2025年AI業界10大ニュース|DeepSeekショックからGPT-5・著作権訴訟まで時系列で解説
ルミィ
AIの歩き方
EU AI Act完全ガイド|日本企業への影響・施行スケジュール・罰則を初心者向けに解説【2026年版】
ルミィ
「EUのAI規制って、日本企業にも関係あるの?」──結論からいうと、大いに関係あります。EU AI Actは2024年8月に発効し、原則として2026年8月から本格適用される世界初の包括的AI規制です。ただし、2026年5月時点ではDigital Omnibus on AIにより、高リスクAIの一部について適用時期を後ろ倒しする暫定合意も出ています。域外の日本企業にも影響が及ぶ可能性があり、EUにサービスを提供する、EU域内のユーザーを対象にする──該当するなら準備は早いほうが得策です。
EU AI Actは「AIをリスクの大きさで分類し、危険なAIは禁止、高リスクAIには厳しい管理を求める」EUの法律。2024年8月発効、2026年8月に原則全面適用ですが、禁止AI行為とAIリテラシー義務は2025年2月から、GPAI関連義務は2025年8月からすでに適用中。日本企業も、EU向けにAIサービスを提供する/EU子会社や顧客がAIを使う/AI出力がEU内で使われるケースは確認が必要です。本記事はリスク分類、GPAI義務、日本企業への影響、罰則、チェックリストまでを初心者向けに整理します。
AIツール選びに迷ったら、目的別にAIを探せるAIの地図|目的別にAIツールを探すもあわせてご覧ください。最初の使い方を順番に知りたい方はAI活用7日間ロードマップへ。
本記事では、2026年5月時点でのEU AI Actを、初心者向けに整理します。段階的な施行スケジュール、リスクベース分類(4段階)、禁止AI行為、GPAI(汎用AI)義務、日本企業への影響、罰則──押さえるべきポイントを順番に見ていきます。
私自身、情報処理安全確保支援士として情報セキュリティに長く関わってきた立場から言うと、規制系の記事は読むだけで疲れがちです。けれども、EUへサービスを出している企業の関係者から「うちは関係あるのか」と相談されることが何度かあり、実際に整理してみると、EU AI Actは「AIを全面禁止する怖い法律」ではなく、リスクの大きさで分類するだけのシンプルな枠組みだと分かります。本記事も、その視点で初心者向けに整理しました。日本国内の規制と比較したい方は日本のAI関連法規ガイド、AIガバナンス全般は2026年のAIトレンド7選もあわせてどうぞ。
🙋 こんな人に向いています
- EU向けにサービス・製品を提供している、または検討している日本企業の担当者
- EU子会社・EU従業員・EU顧客がいて、AI利用ルールを整える必要がある人
- 採用・人事・教育・医療・金融・重要インフラなど、高リスクAIに該当しうる業務でAIを使う人
- GPAI(汎用AI)の提供者・代理店として、EU向け展開を考えている人
- 「EU AI Actが何を求めているのか」を、ニュースの断片ではなく一度きちんと整理したい人
この記事でわかること
- EU AI Actとは何か
- 2024年〜2027年の主な施行スケジュール
- 禁止AI・高リスクAI・透明性リスク・最小リスクの違い
- GPAI(汎用AIモデル)に求められる義務
- 日本企業が影響を受ける可能性があるケース
- まず確認すべきチェックリストと罰則の概要
EUの法律って日本にも関係あるの?
結論:EU AI Actとは何か
EU AI Actとは、AIの使い方をリスクの大きさで分類し、危険なAIは禁止し、高リスクAIには厳しい管理を求めるEUの法律です。2026年5月時点では、すでに一部の義務が適用されています。EU公式ページによると、EU AI Actは2024年8月1日に発効し、原則として2026年8月2日に全面適用されます。ただし、禁止AI行為とAIリテラシー義務は2025年2月2日から、汎用AIモデル(GPAI)関連義務は2025年8月2日から適用されています。
リスクベース分類…どういう仕組み?
