EU AI Act：2026年に企業が知っておくべきこと

EU AI Actが目指すもの

EU AI Actは、AIをリスクに応じて規制する「リスクベースアプローチ」を採用しています。

AIシステムが個人の権利、安全、または機会に与える影響が大きいほど、求められる義務も厳しくなります。
この法律では、AIの利用を複数のカテゴリーに分類しています。具体的には、使用が禁止されるケース、高リスクAIシステム、透明性要件が適用される比較的低リスクの利用などです。
また、業界を問わず広く利用されている現状を踏まえ、汎用AIモデル（General-Purpose AI：GPAI）に対する要件も新たに定められています。

実務的には、EU AI Actは主に次の4つを規定しています。

• 一部のAI利用を禁止する
• 高リスクAIシステムに厳格な要件を課す
• 特定のAI利用に対して透明性を求める
• 汎用AIモデルに関するルールを定める

重要なのは、この法律の対象がテクノロジー企業だけではないという点です。
EU AI Actは、EU域内でAIシステムを開発する組織だけでなく、導入・利用・統合・調達する組織にも適用されます。
そのため、多くの企業が、自社のAI活用が規制対象であることに気付かないまま、EU AI Actの影響を受ける可能性があります。

なぜ多くの組織がすでに規制対象となっているのか

EU AI Actは大手テクノロジー企業だけに関係するものだと考えられがちです。しかし実際には、重要なのは「誰がAIを開発したか」ではなく、「AIをどのように利用しているか」です。
現在、AIは日常的な業務プロセスの中に広く組み込まれています。
例えば、採用支援ツール、与信判断、医療支援システム、顧客対応、社内業務の効率化など、さまざまな場面で活用されています。その結果、多くの組織が、自社のAI利用がEU AI Actの適用対象となる可能性を正式に認識しないまま、すでに規制の範囲内でAIを利用しているケースも少なくありません。

特に以下の分野では注意が必要です。

• 採用や人材管理
• 与信審査や保険引受などの金融判断
• 医療・診断支援
• 教育や評価業務
• 公共サービスや社会インフラ
• 生成AIを活用した顧客向けサービスやツール

自社への影響を考えるうえで有効なのは、次のような視点です。
「AIが関与する意思決定によって、個人に対する結果や評価が左右される場面はどこにあるか？」こうした場面こそが、EU AI Actにおける規制対応を検討すべき出発点となります。

なぜ2026年が重要なのか

EU AI Actは段階的に施行されていますが、2026年8月までに大部分の規定が全面適用されます。

その時点で企業には、自社が利用するAIシステムの全体像を把握し、適切なガバナンス体制を構築していることが求められます。もちろん、すべてのプロセスが完璧である必要はありません。

しかし、少なくとも次の事項について説明できる状態であることが重要です。

• 利用しているAIシステムを把握していること
• AIシステムを一貫した基準で分類していること
• 責任体制が明確に定義されていること
• 必要な管理策や統制が文書化されていること
• 要求された際に証拠や記録を提示できること

規制当局による執行が本格化してから対応を始めるのは、リスクの高い選択肢です。規制当局や顧客から説明を求められる段階では、すでに体系的な管理体制と説明可能な根拠が整備されていることが前提とされます。

実務で考える「高リスクAI」とは

多くの組織にとって、不確実性が生じるのはここからです。

AIシステムが高リスクと見なされるかどうかは、技術そのものよりも、その利用方法によって決まります。高リスクAIに該当するのは、人々の生活に重大な影響を及ぼす可能性のある意思決定に関与するシステムです。例えば、雇用、金融サービスへのアクセス、医療、教育、安全、法的地位などに関する判断が挙げられます。

実際には、求職者の選考や順位付け、信用力や保険リスクの評価、医療・臨床判断の支援、学生や研修成果の評価、あるいは重要なサービスへのアクセスの優先順位付けといったプロセスで利用されるAIがこれに該当する場合があります。

これらは一部の特殊なケースではなく、多くの組織における中核的な業務プロセスです。

一方で、すべてのAIアプリケーションが同じ重要性を持つわけではありません。一般的な問い合わせに対応するチャットボットと、採用や融資の判断に影響を与えるシステムとでは大きな違いがあります。その違いを生むのは「影響度」です。

組織が見落としがちなのは、「便利な自動化ツール」が、現実の意思決定や結果に影響を与え始めた瞬間に、「規制対象となる意思決定支援システム」へと変わり得ることです。

そのため、AIシステムの分類は、一度だけ行う非公式な判断で済ませるべきではありません。分類基準は一貫性があり、文書化され、継続的に見直し可能なものである必要があります。

AIシステムからAIガバナンスシステムへ

高リスクAIが関わる場合、規制の焦点は変わります。

もはや対象となるのはAIモデルそのものだけではありません。そのAIを取り巻くガバナンス体制が問われるようになります。規制当局が重視するのは、組織が適切な管理体制を構築し、それを証明できるかどうかです。具体的には、リスクをどのように特定しているか、意思決定をどのように記録しているか、どのように監督体制を維持しているか、そして問題が発生した場合にどのように対応するのかといった点が含まれます。

そのため、組織には一般的に次のような領域への対応が求められます。

• リスクマネジメントと責任体制
• データガバナンスと文書化
• 透明性とトレーサビリティ
• 人による監督
• モニタリングとインシデント対応

これらは個別に存在する要件ではありません。相互に連携しながら、一つのガバナンスの仕組みを構成しています。

実際のコンプライアンス対応において重要なのは、AIモデルが適切に機能することを証明することだけではありません。むしろ、そのAIを運用する組織が適切な管理体制のもとでAIを統制していることを示すことが求められます。

