株式会社TIMEWELLの濱本 隆太です。
「EU AI Actは2026年8月2日に完全施行——なんとなくそう聞いていた経営層が、いま大混乱しています」。先週、ある大手製造業の法務担当役員から、ほぼそのままの言葉でメッセージが届きました。
理由は明確です。2026年5月7日、EU理事会と欧州議会が Digital Omnibus on AI の政治合意に到達し、最も影響の大きい高リスクAI義務の適用日が 2027年12月2日(Annex III)/2028年8月2日(Annex I) へ事実上延期されることが決まったからです。一方で罰則・GPAI義務・透明性義務は延期されないか、むしろ前倒しされた。この「延期と非延期の二重構造」を読み違えると、日本企業の対応は確実に間違います。
2026年5月時点の最新合意の中身と、この夏までに着手すべき具体タスクを、戦略の温度感を変えずに整理します。
要約
- 2026年5月7日、Digital Omnibusの政治合意成立。Annex III高リスクAIは 2027年12月2日、Annex Iは 2028年8月2日 まで延期見込み
- ただし GPAI義務(2025年8月適用済)、罰則(同)、AI Officeの本格執行権限(2026年8月2日)、Article 50透明性(2026年12月2日に前倒し) は延期なし
- 「延期で安心」は誤読。延期は 「整合規格とAI Officeガイダンスの公表が遅れている」結果 であり、準備時間が増えたわけではない
- 日本企業がこの夏までに着手すべきは (1)域外適用スコープ判定、(2)Authorised Representative指名、(3)ISO/IEC 42001を共通基盤にした社内ガバナンス の3点
Digital Omnibus 5月7日合意で何が変わったのか
正直に言うと、私はこの合意を「業界の駆け込み妥協」だと評価しています。本来であれば2026年8月2日にAnnex III高リスクAIへの義務が発動するはずでしたが、整合規格(CEN/CENELEC JTC 21)のドラフトが2026年第2四半期になってもまだ確定せず、AI Office側のガイダンスも未整備という状態で、実務的に「義務を課せるが何をすれば準拠かわからない」状態に陥っていました。
合意の主要7変更を整理すると次の通りです。
| 変更 | 旧スケジュール | 新スケジュール |
|---|---|---|
| Annex III独立型高リスクAI | 2026年8月2日 | 2027年12月2日(16か月延期) |
| Annex I製品組込み型高リスクAI | 2027年8月2日 | 2028年8月2日(1年延期) |
| 加盟国サンドボックス設置義務 | 2026年8月2日 | 2027年8月2日 |
| 非合意性的画像・CSAM生成AI禁止 | 新設 | 2026年12月2日に適用開始 |
| Article 50(透明性)一般適用 | 2026年8月2日 | 2026年12月2日に前倒し(提供者猶予6か月→3か月) |
| SME優遇措置 | 中小企業のみ | スモール・ミッドキャップ(SMC)まで拡張 |
| GDPRバイアス検知の特別カテゴリーデータ処理 | 不明確 | 厳格必要性基準で明示的法的根拠を追加 |
4月28日のトリローグ決裂は「延期そのもの」が争点ではなく、Annex I(製品組込み型)の適合性評価アーキテクチャ、つまり医療機器規則・機械規則などの業種別法令との二重認証回避が論点でした。Bird & Birdが「合意は最も目立つ高リスクAI延期ではなく、適合性評価の組織設計を巡るものだった」と指摘しているとおり、業界の負担削減交渉だったわけです[^1]。
延期は2026年夏の正式採択を経て確定します。逆に言えば、改正法が頓挫した場合は 原則どおり2026年8月2日が適用日のまま という不確実性が残ります。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
「延期されないもの」こそが本丸
多くの日本企業経営層が読み違えるのが、ここです。延期されたのは高リスクAI義務だけで、次の5点は延期されていません。
第一に、GPAI(汎用AI)モデル提供者の義務。2025年8月2日適用済で、技術文書整備、訓練データの十分詳細な要約公開、EU著作権法準拠ポリシーが既に義務化されています。10²⁵ FLOPs超の「システミックリスクGPAI」には、敵対的テスト・インシデント報告・サイバーセキュリティ・エネルギー消費追跡が上乗せされます。
第二に、罰則。第99条・第101条の罰金規定は2025年8月から発効済。最大3,500万ユーロまたは全世界売上7%という水準は、GDPRの€20Mを大きく超えます。AI Officeが直接賦課可能な構造です。
