株式会社TIMEWELLの濱本 隆太です。
2026年1月22日、韓国で AI基本法(人工知能の発展と信頼基盤の確立に関する基本法)が施行されました。EU AI Act に次ぐ、世界2番目の包括的AI法 です。
ところが日本のメディアでこの法律をきちんと取り上げた記事はほとんど見かけません。「韓国もAI法を作ったらしい」程度の認識で、施行から4か月経った今でも国内代理人指定義務に気づいていない日本企業を何社か見ました。これは危険です。
ソウル発で起きた規制の輪郭を、日本企業が今すぐ動くべきポイントに翻訳して読み解きます。
要約
- 2026年1月22日施行。EU AI Act に次ぐ 世界2番目の包括的AI法、罰則猶予の 1年グレースピリオド あり
- 海外事業者に 国内代理人指定義務。不指定は 第43条で最大3,000万ウォン(約21,000ドル) の課徴金
- 高影響AIは エネルギー・医療・金融など10セクター に限定、施行令ドラフトでセクター拡張なし
- ディープフェイク広告には 5倍損害賠償(懲罰的賠償)を導入、ネットワーク法改正で強制ラベリング
- 日本企業の優先アクションは 代理人選定・該当性棚卸し・ラベリング基盤整備 の3点。グレースピリオド中の1年が勝負
法律の輪郭 ─ EU AI Act と何が違うのか
韓国AI基本法は、2024年12月26日に国会本会議で可決 された全70条の法律です。Lee Jae-myung 政権(共に民主党)は当初、規制よりも産業振興を重視する立場でしたが、2024年11月の米国大統領選で Trump が当選し米国規制が後退する見通しが強まると、韓国は逆に 「世界2番目の包括的AI法を作った国」というポジショニング を取りに行きました[^1]。
その意気込みのわりに、条文を読むと EU AI Act とはずいぶん粒度も射程も違います。EU AI Act は4段階リスク分類(許容できないリスク/高リスク/限定的リスク/最小リスク)で「Annex III に掲載された26カテゴリすべて」に厳密な要件を課す 全数規制型 です。これに対して韓国 AI基本法は「高影響AI」を10セクターに 限定列挙 し、事業者の義務を5つに絞っています。
その5つの義務は次のとおりです。
- 透明性の確保:生成AI出力の通知、ラベリング、ウォーターマーク
- 安全性の確保:技術的・管理的セキュリティ措置
- 高影響AI事業者の特別責務:リスク管理計画、社会的影響モニタリング、データ要請・現地検査への対応
- AI影響評価:高影響AIの導入前評価
- 国内代理人の指定:海外事業者は国内代理人を指定(域外適用の核)
EU AI Act との大きな差は、罰則の桁が違う こと。EU AI Act は最大3,500万ユーロ(約56億円)または全世界売上の7%ですが、韓国 AI基本法の罰則は 第43条で最大3,000万ウォン(約300万円) です。これは「抑止」ではなく「行動誘導」の罰則設計だと読むべきです。
私はこの設計を「慎重な第二走者の戦略」と評価しています。EU AI Act が出てから2年。市場参加者の反応を見ながら、過度に厳しくしすぎないラインに着地させた。罰則を抑え目にすることで、外国事業者の市場撤退を防ぎつつ、ラベリングや代理人指定といった 「動かしやすい義務」を確実に守らせる 設計です。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
第43条 ─ 3つの違反だけが罰則対象
韓国 AI基本法は条文の数こそ多いものの、罰則対象は第43条が定める3類型のみ です。これは日本企業のコンプライアンス設計上、決定的に重要なポイントです。
| 違反類型 | 罰則 |
|---|---|
| 海外事業者の 国内代理人不指定 | 最大3,000万ウォン |
| 利用者へのAI利用通知義務 違反(生成AI・高影響AIとのやり取りを通知しない) | 最大3,000万ウォン |
| 政府是正命令 違反 | 最大3,000万ウォン |
逆に言うと、これ以外の義務違反(例:高影響AIのリスク管理計画策定義務、AI影響評価の不実施)に 直接的な金銭罰則はない。ガイダンス・是正命令を経由してから初めて罰則対象になる構造です。
これは EU AI Act や米国SB 53 とは全く違う設計です。日本企業の韓国法対応では、「罰則対象の3類型を最低限クリアしつつ、残りの義務は ベストエフォート対応 でも当面は問題ない」という優先度設計が現実的だと感じています。
