株式会社TIMEWELLの濱本 隆太です。
EU AI Act が2026年8月の本格適用を控えてヨーロッパが緊張している間に、英国は 「AI法を作らない」 という選択を、King's Speech 2026 ではっきりと示しました。単独の AI Bill は議題に上がらず、代わりに登場したのが「Regulating for Growth Bill」という、規制を作るどころか 規制を緩めるための法案 です。
同じヨーロッパで、ドーバー海峡を挟んでこれほど違う道を選ぶのか——。私は2025年からの英国の動きを追っていて、何度かそう感じる場面がありました。EU はリスクベースの包括法で、英国はサンドボックスとセクター規制の組み合わせ。一見すると英国は楽な道に見えますが、日本企業にとっては「楽な道だから安心」とはなりません。
DUA Act 第80条、AI Growth Lab、AI Security Institute——3つのピースを並べて、英国アプローチの本質と、日本企業の向き合い方を整理します。
要約
- DUA Act 第80条:2026年2月5日施行。UK GDPR Article 22 を Articles 22A-D に置換し、ADM を「禁止→許容+ガードレール」へ反転
- AI Growth Lab:2025年10月発表のクロスエコノミー・サンドボックス。既存規制を一時緩和してAI実証実験可能
- Regulating for Growth Bill:2026 King's Speech で発表。単独 AI Bill は見送り、既存規制機関の横断調整に転換
- AI Safety Institute → AI Security Institute に rebrand。「Safety」から「Growth/Security」への言語シフト
- 日本企業の落とし穴:英国規制が緩いからといって EU AI Act の域外適用は逃れられない
DUA Act 第80条 ─ 「禁止」から「許容」への180度反転
英国の AI 規制を理解するために、まず押さえるべきは データ保護法の改正 です。AI 規制という看板を掲げていなくても、AI の運用を実質的に規定しているのは UK GDPR の改正だからです。
Data (Use and Access) Act 2025(DUA Act 2025)は2025年7月に成立し、第80条が 2026年2月5日に施行 されました。この第80条が何をしたかというと、UK GDPR Article 22 を完全に置き換え、新たな Articles 22A-D に差し替えたのです[^1]。
旧 Article 22 は、EU GDPR Article 22 とほぼ同じ建付けで、「自動意思決定からの保護」を中核に据えていました。
- データ主体は、自動意思決定のみによる判断の対象とならない権利を持つ
- 例外は3つ:契約上の必要性/同意/法令に基づく許可
- 特別カテゴリ個人データに基づく ADM は原則禁止
要するに 「自動意思決定は原則禁止、例外的に許容」 という構造でした。
新 Articles 22A-D は、この構造を 180度ひっくり返した ものです。
- ADM は 原則として許容
- ただし4つのガードレール(決定情報の提供/反論の権利/人間介入の要求/決定への異議申立)が必須
- 特別カテゴリ個人データに基づく ADM のみ、引き続き原則禁止
英国政府は、これを「ADM を可能にしつつ、データ主体の権利を保護する現代的なバランス」と説明しています。一方で IAPP や Herbert Smith Freehills といった主要法律事務所は、「実質的には ADM の自由化」 と評価しています[^2]。私の読み方も後者寄りです。
特に重要なのが、罰則の規模が UK GDPR 本体のまま で残されたこと。年商の4%または2,000万ポンドの大きい方——これが ADM のガードレール違反にも適用されます。「規制を緩めた」ように見えて、緩めた範囲を逸脱したときの罰則は GDPR フルパッケージ という、典型的な英国流の二段階設計です。
合わせて読みたい:EU側の動向は EU AI Act と Digital Omnibus 簡素化パッケージ でまとめています。EU が高リスクAI規制を一時停止する流れと、英国が ADM を解禁する流れは、同じ「規制緩和の波」が別の道で出現している と読めます。
AIセキュリティ研修を、本気で
OWASP・NIST・ISO 42001・経産省ガイドライン全準拠の2日間集中講座。経営層と現場で分けて受講できます。
AI Growth Lab ─ 規制を一時緩和してAIを試させる仕組み
DUA Act 第80条と並んで、英国の AI 戦略の核心になっているのが AI Growth Lab です。
2025年10月21日、Times Tech Summit で Liz Kendall 技術相が発表したこの枠組みは、「クロスエコノミー・サンドボックス」 という新しい設計を採用しています[^3]。従来のサンドボックス(金融分野の FCA Regulatory Sandbox、医療分野の MHRA Innovation Office)は単一規制機関の所管内で運用されてきましたが、AI Growth Lab は経済全域を横断します。
仕組みは次の通りです。
- AI プロダクト・サービスを展開したい企業が、既存規制と衝突する場合に申請