1. 施行スケジュール
| 時期 | 内容 |
|---|---|
| 2024年8月1日 | EU AI Act発効 |
| 2025年2月2日 | 禁止AI行為、AIリテラシー義務が適用開始 |
| 2025年8月2日 | GPAIモデル関連義務、ガバナンス規則が適用開始 |
| 2026年8月2日 | 原則として多くの規定が適用。ただし、高リスクAIの一部はDigital Omnibusの暫定合意により後ろ倒しされる方向 |
| 2027年12月2日 | スタンドアロン型高リスクAIシステムの新たな適用期限案 |
| 2028年8月2日 | 製品に組み込まれた高リスクAIシステムの新たな適用期限案 |
※2026年5月時点ではDigital Omnibus on AIの暫定合意段階であり、正式採択・官報掲載までは最終的な日程が変わる可能性があります。
2. EU AI Actの基本構造(リスクベース・アプローチ)
EU AI Actは、AIを主にリスク別に分類します。
| 分類 | 初心者向け説明 | 例 |
|---|---|---|
| 禁止AI | 人権や安全へのリスクが高すぎるため原則禁止 | 操作的・欺瞞的手法、社会的スコアリング、無差別な顔画像スクレイピングなど |
| 高リスクAI | 利用は可能だが、厳しい義務がある | 採用、教育、重要インフラ、医療、法執行、入国管理など |
| 透明性リスク | AI利用者にAIだと知らせる必要がある | チャットボット、ディープフェイク、AI生成コンテンツなど |
| 最小リスクAI | 原則として追加規制なし | AIゲーム、スパムフィルターなど |
高リスクAIには、リスク管理、データ品質、ログ、文書化、利用者への情報提供、人間による監督、堅牢性・サイバーセキュリティ・正確性などが求められます。
3. 禁止されるAI行為
EU AI Actでは、特に危険性が高いAI利用が禁止対象になります。代表例は以下です(Article 5)。
| 禁止対象の例 | 初心者向け説明 |
|---|---|
| 潜在意識に働きかける操作的・欺瞞的AI | 本人が気づきにくい形で意思決定を歪めるAI |
| 年齢・障害・社会的弱者の脆弱性を利用するAI | 子どもや弱い立場の人を不当に誘導するAI |
| 社会的スコアリング | 行動や属性を点数化し、不利益な扱いにつなげるAI |
| 無差別な顔画像スクレイピング | ネットや監視カメラから顔画像を大量収集し、顔認識DBを作る行為 |
| 職場・教育現場での感情推定 | 医療・安全目的など一部例外を除き、職場や学校で感情を推定するAI |
| センシティブ属性の生体分類 | 生体情報から人種、政治的意見、宗教、性的指向などを推定するAI |
4. 汎用AIモデル(GPAI)への義務
ChatGPT、Claude、Gemini、Llamaのような基盤モデル・汎用AIモデルに関係するのが、GPAI(General-Purpose AI Model)の義務です。GPAIモデルは幅広いタスクを実行でき、多くのAIシステムの基盤になるモデルです。
AI ActはGPAIモデル提供者に対して、透明性や著作権関連のルールを求め、システミックリスクを持つ高性能モデルにはリスク評価・リスク低減も求めます。2025年7月には、EUがGPAI Code of Practiceを公表しました。これは、GPAI提供者がAI Act上の透明性・著作権・安全性/セキュリティ義務に対応するための任意の実務ツールです。GPAI関連義務は2025年8月から適用が始まっており、Code of Practiceへの署名は任意ですが、主要GPAIプロバイダーが準拠姿勢を示す動きとして注目されています。
GPAI Code of Practiceは「①透明性、②著作権、③安全性・セキュリティ」の3章で構成されています。日本企業が対応する場合は、EU側の著作権対応だけでなく、日本国内の著作権整理や社内ルールとの整合も確認しておく必要があります。
2026年5月時点の欧州委員会の公表リストでは、Google、Microsoft、OpenAI、AnthropicなどがGPAI Code of Practiceの署名者に含まれています。一方、Metaは署名しない方針を示したと報じられています。署名は任意で法的義務は変わりませんが、署名企業はEU AI Actへの自主的な準拠姿勢を示すことができ、業界全体のガバナンス水準を高める動きとして注目されています。署名状況は更新される可能性があるため、最新の公式リストを確認してください。
また、GPAIの中でも「システミックリスクを持つ高性能モデル(GPAISR)」については、より厳しい義務(リスク評価・リスク低減等)が課されます。具体的には、訓練計算量が10の25乗(10^25)FLOPを超えるモデルが該当します。この基準は主に最先端の大規模フロンティアモデルを想定したものですが、訓練計算量は公開されないことが多く、個別モデルが該当するかどうかは提供者の情報開示や当局の判断によって変わるため、本記事では特定モデル名の断定は避けます。
日本企業にも影響があるんだね!
