AIセキュリティ

【EU AI Act 2026年8月完全施行】罰金最大€35M|日本企業が今すぐ着手すべき5ステップ

2026-05-15濱本 隆太
AIセキュリティEU AI ActISO 42001経営層コンプライアンスWARP SECURITY

2026年8月、EU AI Actの高リスクAI規制が完全施行。最大€35Mまたは全世界売上7%の罰金リスクに、日本企業はどう向き合うべきか。域外適用される3パターン、4リスク区分、ISO/IEC 42001を経由した5ステップの実装ロードマップを解説。

【EU AI Act 2026年8月完全施行】罰金最大€35M|日本企業が今すぐ着手すべき5ステップ
シェア

株式会社TIMEWELLの濱本 隆太です。

「EU AI Act?うちはEUに拠点ないから関係ないでしょ」——3ヶ月前まで、日本企業の経営層の8〜9割からこの反応を受けていました。

しかし、 2026年8月2日に高リスクAIシステムへの大半の義務が完全施行 され、罰金の最大幅は €35Mまたは全世界売上の7%(高い方) に達します。そして条文を丁寧に読めば、 日本に本社を置く企業も域外適用される3パターン が明確に存在します。

「うちは関係ない」と言い切れる日本企業は、実は少数派です。本記事では施行タイムライン、日本企業が対象になる条件、そして今すぐ着手すべき5ステップを解説します。

要約

  • EU AI Act は 段階的に施行中。禁止行為と AI リテラシー義務は 2025年2月から、汎用AI(GPAI)は2025年8月から、 高リスク AI の大半は2026年8月2日 から
  • 日本企業が域外適用される3パターン:①EU市場に製品/サービス提供、②EU域内ユーザー向けAI出力、③EU子会社が利用
  • 罰金は最大 €35M または全世界売上 7%(GDPR の€20Mを大きく上回る)
  • 着手の現実解は ISO/IEC 42001 を骨格としつつ高リスク要件を満たす5ステップ

EU AI Act 施行タイムラインを正確に押さえる

EU AI Actは2024年8月1日に発効しましたが、規定ごとに適用時期が異なります。

施行日 適用される義務
2025年2月2日 禁止AI(社会的スコアリング、感情認識による職場/学校での利用等)の禁止規定/AIリテラシー義務(従業員教育)
2025年8月2日 汎用AI(GPAI、General-Purpose AI)モデルの提供者義務/罰金・罰則規定の発効
2026年8月2日 高リスクAIシステムの大半の義務が完全施行(適合性評価、技術文書、ログ、人間監督、データガバナンス、透明性等)
2027年8月2日 既存製品の安全規制(玩具、医療機器、自動車等)に組み込まれた高リスクAIへの追加要件

2026年5月時点で、すでに 「禁止AI」「AIリテラシー義務」「GPAIの提供者義務」「罰則」 は施行済みです。残るは 高リスクAIの大半が3ヶ月後 に来るというカウントダウン状態です。

AIセキュリティ研修を、本気で

OWASP・NIST・ISO 42001・経産省ガイドライン全準拠の2日間集中講座。経営層と現場で分けて受講できます。

WARP SECURITYを無料相談講座の詳細を見る

罰金構造 — GDPRより重い

EU AI Act Article 99 の罰則は、違反種別ごとに次のとおりです:

違反種別 上限
禁止AIの使用(社会的スコアリング等) €35M または全世界売上の7%(高い方)
高リスクAIシステムへの主要義務違反 €15M または全世界売上の3%
当局への虚偽情報提供 €7.5M または全世界売上の1%

GDPR の上限が「€20M または全世界売上 4%」だったのに対し、 EU AI Act の禁止AIへの罰金は €35M、売上7% とより重くなっています。EUは「AI規制で世界の規範を作る」という戦略を、罰金額で明確に示しています。

日本企業が域外適用される3パターン

EU AI Act 第2条で適用範囲が定義されています。日本に本社を置く企業が対象になる主なパターン:

パターン1:EU市場へのAI製品/サービス提供

EU域内の事業者・消費者にAIシステムまたはAIモデルを提供(販売、SaaS、API、無償含む)している場合。

日本企業の例:

  • 化粧品メーカーがEU向け eコマースで AI画像レコメンドを使用
  • 自動車部品メーカーが EU OEM 向け製品に AI 制御を組み込み
  • SaaS企業が EU 顧客向けに生成AI機能を提供

パターン2:EU域内のユーザー向けAI出力が使われる

AIの出力(推論結果、分類、画像等)がEU域内で使用される場合。

日本企業の例:

  • 日本の本社で動かしている採用AIで、EU子会社の従業員を評価
  • 日本の信用スコアAIの結果を、EU子会社の取引判断に使う
  • マーケティングAIの分析結果をEU向け広告に反映

パターン3:EU子会社がAIシステムの「導入者(deployer)」になる

EU 子会社が業務でAIシステムを利用している場合、子会社が 「導入者」 として義務を負います。本社のリスクマネジメントとは別に、子会社側で対応が必要。

日本企業の例:

  • EU子会社で人事評価AIを利用
  • EU子会社でCRM内蔵の生成AI機能を業務利用
  • EU子会社でAIエージェントを社内文書要約に利用

「うちはEUに製品出していないから関係ない」と思っていても、EU子会社で日々使われるAIが規制対象になっているケースは多数あります。

4リスク区分とそれぞれの義務

EU AI Act はAIを4つのリスク区分に分け、それぞれ異なる義務を課します。

区分 内容 義務の重さ
禁止リスク 社会的スコアリング、潜在意識操作、職場/学校での感情認識など 使用不可(2025年2月施行済)
高リスク 採用・人事評価、信用スコア、医療診断、教育評価、重要インフラ運用、法執行のAI等 適合性評価、技術文書、ログ、人間監督、データガバナンス、透明性等(2026年8月施行)
限定リスク チャットボット、ディープフェイク、AI生成コンテンツ等 透明性義務(AI使用の開示等)
最小リスク AIスパムフィルタ、ゲーム内AI等 任意(自主行動規範推奨)