- lead regulator(主管規制機関)が指定され、複数セクターにまたがる場合は regulatory consortium(規制機関合同体)が形成される
- 一時的に規制適用を緩和し、real-world setting でテスト
- 成功した実証は permanent regulatory reform(恒久的な規制改革)に繋がる
「実証して、効果が出れば法律のほうを変える」という、規制機関側の自己改革を組み込んだ設計です。私はこの構造を、米国 Utah の Regulatory Mitigation Agreement と並べて、「規制機関が学習する制度」の2大例 だと捉えています。
ただしレッドラインがあります。消費者保護、安全規定、基本的権利 に関わる規制は緩和の対象外。これは英国政府が EU や WTO との関係を考慮した結果で、「ライト・タッチでも譲れない領域」を明示する重要なメッセージになっています。
ターゲット業界は5つ。
| 業界 | 想定される AI 利用 |
|---|---|
| 医療 | 診断支援AI、薬剤推奨、リモートモニタリング |
| 住宅 | テナント審査AI、賃料予測 |
| 専門サービス | 法務AI、会計AI、リーガルテック |
| 輸送 | 自動運転、物流最適化 |
| 先端製造 | 生産ライン最適化、品質検査AI |
日本企業の視点から見ると、英国市場進出の実証実験基盤 として活用余地が大きい仕組みです。たとえば日本のリーガルテック企業が、英国の Solicitors Regulation Authority(SRA)の規制と抵触する可能性のある AI サービスをローンチしたい場合、AI Growth Lab に申請すれば lead regulator として SRA が指定され、時限的な規制緩和の下で実証実験できます。
Call for Evidence は2026年1月2日に締め切られ、現在は政府が回答を整理して制度設計を詰めている段階です。本格稼働は2026年後半が見込まれています。
Regulating for Growth Bill ─ AI Billを作らない選択
2026年5月の King's Speech で、英国政府が打ち出した正式な法案リストには AI Bill が含まれていません[^4]。代わりに登場したのが「Regulating for Growth Bill」という、AI規制と一見無関係な名前の法案です。
中身を見ると、これがまさに英国の AI 規制の本体です。
- 既存の sectoral regulators(Ofcom, CMA, ICO, FCA, MHRA)の AI 監督権限を法定で確認
- これらの regulators の 横断的調整機構 を新設
- AI Security Institute(旧 AI Safety Institute)に statutory backing(法定根拠)を付与
- 単一の AI super-regulator は 意図的に作らない
統合的な AI super-regulator を作らない選択は、EU AI Act の AI Office、フランスの CNIL、ドイツの BfDI などとの対比で非常に対照的です。私はこれを「英国流の規制ポートフォリオ戦略」と呼んでいます。AIという技術が変化し続ける以上、特定の領域に縛られない柔軟性が必要だ、という判断です。
そして語彙の問題。AI Safety Institute から AI Security Institute への rebrand は、単なる名前変更ではありません。バイデン政権下の米国 AISI(AI Safety Institute)との連携軸が、トランプ政権の AI Safety 軽視(あるいは敵対的姿勢)を受けて、「Safety」という語自体を使いにくくなった 結果と解釈できます。
「Security」は中立的な語彙で、Trump 政権の AI 政策とも齟齬がない。同時に「Growth」というキーワードを Regulating for Growth Bill の名称に組み込むことで、ライト・タッチ路線との一貫性を確保する。政治的状況に応じた語彙の戦略的設計 が、英国流ガバナンスの一つの特徴だと私は見ています。
「英国規制が緩い」は罠 ─ EU AI Act 域外適用の現実
ここまで読んで「英国市場は楽そうだ」と感じた読者の方に、最大の罠 をお伝えしておきます。英国規制が緩いからといって、EU AI Act の域外適用は逃れられません。
EU AI Act は明示的に 域外適用 を規定しています。EU 市場に AI 製品・サービスを提供する事業者は、本社の所在地にかかわらず適用対象です[^5]。英国に本拠を置いていても、EU 加盟国の顧客に AI を販売・提供すれば、フルパッケージの AI Act 準拠が必要になります。
英国企業の実務感覚を確認したところ、ロンドンの大手金融機関のAIガバナンス責任者から、こんな話を聞きました。
「英国規制は柔軟になったが、フランクフルトやアムステルダムの拠点があれば、結局 EU AI Act のフル準拠を全社統一基準にせざるを得ない。英国だけ別仕様にすると運用が破綻する」
つまり、英国規制とEU AI Act の 二重コンプライアンス ではなく、EU AI Act 準拠で全社統一する のが現実解になっているのです。これは日本企業にも同じことが言えます。EU 市場に AI を出す可能性が少しでもあれば、英国向けプロダクトも EU AI Act 仕様にしておくほうが、長期的にコストが安く済みます。
