EU AI Act 2026年8月施行【完全ガイド】日本企業がGPAIモデル導入で押さえるべき罰金回避の実務

こんにちは、株式会社TIMEWELLの濱本です。

「うちはEUに製品を出していないから、EU AI Actは関係ないですよね」。この春、AI導入を担当する部長クラスの方から何度この質問を受けたか分かりません。そのたびに、私は会議室のホワイトボードに3つのケースを書き出してきました。EU子会社が日本本社のAIシステムを使う場合、EU内の代理店経由でAIサービスが流通する場合、EU居住者向けの自社サイトで生成AIチャットを動かす場合。気がつくとどれかに該当している、という反応がほぼ毎回返ってきます。

2026年8月2日、EU AI Actの本丸が動きます。欧州委員会の執行権限（Enforcement powers）が発動し、汎用AIモデル（General-Purpose AI、以下GPAI）に対する文書要求、評価実施、市場制限、リコール、そして罰金の賦課が現実の手段になります[^1][^2]。罰則の上限は、禁止AI実践への違反で売上の7%または3,500万ユーロのいずれか高い方、高リスクAIシステムの違反で3%または1,500万ユーロ、GPAI提供者向けには3%または1,500万ユーロ[^3][^4]。これを「EUの話」として処理し続けると、来年の春には経営会議で「うちの欧州法人がリコール対象になりました」という報告を受けることになりかねません。

本稿は、EU AI Officeの一次情報、欧州弁護士事務所の解説、NISTフレームワーク、McKinseyの最新サーベイを突き合わせて、日本企業がGPAIモデルを導入する現場で踏むべき実務を、机の上に置けるチェックリストの粒度まで噛み砕いたものです。「域外適用は知っているけれど、何から手を付ければよいか分からない」という担当者の方に届くつもりで書いています。

2026年8月2日、EU AI Actが本格的にあなたの会社を罰金対象にする日

EU AI Actの全体スケジュールを理解しておくと、8月2日という日付の重みが立体的に見えてきます。2024年8月1日に発効、2025年2月2日から禁止AI実践（Article 5）と「AIリテラシー」要件（Article 4）が適用開始、2025年8月2日からGPAIモデル提供者向けの義務とEU AI Officeを含むガバナンス機構が動き始めました[^5][^6]。そして2026年8月2日、Annex IIIに列挙された高リスクAIシステムへの義務、Article 50の透明性義務、そして欧州委員会の執行権限が一斉に動きます[^5][^7]。

EU AI Officeは2025年8月の段階ですでに業務を開始していますが、この1年間はGPAI提供者にとって「適応期間」と位置づけられていました[^1][^8]。文書整備、リスク評価フレームワークの構築、Code of Practiceへの署名検討といった準備期間です。2026年8月2日からは、この適応期間が終わり、欧州委員会が法的に強制力ある手段を行使できる段階に入ります。

執行権限の中身は、想像以上に多岐にわたります。EU AI Office経由で、提供者に対して文書・情報の要求、ドキュメントとモデルの評価実施、コンプライアンス措置の要請、systemic riskの低減措置の要請、市場での制限・リコール・撤回の要請、罰金の賦課が可能になります[^1][^2]。日本の感覚で「規制当局からの問い合わせ」と聞くと電話一本で終わると思いがちですが、欧州委員会のレベルでこれが動くと、要求された資料の整備に法務・ガバナンス・エンジニアリング・調達のチームが数カ月単位で巻き込まれる事態を覚悟する必要があります。

罰金の数字も整理しておきます。Article 99では、Article 5の禁止AI実践への違反で3,500万ユーロまたは前年度の世界年間売上高の7%のいずれか高い方、高リスクAIシステム要件への違反で1,500万ユーロまたは3%のいずれか高い方、不正確・誤解を招く情報提供で750万ユーロまたは1%のいずれか高い方[^3]。GPAI提供者については、Article 101で別途、1,500万ユーロまたは前年度の世界売上の3%のいずれか高い方が上限とされています[^9]。トヨタ規模の売上で7%を計算すると、桁が3つほど跳ね上がる罰金額が見えてきます。

