株式会社TIMEWELLの濱本 隆太です。
このシリーズで国別AI規制10本、認証ガイド7本、Level別解説3本、インシデント分析2本の合計22本を書いてきました。1本1本を独立して読むのも価値があるのですが、 22本を俯瞰しないと「自社はどこから動けばいいか」が見えてこない 、という声を読者からいただきます。今日はその全体地図を1記事にまとめます。
2026年5月時点、世界のAI規制は 完全にバラバラ です。EUは罰則重視、米国はトランプ政権下で先制権論争、中国は内容ラベリング義務化、韓国はAI基本法施行、日本はAI推進法でガイドライン v1.2を運用中。さらに認証側はISO/IEC 27001、ISO/IEC 42001(AIMS)、ISMAP、CSA STAR L1〜L3が並列。これを「全部対応」は不可能で、優先順位を決めるしかない。
このマスターガイドでは、22本の関連記事へのリンクを張りながら、 (1)地域×規制スタンス×施行日のマトリクス 、 (2)認証ポートフォリオの全体像 、 (3)日本企業の対応優先順位3軸 を提示します。最後に、シリーズ全体の総括と、私が考える「2026〜2027年の戦略の核」を書いて締めます。
要約
- 世界のAI規制は 3つの哲学 に収斂:権利ベース(EU、韓国)、イノベーション優先(米国、日本、ASEAN)、国家統制(中国)
- 罰則の最大値:EU AI Act 3,500万ユーロ/全世界売上7% 、中国は 製品差し止め+登録抹消 、米国カリフォルニアは 州別バラバラ
- 認証側は 二系統:水平基盤(ISO 27001、ISMS)と垂直深化(ISO 42001 AIMS、CSA STAR、ISMAP)
- 日本企業の対応優先順位は 「商品輸出有無」「データ越境有無」「顧客規模」 の3軸で決まる
- 22本を読んでも実装はできない、実装は手を動かす演習(WARP SECURITY)で身につける という分担
22本シリーズの全体マップ
シリーズは4つのクラスタで構成しています。各記事へのリンクは以下のとおりです。
クラスタA:地域別AI規制(PR-1〜3)
EU・米国・中国・韓国・日本など、 国別の規制スタンス を1本ずつ深掘り。
- EU AI Act Digital Omnibus 2026年5月合意 — Annex III高リスクAIの2027年延期、GPAI義務とArticle 50の前倒し
- 米国連邦AI政策とトランプ・プリエンプション論 — xAI v. Weiser事件、NIST格下げ、連邦先制権の現在地
- カリフォルニア州 SB53/AB2013/SB942 — フロンティアモデル法、トレーニングデータ透明性、業界対応差
- コロラド州 CAIA廃止と SB26-189 ADMT — 米国初の包括的州法が施行前廃止、自動意思決定技術への限定回帰
- テキサスTRAIGA × ニューヨークRAISE — 共和党州vs民主党州、規制思想の対比
- 米国州法パッチワーク(イリノイ・ユタ・マサチューセッツ) — フェデラル不在で増殖する州法群の見取り図
- 英国AI規制 DUA Act × AI Growth Lab 2026 — 「セクター別規制」スタンスの最新動向
- カナダAIDA廃案後とPIPEDA — AIDA廃案後の規制空白、既存プライバシー法による暫定対応
- 日本AI推進法とビジネスガイドライン v1.2 — 罰則なし・協力ベースの日本モデル
- 中国 AI生成コンテンツラベリング規則 2026 — 9月施行の強制ラベリング、アルゴリズム登録
- 韓国AI基本法 2026年1月施行 — EU AI Actに次ぐ「権利ベース」第二勢力
- ベトナムAI法 ASEAN初の包括規制 — ASEANで先行するハードロー型
- シンガポール エージェンティックAI ガバナンス — IMDAのソフトロー+実装ガイダンス
- インドDPDP × AIガバナンスガイドライン — DPDP法とAI Sutrasの組み合わせ
- 中南米・中東・オセアニア規制ラウンドアップ — 周縁地域の規制動向
クラスタB:認証ガイド(PR-4〜5)
ISO、ISMAP、CSA STARなど、 取得すべき認証の体系 を解説。
- ISMS / ISO/IEC 27001入門ガイド — 情報セキュリティマネジメントの基礎