ではなぜ AI Growth Lab に意味があるのか。それは「英国市場 only の AI」や「EU市場に出す前の実証実験」に有効だからです。実証段階では英国規制(緩い)の枠で動かし、本格展開時に EU AI Act 仕様にアップグレードする——という戦略パスが描けます。
DUA Act・AI Growth Lab対応の優先順位 ─ WARP SECURITYの役割
英国の3つのピース(DUA Act 第80条、AI Growth Lab、Regulating for Growth Bill)をどう日本企業の AI ガバナンスに落とすか。私が経営層・現場担当者と一緒に整理してきた論点を、3層に分けて述べます。
第一に データ保護担当者向けのDUA Act対応 です。UK GDPR Article 22 が Articles 22A-D に変わったことで、これまで「自動意思決定は原則禁止だから人間レビューを入れる」設計だった社内プロセスは、書き換えが必要です。具体的には、AI による意思決定について、(a) データ主体への決定情報の提供、(b) 反論の権利、(c) 人間介入の要求、(d) 異議申立——この4つを整備するチェックリストの作成と、UK ICO の statutory code of practice(策定中)への準備が当面の作業になります。
第二に 製品開発・事業開発向けのAI Growth Lab活用検討 です。英国市場で AI サービスを展開する計画があるなら、AI Growth Lab を「既存規制とぶつかったときの避難先」として戦略マップに含めるべきです。lead regulator が誰になるか、レッドラインに触れないか、申請プロセスのタイミング——このあたりを事前に整理しておくと、英国上陸の判断が大幅に早まります。
第三に 経営層向けのEU AI Act域外適用の整理 です。「英国は緩い」という認識のまま EU 市場参入計画を進めると、二重コンプライアンスの破綻が起きます。EU AI Act 域外適用の射程と、英国規制との実質的な統合運用パスを、経営判断のレベルで決める必要があります。
TIMEWELLの WARP SECURITY では、この3層を「チェックリスト × 戦略マップ × 経営判断シナリオ」として、それぞれのレイヤーで使えるアウトプットに分解しています。ADM のガードレール4要素は、ICO の draft code of practice と自社のプロダクト設計書を並べて、項目別に「OK/改修必要/不明」を仕分けする実務作業です。AI Growth Lab の活用は、テンプレートの申請書ドラフトと lead regulator マッピング表を準備しておくことで、参入意思決定の速度が変わります。
英国市場の話だけで終わらず、EU 域外適用との接続点を含めて 1 つの判断フローに統合する。これが英国アプローチを日本企業の現実に落とす際の、最も重要な作業だと考えています。
まとめ
- DUA Act 第80条 で UK GDPR の ADM が「禁止→許容+ガードレール」に反転(2026年2月5日施行)
- AI Growth Lab は規制を一時緩和してAI実証実験できる、英国流クロスエコノミー・サンドボックス
- Regulating for Growth Bill で単独 AI Bill は見送り、既存規制機関の横断調整に転換
- AI Safety Institute → AI Security Institute への rebrand は、米英連携の再設計を反映
- 「英国が緩いから安心」は罠。EU AI Act 域外適用は英国にいても逃れられない
英国は AI 規制を作らないことで、EU との差別化を図ろうとしています。けれども市場のロジックは、結局のところ EU AI Act のフル準拠を「実質的なグローバル標準」として押し付けてきます。規制を緩めた国の企業ほど、緩めたつもりが EU 規制に縛られる という逆説が、これから数年の英国 AI 業界の現実になるはずです。
ライト・タッチを選んだ国の知恵は、AI Growth Lab という「規制機関が学習する制度」に最も鮮明に表れています。私はこの仕組み自体は、日本の規制論議に持ち込む価値が十分にあると感じています。とくに AI 事業者ガイドライン v1.2 を控える日本にとって、英国の AI Growth Lab は 「もう一つの選択肢」 として参照する意味があります。
合わせて読みたい:EU AI Act と Digital Omnibus 簡素化パッケージ、米国連邦AI政策2026、イリノイ・ユタ・マサチューセッツ州AI規制。
参考文献
[^1]: Data (Use and Access) Act 2025, Section 80 - Legislation.gov.uk [^2]: How much does the Data (Use and Access) Act reform UK GDPR? - Herbert Smith Freehills Kramer [^3]: AI Growth Lab - GOV.UK [^4]: King's Speech signals diffuse UK digital policy agenda, but no AI bill - IAPP [^5]: AI Watch: Global regulatory tracker - United Kingdom - White & Case