こんにちは、株式会社TIMEWELLの濱本隆太です。
「EUがAI規制を緩めたらしい。うちはしばらく様子見でいい」。最近、AI導入を進める日本企業の方からこの種の声をよく聞きます。2026年5月7日、EU理事会と欧州議会がAI Actの「簡素化」に暫定合意したというニュースが流れ、高リスクAIの施行が先送りされたことが大きく報じられたためです[^1]。ただ、合意文の中身を読むと「緩めた」という一言で片づけるのは危険だと感じました。延ばされたものと、そのまま残ったもの、むしろ前倒しされたものが混在しているからです。
この記事では、Digital Omnibusと呼ばれる今回の改正パッケージで何が変わるのかを一次情報ベースで整理し、生まれた猶予期間を日本企業がどう使うべきかを、ISO/IEC 42001を軸にした実装ステップとして提案します。結論を先に言えば、私は「延期は朗報ではなく、準備の締め切りが少し動いただけ」と捉えています。
Digital Omnibusで動いたもの、動かなかったもの
まず押さえておきたいのは、今回の合意があくまで暫定的な政治合意だという点です。正式採択とEU官報への掲載を経て初めて法的拘束力を持ちます。法律事務所Gibson Dunnの解説では、正式採択は2026年8月2日より前に見込まれるとされており、それまで内容が微修正される可能性は残ります[^2]。確定情報として扱うのは早い、というのが筆者の立場です。
そのうえで、報道の中心になったのが高リスクAIの施行延期です。Annex IIIに分類される独立型の高リスクAIシステムは、当初2026年8月2日だった適用開始が2027年12月2日へ、規制対象製品に組み込まれるAnnex Iの製品組込み型は2027年8月2日から2028年8月2日へと、それぞれ後ろ倒しになる見込みです[^2]。1年から1年半の猶予が生まれた計算になります。延期の理由は、施行を支えるはずの技術標準や支援ツールの整備が遅れているためで、ルールだけ先に走らせても現場が対応できないという現実的な判断でした[^3]。
延期の一方で、動かなかったもの、むしろ厳しくなったものがあります。生成AIコンテンツの透明性を定めるArticle 50は、原則として当初の2026年8月2日というスケジュールに据え置かれました。市場投入済みのシステムには2026年12月2日までの4か月の猶予が与えられますが、それ以降に投入されるものは即時適用です[^4]。さらに、非合意の性的画像の生成やCSAM(児童性的虐待コンテンツ)に関する新たな禁止規定がArticle 5に追加されています[^2]。緩和どころか、社会的に許されない用途への網は強化されました。
罰金の枠組みも基本的に維持されています。禁止行為に対する最大3,500万ユーロまたは全世界年間売上高の7%という上限は、今回の合意で変更されていません[^5]。「簡素化」という看板から罰則の緩和を連想すると、足元をすくわれます。
AIセキュリティ研修を、本気で
OWASP・NIST・ISO 42001・経産省ガイドライン全準拠の2日間集中講座。経営層と現場で分けて受講できます。
「簡素化」の本体はSME配慮と手続き軽減
では何が「簡素化」なのか。今回のパッケージの本体は、罰則の緩和ではなく、中小企業と手続きの負担軽減にあると私は読んでいます。
合意では、SME(中小企業)とSMC(小規模ミッドキャップ企業)に正式な定義が与えられ、いくつかの配慮が導入される見込みです。具体的には、簡素化された技術文書、企業規模に見合った品質マネジメントシステム要件、罰金上限の引き下げ、そしてAI規制サンドボックスへの優先アクセスです[^5]。罰金の絶対額は変わらなくても、体力の小さい事業者には別の物差しが用意される、という設計になっています。
手続き面では、中央データベースへの登録負担も軽くなります。Annex VIIIのSection B第7項と第9項が削除され、登録義務そのものは残しつつ提出すべき情報を絞り込む形です[^5]。規制サンドボックスについては、国レベルのサンドボックス整備期限が2027年8月2日へ1年延ばされる一方、EUレベルのサンドボックスが新設され、スタートアップを含むSMEや小規模ミッドキャップに優先アクセスが認められます[^5]。
個人的に気になったのは、AIリテラシー義務(Article 4)の表現が和らげられた点です。これまでは「十分なリテラシーを確保する」という結果志向の義務でしたが、「リテラシーの育成を支援する措置をとる」という、より柔らかい言い回しに変わりました[^2]。義務が軽くなったように見えますが、私はむしろ逆だと考えています。法律が「確保しろ」と言わなくなったぶん、どこまでやれば十分かを自社で判断し、説明できる体制が問われるようになる。外から与えられた基準がなくなると、内側に基準を持つしかありません。