第三に、AI Officeの本格執行権限。2026年8月2日からは、GPAI提供者への文書要求・モデル評価・是正命令・罰金賦課が可能になります。欧州委員会内に約140名規模で設置済ですが、Pour Demain報告は「2030年までにGPAI監督部門だけで160名が必要」と警告しています[^2]。MetaがCode of Practice不署名のままで、最初の執行ターゲットになる可能性が指摘されています。
第四に、Article 50透明性義務の前倒し。当初2026年8月2日だったAI生成コンテンツの機械可読マーキング義務は、Digital Omnibusで 2026年12月2日へ前倒し。提供者向け猶予期間も6か月→3か月へ短縮されました。
第五に、新規禁止AI(CSAM・非合意性的画像生成AI)。これも2026年12月2日に発動します。
つまりEU AI Actは「完全施行」と「延期」が同居する状態で、12月2日には実質的に新しい義務が発動するわけです。8月の「完全施行」だけ見て安心するのは、まさに罠だと感じています。
日本企業に効く3パターン — 自己診断の出発点
EU AI Actの第2条は、域外適用の根拠を明確に定めています。日本企業が引っかかるのは次の3パターンです。
パターン1:EU市場への直接製品提供。自動車メーカーが運転支援AI搭載車両をEUで販売する、医療機器企業がAI診断補助ソフトウェアをCEマーキング付きで提供する——いずれもAnnex Iの製品組込み型高リスクAIです。CMSの域外適用ガイドが「日本の自動車メーカーがEUを含むグローバル市場でAI支援ブレーキ搭載車を販売する場合、EU AI Actの適用対象となる」と明示しているとおり、日本に本社があっても関係ありません[^3]。
パターン2:出力がEUで使われるSaaS/API提供。日本企業が採用スクリーニングAIをEU域内のクライアント企業に提供する場合、Annex III(雇用カテゴリー)に該当します。与信スコアリングAI、教育評価AIも同様です。「EU子会社が日本本社のAIを使う」場合も、出力がEUで生成・利用されればこのパターンに入ります。
パターン3:EU子会社・支店でのAI利用(Deployer責任)。日本親会社が開発したHR AIをEU現地法人が従業員評価に使う場合、第26条のDeployer義務として基本権影響評価(FRIA)、ログ保管、人間による監督担当者の任命が課されます。
3パターンすべてに共通するのが、第22条の EU域内Authorised Representative指名義務 です。書面委任が必要で、域外提供者にとっては実質的なEU窓口となります。私が見てきた範囲では、これを「準備物」として認識していない日本企業がまだ過半数です。
ISO/IEC 42001を共通基盤にする戦略
ここからが実装の話です。延期で時間ができた今、最も合理的なのは ISO/IEC 42001(AIMS)を社内AIガバナンスの共通基盤として導入する ことだと考えています。
ISO/IEC 42001は2023年12月に発行された世界初のAIマネジメントシステム規格で、EU AI Actの高リスク要件の 約70〜80%をカバー しています[^4]。具体的なクロスウォークは次の通りです。
| EU AI Act 条文 | ISO/IEC 42001 該当箇所 |
|---|---|
| 第9条(リスク管理システム) | Clause 6.1 |
| 第10条(データガバナンス) | Annex A.7, A.8 |
| 第11条(技術文書) | Clause 7.5 |
| 第12条(自動ログ記録) | Annex A.6 |
| 第13条(透明性・情報提供) | Annex A.4, A.9 |
| 第14条(人間による監督) | Annex A.5 |
| 第15条(精度・頑健性) | Annex A.7, A.10 |
| 第17条(品質管理システム) | Clause 8 |
ただし注意すべき残り20〜30%が、まさに EU固有のギャップ です。
- 基本権影響評価(FRIA, 第27条):ISO 42001に対応概念がない
- 適合性評価(Notified Body):高リスクAIの一部で第三者認証が必要
- EUデータベース登録:EU固有
- Authorised Representative指名:EU固有
- CEマーキング統合:製品組込み型のみ
私はこの構造を「ISO 42001を背骨にして、EU固有要件は装具のように上乗せする」と表現しています。日本企業がEUだけでなく米国(NIST AI RMF)・日本(AI事業者ガイドライン)・アジア(韓国AI基本法、シンガポールAI Verify)まで横断対応する場合、ISO 42001を共通言語にしておくと、各市場への上乗せが圧倒的に楽になります。
逆に「EU AI Actだけ対応する」というアプローチで個別実装すると、後で必ず後悔します。
2026-2028 月次ロードマップ
延期で余裕ができた1年強を、私ならこう使います。
