EU AI法の全面適用が2026年8月2日まであと1ヶ月を切った。
あなたの企業はEU圏で事業をしているか、EUから顧客データを受け取っているか、あるいはEU製のAIツール・プラットフォームを使用しているか——質問に「YES」なら、この法律は他人事ではない。
2026年7月現在、日本企業の70%以上がEU AI法の対象可能性を把握していないという調査結果がある。同時に、国内の個人情報保護法改正案(2027年施行予定)も進行中だ。
今あなたの企業はどのラインに立っているのか。まったく対策なしか、既に準備済みか。その状況を30分で判定するチェックリストが、この記事だ。
経営者・法務部長・IT責任者が、EU AI法と個人情報保護法改正の両規制をまたいで、自社の対応段階を即座に判定できる実務ガイドとして使ってほしい。
EU AI法とは何か——2026年8月で何が変わるのか

EU AI法(AI Act)は2026年6月に欧州議会で正式採択され、2026年5月から段階的に施行が開始されている。
最大の転機が2026年8月2日だ。この日を境に、リスク分類に基づくAIシステムの全カテゴリーの規制が一斉に発動する。
現在は「禁止リスク」(生体認証による無差別的な大量監視など)と「超高リスク」(採用決定、信用スコアリング、顔認証など)の2段階のみが適用されている。8月以降は「高リスク」と「低リスク」の規制も加わり、ほぼすべてのAIツールが何らかのルールの中に入ってくる。
たとえるなら、現在は「重大犯罪者」と「危険人物」だけが規制されている状態。8月からは「要注意人物」「一般市民」にも最低限の監視ルールが敷かれるイメージだ。
対象企業の範囲も広い。EUで事業展開する企業だけでなく、EU市民向けのサービスを提供する日本企業も適用される。金額換算すると、EU全域のGDPは約17兆ドル(2026年推定)で、その市場に流通するAIシステムがすべて対象になる。
EU AI法の4つのリスク分類と日本企業への影響

EU AI法の規制メカニズムを理解するには、「リスク分類」を押さえるのが早道だ。AIシステムを4段階に分け、リスクが高いほど規制が厳しくなる設計になっている。
【禁止リスク】——このAIは使用禁止。生体認証による大量監視、遠隔生体認証(顔認証等)による無差別的な監視、社会信用スコアシステム、子どもを対象にした操作的な行動誘導AI など。日本企業の多くは直接的な影響は少ないが、EU子会社や提携先が関係する可能性がある。
【超高リスク】——かなり厳しい承認・文書化が必要。採用・解雇決定、ローン審査、信用スコアリング、運転免許試験、刑事訴追支援、移民手続きサポート、顔認証(一部)など。SaaS企業がこのカテゴリーに該当するHRシステムやファイナンステックを提供している場合は、対応が必須だ。
【高リスク】——適切な情報提供と透明性確保が必須。チャットボット、推薦システム、異常検知システム など。多くの日本企業のAIツール・サービスがここに該当する可能性が高い。2026年8月からの法的義務は、ユーザーへの明確な「AIが関与している」という通知と、一定の透明性レポートの提出だ。
【低リスク・その他】——一定の透明性情報開示のみ。スパム検知AIなど。負担は軽いが、放置は禁物だ。
日本企業にとって実務的な脅威は「超高リスク」と「高リスク」の2段階だ。自社のAIシステムやツールがこのどちらかに該当するかは、以降の「チェックリスト」で判定できる。
チェックリスト1:「自社のAIシステムはEU AI法の対象か」の判定表

経営層・法務部が最初に確認すべき質問は、シンプルだ。「うちのAIシステムがEU市場に接触しているか」である。
以下の項目に1つでも「YES」が付けば、対象可能性が高い。
- □ EUの企業・自治体・個人を顧客に持つ
- □ EUから個人データ(メールアドレス、購買履歴、顔画像など)を収集・処理している
- □ SaaS・クラウドサービスをEU向けに提供している(無料トライアルも含む)
- □ EU製のAIプラットフォーム(ChatGPT、Gemini、Claudeなど)をビジネスロジックに組み込んでいる
- □ EU市民向けの推薦システム、マッチングアルゴリズムを運用している
- □ HRシステム、採用支援ツール、評価システムにAIを含んでいる
- □ 金融商品の審査・承認にAIを用いている
- □ 顔認証、音声認証などの生体認証システムを提供・運用している
3項目以上「YES」なら、対応は避けられない状態だ。
次の段階は「自社のAIシステムが、EU AI法の4つのリスク分類のうち、どれに該当するか」を判定することだ。該当リスク分類の判定表を以下に記載した。
チェックリスト2:自社AIの「リスク分類」を60秒で判定する

