AI基本法とEU AI Act——日本企業に迫る「二重の規制圧力」
Japan's AI Basic Law and EU AI Act: Double Regulatory Pressure on Japanese Corporations日本AI基本法 vs EU AI Act 対比
日本 AI基本法
2025年9月1日全面施行
AIの透明性・説明可能性・人間監督
努力義務中心(罰則限定的)
EU AI Act
2026年8月2日高リスク全面施行
4段階リスク分類、技術文書・監督義務
罰則:最大年商7%または3,500万€
2025年6月4日に公布・9月1日に全面施行された日本AI基本法(人工知能の開発・利用の促進に関する基本法)は、AIの「透明性・説明可能性・人間監督」を事業者の努力義務として定めた。罰則規定は限定的だが、行政指導・公表の根拠法として機能する。
同時に、EU AI Actは2026年8月2日に高リスクAIシステムの規制を全面施行する。欧州で事業展開する日本企業、欧州の顧客にAIサービスを提供する企業は、EUの規制体系に直接服する。
「日本国内だけで展開しているから関係ない」という判断は危険だ。EUの取引先企業が「EU AI Actコンプライアンス証明」をサプライヤーに求めるケースが既に出始めており、間接的な規制圧力は広く及んでいる。
AI基本法が求める「AIの透明性」——実務的に何が変わったか
Transparency Requirements Under Japan's AI Basic Law: What Has Actually ChangedAI基本法の主な義務・努力義務
AI使用の表示義務
顧客向けAI生成コンテンツに「AI生成」表示(努力義務)
説明可能性の確保
採用・融資・医療補助でのAI意思決定根拠を確認可能にする
人間監督体制の構築
高リスク分野では監督者指定・手順書整備が必要
AI基本法の主な義務・努力義務は以下の通り:
①AI使用の表示義務:顧客向けサービスでAIが生成したコンテンツを使用する場合、「AI生成」であることを示すことが努力義務化された。採用選考・融資審査でのAI活用は特に注目される。
②説明可能性の確保:AIによる重要な意思決定(採用可否・融資判断・医療補助診断等)について、決定の根拠を人間が確認できる体制の整備が求められる。「ブラックボックスAI」への依存は監督官庁の指導対象になりうる。
③人間監督体制の構築:AI出力の最終確認を人間が担う体制を組織的に整備すること。特に高リスク分野(医療・金融・採用・インフラ制御)では具体的な手順書・監督者指定が必要。
現実には「努力義務」であるため積極的なペナルティは少ないが、事故発生時の法的リスクと信頼失墜リスクは確実に高まった。
EU AI Actのリスク分類——日本企業が「高リスク」に該当するケース
EU AI Act Risk Classification: Cases Where Japanese Companies Face High-Risk ObligationsEU AI Act リスク分類(2026年8月全面施行)
社会スコアリング・公共空間での生体認証・感情認識(職場)
採用選考・融資スコアリング・医療診断補助・重要インフラ
チャットボット・ディープフェイク(表示義務)
スパムフィルター・ゲームAI・一般的な生産性ツール
EU AI Actは4段階のリスク分類(禁止/高リスク/限定リスク/最小リスク)を設定している。
禁止AI(2026年2月以降適用済み):社会スコアリング、リアルタイム生体認証(公共空間)、感情認識(職場・学校)等。日本企業でも欧州向けサービスで無意識に抵触するケースがある。
高リスクAI(2026年8月以降):採用選考システム、信用スコアリング、医療診断補助、重要インフラ管理、教育評価システム等。技術文書・リスク管理体制・人間監督・ログ記録が義務付けられる。
日本の大手メーカーが欧州工場で使用する製品品質検査AI、金融機関が欧州顧客に提供するロボアドバイザー、人材会社が欧州拠点で使う採用スクリーニングAIは全て高リスク分類に該当する可能性がある。
企業が今すぐ着手すべき「AIインベントリ」の作り方
How to Build an 'AI Inventory' Companies Should Start on Right NowAIインベントリ作成の3ステップ