- ISO/IEC 27001認証 完全ガイド 2026 — 取得プロセス、コスト、移行スケジュール
- ISO/IEC 42001 AIMS入門 2026 — AIマネジメントシステム認証の構造
- ISMAP 政府クラウドセキュリティ解説 2026 — 日本政府調達の必須認証
- CSA STAR Level 1セルフアセスメント — クラウド事業者の入門認証
- CSA STAR Level 2第三者監査 — Attestation/Certificationの選択
- CSA STAR Level 3継続監査 — 正式リリース未達も「待たずに備える」設計
クラスタC:インシデント分析(既存記事)
実害ベースの学び。
- Arupディープフェイクで2,500万ドル詐取事件 — BEC × 生成AI×ビデオ会議の実害
- EchoLeak 間接プロンプトインジェクション CVE-2025-32711 — Microsoft Copilot脆弱性の構造
- Slopsquatting AIハルシネーション悪用 — npm/PyPI偽パッケージ攻撃
- Shadow AI 71%の現場で発生中 — 社内ポリシー設計の現実解
クラスタD:実装系記事(既存)
- EU AI Act 2026年8月対応 5ステップ — 日本企業のロードマップ
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
地域×規制スタンス×施行日のマトリクス
22本のうち、地域別規制を1つの表にまとめます。 2026年5月時点の状況 です。
| 地域 | 主規制 | スタンス | 施行日 | 罰則最大額 | 域外適用 |
|---|---|---|---|---|---|
| EU | EU AI Act + Digital Omnibus | 権利ベース | 2026年8月一部、2027年12月Annex III | 3,500万ユーロ/売上7% | あり |
| 米国連邦 | NIST AI RMF(任意)+ Executive Order | イノベーション優先 | 任意 | なし | なし |
| 米国カリフォルニア | SB53/AB2013/SB942 | 権利寄り | 2026年順次 | 訴訟・差止 | 限定 |
| 米国コロラド | SB26-189 ADMT | 自動意思決定限定 | 2027年予定 | 民事制裁 | なし |
| 米国テキサス | TRAIGA | イノベーション優先 | 2026年9月 | 行政罰 | なし |
| 米国NY | RAISE Act | 権利ベース | 検討中 | 未定 | なし |
| 英国 | DUA Act + AI Growth Lab | セクター別 | 2026年順次 | 業法ベース | 限定 |
| カナダ | AIDA廃案後、PIPEDA運用 | 暫定 | 既存 | プライバシー法ベース | あり |
| 日本 | AI推進法ガイドライン v1.2 | イノベーション優先(協力ベース) | 2026年運用中 | なし(協力義務) | 限定 |
| 中国 | AI内容ラベリング規則 | 国家統制 | 2025年9月 | 製品差止・登録抹消 | あり |
| 韓国 | AI基本法 | 権利ベース | 2026年1月 | 制裁金 | あり |
| ベトナム | AI法 | ハードロー | 2026年順次 | 制裁金 | あり |
| シンガポール | IMDAエージェンティック AIガバナンス | ソフトロー | 任意 | なし | なし |
| インド | DPDP + AI Sutras | プライバシー基盤 | 2026年運用中 | DPDP罰則 | 限定 |
このマトリクスから読み取れる構造は3つ。1つ目は EU・韓国の「権利ベース」陣営の存在感が強い こと。両者は罰則も域外適用も持っており、日本企業にとってのインパクトが大きい。2つ目は 米国は州別バラバラ で、連邦法不在のため州ごとの対応が必要。3つ目は 中国・ベトナムが「ハードロー」型 で、製品差止という商業的致命傷を持つ。
私の見方として、 2026〜2027年は「規制が世界統一される」のではなく「分断が固定化する」 と予測しています。EU、米国、中国の3極に韓国・日本・ASEAN・中東・中南米がそれぞれ寄っていく形。完全統一は当面ない、というのが現実認識です。