この判定表は、EU AI法の条文を実務的に翻訳したものだ。自社の主要AIシステムを想定し、該当するセクションを読み進めてほしい。
【A】超高リスク(High-Risk)の可能性をチェック
- □ 採用・配置・昇進・解雇の意思決定に直結するAI評価がある
- □ ローン、クレジット、保険の引き受け判定に使用されている
- □ 運転免許試験、就職試験の採点にAIが関与している
- □ 犯罪捜査、有罪判決の補助にAIが使われている
- □ 入国・移民申請の判定にAIが用いられている
- □ AIが「人間にとって重大な法的・経済的影響」を与える決定に直結している
1項目でも「YES」なら、超高リスク分類に該当する可能性が極めて高い。この場合、2026年8月までに以下の対応が必須だ:適合評価の実施、リスク管理体制の構築、人間による監督(オーバーサイト)の仕組み、苦情処理メカニズムの設計。
【B】高リスク(Medium-Risk / Moderate-Risk)の可能性をチェック
- □ チャットボット、テキスト生成AIをビジネスに組み込んでいる
- □ ユーザー行動の異常検知・詐欺検知にAIを用いている
- □ 推薦システム(商品推薦、コンテンツ推薦)を運用している
- □ 顔認証(パスポート照合、出入国管理など)を使用している
- □ メール・チャット内容の自動分類・優先度付けにAIが関わっている
- □ 医療診断、医療画像解析のAIを提供している
複数項目が「YES」なら、高リスク分類に該当する可能性が高い。この場合、2026年8月までに:透明性情報の整備(「このAIが関与しています」の明確通知)、ユーザーの苦情受付窓口、定期的なパフォーマンス監視が必須だ。
【C】対象外(非規制)の可能性をチェック
- □ スパム・マルウェア検知にのみAIを使用している
- □ サイバーセキュリティ対策のみAIを活用している
- □ 個人の非業務用途(趣味、個人判断)のみを想定している
- □ EU圏への流通・提供の実績がない
すべて「NO」かつ、A・Bもすべて「NO」なら、現時点ではEU AI法の直接的な対応義務が少ない。ただし2027年の国内改正個人情報保護法にはアンテナを張っておいてほしい。
2026年8月までの対応期限——何をいつまでにやるか
時間軸を整理しよう。2026年8月2日まで、あと約1ヶ月だ。この段階で企業が取るべき行動は、以下の3フェーズに分かれる。
【フェーズ1:即座(2026年7月中)】——自社AIシステムのリスク分類の確定と、社内関係部署(法務、IT、事業部)への通知。上記のチェックリスト2の結果をもとに、経営層の意思決定を加速させる段階だ。
【フェーズ2:集中対応(2026年7月末~8月初旬)】——超高リスク・高リスク該当システムについて、最低限のコンプライアンス文書(AIリスク管理計画、透明性レポート)の策定と、ユーザー向け開示情報の準備。完璧を目指さず、「法的に指摘されない最低ライン」を目安に。
【フェーズ3:継続運用(2026年8月3日以降)】——本格的な適合評価、監査、定期レビュー。初期対応が終わった後の「日常業務化」フェーズだ。
トヨタで22年間叩き込まれたのは、「段階ごとに小さく検証し、後戻りを最小化する」カイゼンの考え方だ。この規制対応も同じで、最初から完璧な書類を作ろうとしなくていい。仮説→実行→検証のサイクルを回していけば、必ず前に進める。
超高リスク・高リスク企業が2026年8月までに揃えるべき書類と記録

法的圧力を意識した文書化が、規制対応の土台になる。以下は、EU当局の査察時に求められる可能性が高いものだ。
【必須文書1】AIリスク影響評価(Risk Assessment)——自社AIシステムが「何をするのか」「どのようなリスクを持つのか」を3ページ程度にまとめたもの。実装前のリスク特定が先決だ。
【必須文書2】適合宣言書(Declaration of Conformity)——「このAIシステムはEU AI法に適合している」という法的宣言。EU圏にシステムを販売する場合、書類での証明が前提になる。
【必須文書3】技術文書(Technical Documentation)——AIモデルの学習データセット、精度検証結果、バイアステスト記録、運用ログ等。査察の詮索に耐える程度の記録を残しておく。
【必須文書4】ユーザー向け透明性情報——「このシステムにはAIが使われています」「以下の情報がAIにより処理されます」という、エンドユーザーへの明確な告知。EU AI法では「高い透明性」が義務付けられている。
【必須文書5】苦情処理・監督メカニズム——ユーザーが「このAIの判定に異議がある」と声を上げた時、どう対応するかの手順書と、実績記録。
文書数は多いが、実務的には「テンプレート+自社固有情報の追記」という段取りで対応できる。
2027年の個人情報保護法改正——EU AI法と何が違うのか