私の見解では、罰金額そのものより怖いのは「リコール」と「市場での制限」です。罰金は会計上の引当金で吸収できますが、欧州市場での販売停止命令を受けた瞬間、その製品ラインの売上が即座に止まります。GPAIを組み込んだ製品やサービスを欧州で展開している企業にとっては、罰金よりも事業継続性のリスクのほうが本質的だと考えています。

日本企業が誤解しがちな3つのポイント

日本企業からの相談で繰り返し見る誤解が3つあります。これを最初に解いておかないと、後の議論が成立しません。

第一の誤解は、「日本本社でAIを開発・運用しているので、EU AI Actは関係ない」というものです。EU AI Actは典型的な域外適用法で、Article 2で適用範囲が明確に定められています。EU内に拠点がない事業者であっても、AIシステムまたはGPAIモデルをEU市場に投入する場合、あるいはAIシステムの出力がEU内で使用される場合は、適用対象になります[^10][^11]。「市場所在地原則」と呼ばれる考え方で、GDPR以来EUが繰り返し採用してきたロジックです。

具体的にどういうケースが該当するのか。EUの代理店経由で自社AI製品を販売している、EU居住者向けに日本語以外のUIを提供している自社SaaSがある、社内生成AIチャットボットがEU子会社の従業員に使われている、研究開発の成果物として作成したGPAIモデルをHugging Face経由でEU開発者にも提供している。これらすべてが、程度の差はあれ域外適用の射程に入ります[^11][^12]。「EU市場向けに直接売っていない」という弁明では足りないということです。

第二の誤解は、「うちはAIを使う側であって、開発者ではないから、責任は軽い」というものです。EU AI Actは「provider（提供者）」と「deployer（利用者・展開者）」を明確に区別したうえで、両方に固有の義務を課しています。GPAIモデルの場合、provider（モデルを開発しEU市場に出す側）には技術文書の整備、トレーニングデータサマリーの公開、著作権ポリシーの整備、systemic riskモデルには追加で評価・低減・通知義務が課されます[^13][^14]。一方deployerは、Article 50の透明性義務（AI生成コンテンツの明示、deepfakeのラベリング等）、高リスクAIシステムを使う場合のFundamental Rights Impact Assessment（FRIA）、ヒューマン・オーバーサイトの確保、ログの保管などを担います[^7][^15]。

ここで重要なのは、ビジネスモデルによってproviderとdeployerが入れ替わることです。OpenAIのAPIを呼んで自社プロダクトに組み込み、出力ガードレールやファインチューニングを加えてEU市場に提供すれば、当該プロダクトについてはあなたの会社がEUにとってのproviderになります。OpenAIが上流のproviderであっても、それは免罪符になりません。私のおすすめは、社内の各AIユースケースについて「自社はprovider、deployer、両方」のどれに当たるかを明示する欄を、AI利用申請フォームに追加することです。この一行があるかないかで、現場の意識が変わります。

第三の誤解は、「サプライチェーン上流で誰かが対応していれば、自社は何もしなくてよい」というものです。EU AI ActはGDPRと同様、サプライチェーン全体に責任を分散させる構造を取っています。GPAIモデルのトレーニングに使われたデータの著作権処理状況、systemic risk評価の結果、モデルの能力と限界に関する技術情報。これらをproviderからdeployerへ受け渡す情報フローが、Code of Practiceの中核に置かれています[^14][^16]。下流で使う側が「上流が何をしたか分からない」状態のままGPAIを業務に組み込めば、deployer側のドキュメンテーション義務やリスク評価義務が果たせません。結果として、deployer側が罰金や市場制限の対象になります。

