EU AI Act とは?
EU人工知能規則(EU AI Act)は、EUが世界に先駆けて制定したAI総合規制法です。2024年に成立し、段階的に施行が進んでいます。2026年8月2日には大半の条項が適用開始となり、AIを使用・開発・提供するすべての企業に対して法的義務が生じます。
EU外の日本企業であっても、EU市民向けにAIサービスを提供したり、EU企業と取引がある場合は規制の対象となります。「EU向けではないから関係ない」という判断は危険です。
施行タイムライン
| 時期 | 内容 |
|---|---|
| 2024年8月 | EU AI Act 発効 |
| 2025年2月 | 禁止AIシステムの適用開始(AI識字率義務含む) |
| 2025年8月 | 汎用AI(GPAI)モデル規制・ガバナンス条項 適用開始 |
| 2026年8月2日 | ほぼすべての義務が適用開始(ハイリスクAI要件等) |
| 2026年11月2日 | AI生成コンテンツへの電子透かし義務 |
| 2027年8月2日 | 特定の既存AIシステム(Article 6(1))の義務 |
| 2027年12月 | AI規制サンドボックスの国家レベル設立期限 |
2026年4月現在、EUの欧州議会・理事会・委員会の三者協議(トライローグ)が進行中であり、4月28日の第2回会合で最終合意に至る見通しです。
リスクベースのアプローチ:4段階の分類
EU AI Actはすべてのシステムを一律に規制するのではなく、リスクの高さに応じて義務を段階的に設定しています。
レベル1:許容不可能なリスク(禁止)
以下のAIシステムは一切の使用が禁止されます。
- 社会的スコアリング:政府・民間問わず、個人の行動を点数化して差別的扱いをするシステム
- バイオメトリクスによる感情認識:職場や教育機関での感情読み取りAI(医療・安全目的を除く)
- リアルタイム顔認識:公共空間での法執行機関によるリアルタイム生体認証(例外あり)
- サブリミナル操作:無意識に行動を誘導するシステム
- CSAM生成・操作:非合意の個人を特定できる性的コンテンツを生成するシステム(2026年3月の改正で追加)
レベル2:ハイリスク(厳格な義務)
医療診断・採用選考・信用スコアリング・重要インフラ管理など、人の生命や権利に直接関わるシステムです。以下の要件を満たす必要があります。
- リスクマネジメントシステムの整備
- 高品質な学習データの確保と文書化
- 詳細な技術文書の作成・維持
- 人間による監視(Human Oversight)体制
- EUデータベースへの登録
レベル3:限定リスク(透明性義務)
チャットボット、ディープフェイク生成ツールなど。「これはAIです」と明示する義務があります。
レベル4:最小リスク(義務なし)
スパムフィルター、AIゲームなど。規制の対象外ですが、任意の行動規範への準拠が推奨されます。
汎用AIモデル(GPAI)への規制
ChatGPT、Claude、Geminiのような大規模基盤モデルは「汎用AI(GPAI)モデル」として別途規制されます。2025年8月から適用開始済みです。
すべてのGPAIプロバイダー
- 技術文書の作成・維持
- 著作権法遵守ポリシーの整備
- 学習データの概要公開
システミックリスクモデル(計算量 10²⁵ FLOP以上)
GPT-5、Gemini 2.5 Pro、Claude Opus 4.6クラスの超大規模モデルには追加義務が課されます。
- モデル評価・レッドチーミングの実施
- 重大インシデントの欧州AI局への報告
- サイバーセキュリティ対策の実施
電子透かし(ウォーターマーキング)義務
2026年11月2日から、AI生成の音声・画像・動画・テキストコンテンツには電子透かしを付加し、AI生成であることを明示する義務が生じます。
「DeepFake」「AIボイス」など、人を誤解させる可能性のあるコンテンツへの対応が企業に求められます。SNS事業者、動画プラットフォーム、コンテンツマーケティングツール提供者は特に影響を受けます。
違反した場合のペナルティ
| 違反内容 | 最大罰則 |
|---|---|
| 禁止AIシステムの使用 | 3,500万ユーロ または 全世界年間売上の7% |
| ハイリスクAI義務違反 | 1,500万ユーロ または 全世界年間売上の3% |
| 虚偽・不完全な情報提供 | 750万ユーロ または 全世界年間売上の1% |
中小企業・スタートアップは一部軽減措置あり。また、行政負担を2029年までに25%(SMEは35%)削減する方向で規制の簡素化も進行中です。
日本企業が取るべき対応
今すぐ(2026年4月〜)
- AIシステムの棚卸し:社内で使用・開発・提供しているAIシステムをすべてリスト化する
- リスク分類の実施:各システムが上記4段階のどのレベルに該当するか判定する
- EU向けサービスの確認:EU市民を対象とするサービスがある場合は優先対応
2026年8月施行前に
- ハイリスクAIの対応完了:文書化・人間監視体制・登録手続きを完了させる
- 透明性表示の実装:チャットボット等の「AIであることの開示」をUIに組み込む
- 社内AI研修の実施:AI識字率義務(2025年2月から適用)に対応した従業員教育
2026年11月〜
- コンテンツ電子透かしの実装:AI生成コンテンツへのウォーターマーキング対応
まとめ
EU AI Actは「EU内のこと」と思っていると痛い目を見ます。EU向けにAIサービスや製品を展開している日本企業、あるいはEU企業をクライアントに持つ企業は、2026年8月施行に向けた準備が急務です。
最初の一歩は自社AIシステムの棚卸しです。どのシステムが何のリスクレベルに分類されるかを把握することで、必要な対応の優先順位が見えてきます。規制対応コンサルタントや法務部門と連携しながら、計画的に準備を進めましょう。