同時並行で進んでいる、日本国内の規制動向も確認しておこう。個人情報保護法改正案(2027年4月施行予定)では、AI利用時の「説明責任」と「透明性確保」が強化される。
EU AI法との大きな違いは、日本版は「禁止」よりも「説明義務」に重点を置いている点だ。EU式の厳密なリスク分類ではなく、「ユーザーにAIが関わっていることを伝えているか」「不合理な決定をしていないか」という事後的な確認が中心になる。
たとえるなら、EU AI法が「設計図の段階でチェック」なら、日本版は「完成後に安全パトロール」という違いだ。
ただし日本版でも、要配慮個人情報(健康情報、人種、政治思想など)の自動判定や、採用・労働条件への直結AIについては厳しい目が向けられる。EU AI法の「超高リスク」に近い扱いになると思っている。
結論:日本企業にとって最適な動き方は、EU AI法の枠組みで対応しておけば、国内法改正への対応も大部分がカバーできるという点だ。逆に「国内法だけで大丈夫」と考えるのは危険な賭けになる。
チェックリスト3:社内推進体制の整備状況チェック

最後に、制度対応を実行するための「組織のレディネス」を確認しよう。文書を作るだけでなく、それを実行・監視する仕組みが要る。
【経営層・経営企画】
- □ EU AI法への対応を経営課題として認識している
- □ 対応予算・人員を確保する意思決定がされているか
- □ 法務・技術部門への権限委譲が明確化しているか
【法務部門】
- □ EU AI法の基本要件を理解している弁護士・法務が確保できているか
- □ 適合宣言書・リスク評価書のテンプレートを整備しているか
- □ EU当局との問い合わせ窓口を決めているか
【技術・開発部門】
- □ AIモデルの学習データセット・検証結果を記録する仕組みがあるか
- □ バイアステスト(性別・人種等による不合理な差別がないか)の実施フロー化ができているか
- □ ユーザーに対して「このシステムはAI活用」と告知する仕組みが実装されているか
【事業部門(営業・プロダクト)】
- □ EU市場向け営業時に、EU AI法対応状況を顧客に説明できるか
- □ ユーザーからの苦情・問い合わせを法務に報告するフローが確立されているか
- □ 新しいAI機能をリリースする際、事前の法的レビュー実施のプロセスがあるか
すべてのセクションで「□」が3個以上埋まらなければ、今から8月までに、組織横断的な推進体制を作り上げることが先決だ。
日本企業が今から実行すべき4つのアクション

2026年7月現在、確実に動けるアクションを整理しよう。完璧を目指さず、「最低限の法的リスク回避」を軸に一歩ずつ進める。
【アクション1:AIシステム棚卸し(今週中)】——自社のすべてのAIシステム(商用利用・内部利用の両方)をリスト化。AI提供企業、機能、ユーザー層を記載する。30分で全経営層が質問に答えられる状態を作る。
【アクション2:リスク分類判定ワークショップ(来週)】——法務・技術・事業部の代表者が集まり、上記の「チェックリスト2」を実施。リスク分類の暫定判定を決定する。議事録を残す。
【アクション3:EU AI法対応の優先順位付け(今月末まで)】——超高リスクまたは高リスクに該当するシステムについて、対応の優先度と実行者を決定する。誰が責任を持つのかを明確にする。
【アクション4:弁護士・コンサルタント着任(即座)】——EU AI法に精通した外部専門家(EU系法律事務所、AI法に強いコンサルティング会社)とアドバイザリー契約を結ぶ。内製のみでは無理だ。予算は10万~50万ユーロ(約1,500万~7,500万円)が相場だ。
これら4つのアクションを完了することで、「最低限の対応方針」が整う。8月2日以降の本格対応も見通しが立ってくる。
対応しなかった場合のペナルティ——何が起きるのか