5. 日本企業への影響
日本企業でも、EU AI Actが関係する可能性があります。特に注意すべきなのは、次のケースです。
| 日本企業のケース | EU AI Actの影響 |
|---|---|
| EU向けにAIサービスを提供する | EU内でAIシステムやGPAIモデルを提供する場合、対象になり得る |
| EU拠点・EU顧客がAIを使う | EU内の利用者・導入者として義務が生じ得る |
| AIの出力がEU内で使われる | EU外の企業でも、AI出力がEUで使われる場合に対象になり得る |
| 採用・人事・教育・医療・金融・重要インフラでAIを使う | 高リスクAIに該当する可能性がある |
| 欧州子会社でChatGPT等を業務利用する | AIリテラシー、利用ルール、データ管理、出力確認が必要 |
| EU向け製品にAI機能を組み込む | 製品規制と高リスクAI義務の確認が必要 |
つまり、日本企業でも、EU向けにAIサービスを出す、EUの顧客・従業員・子会社が関わる、AIの出力がEUで使われる場合は、確認が必要です。
なお、EU AI Actは個人データを扱うAIシステムについて、GDPR(一般データ保護規則)と並行して適用されます。すでにGDPR対応している日本企業は、データ管理・透明性・説明責任の基本的なガバナンス体制が整っているため、EU AI Act対応もスムーズに進められる傾向があります。
6. 日本企業がまず確認すべきチェックリスト
特に重要なのは「AIリテラシー義務」(Article 4)です。AIシステムを業務で利用する企業は、関係する従業員に対して、AIに関する適切な知識・スキル・理解を提供する義務を負います。2025年2月2日からすでに適用されており、日本企業のEU子会社・EU従業員も対象になり得ます。具体的には、AI教育プログラム、利用ガイドライン整備、定期的な研修等が想定されます。
| 確認項目 | 内容 |
|---|---|
| EUとの接点 | EU顧客、EU子会社、EU従業員、EU向けWebサービスがあるか |
| AIの用途 | 採用、人事評価、教育、医療、金融、重要インフラ、法執行に関わるか |
| 立場 | AIの開発者・提供者・導入者・販売代理店・輸入者のどれに当たるか |
| AIの種類 | 単なるチャット利用か、高リスクAIか、GPAIモデル提供か |
| データ | 個人データ、センシティブデータ、EU居住者データを扱うか |
| 人間の監督 | AIの判断を人間が確認する運用があるか |
| ログ | AIの入力・出力・操作履歴を追跡できるか |
| 説明 | 利用者にAI利用を知らせる必要があるか |
| 契約 | AIベンダーとの責任分担、ログ、監査、学習利用、データ所在地を確認しているか |
高リスクAIの導入者には、利用説明に沿った利用、人間による監督、入力データの適切性、運用監視、リスクや重大インシデントの報告、ログ保存などの義務が定められています。Article 26では、高リスクAIシステムの導入者が少なくとも6か月間ログを保存することなども示されています。
7. 罰則
EU AI Actには高額な制裁金があります。違反内容や企業規模に応じて、次のような制裁金が科される可能性があります。
| 違反類型 | 罰則の目安 |
|---|---|
| 禁止AI行為への違反 | 最大3,500万ユーロ、または全世界年間売上高の7%の高い方 |
| 高リスクAI等の義務違反 | 最大1,500万ユーロ、または全世界年間売上高の3%の高い方 |
| 当局への不正確・不完全・誤解を招く情報提供 | 最大750万ユーロ、または全世界年間売上高の1%の高い方 |
8. 2025年以降の動向:規制緩和・延期議論
EU AI Actは段階的に適用が進んでいますが、2025年以降は一部の規定について、企業負担を軽減するための延期・簡素化議論も進んでいます。
2025年11月には欧州委員会が「Digital Omnibus on AI」として一部規定の簡素化・延期を提案しました。さらに2026年5月には、EU理事会と欧州議会がAIルール簡素化について暫定合意し、高リスクAIシステムの一部について適用時期を後ろ倒しする方向が示されています。暫定合意では、スタンドアロン型の高リスクAIシステムは遅くとも2027年12月2日、製品に組み込まれた高リスクAIシステムは遅くとも2028年8月2日までに適用される方向です。
ただし、正式採択・官報掲載までは決定済みではないため、最終的な法的適用時期や対象範囲は変更される可能性があります。日本企業は「延期されたから対応不要」と考えるのではなく、自社AIの用途・リスク分類・EUとの接点を継続的に確認することが重要です。