禁止されるAI利用と汎用AIモデル

EU AI Actでは、一部のAI利用を禁止事項として定めています。
対象範囲は限定的ですが、違反した場合には最も重い制裁が科される可能性があります。そのため、組織はガバナンスプロセスの一環として、これらの禁止事項を検討し、自社では利用していないことを説明できるようにしておく必要があります。

一方で、汎用AIモデル（General-Purpose AI：GPAI）の普及によって、新たな課題も生じています。
多くの組織は独自のAIモデルを開発するのではなく、第三者が提供するツールに組み込まれたAI機能を利用しています。

その結果、サプライヤー管理、透明性の確保、文書化、そして上流工程に存在するリスクを下流工程でどのように管理するかといった実務上の課題が生まれます。実際には、AIガバナンスはツールの調達段階で終わるものではありません。
AIが日々の業務の中でどのように利用されているかまで含めて管理する必要があります。

企業が今直面している課題

AIを巡る議論は、業界を問わず変化しています。もはやイノベーションだけが中心テーマではありません。現在は、説明責任や管理責任がより重視されるようになっています。

経営層からは、次のような問いが投げかけられています。

• 自社では具体的にどこでAIを利用しているのか
• その中に高リスクAIに該当するものはあるのか
• 関連するリスクの責任者は誰なのか
• 必要な文書や記録は整備されているのか
• 規制当局や監査人に対して管理体制を説明できるのか

これらは単なる法務上の問題ではありません。ガバナンスに関する問題です。

すでに体系的なマネジメントシステムを運用している組織は、この点で有利な立場にあります。責任の明確化、文書管理、管理体制の維持や証明といった取り組みに慣れているためです。課題となるのは、そのようなマネジメントシステムの考え方と規律を、AIの管理にも適用していくことです。

ガバナンスフレームワークがコンプライアンス対応を支える理由

EU AI Actでは、組織が対応すべき事項を定めていますが、ガバナンス体制を社内でどのように構築すべきかまでは規定していません。

そこで有効となるのが、マネジメントシステムのアプローチです。マネジメントシステムは、責任体制、プロセス、管理策を一貫性があり、再現可能な仕組みとして統合するための枠組みを提供します。

実際には、体系的なAIガバナンスのアプローチには、明確に定義された役割と責任、AIシステムおよび利用用途の包括的なインベントリ、そして一貫した分類・リスク評価の手法が含まれます。さらに、文書化された方針に基づくライフサイクル管理に加え、モニタリング、エスカレーション、継続的改善の仕組みも必要となります。

こうした領域において、ISO/IEC 42001は実践的なフレームワークとして注目されています。ISO/IEC 42001は、AIシステムを管理するための体系的かつ監査可能なアプローチを提供します。

ここで重要なのは、それぞれの役割の違いを明確に理解することです。

• EU AI Actは法的要件を定める
• ガバナンスフレームワークはその要件を実務へ落とし込む
• 第三者による評価は、その運用に対する信頼性を高める

この3つは相互に補完し合いながら、組織のAIガバナンスを支える役割を果たします。

どこから始めるべきか

多くの組織にとって、最初に必要なのはすべてのAIモデルを詳細に技術評価することではありません。

まず必要なのは、現状を正しく把握することです。実践的なアプローチは、一般的に次のようなステップで進められます。

• まず、可視化を行います。組織内でAIがどこで利用されているのかを把握します。社内システムだけでなく、サードパーティ製ツールや、一見するとAIが組み込まれていると分かりにくい機能も対象に含める必要があります。
• 次に、責任の所在を明確にします。誰が監督を担うのか、誰がリスク評価を行うのか、誰が文書管理を担当するのかを定義します。責任体制が明確でなければ、ガバナンスは非公式な運用にとどまりがちです。
• その後、自社のリスク状況を評価します。高リスクAIや禁止される利用に該当する可能性がある領域を特定します。この作業は技術部門だけで完結するものではありません。法務、コンプライアンス、リスク管理、事業部門など、複数の関係者の協力が必要となります。
• 最後に、ガバナンスを体系化します。方針、管理策、プロセスを整理し、一貫性があり継続的に運用できる仕組みへと発展させます。

重要なのは、最初から完璧を目指すことではありません。求められるのは説明可能性です。

つまり、AIシステムを把握し、リスクを評価し、それらを体系的なガバナンスのもとで管理していることを示せる状態を目指すことです。

実務的に考えると何を意味するのか

EU AI Actは単なる新たな規制ではありません。それは、組織の成熟度が問われる試金石でもあります。

2026年に向けて最も準備が整っている組織とは、必ずしも最先端のAI技術を保有している組織ではありません。むしろ、自社のAI活用をどのように管理しているかを明確に説明できる組織です。

そのような組織は、次の問いに対して明確に答えることができます。

• どのようなAIを利用しているのか
• どのようなリスクが存在するのか
• そのリスクをどのように管理しているのか
• 誰が責任を負っているのか

多くの組織にとって、もはや問われているのはAIガバナンスを体系化すべきかどうかではありません。それを十分な根拠とともに説明できるかどうかです。

そのため、ゼロから新たな仕組みを構築するのではなく、既存のマネジメントシステムを活用しながら、現在のAI利用実態を反映した形へと発展させるアプローチが注目されています。

重要なのは、ガバナンスが体系的であり、透明性を備え、必要な場面で明確な証拠を示せることです。