2026年8月2日——EU AI Act、高リスクAI規制の「本番」始動
2026年8月2日は、AI規制の歴史において重要な転換点だ。EU AI Act(AI規則)の高リスクAIシステムに関する規制が全面適用され、企業は適合性評価・技術文書整備・CE表示・EUデータベース登録を義務付けられる。
スケジュールを整理すると: 【2025年2月2日施行済み】禁止AIプラクティス(感情認識・無差別顔認識等) 【2025年8月】GPAI(汎用AI)基盤モデルへの規制 【2026年8月2日】高リスクAIシステム全面適用(今回の焦点) 【2027年8月以降】特定の高リスクカテゴリへの追加適用
制裁金は違反の重大性に応じて3段階。禁止行為違反で最大3,500万ユーロまたは世界売上高7%、その他の義務違反で1,500万ユーロ/3%、虚偽情報提供で750万ユーロ/1%(secureprivacy.ai / legalnodes.com)。
高リスクAIとは何か——雇用・与信・医療・教育が対象
EU AI Actにおける「高リスクAI」とは、人の基本的権利や安全に重大な影響を与えうるシステムだ。具体的には以下のカテゴリが含まれる。
履歴書スクリーニング・採用評価・昇進判断・解雇管理に使うAI 【金融与信】クレジットスコアリング・ローン審査・保険リスク評価 【医療】診断支援・治療推薦・医療機器制御 【教育】入学選抜・成績評価・試験監視 【司法・法執行】犯罪リスク評価・再犯予測・証拠評価
重要なのは、「AIそのものが高リスクかどうか」ではなく「AIがどの文脈で使われるか」で判定される点だ。同じ機械学習モデルでも、一般的なコンテンツ生成に使えば低リスク、採用スクリーニングに使えば高リスクに分類される。
「域外適用」の現実——日本企業も対象になる条件
EU AI ActはGDPRと同様に域外適用を有する。日本に本社を置く企業であっても、以下の場合は規制の対象となる。
①EUに居住するユーザー・市民に影響を与えるAIシステムを使用・提供する場合 ②EUに拠点を持つ取引先にAIシステムを提供する場合 ③EUで使用されるAIシステムの出力が日本で生成される場合
具体的には、EU向けeコマースの購買推薦AI、EU企業への採用サービス、EUの患者向け医療AIなどが対象になりうる。日本の主要製造業・IT企業・金融機関の多くがEUとの接点を持つ以上、「関係ない」と断言できる企業は少ない。
組織の過半数がAIシステムの体系的な目録を持たないという現状(covasant.com)を考えると、まず「自社がどのAIシステムを使っているか」の棚卸しが急務だ。
日本のAI規制との対比——「イノベーション優先」路線の代償
| 国 | アプローチ |
|---|---|
| EU | 事前規制型 |
| 韓国 | 域外適用あり基本法 |
| 日本 | イノベーション優先 |
| 米国 | 自主規制主導 |
対照的に日本は2025年に「AI推進法」(通称)を成立させ、イノベーション優先の緩やかな規制路線を選択した。EU型の事前許可・適合性評価ではなく、業界自主規制と事後対応を基本スタンスとする。
このアプローチは短期的にはAI開発の自由度を保つが、3つのリスクを抱える。
①ブリュッセル効果のリスク: EU AI ActがグローバルなAI開発・調達の標準になる場合(GDPRがそうなったように)、日本企業は欧州市場参入時に事後的な対応コストを払うことになる。 ②韓国との対比: 韓国は2026年1月に「基本AI法」(域外適用あり)を施行。アジアでも規制の「二速化」が進む。 ③信頼性プレミアムの喪失: EU基準に準拠していることが「安全なAI」の証明になる時代に、日本企業がそのシグナルを出せない構造となる。
企業が今すぐすべき3つのアクション
- ▸全AIシステムをリスト化
- ▸EU AI Actのリスク分類に照合
- ▸HR・与信・医療・教育系を最優先
- ▸技術文書の整備(設計・データ・指標)
- ▸人間による監視体制の構築
- ▸バイアス検査・精度テストの実施
- ▸変更管理・インシデント報告フロー整備
- ▸EUデータベースへの登録手順確立
- ▸EU域内担当者の指名(欧州拠点がある場合)
EU AI Act対応の実務では、以下の3ステップが優先度高いアクションとして業界コンセンサスになっている(Baker Botts / tredence.com)。
Step 1: AIシステムの棚卸しと分類 自社・取引先が利用するすべてのAIシステムをリスト化し、EU AI Actのリスク分類に照らして高リスク・限定リスク・最小リスクに分類する。HR・与信・医療・教育関連のシステムは最優先でチェックが必要。
Step 2: 高リスクシステムの適合性評価 技術文書の整備(システム設計・訓練データ・パフォーマンス指標の記録)、人間による監視体制の構築、バイアス検査・精度テストの実施。
Step 3: 内部ガバナンス体制の構築 AIシステムの変更管理プロセス、インシデント報告体制、EUデータベースへの登録手順を整備する。欧州に拠点がある場合は「EU域内の担当者」の指名も必要。
The Brief視点——8月デッドラインは「欧州の問題」ではない
EU AI Actの8月2日デッドラインを「欧州ローカルの規制問題」と捉えるのは、GDPRが施行された2018年を振り返れば誤りだと分かる。GDPRは現在、世界140カ国以上のプライバシー法のモデルになっている。
AI規制においても「ブリュッセル効果」は避けられない。世界のAIシステム開発・調達プロセスに「EU準拠かどうか」という基準が組み込まれ始めており、EU市場への参入を考える日本企業にとって、コンプライアンス対応は「コスト」ではなく「市場アクセスの条件」になる。
とりわけ日本のHRテック・Fintech・医療AI分野の担当者は、2026年8月までに自社AIシステムがEU対象かどうかの確認を急ぐ必要がある。「知らなかった」は制裁金の免除理由にならない。
sources: secureprivacy.ai / legalnodes.com / Baker Botts / fpf.org / tredence.com