EU AI Actの執行・ガイダンス整備には、欧州委員会内に設置されたEU AI Officeと、各加盟国代表で構成されるAI Board、各加盟国の所管当局などが関わります。具体的な問い合わせや準拠判断では、EU公式のAI Act Service Desk、加盟国当局、専門家・弁護士の最新情報を確認するのが安全です。
さらに、欧州委員会は2024年9月に「AI Pact」を立ち上げました。これはEU AI Act施行前から企業が自主的にコンプライアンス準備を進められる任意の枠組みで、多くの企業が参加し、施行前から自主的な準備を進めています。AI Pactは、EU AI Actの本格適用前から企業が自主的に準備を進めるための任意枠組みです。日本企業も、EU向け事業がある場合は、AI Pactの資料や参加企業の取り組みを参考にしながら、自社のAI棚卸し・リスク分類・社内教育を進めることができます。
9. EU AI Actに関するよくある誤解
EU AI Actについて、以下のような誤解が広がっていますが、いずれも正確ではありません。正しい理解で適切に対応しましょう。
| よくある誤解 | 実態 |
|---|---|
| ❌「EU AI ActはAIを全面禁止する法律」 | ✅ リスクの大きさで分類するリスクベース規制 |
| ❌「日本企業には関係ない」 | ✅ EU市場・利用者・出力がEU内で使われる場合は対象 |
| ❌「ChatGPTを使うだけで必ず違反」 | ✅ 用途・データ・立場によって判断 |
| ❌「高リスクAIは使用禁止」 | ✅ 禁止ではなく、厳しい義務を伴う利用可 |
| ❌「GPAI Code of Practiceに署名すれば免責」 | ✅ 任意ツールで法的義務は消えない |
| ❌「無料AIなら対象外」 | ✅ 有料・無料ではなく用途・接点で判断 |
| ❌「罰則はすぐ全企業に一律適用」 | ✅ 違反内容・規模・適用時期によって異なる |
❓ よくある質問(FAQ)
Q1. EU AI Actは、EU圏内の企業以外にも適用されますか?
はい、域外適用される場合があります。EU AI Actは「EU市場でAIシステムを提供する」「EU域内の利用者がAIを使う」「AIシステムの出力がEU内で使われる」などのケースで、EU外の企業にも適用される可能性があります。日本企業も、EU向けにAIサービスを提供する、EU子会社や顧客がAIを使う、EU向け製品にAI機能を組み込む、といった場面は対象になり得るため、自社のEUとの接点を一度棚卸しすることをおすすめします。
Q2. ChatGPTやClaudeを業務で使うだけでも、EU AI Actの対応が必要ですか?
業務利用そのものが直ちに違反になるわけではありませんが、用途・データ・立場によっては対応が必要です。特にEU子会社や欧州従業員が業務利用する場合、(1) AIリテラシー義務(従業員へのAI研修・利用ガイドライン整備)、(2) 採用・人事評価・教育など高リスクAI領域での利用は人間の監督とログ保存、(3) 出力をそのまま意思決定に使わない運用、などが基本になります。「ただ使うだけ」でも、社内ルール整備が現実的な対応の第一歩です。
Q3. GPAI Code of Practiceに署名すれば、法的義務は免除されますか?
免除されません。GPAI Code of Practiceは、AI Act上の透明性・著作権・安全性/セキュリティ義務に対応するための任意の実務ツールです。署名は法的義務を肩代わりするものではなく、「自主的な準拠姿勢を示すための仕組み」です。法的義務は、署名の有無にかかわらず、AI Actの該当条文に従って適用されます。Google・Microsoft・OpenAI・Anthropicなどは署名済み、Metaは署名拒否という構図ですが、いずれの企業もAI Act本体への対応は別途必要です。
Q4. 「AIリテラシー義務」(Article 4)は、具体的に何をすればよいですか?
条文上は「関係する従業員にAIに関する適切な知識・スキル・理解を提供する」とされ、具体的な手段は企業の裁量に委ねられています。実務的には、(1) 自社で使うAIの種類・用途を整理した社内資料の作成、(2) 全社向けまたは利用部門向けのAI研修プログラム、(3) 利用ガイドライン(入力していいデータ・してはいけないデータ、ハルシネーションの注意、出力の確認手順)、(4) 新入社員研修への組み込み、などが想定されます。EU子会社がある日本企業は、現地スタッフへのリテラシー提供から始めるのが現実的です。
Q5. EU AI Actと日本のAI法は、何が違いますか?