私が現場で繰り返し見るのは、「ベンダーがEU AI Actに対応していると言っているから大丈夫」と回答する担当者の姿です。本当に大丈夫かどうかは、Code of Practiceに署名しているか、Model Documentation Formを開示しているか、ロードマップ上のアップデート情報を四半期ごとに供給しているか、契約書にAI Act準拠条項が明記されているか、で判断します。ベンダーの口頭説明だけでGoサインを出すと、後から自社のdeployer義務が果たせていないことに気づき、慌てる羽目になります。

GPAIモデルを「提供する側」と「使う側」の義務マッピング

ここからは具体論です。GPAIモデルに関わる主要義務を、provider視点とdeployer視点に分けて整理します。EU AI Actの本文だけ読むと法律家向けの抽象的な記述に見えますが、欧州委員会が2025年7月に公表したGuidelines for providers of general-purpose AI modelsとCode of Practiceを併せて読むと、現場で動かせる粒度に降りてきます[^13][^14][^16]。

GPAI Provider側の義務（12項目のうち主要8項目）:

1. 技術文書（Technical Documentation）の整備と維持: モデルの設計、トレーニング手法、データセット概要、評価手法、能力と限界、想定される下流ユースケース等を記録した文書を作成し、最低10年間保管する[^14][^16]。
2. トレーニングデータサマリーの公開: 著作権保護コンテンツの取り扱いを含む、十分に詳細なサマリーをEU AI Officeのフォーマットに従って公開する[^13][^17]。
3. 下流providerへの情報提供: 自社モデルを組み込んで別のAIシステムを構築する事業者向けに、必要な技術情報・能力情報を提供する[^14]。
4. EU著作権法（DSM Directive）への準拠ポリシー: テキスト・データマイニングのオプトアウト権を尊重するポリシーを整備する[^14][^16]。
5. Code of Practiceへの署名検討: 法的義務ではないが、署名すれば「コンプライアンスを示す手段」として機能する。署名済みプロバイダはAmazon、Anthropic、Google、IBM、Microsoft、OpenAI、Mistral AIなど26社[^17][^18]。
6. systemic risk指定の場合の通知義務: トレーニング計算量がthreshold（10^25 FLOPs）を超える等の基準で、systemic riskモデルとしてEU AI Officeへ通知する[^13][^15]。
7. systemic risk指定モデルの評価・低減: 安全性評価、敵対的テスト、サイバーセキュリティ保護、重大インシデント報告の義務[^13][^14]。
8. EU内代表者の指名: EU域外プロバイダはEU内に法定代表者を置く必要がある[^14]。

GPAI Deployer側の義務（高リスク・透明性ベース）:

1. Article 50の透明性義務: AIシステムが生成・操作したコンテンツであることを利用者に明示する。deepfakeはラベリング義務[^7][^19]。
2. AIリテラシー（Article 4）の確保: AIシステムを操作する従業員に対して十分な技術理解と教育を提供する[^6][^15]。
3. ヒューマン・オーバーサイト: 高リスクAIシステムを利用する場合、ヒューマン・イン・ザ・ループの設計と運用[^15]。
4. Fundamental Rights Impact Assessment（FRIA）: 公的機関や信用評価などのユースケースで義務化（Article 27）[^20]。

私の推奨は、この12項目（および関連項目）をスプレッドシートに展開し、各セルに「該当・非該当・検討中」のステータスと「社内責任部署」「対応期限」を書き込んでしまうことです。Notion等のデータベースで運用している企業も増えています。文書として残しておくと、欧州委員会から照会が来た際の即応性が桁違いに変わります。日本企業のレポーティング文化と相性のよい運用です。

特に注意したいのが、Code of Practiceへの署名問題です。Code of Practiceは2025年7月10日に最終版が公表され、Transparency、Copyright、Safety & Securityの3章構成になっています[^16][^21]。署名は任意ですが、署名すればAI Act上の義務遵守を「示す手段（compliance demonstration）」として欧州委員会に認められる、いわば実務上のパスポートです[^14][^21]。MetaやChinese AI labsのように署名を見送ったプロバイダは、独自の方法で同等のコンプライアンスを証明する負担を負います。日本企業がGPAIをEU市場で展開するなら、Code of Practiceの読み込みは避けて通れません。