ただし楽観しすぎは禁物です。MSIT(科学技術情報通信部)は 2026年1月22日から2027年1月までの1年間 をグレースピリオドと位置づけ、この期間は罰則を適用せず指導・是正にとどめる方針を表明しました[^2]。逆に言うと、2027年1月以降は容赦なく執行する という時計が動き始めています。
国内代理人指定義務 ─ 日本企業が今すぐ動くべき第一の理由
法律の中で日本企業にとって最もインパクトが大きいのは、国内代理人指定義務 です。
これは EU GDPR の Article 27(域外事業者のEU内代表者指定義務)と同じ発想で、韓国国内に拠点を持たない事業者 が韓国ユーザー向けに AI サービスを提供する場合に、国内に代理人を置いて MSIT との窓口を担わせる仕組みです。具体的な閾値(年商何ドル以上が対象か、ユーザー数の下限はあるか等)は施行令で定められ、グローバルSaaS の 大半は対象 になります。
代理人の主な役割は3つです。
- MSIT および利用者からの 問い合わせ・苦情の窓口
- データ要請 および 現地検査 への対応
- 行政命令 の受領と本社への伝達
実務的には、韓国に法律事務所・コンサルファーム・現地法人を持つ事業者と契約するのが標準パターンになります。EU GDPR の代表者指定でも同じパターンが定着していて、専門事業者の年間契約料はEUで500〜2,000ユーロが相場でした。韓国でも同程度の市場相場で安定するはずです。
私が日本企業に最初に伝えるのは、「契約だけで終わらせない」 ということです。代理人を契約しても、MSIT からの照会が来た時に 「日本本社のどの部署が、何時間以内に応答するか」 の運用設計がなければ、書類上の代理人は意味をなしません。EU GDPR で多くの企業が経験した「代理人指定したけど本社が動けない」問題が、韓国でも繰り返されることになります。
10セクターの高影響AI ─ 限定列挙の解釈論
「高影響AI」(high-impact AI)の対象セクターは、施行令ドラフトで10領域に限定列挙されています[^3]。
| セクター | 想定される対象システム |
|---|---|
| エネルギー | スマートグリッド最適化、原発運用支援AI |
| 飲料水・水資源 | 水質管理、配水ネットワーク制御AI |
| 医療 | 診断支援AI、SaMD(医療機器プログラム) |
| 金融 | 与信スコアリング、不正検知、アルゴリズム取引 |
| 生体認証 | 顔認証、指紋認証、声紋認証 |
| 雇用 | HR Tech、採用スクリーニング、業績評価 |
| 教育 | アダプティブラーニング、入試スコアリング |
| 公共サービス | 福祉給付決定、税務リスク評価 |
| 犯罪捜査 | 予測警備、犯罪リスク評価 |
| 生体識別 | 群衆認識、特定人物追跡 |
このリストは「狭すぎる」と市民社会から強い批判を受けています。Business and Human Rights Resource Centre は2025年9月、人権リスクの観点が抜け落ちていると指摘し、特に コンテンツモデレーション、選挙関連AI、移民・難民関連AI、軍事・治安関連AI がリストから除外されている点を問題視しました[^4]。
私はこの「人権視点の欠落」を、日本企業にとってはむしろチャンスと読んでいます。リスト外の領域(例:採用面接動画解析、社内コミュニケーション分析)であれば、高影響AI規制の重い義務(影響評価、社会的影響モニタリング等)を回避できる。ただし韓国の野党・市民団体は2026〜2027年にリスト拡張を狙うと公言しているため、「今は外れているけど将来入りうる」セクター を含めた監視リストを社内で持つべきです。
ディープフェイク5倍損害賠償 ─ 韓国独自モデル
韓国 AI基本法そのものとは別に、2025年12月に首相主導で導入が決まったディープフェイク広告規制 が、日本のマーケティングDX担当者にとってインパクト大です。
具体的には、AI で生成・編集された写真・動画・音声を広告に使う場合、視認可能なラベル(「AI生成」「実在しない映像」等)の表示が義務化されました。違反した場合、被害者は通常の損害賠償に加えて 最大5倍までの懲罰的賠償 を請求できます。これがいわゆる「5倍損害賠償」(5배 손해배상)制度です[^5]。
5倍という数字は韓国独自です。米国の懲罰的賠償(punitive damages)には州ごとの上限制限があり、テキサスは通常損害の2倍+75万ドル、フロリダは3倍までといった具合に州法でばらつきます。韓国の「実損の最大5倍」は、米国の懲罰的賠償の感覚で読むとかなり重い設計です。