大きな違いは「規制のスタイル」です。EU AI Actは罰則付きの包括的・横断的な規制で、リスク分類ごとに義務と高額制裁金が定められています。一方、日本のAI関連法規は、ガイドライン中心の「ソフトロー」が基本で、強制力よりも事業者の自主的な取り組みを促す形が中心です。ただし、個人情報保護法・著作権法・特定分野の業法(金融・医療等)は罰則を伴います。EU向け事業がある企業は、両方の枠組みを並行して押さえる必要があります。詳しくは日本のAI関連法規ガイドもあわせてご覧ください。
まとめ
スケジュールを押さえて準備しておこう!
EU AI Actは、AIをリスクの大きさで分類し、危険なAIは禁止し、高リスクAIには厳しい管理を求めるEUの法律です。2024年8月に発効し、2026年8月に原則として全面適用されます。ただし、禁止AI行為やAIリテラシー義務はすでに2025年2月から、汎用AIモデルに関する義務は2025年8月から適用されています。
日本企業にとっても無関係ではありません。EU向けにAIサービスを提供する場合、EU子会社やEU顧客がAIを使う場合、AIの出力がEU内で使われる場合には、EU AI Actの対象になる可能性があります。まず行うべきことは、自社で使っているAIを棚卸しし、EUとの接点、AIの用途、個人データの扱い、ベンダーとの契約、人間の確認プロセス、ログ保存の有無を確認することです。
初心者向けに言えば、EU AI Actは「AIを使ってはいけない法律」ではなく、「危険な使い方を避け、安全に使うためのルール」と理解するとよいでしょう。
今日からできる最初の一歩:
1. 自社のEUとの接点(EU顧客/EU子会社/EU従業員/EU向けWebサービス/EU向け製品)を棚卸しする
2. 自社で使うAIを「禁止AI/高リスクAI/透明性リスク/最小リスク」のどの分類に近いか、本記事のチェックリストで仮置きする
3. AIリテラシー義務(Article 4)の準備として、社内向けAI利用ガイドラインの草案を作る。日本側のルールは日本のAI関連法規ガイドと並行して確認
📖 もっと深く学びたい方へ
記事を読んで「実際にAIを使ってみたい」「もっと体系的に学びたい」と思った方には、以下の書籍がおすすめです。
『3時間で身につくClaude活用術』(WAVE出版):本記事で取り上げたGPAIの代表格、Anthropic社のClaudeに特化した実用書です。AIを業務で使う前提を押さえつつ、長文要約・文章作成・資料整理などの具体的な活用方法を学びたい方におすすめです。
『この一冊で全部わかる ChatGPT & Copilotの教科書[改訂第2版]』(SBクリエイティブ):ChatGPTとMicrosoft Copilotを横断的に学べる教科書です。社内でAIを安全に使う前提を共有しながら、基本操作や実務活用を学びたい方に向いています。
📖 あわせて読みたい
- 日本のAI関連法規・ガイドライン完全ガイド|AI法・著作権・個人情報
- 2026年のAIトレンド7選|「答えるAI」から「動くAI」への転換
- 2025年AI業界10大ニュース|時系列で振り返る
- AIエージェントとは?2026年に注目される「動くAI」
- 生成AIと従来AIの違いをやさしく解説
📚 参考文献・出典
- 欧州委員会デジタル戦略「AI Act」 https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- EU人工知能法 全文(Article 5、Article 26など) https://artificialintelligenceact.eu/
- 欧州委員会「GPAI Code of Practice」(2025年7月) https://digital-strategy.ec.europa.eu/
- 欧州議会「AI Act 概要・制裁金」 https://www.europarl.europa.eu/
次に読むおすすめ記事
- 日本のAI関連法規・ガイドライン完全ガイド|AI法・著作権・個人情報
- 2026年のAIトレンド7選|「答えるAI」から「動くAI」への転換
- 2025年AI業界10大ニュース|時系列で振り返る
- AIの地図|目的別にAIツールを探す
ChatGPT・Gemini・Claudeなどの会話AI、画像生成AI、動画生成AI、資料作成AI、AI検索ツールを初心者向けに解説するAIナビゲーター。実際に使ってみた感想や、仕事・学習・発信に役立つAI活用法をわかりやすく紹介しています。