AI使用の洗い出し
全部門からSaaS経由のAI含め網羅的に収集
リスク分類
各AIシステムの用途×規制対象チェック
文書化の優先順位付け
高リスク分類から技術文書・体制整備を開始
AI規制対応の第一歩は、社内で使用しているAIシステムを全て把握する「AIインベントリ(台帳)」の作成だ。
ステップ1:AI使用の洗い出し:業務部門・IT部門へのヒアリングで「現在使っているAIツール・API」を網羅的に収集。SaaS経由での潜在的AI使用(Salesforce Einstein、Slack AI等)も含める。
ステップ2:リスク分類:各AIシステムについて「どの判断に使っているか」「EU/日本の規制対象か」を評価。インベントリのフォーマットは経済産業省の「AIガバナンスガイドライン」が参照先として有用。
ステップ3:文書化の優先順位付け:高リスク分類に該当するシステムから順に、技術文書・リスクアセスメント・監督体制の整備を開始する。
2026年8月のEU AI Act全面施行まで3ヶ月を切った現在、対応が完了していない高リスクAI使用企業は相当数に上ると推測される。
先行企業の対応事例——富士通・NEC・大手メガバンクの取り組み
Early Adopters' Practices: Fujitsu, NEC, and Major Banks' Initiatives先行企業の対応事例
富士通
Responsible AI Framework を全プロジェクトに適用・EU向け技術文書提供を標準化
NEC
開発・調達段階でのリスクアセスメント社内規程化。NeoFace(生体認証)のEU規制準拠を宣言
三菱UFJほか
融資審査AIへのSHAP等の説明可能性ツール組み込み、金融庁ガイドラインとの整合確保
AI規制対応で先行する日本企業の取り組みから示唆を得る。
富士通:2025年に「Fujitsu AI Ethics Policy」を改定し、Fujitsu独自の「Responsible AI Framework」を全AIプロジェクトに適用。欧州顧客への技術文書提供プロセスを標準化した。
NEC:AIシステムの開発・調達段階でのリスクアセスメント手順を社内規程化。特に生体認証AI(NeoFace等)については欧州規制への準拠を宣言している。
大手メガバンク(三菱UFJ等):融資審査AIへの説明可能性ツール(SHAP等)の組み込みを進め、顧客からの「なぜ審査落ちたか」への回答準備を整備中。金融庁の「AI・機械学習活用のリスク管理に関する考え方」との整合性確保を優先している。
これらの先行企業の共通点は「規制対応」を「AI品質向上」と紐付けて推進している点だ。リスク管理体制の整備が顧客信頼・パートナーシップの強化にもつながるという認識が広がっている。
The Brief視点——「AI使用方針」を持たない企業のリスク
The Brief's Take: Risks for Companies Without an AI Usage Policy企業が最低限整備すべきAI使用方針(4点)
どのAIを誰がどの業務に使えるかのルール化
機密情報・個人情報のAIへの入力禁止範囲の明文化
AI出力の最終確認責任者の指定
インシデント発生時の報告・対処手順の策定
AI使用方針を持たない企業はシャドーAI利用を組織的にコントロールできない
AI基本法・EU AI Actの規制圧力は、「対応した企業が得をする」という性質よりも「対応しない企業が将来的に損をする」という性質が強い。現時点で積極的なペナルティは少ないが、3〜5年後に規制が強化される流れは不可逆的だ。
企業が今すぐ整備すべき最低限の「AI使用方針」は4点: ①どのAIを誰がどの業務に使えるかのルール化(ガイドライン策定) ②機密情報・個人情報のAIへの入力禁止範囲の明文化 ③AI出力の最終確認責任者の指定(業務フローへの組み込み) ④インシデント発生時の報告・対処手順の策定
AI使用方針を策定していない企業は、従業員のシャドーAI利用(管理外のAIツール使用)が進み、情報漏洩・誤情報拡散・規制違反のリスクを組織的にコントロールできない状態に置かれていることを認識すべきだ。
sources: 総務省AI基本法解説 / EU AI Act全文 / 経済産業省AIガバナンスガイドライン / 富士通・NECプレスリリース