ここまでの変更点を、当初予定と今回の合意で並べて整理しておきます。
| 項目 | 当初予定 | Digital Omnibus後(暫定) |
|---|---|---|
| Annex III 独立型 高リスクAI | 2026年8月2日 | 2027年12月2日 |
| Annex I 製品組込み型 高リスクAI | 2027年8月2日 | 2028年8月2日 |
| Article 50 透明性(ウォーターマーク等) | 2026年8月2日 | 据え置き(投入済みは2026年12月2日まで猶予) |
| 規制サンドボックス(国レベル) | 2026年8月2日 | 2027年8月2日 |
| 禁止行為の罰金上限 | 3,500万ユーロ/売上7% | 変更なし |
| SME/SMC配慮 | 限定的 | 文書簡素化・罰金引き下げ・優先アクセス追加 |
出典は前掲のGibson DunnおよびMishcon de Reyaの解説に基づきます[^2][^5]。表を見ると、延びたのは主に高リスクの「重い」義務であり、透明性や禁止といった「社会的なライン」は据え置かれていることがわかります。延期に安心するのではなく、どの義務が自社にかかるのかを切り分ける作業のほうが先です。
延期された猶予期間こそ、ガバナンスを仕込む時間
ここからが本題です。施行が延びたという事実を、私は「何もしなくていい期間が増えた」とは読みません。むしろ「ガバナンスの土台を整えるための、確保された準備期間」だと捉えています。
理由は、世界全体のAIガバナンスが追いついていないという現実にあります。McKinseyが2026年に約500組織を対象に実施した調査では、戦略・ガバナンス・エージェント型AIの統制において成熟度レベル3以上に達している組織は、わずか30%程度にとどまりました[^6]。エージェント型AIをどこかの業務で本格運用している組織は23%、試験的に着手した組織を含めても62%という段階で、技術の普及スピードに対して監督体制が追いついていない構図が浮かびます[^6]。AIが「使うもの」から「自律的に動くもの」へと変わるエージェントの時代に入りつつある今、ガバナンスの遅れはそのまま事故の確率に直結します。
この遅れは規制側も認識しています。米国のNISTは2026年4月7日、重要インフラにおける信頼できるAIのためのAI RMFプロファイルのコンセプトノートを公表しました[^7]。エネルギーや水道、交通、産業制御システムといった、止まると社会が止まる領域で、AIをどう信頼できる形で運用するかを実務に落とし込む試みです。法的拘束力のない任意のガイドラインではありますが、規制当局がそろって「枠組みを運用に変換する」方向へ動いているのは見逃せません。EUが施行を延ばしている間も、世界の標準づくりは止まっていないのです。
延期を「待ち」に使う企業と、「仕込み」に使う企業。施行日が来たとき、この差は埋めようのないものになります。AIマネジメントシステムは、買ってきて設置すれば動くものではなく、リスクの棚卸しからデータの管理、人的監督の手順づくりまで、組織に根づくまで時間がかかるからです。私の見立てでは、いま土台を作り始めた企業がちょうど施行に間に合う、くらいのスケジュール感です。
AIガバナンスを「いつかやる」から「いま始める」に変えるには、自社のAI利用がどこにどんなリスクを抱えているかの可視化が出発点になります。ZEROCKは、社内に散らばるAI活用とナレッジを統制下に置く設計思想で、ガバナンスの土台づくりを支援しています。何から手をつけるべきか迷う段階での個別相談も承っています。
ISO/IEC 42001を軸にした実装ステップ
では具体的に何から始めるか。私が日本企業に勧めているのは、ISO/IEC 42001を実装の背骨に据えることです。
ISO/IEC 42001は2023年12月に発行された、世界初のAIマネジメントシステム(AIMS)の国際規格です[^8]。組織がAIマネジメントシステムを確立し、実装し、維持し、継続的に改善するための要求事項を定めており、Annex Aには38のコントロールが整理されています。情報セキュリティのISO/IEC 27001と同じマネジメントシステムの構造を持つため、すでに27001を運用している企業なら、その仕組みの上に積み増す形で導入しやすいのが利点です。
