EU AI法(AI Act)が2026年から本格的に適用される段階に入った。日本にいると「ヨーロッパの規制だから自分には関係ない」と感じるかもしれないが、実はそうでもない。EUにサービスを提供している企業、あるいはEU圏のユーザーを対象にしたAIツールを使っている企業は、間接的に影響を受ける可能性がある。
EU AI法とは何か、簡単におさらいする
EU AI法は、AIシステムをリスクの高さによって4段階に分類し、リスクが高いほど厳しい規制を課すという仕組みだ。「許容できないリスク」のAI(顔認識による大規模監視など)は原則禁止。「高リスク」のAI(採用選考・信用スコアリング・医療診断支援など)は透明性の確保や人間による監視が義務づけられる。ChatGPTのような汎用AIにも、一定の開示義務がかかる。
施行はフェーズ別で、2024年から一部が先行適用され、2026年に主要な規定が本格運用に入った。
日本企業が影響を受けるのはどんなケースか
影響を受けるかどうかは、「EUとの関わり方」で決まる。
EUに拠点がある、あるいはEU居住者を対象にサービスを提供しているなら、日本の企業であっても適用対象になる。GDPRと同じ構造だ。EUのデータ保護規則はEU域内の個人情報を扱う全企業に適用されたが、EU AI法も同様の域外適用の考え方を取っている。
具体的に影響が出やすいケースを挙げると、こうなる。
採用プロセスにAIを使っていて、応募者にEU居住者がいる場合。医療・金融・法律分野でAIを活用していて、EUのクライアントと取引がある場合。EUのプラットフォームやAPIを通じてAIサービスを提供している場合。これらは「高リスクAI」の枠組みに入る可能性があり、対応が必要になる。
逆に、完全に国内完結のサービスで、EUとの接点がないなら、今すぐ何かしなければならないわけではない。
「高リスクAI」に分類されると何が必要になるか
高リスクAIの提供者・運用者には、主に以下が求められる。
リスク管理システムの整備、AIの判断に使われたデータの記録と管理、ユーザーへの透明性の確保(AIが使われていることの明示)、人間による監視の仕組みの導入、そして一定の技術文書の作成と保管。
要するに、「このAIがどんなデータで何を判断しているか」を説明できる状態にしておく必要がある。ブラックボックスのまま使い続けることへの規制だと考えるとわかりやすい。
日本の規制環境と比べると、どう違うか
日本は現時点ではAIに特化した強制力のある法律がない。2023年にAI戦略会議が立ち上がり、ガイドラインは整備されているが、あくまで任意準拠だ。罰則がなく、対応しなくても法的には問題にならない。
EU AI法との最大の差はここで、EUは違反した場合に売上高の数パーセントという高額な制裁金を科せる。GDPRと同様の「歯のある規制」だ。
日本政府もAI規制の動向を注視しており、今後何らかの法整備が進む可能性はある。ただ現状では、EU AI法は「EUとの関わりがある企業のための話」にとどまっている。
実際に何をすべきか
今すぐ全企業が動く必要はない。ただ、EUとのビジネスがある、あるいは将来的に拡大を考えているなら、以下を確認しておくといい。
自社で使っているAIツールがどのカテゴリに該当するか把握すること。採用・与信・医療・法律など「高リスク」領域のAI活用がないか確認すること。AIベンダーがEU AI法への準拠を表明しているか確認すること(OpenAI、Googleなど主要ベンダーはすでに対応を進めている)。
まずは「自分たちはEU AI法の対象になるか」を判断するところから始めると、余計な焦りや見落としを防げる。