- 2026年6〜8月:域外適用スコープ判定(3パターンのどれに該当するか)、Authorised Representative候補選定、社内AIインベントリ作成
- 2026年9〜12月:Article 50透明性対応(12月2日適用)、CSAM/非合意性的画像生成AI禁止対応、ISO/IEC 42001ギャップ分析開始
- 2027年1〜6月:ISO/IEC 42001認証取得プロセス(一般的に6〜12か月)、GPAIモデル提供者の場合は2025年8月以前モデルの完全準拠(2027年8月2日期限)
- 2027年7〜11月:Annex III適用日(12月2日)に向けたFRIA実施、適合性評価準備、技術文書整備、EUデータベース登録
- 2027年12月2日:Annex III独立型高リスクAI完全適用
- 2028年8月2日:Annex I製品組込み型高リスクAI完全適用
このスケジュールで動くと、2027年12月の本番直前にFRIAやNotified Body認証で慌てる事態は避けられます。逆に「2027年中盤に動き始めればよい」と判断すると、認証機関のキャパが詰まって取れない、というシナリオが現実味を帯びます。
合わせて読みたい既存記事として、2026年8月施行時点での実装ステップは EU AI Act 2026年8月完全施行と5ステップ で詳述しています。本記事と併読すると、戦略レベル(本記事)と実装レベル(5ステップ記事)の両面が揃います。
WARP SECURITYでの位置づけ
TIMEWELLの WARP SECURITY は、本記事で扱ったEU AI Act・Digital Omnibus・ISO/IEC 42001クロスウォーク・GPAI Code of Practiceを、OWASP LLM Top 10/NIST AI RMF/経産省AI事業者ガイドラインと並べて2日間で習得する、経営層と現場の階層別カリキュラムです。
経営層コースでは、「Annex III適用までの2年半をどう使うか」「Authorised Representativeをどう選ぶか」「FRIAの責任分界を誰が持つか」を意思決定演習として扱います。
現場コースでは、ISO/IEC 42001のAnnex Aコントロール38項目をEU AI Act条文に紐づけて、自社AIシステムのギャップ分析を実演習として実施します。RAG構成のログ保管設計、機械可読マーキング実装(Article 50)まで踏み込みます。
5つの疑似インシデント演習のうち1つは「EU AI Office から GPAI 文書要求が届いた場合の初動72時間」を扱い、法務・情シス・広報・経営の責任分界を同じ部屋で議論します。読んだだけでは身につかない論点を、ロールプレイで体感できる設計です。
まとめ
- Digital Omnibusで高リスクAI義務は2027年12月/2028年8月へ延期されたが、GPAI・罰則・AI Office執行・Article 50は延期なしか前倒し
- 「完全施行」を字面通り読むと判断を誤る。12月2日には実質的に新義務が発動する という認識が必要
- 日本企業はこの夏までに、域外適用スコープ判定/Authorised Representative指名/ISO/IEC 42001ギャップ分析の3点を着手すべき
- 延期で得た時間は「準備時間」ではなく「整合規格が固まる前に動ける最後の窓」
EU AI Actを「規制」として身構えるか、「自社AIガバナンスを国際標準に揃える契機」として捉えるか。2028年以降の競争力は、ここで分岐します。延期を「猶予」と読んだ企業と、「整合規格が固まる前に動ける最後の窓」と読んだ企業の差は、3年後にきっと埋まりません。
参考文献
[^1]: Digital Omnibus on AI Trilogue Stalls - Bird & Bird [^2]: How Much Power Does the EU AI Office Actually Have - Lawfare [^3]: Guide to the EU AI Act for Businesses Outside the EU - CMS [^4]: Guide: ISO 42001 vs EU AI Act - GLACIS
- Artificial intelligence: Council and Parliament agree to simplify and streamline rules (2026/05/07) - European Council
- AI Act Service Desk - Implementation Timeline
- Digital Omnibus on AI: 7 Key Changes - Orrick
- AI Act Omnibus: What Just Happened and What Comes Next - IAPP
- GPAI Code of Practice - Final Version