罰金額の現実

罰金の数字をもう少し具体に落とし込みます。Article 99の3層構造とArticle 101のGPAI専用フレームを並べると、こうなります[^3][^4][^9]。

Article 99（一般的なAIシステム向け）:

• 禁止AI実践（Article 5）違反: 3,500万ユーロ または 世界年間売上の7%、高い方
• 高リスクAIシステム要件違反: 1,500万ユーロ または 世界年間売上の3%、高い方
• 不正確・誤解を招く情報提供: 750万ユーロ または 世界年間売上の1%、高い方

Article 101（GPAIプロバイダ向け、欧州委員会が直接執行）:

• GPAI義務違反: 1,500万ユーロ または 世界年間売上の3%、高い方

数字を抽象的に眺めるのではなく、自社の連結売上に当てはめて電卓を叩いてみてください。例えば連結売上1兆円の日本企業なら、Article 5違反の上限は700億円、GPAI義務違反の上限は300億円です。比較対象として、GDPRの最大罰金は2,000万ユーロまたは4%でしたから、AI Actはそれを上回る厳しさです。

DPIA・FRIAの観点で重要なのは、「fineが積み重なる（penalty stacking）」可能性です[^22]。GDPRのDPIA未実施で2,000万ユーロまたは4%、AI ActのFRIA未実施で1,500万ユーロまたは3%、合計すると最大で5,500万ユーロまたは7%という積み上げが理論上ありえます。実務上は重複して同じ違反で別個の罰金を受けることは稀ですが、別個の違反として認定された場合は両方の罰金がかかります。これを「両罰規定」と呼ぶ法務担当者もいます。

過去の類似事例として、GDPRの最大級罰金は2023年のMeta（12億ユーロ）、2021年のAmazon（7億4,600万ユーロ）です。EU AI Actはまだ施行直後ですが、欧州委員会は「dissuasive（抑止的）」な罰金を明示的に求められており、施行初年度から「みせしめ」になる事案が出る可能性は十分にあります[^3][^23]。私の見立てでは、最初の1〜2年で大手プロバイダ向けに3桁ミリオンユーロ級の罰金事案が1〜2件出る、という観測が業界では主流です。

罰金以外のコストも見積もるべきです。市場制限・リコール命令を受けた場合、対象製品の欧州売上が瞬時にゼロになり、回収・代替提供のコスト、レピュテーションダメージ、株主からの説明責任、顧客対応の人件費が連鎖的に発生します。私見では、罰金よりこれらの「波及コスト」のほうが実損は大きい。経営会議で罰金額だけ並べると、議論の焦点がずれます。波及コストの試算も合わせて提示するのが、ガバナンス担当者の腕の見せどころです。

2026年8月までにやるべき4つの社内整備

ここまで読んで「何から手を付けるか」が論点になります。私の推奨は、優先順位の高いものから4ステップで進める設計です。

ステップ1: DPIA（データ保護影響評価）の対象範囲拡大

すでにGDPR対応でDPIAを運用している企業は、まず「AIシステムを伴う処理」を対象範囲に含める棚卸しから始めてください。CNIL（フランス・データ保護当局）は、EU AI Actの高リスクAIシステムの開発・展開に個人データ処理が伴う場合、DPIAの実施は原則必要との立場を示しています[^22][^24]。Foundation modelやGPAIシステムについても、用途を網羅的に特定できないという理由で、開発時点でDPIAが必要と整理されています。

DPIAをFRIAへ「拡張」する手も有効です。AI ActのRecital 96は、すでにDPIAが実施されている場合、FRIAはその補完として位置づけてよいと明示しています[^20][^22]。GDPRのDPIAテンプレートに、AI特有のフィールド（モデルの学習データ、バイアステスト結果、ヒューマン・オーバーサイト設計、利用者教育の実施状況、出力の再特定リスク）を追加し、ひとつの文書で両方をカバーする運用が現実的です。NISTのAI Risk Management Framework（AI RMF）のGovern・Map・Measure・Manageの4機能を、DPIAの章立てに織り込むと一石二鳥になります[^25][^26]。