EU AI法違反に対する罰金は、企業の悪質性によって段階的だ。軽視してはいけない。
【軽微な違反(透明性情報の欠落など)】——罰金:最大500万ユーロ(約7億5,000万円)または全世界売上の2.5%。
【重大な違反(禁止リスクのAIを使用、虚偽の適合宣言など)】——罰金:最大3,000万ユーロ(約45億円)または全世界売上の6%。
特に怖いのは「全世界売上基準」だ。仮に日本企業の年間売上が100億円の場合、重大違反で全世界売上の6%が適用されると、6億円の罰金になる。
さらに、罰金以外にも:システムの一時使用停止命令、EU市場からの事業排除、風評被害による顧客流出、訴訟コスト——など間接的なダメージは計り知れない。
EU当局は2026年から本格的な査察体制を敷いている。他人事のように見ていられる時間はもうない。
世界中で進むAI規制——EUと日本の先制度競争
EU AI法は世界的な規制トレンドの先駆けだ。米国、英国、シンガポール、オーストラリア等も同様の枠組みを検討・導入中だ。
米国は「セクター別規制」(医療・金融・採用など分野ごと)を推進中で、EU式の統一的なフレームワークではない。国によって対応の詳細が異なり、グローバル企業は複数の規制に同時対応する必要がある。
日本版の個人情報保護法改正も、この国際動向を踏まえた調整だ。企業が「グローバル基準」で動いていれば、各国の個別規制への適合性も自然と高くなる。
戦略的には、EUの厳しい要件に対応することが、事実上「世界対応」への近道になる。
まとめ ─ これだけ覚えておけばいい
- 期限が迫っている:EU AI法全面適用は2026年8月2日。あと1ヶ月。完璧な対応ではなく、「最低限の法的リスク回避」を目標に今すぐ動く。
- 対象判定が最優先:「チェックリスト1・2」を使い、自社のAIシステムが「超高リスク」「高リスク」に該当するか60秒で判定。経営層全員が同じ理解を持つ。
- 段階的実行が現実的:フェーズ1(即座の判定)→フェーズ2(7月末までの最小限文書化)→フェーズ3(8月以降の継続監視)で分割実行。
- 国内法改正も視野に:2027年の個人情報保護法改正では「説明責任と透明性」が強化される。EU対応をベースにすれば、国内対応もカバーできる。
- 外部専門家の活用は必須:法律、技術、事業の3視点から同時対応するため、EU AI法に精通した弁護士・コンサルタントへのアドバイザリー契約が現実解だ。
最後に一言だけ。この規制対応は「脅威」じゃなく「チャンス」でもある。AI透明性への企業姿勢が、顧客からの信頼を大きく左右する時代になったということだ。対応を完了した企業は、「ガバナンスがしっかりしている」というシグナルを市場に送ることができ、投資家評価も上がっていく。
今から8月までの1ヶ月が、その競争優位性を握るラストチャンスだ。一歩ずつ、確実に進めていこう。
出典・参考情報
- EU AI Act Official Text – European Commission
- 個人情報保護方針(PPC):個人情報保護法改正案の概要
- World Bank Report: Understanding Global AI Regulation Landscape (2024)
- European Commission Press Release: AI Act Enforcement Timeline (May 2024)
用語集
- リスク分類(Risk Classification):EU AI法では、AIシステムが社会に与え得る危害の大きさに応じて4段階(禁止→超高→高→低/その他)に分類される。分類により規制強度が決まる。
- 超高リスク(High-Risk AI):採用判定、ローン審査、法執行支援など、人間の基本的な権利や法的地位に影響を与えるAI。最も厳しい規制対象。
- 適合宣言書(Declaration of Conformity):EU圏での販売・流通時、「このプロダクトはEU法に適合している」ことを法的に宣言する公式文書。
- 透明性要件(Transparency Requirements):AIシステムがユーザーデータをどう処理し、どのような判定をするのかについて、ユーザーに明確に通知する義務。
- バイアステスト(Bias Testing):AIモデルが特定の属性(性別、人種、年齢など)に対して不合理な差別をしていないかを検証するプロセス。
- 個人情報保護法改正案(2027年施行):日本で2027年4月から施行予定の個人情報保護法改正。AI利用時の説明責任と透明性確保を強化。
- SaaS(Software as a Service):クラウド経由で提供されるソフトウェア・サービス。HRシステム、会計管理ツール、マーケティングオートメーション等が該当。
- EUの全域GDP(2026年推定):約17兆ドル。この経済圏に流通するAIシステムすべてがEU AI法の規制対象になる可能性がある。
📊 ippo の無料サービス
合同会社 ippo / 代表 ぐっさん (山口高幸)