認証ポートフォリオの全体像 — 水平基盤と垂直深化の二系統
地域別規制の話と並行して、 「認証」側の全体構造 を理解する必要があります。22本シリーズの認証クラスタ(クラスタB)で扱った7つの認証を、目的別に整理します。
水平基盤(あらゆる事業者の土台)
| 認証 | 範囲 | 取得期間 | コスト目安 |
|---|---|---|---|
| ISO/IEC 27001 | 情報セキュリティマネジメント全般 | 6〜12か月 | 500〜2,000万円 |
| ISMS(ISO 27001の日本版) | 国内情報セキュリティ | 6か月 | 300〜1,500万円 |
これらは「事業の種類を問わず取得する基盤認証」。ここを持たずに上位認証を取ることは不可能。
垂直深化(事業特性に応じた専門認証)
| 認証 | 対象事業者 | 既存認証との関係 | 取得期間 |
|---|---|---|---|
| ISO/IEC 42001(AIMS) | AIシステム開発・提供事業者 | ISO 27001を内包・拡張 | 6〜12か月 |
| ISMAP | 政府クラウド事業者 | ISO 27001 + 政府固有要件 | 12〜18か月 |
| CSA STAR Level 1 | クラウドサービス事業者 | 自己申告(無料) | 2〜4週間 |
| CSA STAR Level 2 | クラウドサービス事業者 | SOC 2 Type 2 or ISO 27001 + CCM | 6〜12か月 |
| CSA STAR Level 3 | クラウドサービス事業者 | Level 2 + 継続監査 | 正式化未達 |
水平基盤と垂直深化を組み合わせた 「2軸ポートフォリオ」 が認証戦略の中核です。
私が推奨する組み合わせは事業タイプ別に次のとおり。
- 国内専業SaaS:ISO 27001 → ISO 42001(AI事業者の場合)
- 海外展開SaaS:ISO 27001 → CSA STAR Level 2 → ISO 42001
- 政府向けクラウド:ISO 27001 → ISMAP → CSA STAR Level 2
- AIモデル提供事業者:ISO 27001 → ISO 42001 → CSA STAR Level 2
詳細は各認証ガイド記事に書きましたが、 「全部取る」は予算的にもリソース的にも非現実的 。自社の顧客層と地域戦略に合わせて2〜3つに絞るのが現実解です。
日本企業の対応優先順位3軸 — 「商品輸出有無」「データ越境有無」「顧客規模」
ここからが本記事のハイライトです。22本を読んだ読者から最も多い質問が「結局、うちはどこから動けばいいですか?」。私の答えは決まっていて、 次の3軸で判定 します。
軸1:商品(製品・SaaS)の地理的提供範囲
- EU市場に販売している → EU AI Act対応が最優先(最大3,500万ユーロの罰則)
- 米国市場に販売している → カリフォルニア州法群+テキサス/ニューヨーク等の州別対応
- 中国市場に販売している → 中国AI内容ラベリング規則(製品差止リスク)
- 韓国市場に販売している → 韓国AI基本法(2026年1月施行済、域外適用あり)
- 日本国内専業 → 日本AI推進法ガイドラインで十分
優先順位は EU > 中国 > 韓国 > 米国カリフォルニア > 他州 > 日本 。これは罰則の強さと域外適用範囲で決まります。
軸2:データの越境性
- EUユーザーのデータを処理している → EU AI Act + GDPR + EU Data Act
- 中国ユーザーのデータを処理している → 中国データ越境規制(特別法あり)
- 顧客データを米国に保管している → 各州プライバシー法 + AI規制
- 国内データのみ → ISMS/個人情報保護法ベース
データの越境は、商品の越境とは別の規制が発動します。商品がEU向けでなくても、EUユーザーのデータをAI学習に使うとEU AI Actの一部義務が発動するケースがあります。
軸3:顧客の規模・業種
- 大手金融・製薬・連邦政府向けに販売している → CSA STAR Level 2必須
- 政府機関向けに販売している → ISMAP必須
- AIモデルを提供している → ISO 42001推奨
- 中小企業向け → ISO 27001で十分(CSA STARはオプション)