ステップ2: GPAIモデルベンダーの監査チェック

自社でGPAIをデプロイしている場合、上流ベンダーの対応状況を文書ベースで監査します。チェック項目はシンプルで、Code of Practiceに署名しているか、Model Documentation Formを公開しているか、トレーニングデータサマリーが入手できるか、systemic risk評価のサマリーが提供されているか、契約書にAI Act準拠条項があるか、四半期ごとのアップデート情報が約束されているか。この6点を満たさないベンダーは、deployer側のドキュメンテーション義務が果たせなくなるリスクが高いと判断します。

McKinseyの2026年AI Trust Maturity Surveyでは、回答企業の約3分の2が「セキュリティ・リスク懸念」をエージェンティックAIスケール阻害要因の1位に挙げており、「規制不確実性」や「技術的限界」を上回りました[^27]。さらに「不正確性」を高関連リスクと答えた企業は74%、「サイバーセキュリティ」は72%。企業現場でも、GPAIの精度問題と規制対応が同じ俎上で議論される状況になっています。ベンダー監査をサボると、後追いで「うちのモデルは何を学習したか分からない」という回答を法務に持ち込むことになります。

ステップ3: Code of Practiceの自社該当性検討

自社がGPAIプロバイダ側に立つ場合、Code of Practiceへの署名を真剣に検討する段階です。Anthropic、OpenAI、Google、Microsoft、Amazon、IBM、Mistral AIをはじめ26社が署名済みで、欧州委員会から「コンプライアンスを示す手段」として認められます[^17][^18]。署名すれば3章構成（Transparency、Copyright、Safety & Security）の枠組みに沿って整備すればよく、独自フレームワークを構築する負担より圧倒的に軽い。

ただし、署名すれば年次レポートの提出、systemic riskモデルの場合は安全性報告書の公表、Model Documentation Formの維持等、運用負荷が伴います。私見では、自社モデルをEUで継続提供する戦略があるなら署名一択、あくまでEU向けは限定的・スポット的なら独自対応で乗り切る選択肢もあり得る、という整理が現実的です。署名・非署名の選択は、経営戦略マターとして経営会議に上げるべき論点です。

ステップ4: 内部教育（AIリテラシー）

Article 4はAIリテラシー要件を定めており、「AIシステムを操作する者」全員に対し、十分な技術理解、リスク認識、法令遵守の教育を実施する義務があります[^6][^15]。これは2025年2月から適用済みですが、2026年8月以降は執行権限の対象になります。形式的なeラーニングだけでは足りず、職務内容に応じた具体的な教育が必要です。営業、法務、エンジニア、カスタマーサポート、それぞれが触るAIユースケースに応じてカリキュラムを設計する必要があります。

私のおすすめは、四半期ごとのリフレッシュ教育、新規AIユースケース導入時のオンボーディング、年1回の全社理解度テストの3点セット。これに加えて、AIリテラシー責任者を経営直下に置いて、教育記録を統一管理することです。EU AI Officeから「貴社の従業員教育記録を提出せよ」という照会が来たときに、即座に出せる状態を作ります。

TIMEWELLが提供するZEROCKは、AWS国内サーバー上でGraphRAGとデータ主権を確保する設計思想で、社内のAIユースケースに応じたプロンプトライブラリ、利用ログ、出典トレースを標準で備えています。エンタープライズAIガバナンスの伴走支援はWARPが担当しており、EU AI Act対応を含むグローバル規制マッピングからガバナンス委員会の運用設計まで一気通貫でサポートします。チェックリスト4ステップを「一人のガバナンス担当者が孤軍奮闘で進める」状況になっている企業は、いちど外部の知見を入れたほうが結果的に総コストが下がります。

