すべき項目:
- リスク管理システム構築
- 技術文書整備
- 適合性評価(自己宣言または第三者機関)
- CEマーク表示
- EU適合宣言書作成
- EU内連絡先(Authorised Representative)の指定
- EU データベースへの登録
- 市販後監視体制整備
パターンB:EU子会社が他社AI(含むSaaS)を業務利用
例:日系商社のEU子会社が他社製HR AI を採用業務で利用
- 役割:デプロイヤー
- リスク分類:採用判断のため 高リスク
- 対応項目:
- プロバイダーの指示書確認
- 個人(応募者)への通知
- ログ保持
- 監督機関への影響評価提出(求められた場合)
- 人間による最終判断の確保
パターンC:日本本社の生成AI(社内利用)
例:日本本社で開発した生成AIをEU子会社の社内業務で利用
- 役割:プロバイダー(GPAI)+デプロイヤー(限定リスク)
- 対応項目:
- GPAI技術文書の整備(2025年8月から義務)
- EU著作権法準拠の確認
- 訓練データの公開サマリー作成
- ユーザーへのAI使用通知
2026年〜2027年のコンプライアンスロードマップ
Q2 2026(5月〜7月)
必須対応
- ☐ 自社AIシステム・AIモデルの全棚卸し
- ☐ 各AIシステムのリスク分類判定(禁止 / 高リスク / 限定リスク / 最小リスク)
- ☐ 自社の役割判定(プロバイダー / インポーター / ディストリビューター / デプロイヤー)
- ☐ 高リスクに該当するシステムのリストアップ
- ☐ 経営層・取締役会への報告と予算確保
Q3 2026(8月〜10月)—— 本格適用開始
必須対応
- ☐ 高リスクAIの技術文書整備完了
- ☐ 適合性評価(CEマーク取得 or 自己宣言)
- ☐ EU適合宣言書作成
- ☐ EUデータベース登録(高リスクAIの場合)
- ☐ EU内Authorised Representativeの指定(域外プロバイダー)
- ☐ 市販後監視体制構築
- ☐ 重大インシデント報告フロー整備
Q4 2026(11月〜12月)
推奨対応
- ☐ 第三者監査(任意)
- ☐ ISO/IEC 42001(AI Management System)認証検討
- ☐ AI ethics ガイドライン社内策定
- ☐ 全社研修・AIリテラシー教育
2027年以降
- ☐ 製品組込AI(Annex I)の追加対応(2027年8月期限)
- ☐ 継続的な市場監視・インシデント対応
- ☐ EU AI Office・各国監督機関との関係構築
- ☐ AI Act改正・追加ガイダンスへの対応
主要な関連法令との関係
| 関連法令 | 関係性 |
|---|---|
| GDPR | AI訓練データの個人情報保護、自動化された意思決定の規制(GDPR第22条) |
| デジタルサービス法(DSA) | プラットフォーム上のAI利用 |
| デジタル市場法(DMA) | ゲートキーパーのAI利用 |
| 製品責任指令(PLD改正) | AI製品の損害賠償責任 |
| NIS2指令 | 重要インフラのサイバーセキュリティ |
まとめ:日本企業の最重要アクション5項目
① 自社AI棚卸しと分類(最優先・即着手)
- 日本本社・EU子会社・第三国子会社の全AIシステムを把握
- リスク分類と役割判定を完了
② 高リスクAIの本格対応開始(2026年Q2中)
- 技術文書、リスク管理システム、適合性評価の準備
- EU内Authorised Representativeの選定・契約
③ サプライヤー・パートナー管理
- 自社が利用するAIサービス(SaaS含む)の提供者の AI Act 準拠状況確認
- 契約条件にAI Act準拠条項を追加
④ 全社的なガバナンス体制構築
- AI Officer・AI Ethics Committeeの設置
- 全社研修・AIリテラシー教育
- インシデント報告フロー整備
⑤ 弁護士・コンサルタントとの連携
- EU内の知財・規制弁護士との顧問契約
- AI Act専門のコンサルティング会社・監査機関の選定
おわりに
EU AI法は GDPR以来の最大規模の規制 であり、日本企業の対応の遅れは大きな事業リスクとなります。2026年8月の本格適用までに準備を完了 することが、EU市場でのビジネス継続の前提条件です。
TSM合同会社では、お客様のAI Act対応を、リスク分類の判定、技術文書整備、現地弁護士・適合性評価機関との連携まで、ワンストップでご支援しています。
本記事の情報は2026年5月時点のものです。EU AI法は段階的に適用が拡大しており、AI Office・各国監督機関のガイダンスも継続的に発行されます。実際の対応にあたっては、最新の情報と専門家のアドバイスをご確認ください。