EU AI法「高リスクAI」規定が8月2日に施行——日本企業が直面する適合宣言義務の全容

リード

EU AI法（EU Artificial Intelligence Act）の核心部分が、残り40日で施行される。2026年8月2日——高リスクAIシステムに関する第III章が全加盟国で効力を持つ日だ。欧州向けにAIを組み込んだ製品・サービスを展開する日本企業にとって、「知らなかった」が通じなくなる期限が迫っている。

何が起きているのか

EU AI法は2024年8月に発効し、フェーズごとに各条項が順次適用されてきた。2025年2月に「禁止AIシステム」（感情認識の職場利用、ソーシャルスコアリング等）が先行施行されたのに続き、2026年8月2日には高リスクAIシステム（Annex III） の義務規定が本格適用される。

対象は14カテゴリにわたる：

• 医療機器・診断補助AI
• 採用・人事評価AIツール
• 信用スコアリング・ローン審査AI
• 重要インフラの安全コンポーネント
• 教育・職業訓練の成績評価AI
• 入国審査・国境管理支援AI　……など

欧州議会の公式集計では、Annex IIIに該当するとみられるAIシステムは域内で約3万2,000件。うち非EU企業が開発・提供するものは全体の約38%（1万2,100件超）を占めると推計されており、日本発のシステムも相当数含まれると見られる。

X上では以下のような投稿が相次いでいる：

「EU AI法の8月施行、うちのSaaSはAnnex IIIに引っかかるか弁護士と3回確認した。適合宣言の雛形すら欧州の弁護士事務所で取り合いになってる」

背景

EU AI法が定める高リスクAIへの義務は5層構造だ。①リスク管理システムの整備、②訓練データのガバナンス文書化、③技術文書（Technical Documentation）の作成と保管、④人間による監視（Human Oversight）の設計、⑤適合宣言（Declaration of Conformity）の作成と10年間保存——この全てをクリアしないと、欧州市場への提供が法的に禁じられる。

罰則は売上高の最大3%（または1,500万ユーロのいずれか高い方）。GDPR施行初年（2018年）に比べ制裁水準が明示的に高く、EU各国のAI監督機関（AI Authority）は2026年第3四半期から調査権限を本格行使する方針を示している。

日本では経済産業省が2026年3月に「EU AI法対応ガイダンス（第1版）」を公開したが、技術文書の具体的フォーマットや第三者適合性評価機関（Notified Body）の国内リストは未整備のままだ。

着目ポイント

「自己適合宣言」で済むかどうかの分岐

Annex IIIシステムの大半（医療機器以外）は、自己適合宣言（Self-Declaration）が認められる。ただし採用AI・教育AI・信用審査AIなど一部は、EU認定の第三者機関（Notified Body）による外部審査が必要なケースがある。この分岐判断を誤ると、宣言自体が無効になるリスクがある。

技術文書の英語・EU現地語対応コスト

技術文書は「提供先EU加盟国の公用語」での提出が求められる。日本語オンリーの内部ドキュメントでは不可。製品ごとに英語＋対象国語（ドイツ語・フランス語・スペイン語等）への翻訳・整備コストが発生し、中小SaaSでは1製品あたり200万〜800万円の対応費用が試算されている。

欧州子会社・販売代理店を持つケースの注意点

EU域内に法人を持つ日本企業は、その子会社が「プロバイダー」として直接義務を負う。日本の親会社が「現地法人に任せていた」では通らない。グループ内のAIシステム棚卸しと責任分担の明文化が急務だ。

適合性評価機関（Notified Body）の供給不足

欧州全体でNotified Bodyの登録数は2026年6月時点で約120機関。需要が集中し、審査待ちが6〜12ヶ月に及ぶケースも報告されている。第三者審査が必要なシステムは8月施行には間に合わない可能性が高く、EU当局への事前協議が推奨される。

日本国内適用はなし——ただし「輸出AI」は対象

EU AI法は域外適用（域内で使われるAIには開発地を問わず適用）を原則とする。日本国内だけで使うAIは対象外だが、欧州ユーザーがアクセスできるSaaS・API・組み込みAIは全て射程に入る。「グローバル展開していない」という思い込みが最大のリスクだ。

編集部の視点

GDPR施行時（2018年）と構図が重なる。あの時も「日本企業には関係ない」という空気が施行直前まで漂い、欧州子会社のクッキー同意フローを慌てて整備した企業が続出した。今回は対象がAIの「設計・訓練・監視」の深いレイヤーに及ぶ分、後追い対応のコストがはるかに大きい。

特に医療・HRテック・フィンテック領域の日本スタートアップは要注意だ。欧州ラウンドを取りに行くタイミングで「AI法未対応」が判明すると、デューデリジェンスで詰まる。2026年後半の欧州資金調達ではAI法準拠が事実上のスクリーニング項目になると見られる。

経産省ガイダンスはあくまで「解説文書」であり、法的拘束力はEU当局の解釈に従う。国内弁護士だけでなく、EU加盟国に拠点を持つ法律事務所との連携が実務では不可欠だ。

40日という数字は短いようで、技術文書の作成・翻訳・内部承認フローを回すには最低ラインだ。今週中に自社AIシステムのAnnex III該当判定を終えていない企業は、施行日を目標に動くのではなく「監督機関との事前協議」モードに切り替えるべき段階に来ている。

まとめ

EU AI法の高リスクAI条項施行まで40日を切った。対象企業にとっては「知っていれば間に合った」ではなく「今すぐ判定して動くか、説明責任を取るか」の2択になっている。GDPR後の欧州デジタル規制の流れを見れば、今後AIガバナンス要件は厳格化こそされても緩和されることはないだろう。あなたの会社のAIは、8月2日を安全に越えられるか。

※本記事は ミライ・ニュース編集部の AI ライター（AIニュース）が執筆しています。