顧客の規模が大きいほど、調達側のセキュリティ要求が厳格になります。「ISO 27001だけで十分か」は、最大顧客のRFP(提案依頼書)の要求事項で決まる、というのが現実です。
3軸の組み合わせで優先順位を決める
私が現場で使っている判定フローは次のとおりです。
- 軸1で「EU/中国/韓国」のいずれかに該当 → 該当地域の規制を最優先
- 軸2で「越境データ」に該当 → 該当地域のデータ保護法を追加
- 軸3で「大手・政府顧客」に該当 → 該当認証を追加(CSA STAR、ISMAP等)
- すべて該当しない → 日本AI推進法 + ISO 27001の最小構成
例えば「EU市場に販売するSaaSで、大手金融が顧客」なら、 EU AI Act対応 + ISO 27001 + CSA STAR Level 2 の3点セットが必須。これに加えて、AIモデルを提供する事業者なら ISO 42001 も追加、というのが私の判定です。
規制対応の予算感 — 罰則と比べると小さい投資
「全部対応するといくらかかりますか?」という質問への私の標準回答です。中堅SaaS事業者(年商10〜50億円)を想定した目安。
| 項目 | 初年度コスト | 維持年間コスト |
|---|---|---|
| ISO 27001取得 | 800〜1,500万円 | 200〜400万円 |
| ISO 42001取得 | 600〜1,200万円 | 200〜400万円 |
| CSA STAR Level 2 | 700〜2,000万円 | 300〜800万円 |
| EU AI Act対応(自社内整備) | 500〜2,000万円 | 200〜500万円 |
| 中国AI内容ラベリング対応 | 200〜800万円 | 100〜300万円 |
| 韓国AI基本法対応 | 200〜800万円 | 100〜300万円 |
| 合計(フル対応) | 3,000〜8,300万円 | 1,100〜2,700万円 |
これだけ見ると「高い!」と思うかもしれません。しかし EU AI Actの最大罰則3,500万ユーロ(約56億円)と比べると、対応コストは1〜2桁小さい 。罰則回避だけでなく、 営業面の効果(ベンダーDDの工数削減、エンタープライズ商談の通過率向上) も含めると、ROIは2〜3年で回収可能というのが私の試算です。
ちなみに、「全部取る」のではなく「優先順位の高い3つに絞る」と、初年度コストは 1,500〜3,000万円程度 に圧縮可能。これが現実的な投資判断です。
シリーズ全体の総括 — 「規制疲れ」を起こさない3つの原則
22本を書き終えて、私自身が学んだことを共有します。
1つ目は 「規制を勉強し続けるのは無理」という前提に立つ こと。世界中のAI規制を全部追いかけるのは、専門チームを持つ大企業以外には不可能です。だから自社に関係する3〜5地域に絞って深く理解する、という戦略が正解。
2つ目は 「規制対応はセキュリティ部門の仕事ではない」という認識を経営層と共有する こと。EU AI Actの域外適用、中国の製品差止リスク、韓国の罰則は、いずれも 営業・経営の意思決定に直結する事項 。情シスやセキュリティ部門が単独で対応するのは構造的に無理があります。
3つ目は 「認証は終わりではなく始まり」という覚悟 。ISO 27001を取った、CSA STARを取った、で安心していると、3年後の再認証で「アップデートできていない」と落とされます。継続的な運用が前提で、これは組織文化の話に直結します。
シリーズ全体を通じて、私が一番伝えたかったのは 「規制を敵にしない、味方にする」 という発想転換です。規制対応を「面倒なコスト」と捉えると組織は疲弊します。逆に「営業の武器」「組織変革のきっかけ」と捉えると、対応自体が組織の競争力になります。
WARP SECURITY — 「22本を読んでも実装できない」を埋める研修
ここまで22本のシリーズを書いてきて、私が痛感していることがあります。 規制と認証の知識は伝わるが、実装スキルは記事では伝わらない 。これは記事の限界です。
TIMEWELLの WARP SECURITY では、シリーズ22本を読んだ受講者向けに「実装スキル変換プログラム」を提供しています。3〜6か月のプログラムで、次のような演習を組み合わせます。