ZEROCK・WARPで実装する日本企業向けAIガバナンス体制

ここまで整理してきた4ステップを、紙の規程と人手のレビューだけで回し続けるのは、現実的に困難です。EU AI Actが要求する「文書化」「ログ保管」「リスク評価」「教育記録」「ベンダー監査」は、すべて「証跡」の世界の話です。証跡を残す仕組みがないところに義務だけが先行すると、現場が疲弊します。

TIMEWELLのZEROCKは、エンタープライズAIに必要な3つの基盤を統合しています。第一に、AWS東京リージョンに閉じた環境でモデルを稼働させるデータ主権基盤。EU GDPRと国内個人情報保護法、AI Actの三層を満たす配置です。第二に、GraphRAGによる出典トレースとプロンプトライブラリによるナレッジコントロール。AI Actが要求する「出力の説明可能性」「組織横断のナレッジ管理」「利用者教育」を、システムレベルで実装します。第三に、利用ログの完全記録と監査対応の自動化。欧州委員会から照会が来ても、対応に必要な文書が即座に出せる状態を、運用負担をかけずに維持できます。

AIガバナンス戦略の伴走はWARPが担当しています。WARPは月次更新型のAIコンサルティングで、元大手DX・データ戦略の専門家がEU AI Act・国内AI事業者ガイドライン・米国NIST AI RMFといった国際規制マッピング、ガバナンス委員会の設計、CTOやCFOへの説明資料の作成までを支援します。日本企業特有の「グローバル本社のガバナンス整備が遅れている」「現地法人ごとに対応がバラバラ」という構造課題に、現場で対応してきた知見を持ち込みます。

完璧な体制を初日から作る必要はありません。私の経験では、まず3つのケース（EU子会社経由、EU市場直販、EU向けGPAI利用）の自社該当性を整理し、上位リスクの3〜5件のユースケースについてDPIAとFRIAを回す。これだけで、半年以内に経営会議で説明可能な水準の体制が立ち上がります。残りの細部は、四半期ごとのレビュー、年1回の規程改定で更新していけばよい。地味ですが、ここを真面目にやった企業から、EU市場での競争優位が広がっていきます。

EU AI Actは、グローバル展開する日本企業にとって「対応コストの増加」ではなく、「ガバナンス品質を競争優位に変える機会」です。McKinseyのサーベイが示すように、AI trustは経営の中核議題になっています[^27]。法令遵守を「最低ライン」と捉え、その上で出力の信頼性、説明可能性、データ主権、教育水準で差をつけられる企業が、これから5年の市場を取ります。2026年8月2日は、その分かれ目を可視化する日です。

自社のEU AI Act対応の整理はZEROCKのオンライン相談で30分の無料相談を、AIガバナンス戦略全般はWARPで承っています。エンタープライズAIガバナンス全般については国内AI事業者ガイドライン対応の実務、監査対応についてはSOC 2 / ISO 27001 / ISO 42001 監査コントロール、エンジニアリング現場のコンプライアンスはClaude Code SOC2/ISO27001対応ガイドも併せてご覧ください。

