EU AI Act 2026年8月完全施行まとめ — 高リスクAI規制と日本企業が今やっておくべきこと

EU AI Act 2026年8月完全施行まとめ — 高リスクAI規制と日本企業が今やっておくべきこと

作成日:
読了:6
更新日:
EU AI ActAIガバナンスAI規制コンプライアンスAIHuman-in-the-Loop

2026年8月2日、EU AI Act の高リスクAIシステムに対するルール が完全施行されます。EU域内のユーザーに影響を与えるAIサービスを提供する企業は、日本企業であっても規制対象です。違反時の罰則は最大 3,500万ユーロ または 全世界売上高の7% と、GDPR を上回る水準で設定されています。

施行が目前(2026年8月2日)に迫っています。この記事では「結局、何の準備が必要なのか」を整理します。

施行スケジュール

EU AI Act は段階施行されています。

時点内容
2024年8月1日EU AI Act 発効
2025年2月2日禁止AI(ソーシャルスコアリング等)の規定が適用開始
2025年8月2日汎用AI(GPAI)に関するルール適用開始
2026年8月2日高リスクAIシステムのルールが完全施行 ← 本記事のテーマ

高リスクAI とは何か

以下のような領域のAIシステムが「高リスク」に分類されます。

  • 採用・人事評価
  • 信用スコアリング・金融評価
  • 医療診断支援
  • 教育評価(試験採点・進学判定など)
  • 重要インフラ管理(電力・交通・水道など)
  • 入出国管理・ビザ審査

人の権利・生命・機会に直接影響するAI」を高リスクとし、より厳しい義務が課されます。

罰則の重さ

違反タイプ最大罰金
禁止AIの利用3,500万ユーロ または 全世界売上高の 7%
高リスクAIの義務違反1,500万ユーロ または 全世界売上高の 3%
当局への虚偽報告等750万ユーロ または 全世界売上高の 1%

GDPR(最大4%)を上回る水準で、全世界売上ベース での罰金になり得る点が要注意です。

日本企業も対象になるのか

なります。EU域内のユーザーへの提供・影響があれば、日本に本社がある企業でも適用対象です。具体的には:

  • EU向けにSaaSを提供している
  • 日本国内サービスでもEUユーザーに利用させている
  • グローバルアプリでEU圏でも公開している
  • EUの取引先に納品しているプロダクト

など、思っている以上にカバー範囲は広いです。

いま準備すべき7つのチェックポイント

1. リスク評価

自社のAIシステムを EU AI Act の 「禁止/高リスク/限定リスク/最小リスク」 に分類します。「思っていたより高リスクだった」というケースは多く、ここから始めるのが確実です。

2. 透明性・説明可能性

AIによる判断の根拠を、利用者が理解できる形で提示できる体制を整えます。ブラックボックスのまま自動判断する仕組みは、高リスク領域では NG。

3. Human-in-the-Loop(HITL)

特に AIエージェント(自律的にタスクを進めるAI) については、人間による監督・承認体制 が AI事業者ガイドライン v1.2 でも明記されました。エージェントの権限境界・承認フロー・停止スイッチが必要です。

4. 学習データ管理

学習データの 出所・利用許諾・処理履歴 を追跡可能にする必要があります。スクレイピングしたデータの取り扱い、肖像権/著作権などの整理を含みます。

5. 監査ログ保持

意思決定プロセスを後から検証できるよう、入力・モデルバージョン・出力・人間の介入履歴を記録します。事故が起きた際の説明責任に直結します。

6. リスク管理プロセスの常設化

「リリース時のチェック」だけでなく、継続的なリスクモニタリング を仕組みとして組み込みます。モデル更新ごとの再評価が前提です。

7. ベンダー・サプライチェーン管理

外部AIサービス(OpenAI / Anthropic / Google など)を利用する場合も、各ベンダーの 準拠状況とデータ取扱い契約 を確認しておきます。「ベンダーが準拠していないと自社も連帯責任になる」場面を避けるためです。