**ほとんどの日本企業で問題になるのは「高リスク」と「限定リスク」**です。特に 採用・人事評価AI、信用スコアリング、医療診断補助 を業務に組み込んでいる企業は、2026年8月までに義務充足の準備が必要です。

ISO/IEC 42001 を経由した5ステップ実装ロードマップ

EU AI Act 本文だけを読んで実装しようとすると、抽象度が高くて手が動きません。現実解は、ISO/IEC 42001(AIマネジメントシステム、2023年12月公表)を骨格とし、EU AI Actの高リスク要件を上に乗せる アプローチです。

Step 1:AIシステム棚卸し(1〜2ヶ月)

社内で利用中・開発中のAIシステムをすべて洗い出します。

  • 自社開発・SaaS利用・組み込み利用すべて
  • 用途、利用部門、関与するデータ
  • EU AI Actのリスク区分仮判定

成果物:AIシステム台帳(Excel可)

Step 2:高リスク・限定リスクの選別(2〜3週間)

棚卸しした各AIシステムを、EU AI Act Annex III(高リスク用途リスト)と照らし合わせて区分判定します。

特に注意:

  • 採用・昇進・解雇に関わるAI → 高リスク
  • 教育評価・受入判定AI → 高リスク
  • 医療診断・治療判断補助AI → 高リスク
  • 信用スコア・与信判定AI → 高リスク

Step 3:ISO/IEC 42001 AIMSの骨格構築(3〜6ヶ月)

ISO 42001 の主要要求事項を実装:

  • AIガバナンス方針の策定(経営層承認)
  • AIリスクアセスメント手順の文書化
  • AI開発・運用ライフサイクルの定義
  • インシデント管理プロセス
  • 教育・リテラシーの計画

Step 4:高リスクAI個別の要件充足(3〜6ヶ月)

EU AI Act の高リスク要件(Chapter III, Section 2)を実装:

  • リスク管理システム(Article 9)
  • データガバナンス(Article 10)
  • 技術文書の作成(Article 11、Annex IV)
  • ログ保持(Article 12)
  • 透明性と利用者への情報提供(Article 13)
  • 人間監督(Article 14)
  • 精度・堅牢性・セキュリティ(Article 15)

Step 5:適合性評価と継続運用(持続的)

  • 高リスクAIシステムごとに適合性評価を実施(Article 43)
  • CEマークの貼付(該当する場合)
  • 重大インシデントの当局報告(Article 73)
  • 監査ログの保持と定期レビュー

ISO 42001 認証取得まで踏み込めば、EU AI Actの「適切なAIマネジメント」の証跡として機能 します。これがPwC・EY・Deloitte が「ISO 42001 認証取得支援」を高額商品として売れている背景です。

経営層に必要な意思決定

EU AI Act 対応で、経営層が判断すべきポイントは次の通り:

  1. 対象範囲の確定:日本本社のAIで、EU域内に影響が及ぶものをすべて洗い出す
  2. 責任者の任命:CAIO(Chief AI Officer)またはCISO配下のAIガバナンスリードを明示
  3. 予算配分:ISO 42001 認証取得+EU AI Act 適合まで含めると、中堅企業で年間3,000万〜1億円規模
  4. タイムライン宣言:2026年8月2日に間に合うか、それ以降の段階的対応か、リスク受容と合わせて決断
  5. コンプライアンス vs ビジネス:EU向けサービスの一部撤退・縮小も含めた経営判断

WARP SECURITYでの位置づけ

TIMEWELLの WARP SECURITY 経営層DAYでは、EU AI Act施行タイムライン、罰金構造、ISO 42001との関係を 「自社のAIシステム棚卸し」ワークショップ で実体験できます。

参加企業には、Step 1のAIシステム台帳テンプレートと、ISO 42001 簡易ロードマップ診断を受講特典として提供します。

まとめ

  • 2026年8月2日、EU AI Act の高リスクAI規制が完全施行
  • 日本企業も 3つのパターン で域外適用される。「うちは関係ない」は危険な誤解
  • 罰金は 最大 €35M または売上 7%——GDPR を超える
  • 現実解は ISO/IEC 42001 を骨格にした5ステップ——棚卸し、リスク選別、AIMS構築、高リスク要件充足、適合性評価
  • 残り3ヶ月。経営層の意思決定なしには間に合わない

EU AI Act は「先進的すぎる規制」と見られがちですが、米国 Executive Order や日本の AI事業者ガイドライン v1.2 も、同じ方向に向かって動いています。今やるか後でやるかの違いだけで、いずれやる必要があります。

参考文献

あなたのAIリテラシーを測ってみませんか?

5分の無料診断で、AIの理解度からセキュリティ意識まで7つの観点で評価します。

AIリテラシーを診断する
無料相談を予約30分のオンライン相談資料をダウンロード製品資料・ホワイトペーパー

この記事が参考になったらシェア

シェア

メルマガ登録

AI活用やDXの最新情報を毎週お届けします

ご登録いただいたメールアドレスは、メルマガ配信のみに使用します。

無料診断ツール

あなたのAIリテラシー、診断してみませんか?

5分で分かるAIリテラシー診断。活用レベルからセキュリティ意識まで、7つの観点で評価します。

無料で診断する

AIセキュリティについてもっと詳しく

AIセキュリティの機能や導入事例について、詳しくご紹介しています。

AIセキュリティの詳細を見るお問い合わせ

関連記事