EU(欧州連合)のAI規則、通称「EU AI法(AI Act)」が、2026年8月2日に大きな節目を迎える。残る主要規定の多くがこの日に発効し、EU市場でAI製品を提供する企業に本格的な義務が課される。注目すべきは、その効力がEU域内の企業だけにとどまらない点だ。米法律事務所ホランド・アンド・ナイトの解説をもとに、何がどう変わるのかを整理する。
世界初の包括的AI法制と域外適用
EU AI法は、AIシステムを「リスクの大きさ」に応じて分類し、規制の強さを変える世界初の包括的なAI法制である。個人情報保護のGDPRと同じく、EU域内の市場や住民に影響を及ぼすかどうかを基準に適用範囲を判断する仕組みを採る。つまり、企業がEUの外にあっても、そのAIがEUの利用者や市場に影響するなら規制対象になり得る。この「域外適用」の考え方が、米企業をはじめ世界のAI開発者に関わる理由だ。
段階的に進んできた施行のうち、最初のフェーズは2025年2月に始まった。そして2026年8月2日に、残る主要規定の多くが発効する。ただし高リスクAIの一部を定める第6条1項は、2027年8月からの適用とされている。
8月2日に始まる高リスクAIの義務
8月2日以降に本格化するのが、いわゆる「高リスクAIシステム」への義務だ。対象には、生体認証、重要インフラ、教育、雇用、必要不可欠なサービス、信用スコアリング、保険、法執行、移民、司法運営といった分野で使われるAIが含まれる。人々の権利や安全に直結する用途が並ぶ。
こうしたシステムの提供者(プロバイダー)と、業務で使う導入者(デプロイヤー)の双方に義務が生じる。具体的には、適合性評価と自己認証(生体認証システムなどは第三者評価)、第11条に基づく技術文書の整備、EUデータベースへの登録、人間による監督(ヒューマン・オーバーサイト)、そしてログの保存(導入者は最低6か月)などだ。EU域外の提供者は、EU域内に「代理人(authorized representative)」を置く必要もある。
違反への制裁も定められている。不遵守の場合は最大1,500万ユーロ、または全世界年間売上高の3%のいずれか高い額が科され得る。虚偽情報の提供には最大750万ユーロ、または売上高の1%が上限とされる。加えて、基準を満たさないシステムは市場からの回収を求められる可能性がある。
施行延期論と日本企業への影響
米企業が無関係でいられないのは、この域外適用ゆえだ。EUの顧客にAI製品を販売・ライセンス・提供する企業、AIの出力がEU住民に影響する企業、AIを組み込んだ製品をEUに輸入・流通させる企業などが、いずれも対象になり得る。OpenAIをはじめとする大手をふくむ多くのAI企業が、EU市場に関わる以上は対応を迫られる構図である。
もっとも、施行時期には流動的な面も残る。解説によれば、欧州議会は高リスクシステムの適用を2027年12月へ、分野別の義務を2028年8月へと後ろ倒しする案を可決しており、EU理事会の合意を待つ状況だとされる。規制が過去にさかのぼらない(非遡及)性質のため、期限前に市場投入されたシステムは既存扱いとして一定の猶予を受ける可能性も指摘されている。
EU AI法は、世界のAI規制の事実上の基準になりつつある。GDPRが個人情報保護のグローバルスタンダードとなったように、EUの動向は日本企業にとっても対岸の火事ではない。EU市場向けにAIサービスや製品を展開する日本企業は、対象分類や必要な文書、代理人の要否を早めに確認しておきたい。施行日の延期論もあるだけに、確定情報を追いながら準備を進める姿勢が求められる。
参考:U.S. Companies Face EU AI Act's Possible August 2026 Compliance Deadline(Holland & Knight, 2026-04)

