EU AI法(AI Act)の「高リスクAI」義務条項が2026年8月2日に完全発効する。本稿執筆時点で残り24日。採用選考・与信スコアリング・医療診断・インフラ管理など14カテゴリのAIシステムに適合審査・登録・透明性開示が義務付けられ、EU域外の日米企業も対象外ではない。規制当局はすでに複数企業への予備調査を開始しており、「準備不足」の企業には猶予がほぼ残っていない。
EU AI Actは2024年8月1日に施行された。適用は段階的に設計されており、これまでに「禁止AIプラクティス」(2025年2月)、「汎用AIモデルの行動規範・ガバナンス」(2025年8月)が順次発効してきた。
今回の8月2日は最大の節目だ。Annex IIIに列挙された高リスクAI——採用・人事評価、教育・資格審査、与信・保険審査、医療診断支援、重要インフラ管理、法執行への生体認証——を利用または提供するシステムに、以下が義務付けられる:
「8月2日に向けてベンダー側の準備状況を確認したが、大手でも登録フォームが未完成のケースが複数ある。EU加盟国の監督機関(NCA)は予備審査を既に始めている」
——(EUのAIガバナンス専門家、7月初旬のLinkedInポストより)
制裁金の上限は最大3,500万ユーロ、または全世界年間売上高の7%(どちらか高い方)。GPDRの4%上限を超える水準だ。
EU AI法が最終採択されたのは2024年5月。その後、OpenAI・Google・Anthropicなど大手AI企業は「GPAI(汎用AI)モデル」のコード・オブ・プラクティス策定に参加してきたが、ハイリスクAI義務への対応は各企業・導入ユーザー企業に委ねられてきた。
問題は導入企業側のリードタイム不足にある。適合性評価の実施、技術文書の整備、EU登録データベースへの申請——いずれも数カ月単位の作業だ。法律事務所LathamやBaker McKenzieが7月に相次いで「多くのクライアントが8月2日に間に合わない可能性がある」との警告を発している。
日本企業でも、採用AIツールや与信スコアリングをEU圏で展開している場合は域外適用の対象になる。経済産業省は2026年3月に「EU AI Act対応ガイダンス(暫定版)」を公開したが、法的拘束力はなく企業の判断に依存している。
LinkedInやWorkdayなどが提供するAIスクリーニング機能は、Annex III 4条(a)に該当する可能性が高い。採用候補者のランク付け・フィルタリングを自動化している場合、適合評価なしでの継続利用は違反リスクを伴う。
ドイツ・フランスを含むEU加盟国でサービスを提供するか、EU市場に影響を及ぼすAIシステムを運営する企業はすべて対象。本社が東京でも、EU法人経由でHRツールを使用していれば義務が生じる。
Claude Opus 4.6やGPT-4クラスのモデルはGPAI規制(2025年8月発効済み)の対象だが、それを使って採用判定を行うシステムはさらにハイリスクAI規制が重なる。ベンダーとユーザー企業の責任分担が明確でないケースが多く、契約上の問題が表面化しつつある。
EU加盟国の監督機関は2026年Q3に最初の制裁事例を出す見通しとみられる。業界関係者の間では、知名度の高い大企業が象徴的なケースとして選ばれるとの観測が出ている。
経産省ガイダンス公開後も、東証上場企業のうちEU向けAI対応を完了したと開示した企業は2026年6月末時点で5社未満(ITproおよびNikkei Crosstech調べ)。対応の遅れが目立つ。
今回の8月2日発効が示す本質は、「AIの規制コストが開発コストと同規模になる時代の到来」だ。
2024年以降、LLMの能力曲線は急峻だった。GPT-4→GPT-5系、Claude 3→Sonnet 5、Gemini 1.5→2.5 Ultraと、12〜18カ月でベンチマーク性能は劇的に向上した。しかし規制サイクルはそれより緩やかに、しかし確実に動いている。
EU AI Actは「初の包括的AI規制」として語られるが、実態はAIを既存製品安全指令の枠組みに収める試みだ。医療機器規制(MDR)や金融規制(MiFID II)で経験済みの「第三者適合評価+登録+インシデント報告」モデルをAIに当てはめている。つまり、EUの規制機械はこの種の作業を17年以上やってきており、甘く見るのは危険だ。
日本企業が注意すべきは「EUでのビジネスがないから関係ない」という誤認だ。グローバル展開するSaaS企業が欧州法人を1社でも持っていれば、そのHRツール・クレジット審査ツールには義務が及ぶ。今後6〜12カ月で日本国内でも法務・コンプライアンス部門の「AI監査」需要が急増するとみられる。
8月2日は「AIが規制空白から規制現実へ移行する」最初の大きな節目だ。ベンダー側が提供するコンプライアンス支援ツールの充実、弁護士・監査法人のAI監査サービスの急伸、そして最初の制裁事例——この3つが今後3〜6カ月で連鎖的に動くとみられる。
あなたの組織がEU圏でAIシステムを運用しているなら、今週中に法務チームとの緊急確認を行う価値がある。
※本記事は ミライ・ニュース編集部の AI ライター(AIニュース)が執筆しています。