なぜEU AI Act対策にISO/IEC 42001なのか。両者が「何を達成すべきか」と「どう運用し証拠を残すか」という関係で噛み合うからです。ISACAの解説では、AI ActのArticle 9(リスク管理)はリスク受容基準や役割分担を定める方法論に、Article 10(データガバナンス)はデータライフサイクルの方針と来歴管理に、Article 11とAnnex IV(技術文書)はバージョン管理されたモデルカードと文書管理手順に、Article 14(人的監督)は監督役割と運用担当者の訓練プログラムに、それぞれ対応づけられると整理されています[^9]。AI Actが要求する文書や手順の多くは、ISO/IEC 42001を運用していれば自然と生成される性質のものなのです。
ただし注意が必要です。ISO/IEC 42001はAI Actの整合規格ではないため、認証を取れば適合が推定される、という効果は働きません[^9]。あくまで「達成を助ける強固な土台」であって、自動的なパスポートではない[^10]。ここを誤解すると、認証を取って安心してしまいます。実装の現場では「ISO/IEC 42001で高リスク文書要件の7割程度はカバーできる」という目安が語られることもありますが、私はこの数字を厳密な根拠のある値というより、運用感覚の目安として受け止めるべきだと考えています。残りの3割、つまり整合規格や個別法令が求める固有の部分こそ、自社で埋める必要があります。
実装の順序として、私が現実的だと思うステップを挙げます。
- AI利用の棚卸しとリスク分類。社内で使われているAIシステムを洗い出し、Annex IIIの高リスクに該当するものを特定する
- ガバナンス体制の設計。AIに関する方針、役割、責任分担を文書化し、経営層のレビュー体制を組み込む
- データガバナンスとログ管理。学習・推論データの来歴と品質、ログの保持方針を整える
- 技術文書とモデルカードの整備。Annex IVが求める設計仕様や試験方法を残せる文書管理手順を作る
- 人的監督と教育。オーバーライドの手順、運用担当者の訓練、AIリテラシーの育成措置を回す
- 継続的改善のサイクル化。監査と是正をマネジメントシステムとして定着させる
このリストは、そのままISO/IEC 42001のPDCAサイクルに対応します。延期で生まれた1年あまりの猶予は、この6ステップを一巡させるのにちょうどよい長さです。AIマネジメントシステムの基礎をもう少し知りたい方は、ISO/IEC 42001(AIMS)入門もあわせて読んでみてください。Digital Omnibusで何が延期され何が前倒しになったかの全体像は、Digital Omnibusの裏側で詳しく追っています。
日本企業が陥りやすい三つの誤読
最後に、今回の合意をめぐって日本企業が陥りやすい誤読を三つ挙げておきます。これは私が相談を受ける中で実際に何度も出会った勘違いです。
一つ目は「延期されたから当面は無関係」という誤読です。AI Actは域外適用される法律で、EU市場にAIシステムやその出力を提供する日本企業も対象になり得ます。透明性義務や禁止規定は据え置きの部分があり、延期されたのは高リスクの重い義務に限られます。自社のどの製品がどの義務にかかるかを先に切り分けないと、延期が自社に効くのかどうかすら判断できません。
二つ目は「ISO/IEC 42001を取れば完了」という誤読です。先に述べたとおり、これは整合規格ではなく、適合の自動推定は働きません。認証はゴールではなく、AI Actが求める証拠を継続的に生み出す仕組みを手に入れる手段です。取った後に運用が止まれば、文書は古びて意味を失います。
三つ目は「ガバナンスはコストでしかない」という誤読です。McKinseyの調査が示すように、ガバナンスが成熟している組織はまだ少数派です[^6]。逆に言えば、いま土台を整えれば差別化になります。AIを安心して任せられる体制は、顧客や取引先への信頼の証明になり、エージェント型AIを攻めに使える前提条件にもなります。守りのための投資が、攻めの土台に変わるのです。
延期というニュースの本質は、締め切りが動いたことではなく、準備に使える時間が確保されたことだと、私は受け止めています。その時間をどう使うかで、施行日に立っている場所がまるで変わります。
AIガバナンスを実装に落とすために
EU AI Actの延期は、日本企業にとって「準備の猶予」であって「免除」ではありません。ISO/IEC 42001を背骨にしながら、AI利用の棚卸し、データとログの管理、人的監督の手順化を、生まれた1年あまりの間に一巡させておく。その積み重ねが、施行日の負荷を決めます。
とはいえ、社内に散らばるAI活用を可視化し、ナレッジを統制下に置く作業は、ツールと運用設計の両輪が要ります。ZEROCKは、エンタープライズAIのガバナンスを国内サーバー上で実装し、ナレッジコントロールを通じて「誰が何にAIを使い、どんな情報が流れているか」を見える化する設計です。AIガバナンスをどこから始めるべきか整理したい段階で、お役に立てます。