日本国内の動き

日本では包括的なAI規制法はまだありませんが、

  • 経済産業省「AI事業者ガイドライン v1.2」(2026年3月発表)が 業界標準 として実質的な影響力を持っている
  • 高リスクAIに関する論点や、エージェントの HITL義務化 は EU AI Act と整合する形で整備
  • 公共調達でのガイドライン参照が広がりつつある

実務的には「EU AI Act に合わせて整備しておけば、日本のガイドラインにもおおむね通る」という状態に近づいています。

体制整備の目安スケジュール

期間やること
〜2026年5月リスク分類、対象システムの洗い出し
〜2026年6月透明性/説明可能性/監査ログの実装
〜2026年7月HITLフローの整備、文書化
〜2026年8月内部監査、ベンダー契約見直し、教育
2026年8月2日〜完全施行

「夏休みまで時間がある」と感じるかもしれませんが、外部ベンダーの巻き込みや法務レビューを考えると、実務的にはかなりタイト な日程感です。

まとめ

  • 2026年8月2日、EU AI Act の 高リスクAIルールが完全施行
  • 違反時は最大 全世界売上高の7% の罰金
  • EU域内ユーザーに影響する 日本企業も対象
  • 高リスク AI に分類される領域は、採用・与信・医療・教育・インフラなど広範
  • リスク評価/透明性/HITL/学習データ管理/監査ログ/リスクモニタリングが要点
  • 日本のAI事業者ガイドライン v1.2 とも整合する形で整備しておくのが現実的

「AI規制は法務だけの話」ではなく、プロダクトの設計・開発・運用フェーズ全体に影響 します。エンジニア視点でも早めの読み込みをおすすめします。

参考リンク

関連記事

Bun のコアが Zig から Rust へ - Claude が6日で約100万行を書き換えた話(安定版はまだZig)

Bun のコアが Zig から Rust へ - Claude が6日で約100万行を書き換えた話(安定版はまだZig)

8

JavaScript ランタイム Bun が、コアを Zig から Rust へ書き換える巨大 PR(#30412、約100万行追加・6,755コミット)を2026年5月14日に main へマージしました。Anthropic の Claude Code(dynamic workflows)でほぼ全自動生成され、人手なら約1年の作業が約6日で完了したとされます。ただし安定版は今もZig実装で、Rust版は canary 提供。書き換えの理由(Zigのno-AIポリシー・Rustのコミュニティ・メモリ安全性)、unsafeブロック1.3万個などの論争点、AI駆動開発の意味までを一次ソースで整理します。

BunRustAIJavaScriptAnthropic
Gemini 3.5 Flash - 高速・低価格でコーディングとエージェントを強化(Pro はプレビュー)

Gemini 3.5 Flash - 高速・低価格でコーディングとエージェントを強化(Pro はプレビュー)

7

Google が2026年5月19日の I/O で一般提供を開始した Gemini 3.5 Flash を、公式情報を一次ソースに整理します。1Mトークンのコンテキスト、4段階の thinking、入力 $1.50 / 出力 $9.00 という価格、Terminal-Bench 2.1 や MCP Atlas などコーディング・エージェント系での向上、そして「3.1 Flash の3倍の価格」という注意点まで。あわせて、まだ GA していない Gemini 3.5 Pro(2Mコンテキスト・Deep Think、プレビュー段階)の現状も正確に区別して解説します。

AIGeminiGoogleLLMコーディング
GLM-5.2 - GPT-5.5を一部上回るMITオープンウェイトのコーディングモデル(1Mコンテキスト)

GLM-5.2 - GPT-5.5を一部上回るMITオープンウェイトのコーディングモデル(1Mコンテキスト)

7

Zhipu AI(Z.ai)が2026年6月13日に公開した GLM-5.2 は、ウェイトを MIT ライセンスで配布する 744B 規模(アクティブ約40B)の MoE コーディングモデルです。1M トークンのコンテキスト、SWE-bench Pro 62.1 でオープンウェイトとして初めて GPT-5.5 を上回ったとされる評価、GPT-5.5 比でおよそ1/6という API 価格、ローカル実行(量子化)まで、Z.ai 公式・Hugging Face を一次ソースに、誇張せず注意点込みで整理します。

AILLMオープンソースコーディングGLM