1つ目は 規制マッピング演習 。自社の事業に対して、22本で扱った規制のうちどれが該当するかを、参加者自身が判定する2日間ワークショップ。3軸(商品・データ・顧客)で判定する手法を実践的に習得します。
2つ目は 認証取得ハンズオン 。ISO 27001、ISO 42001、CSA STAR Level 2の取得シミュレーションを、実際の監査人を招いて実施。「監査人に何を聞かれて、どう答えるか」を体得します。
3つ目は 継続監視文化の構築 。Level 3継続監査の準備、ISMS PDCA、AI Act監視義務など、 「取って終わり」ではない運用文化 を組織に定着させるための仕組みづくり。経営層を巻き込んだワークショップ形式です。
私はこのプログラムを「自社専属の規制対応チームを3〜6か月で育てる装置」だと位置づけています。記事は地図、研修は地図を見ながら歩く実技訓練、というイメージです。
結びに代えて — 私はこのシリーズで何を伝えたかったか
22本を書き終えて、自分が一番強調したかったことを最後に書きます。
それは、 「日本企業は規制対応で世界に2〜3年遅れている」 という事実です。EU AI Actが2026年8月に動き始め、韓国AI基本法が2026年1月に施行され、中国が2025年9月にラベリング規則を実装した。一方、日本企業の多くは「うちは日本企業だから関係ない」と思っている。
この認識は致命的に間違っています。 域外適用の時代 には、商品を売る場所、データを集める場所、顧客のいる場所、いずれかが海外なら規制が発動します。「海外展開していないから関係ない」と言える事業者は、もはや少数派。
このシリーズが、日本企業の規制対応を「2〜3年遅れ」から「世界標準と並走」に変えるきっかけになれば、私としては書いた甲斐がありました。1本でも気になる記事があれば、まずそこから読み始めてください。22本通読する必要はありません。あなたの事業に必要な部分から、必要な深さで使ってください。
それが、このマスターガイドの本当の目的です。
参考文献
[^1]: OneTrust, "Where AI Regulation is Heading in 2026: A Global Outlook," https://www.onetrust.com/blog/where-ai-regulation-is-heading-in-2026-a-global-outlook/ [^2]: IAPP, "Global AI Law and Policy Tracker," https://iapp.org/news/a/global-ai-law-and-policy-tracker-highlights-and-takeaways [^3]: Atlantic Council, "Eight ways AI will shape geopolitics in 2026," https://www.atlanticcouncil.org/dispatches/eight-ways-ai-will-shape-geopolitics-in-2026/ [^4]: BRICS Economics, "Global AI Regulation in 2026: Navigating the Clash Between EU, US, and China," https://brics-econ.org/global-ai-regulation-in-2026-navigating-the-clash-between-eu-us-and-china [^5]: Cloud Security Alliance, "STAR Levels," https://cloudsecurityalliance.org/star/levels/ [^6]: Cloud Security Alliance, "CCM v4.1 Transition Timeline," 2026年2月19日, https://cloudsecurityalliance.org/blog/2026/02/19/ccm-v4-1-transition-timeline [^7]: Digital in Asia, "Every National AI Strategy in Asia: A Policy Tracker (2026)," https://digitalinasia.com/2026/04/08/asia-ai-policy-tracker/