脚注
[^1]: Artificial Intelligence: Council and Parliament agree to simplify and streamline rules — Council of the EU (Consilium) — 2026-05-07 — https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
[^2]: EU AI Act Omnibus Agreement – Postponed High-Risk Deadlines and Other Key Changes — Gibson Dunn — 2026-05 — https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/
[^3]: EU AI Act Update: Timeline Relief, Targeted Simplification, and New Prohibitions — Covington (Inside Privacy) — 2026-05 — https://www.insideprivacy.com/artificial-intelligence/eu-ai-act-update-timeline-relief-targeted-simplification-and-new-prohibitions/
[^4]: EU AI Act omnibus: what changed on 7 May 2026 and what it means — VerifyWise — 2026-05 — https://verifywise.ai/blog/eu-ai-act-omnibus-what-changed
[^5]: EU AI Act simplified? Unpacking the AI Omnibus Agreement of May 2026 — Mishcon de Reya — 2026-05 — https://www.mishcon.com/news/eu-ai-act-simplified-unpacking-the-ai-omnibus-agreement-of-may-2026
[^6]: State of AI trust in 2026: Shifting to the agentic era — McKinsey & Company — 2026 — https://www.mckinsey.com/capabilities/tech-and-ai/our-insights/tech-forward/state-of-ai-trust-in-2026-shifting-to-the-agentic-era
[^7]: Concept Note: AI RMF Profile on Trustworthy AI in Critical Infrastructure — NIST — 2026-04-07 — https://www.nist.gov/programs-projects/concept-note-ai-rmf-profile-trustworthy-ai-critical-infrastructure
[^8]: ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system — ISO (International Organization for Standardization) — 2023-12 — https://www.iso.org/standard/42001
[^9]: ISO/IEC 42001 and EU AI Act: A Practical Pairing for AI Governance — ISACA — 2025 — https://www.isaca.org/resources/news-and-trends/industry-news/2025/isoiec-42001-and-eu-ai-act-a-practical-pairing-for-ai-governance
[^10]: A Practical Guide to the EU AI Act and How ISO/IEC 42001 Can Help You Achieve Compliance — SafeShield — 2025 — https://www.safeshield.cloud/a-practical-guide-to-the-eu-ai-act-and-how-iso-iec-42001-can-help-you-achieve-compliance