参考文献

[^1]: EU Artificial Intelligence Act「Enforcement of Chapter V under the EU AI Act」 https://artificialintelligenceact.eu/enforcement-of-chapter-v-under-the-eu-ai-act/ [^2]: AI Act Service Desk（European Commission）「Article 88: Enforcement of obligations of providers of general-purpose AI models」 https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-88 [^3]: EU Artificial Intelligence Act「Article 99: Penalties」 https://artificialintelligenceact.eu/article/99/ [^4]: Holistic AI「Penalties of the EU AI Act: The High Cost of Non-Compliance」2025年 https://www.holisticai.com/blog/penalties-of-the-eu-ai-act [^5]: EU Artificial Intelligence Act「Implementation Timeline」 https://artificialintelligenceact.eu/implementation-timeline/ [^6]: DLA Piper「Latest wave of obligations under the EU AI Act take effect: Key considerations」2025年8月 https://www.dlapiper.com/en-us/insights/publications/2025/08/latest-wave-of-obligations-under-the-eu-ai-act-take-effect [^7]: EU Artificial Intelligence Act「Article 50: Transparency Obligations for Providers and Deployers of Certain AI Systems」 https://artificialintelligenceact.eu/article/50/ [^8]: Kennedys Law「The EU AI Act implementation timeline: understanding the next deadline for compliance」2026年 https://www.kennedyslaw.com/en/thought-leadership/article/2026/the-eu-ai-act-implementation-timeline-understanding-the-next-deadline-for-compliance/ [^9]: EU Artificial Intelligence Act「Article 101: Fines for Providers of General-Purpose AI Models」 https://artificialintelligenceact.eu/article/101/ [^10]: National Law Review「Extraterritorial Scope of the EU AI Act」2026年 https://natlawreview.com/article/extraterritorial-scope-eu-ai-act [^11]: Morgan Lewis「The EU AI Act Is Here—With Extraterritorial Reach」2024年7月 https://www.morganlewis.com/pubs/2024/07/the-eu-artificial-intelligence-act-is-here-with-extraterritorial-reach [^12]: Afriwise「Extraterritorial Application of the EU AI Act: What Non-EU Companies Should Know」 https://www.afriwise.com/blog/extraterritorial-application-of-the-eu-ai-act-what-non-eu-companies-should-know [^13]: European Commission「Guidelines for providers of general-purpose AI models」 https://digital-strategy.ec.europa.eu/en/policies/guidelines-gpai-providers [^14]: Latham & Watkins「EU AI Act: GPAI Model Obligations in Force and Final GPAI Code of Practice in Place」2025年 https://www.lw.com/en/insights/eu-ai-act-gpai-model-obligations-in-force-and-final-gpai-code-of-practice-in-place [^15]: EU Artificial Intelligence Act「Article 55: Obligations for Providers of General-Purpose AI Models with Systemic Risk」 https://artificialintelligenceact.eu/article/55/ [^16]: European Commission「The General-Purpose AI Code of Practice」 https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai [^17]: EU AI Act Code of Practice「Final Version」2025年7月10日 https://code-of-practice.ai/ [^18]: EU AI Act Newsletter #83「GPAI Rules Now Apply」 https://artificialintelligenceact.substack.com/p/the-eu-ai-act-newsletter-83-gpai [^19]: Herbert Smith Freehills Kramer「Transparency obligations for AI-generated content under the EU AI Act: From principle to practice」2026年3月 https://www.hsfkramer.com/notes/ip/2026-03/transparency-obligations-for-ai-generated-content-under-the-eu-ai-act-from-principle-to-practice [^20]: EU Artificial Intelligence Act「Article 27: Fundamental Rights Impact Assessment for High-Risk AI Systems」 https://artificialintelligenceact.eu/article/27/ [^21]: EU Artificial Intelligence Act「Overview of the Code of Practice」 https://artificialintelligenceact.eu/code-of-practice-overview/ [^22]: Paperclipped「DSGVO AI Agents Compliance 2026: DPIA Now Mandatory」 https://www.paperclipped.de/en/blog/dsgvo-ai-agents-compliance-2026/ [^23]: White & Case「Long awaited EU AI Act becomes law after publication in the EU's Official Journal」 https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal [^24]: CNIL「Carrying out a data protection impact assessment if necessary」 https://www.cnil.fr/en/carrying-out-protection-impact-assessment-if-necessary [^25]: NIST「AI Risk Management Framework」 https://www.nist.gov/itl/ai-risk-management-framework [^26]: NIST「Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile（NIST.AI.600-1）」2024年7月 https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-generative-artificial-intelligence [^27]: McKinsey「State of AI trust in 2026: Shifting to the agentic era」2026年 https://www.mckinsey.com/capabilities/tech-and-ai/our-insights/tech-forward/state-of-ai-trust-in-2026-shifting-to-the-agentic-era