EU AI Act 2026年8月完全施行まとめ — 高リスクAI規制と日本企業が今やっておくべきこと
2026年8月2日、EU AI Act の高リスクAIシステムに対するルール が完全施行されます。EU域内のユーザーに影響を与えるAIサービスを提供する企業は、日本企業であっても規制対象です。違反時の罰則は最大 3,500万ユーロ または 全世界売上高の7% と、GDPR を上回る水準で設定されています。
施行まで残り数カ月。この記事では「結局、何の準備が必要なのか」を整理します。
施行スケジュール
EU AI Act は段階施行されています。
| 時点 | 内容 |
|---|---|
| 2024年8月1日 | EU AI Act 発効 |
| 2025年2月2日 | 禁止AI(ソーシャルスコアリング等)の規定が適用開始 |
| 2025年8月2日 | 汎用AI(GPAI)に関するルール適用開始 |
| 2026年8月2日 | 高リスクAIシステムのルールが完全施行 ← 本記事のテーマ |
高リスクAI とは何か
以下のような領域のAIシステムが「高リスク」に分類されます。
- 採用・人事評価
- 信用スコアリング・金融評価
- 医療診断支援
- 教育評価(試験採点・進学判定など)
- 重要インフラ管理(電力・交通・水道など)
- 入出国管理・ビザ審査
「人の権利・生命・機会に直接影響するAI」を高リスクとし、より厳しい義務が課されます。
罰則の重さ
| 違反タイプ | 最大罰金 |
|---|---|
| 禁止AIの利用 | 3,500万ユーロ または 全世界売上高の 7% |
| 高リスクAIの義務違反 | 1,500万ユーロ または 全世界売上高の 3% |
| 当局への虚偽報告等 | 750万ユーロ または 全世界売上高の 1% |
GDPR(最大4%)を上回る水準で、全世界売上ベース での罰金になり得る点が要注意です。
日本企業も対象になるのか
なります。EU域内のユーザーへの提供・影響があれば、日本に本社がある企業でも適用対象です。具体的には:
- EU向けにSaaSを提供している
- 日本国内サービスでもEUユーザーに利用させている
- グローバルアプリでEU圏でも公開している
- EUの取引先に納品しているプロダクト
など、思っている以上にカバー範囲は広いです。
いま準備すべき7つのチェックポイント
1. リスク評価
自社のAIシステムを EU AI Act の 「禁止/高リスク/限定リスク/最小リスク」 に分類します。「思っていたより高リスクだった」というケースは多く、ここから始めるのが確実です。
2. 透明性・説明可能性
AIによる判断の根拠を、利用者が理解できる形で提示できる体制を整えます。ブラックボックスのまま自動判断する仕組みは、高リスク領域では NG。
3. Human-in-the-Loop(HITL)
特に AIエージェント(自律的にタスクを進めるAI) については、人間による監督・承認体制 が AI事業者ガイドライン v1.2 でも明記されました。エージェントの権限境界・承認フロー・停止スイッチが必要です。
4. 学習データ管理
学習データの 出所・利用許諾・処理履歴 を追跡可能にする必要があります。スクレイピングしたデータの取り扱い、肖像権/著作権などの整理を含みます。
5. 監査ログ保持
意思決定プロセスを後から検証できるよう、入力・モデルバージョン・出力・人間の介入履歴を記録します。事故が起きた際の説明責任に直結します。
6. リスク管理プロセスの常設化
「リリース時のチェック」だけでなく、継続的なリスクモニタリング を仕組みとして組み込みます。モデル更新ごとの再評価が前提です。
7. ベンダー・サプライチェーン管理
外部AIサービス(OpenAI / Anthropic / Google など)を利用する場合も、各ベンダーの 準拠状況とデータ取扱い契約 を確認しておきます。「ベンダーが準拠していないと自社も連帯責任になる」場面を避けるためです。
日本国内の動き
日本では包括的なAI規制法はまだありませんが、
- 経済産業省「AI事業者ガイドライン v1.2」(2026年3月発表)が 業界標準 として実質的な影響力を持っている
- 高リスクAIに関する論点や、エージェントの HITL義務化 は EU AI Act と整合する形で整備
- 公共調達でのガイドライン参照が広がりつつある
実務的には「EU AI Act に合わせて整備しておけば、日本のガイドラインにもおおむね通る」という状態に近づいています。
体制整備の目安スケジュール
| 期間 | やること |
|---|---|
| 〜2026年5月 | リスク分類、対象システムの洗い出し |
| 〜2026年6月 | 透明性/説明可能性/監査ログの実装 |
| 〜2026年7月 | HITLフローの整備、文書化 |
| 〜2026年8月 | 内部監査、ベンダー契約見直し、教育 |
| 2026年8月2日〜 | 完全施行 |
「夏休みまで時間がある」と感じるかもしれませんが、外部ベンダーの巻き込みや法務レビューを考えると、実務的にはかなりタイト な日程感です。
まとめ
- 2026年8月2日、EU AI Act の 高リスクAIルールが完全施行
- 違反時は最大 全世界売上高の7% の罰金
- EU域内ユーザーに影響する 日本企業も対象
- 高リスク AI に分類される領域は、採用・与信・医療・教育・インフラなど広範
- リスク評価/透明性/HITL/学習データ管理/監査ログ/リスクモニタリングが要点
- 日本のAI事業者ガイドライン v1.2 とも整合する形で整備しておくのが現実的
「AI規制は法務だけの話」ではなく、プロダクトの設計・開発・運用フェーズ全体に影響 します。エンジニア視点でも早めの読み込みをおすすめします。