実装はネットワーク法(「情報通信網利用促進および情報保護等に関する法律」)改正で行われ、SNS・動画プラットフォーム・広告配信プラットフォームに 強制ラベリング義務 が課されます。日本企業がインフルエンサーマーケティングやAI生成バナーを韓国向けに展開する場合、(1)生成時点でのラベル埋込み、(2)プラットフォーム提出時の宣言、(3)被害発生時の5倍賠償リスク評価 の3点セットを運用に組み込む必要があります。
「日本向けには表示しなくていい」では済まないことに注意してください。グローバルキャンペーンを韓国ユーザーが視聴した時点で適用対象になります。米国 TRAIGA の域外適用設計と同じく、「韓国ユーザーが1人いれば適用」 という広範な射程です。
ハードロー国の連鎖反応に備える ─ WARP SECURITYの活かし方
EU AI Act(2026年8月本格適用)、韓国 AI基本法(2026年1月施行)、ベトナムAI法(2026年3月施行)。私が今 「2026年は東アジア・東南アジアのハードロー連鎖反応の年」 と呼んでいるのは、この3つが3か月の間に連続施行されたからです。
TIMEWELL の WARP SECURITY では、こうした マルチジュリスディクション規制 の同時対応を、机上ではなく実機で組み立てる支援を始めました。テーブルにEU AI Act の Annex III チェックリスト、韓国の第43条罰則対象リスト、ベトナムのリスク分類対照表を並べて、自社の AI ユースケース1本ずつに 「どの法域でどの義務が発火するか」 をマッピングしていく作業です。
具体的に多いのは次の3パターンです。
- 生成AIラベリング基盤の統合設計:EU・韓国・インド・カリフォルニア(SB 942)・中国それぞれが微妙に違う要件を出しているため、最大公約数の技術仕様を1本決めて全法域に適用
- 国内代理人ネットワークの構築:EU・韓国の代理人指定義務に加え、今後ベトナム・インドネシアでも類似制度が出るため、地域代理人の標準契約テンプレ を社内で持つ
- 多言語ラベリングの監査ログ設計:5倍損害賠償(韓国)、最大250億ルピー(インドDPDP)といった重い罰則を視野に入れ、ラベリングが実際に表示されたことを証拠化する仕組み
特に韓国向けの法務窓口を東京の本社で巻き取ろうとして失敗する例を立て続けに見ています。本社の法務部が韓国語で照会を受けて対応できなければ、代理人指定の意味がない。3か月以内に 「韓国向け事業のすべての AI ユースケースを、誰が法務上の責任者か」 を明確化することを、私からは強く勧めています。
ガイダンス期間が終わる2027年1月までに残り19か月。20か月を切ったときに動き始めても、たぶん間に合いません。
まとめ
- 韓国 AI基本法は 世界2番目の包括的AI法。2026年1月22日施行、2027年1月までグレースピリオド
- 罰則対象は第43条の3類型のみ:国内代理人不指定、利用者通知義務違反、是正命令違反。各最大3,000万ウォン
- 国内代理人指定義務 は日本企業の最優先課題。グローバルSaaS の大半が対象
- 高影響AIは 10セクター限定列挙。HR Tech・与信・SaMDが特に該当しやすい
- ディープフェイク5倍損害賠償 は独自設計。韓国ユーザーが視聴するグローバル広告にも適用
韓国の規制設計を見ていると、「EU と米国の中間に立つ」 という第三のスタンスが見えてきます。EU ほど厳格ではないが、米国ほど野放しでもない。罰則は控えめだが、ラベリングと代理人指定だけは確実に守らせる。「Made in Korea」という強いブランド意識と、市民社会との折り合いをつけた現実主義の産物だと感じています。
日本企業がアジア圏のAI規制を考えるとき、韓国は「最初に動く国」として見ておくべき市場です。ここで失敗すると、ベトナムでも、後続のインドネシア・タイでも同じ失敗を繰り返すことになります。
合わせて読みたい:EU AI Act デジタル簡素化と2026年スケジュール、カリフォルニア州AI規制3本、テキサスTRAIGAとニューヨークRAISE Actの比較。
参考文献
[^1]: South Korea's AI Basic Act: Overview and Key Takeaways - Cooley [^2]: South Korea's Revised AI Basic Act to Take Effect January 22 - BABL AI [^3]: South Korean Ministry of Science and ICT Issues Package of Regulations - Baker Botts [^4]: S. Korea: Draft decree for AI Basic Act spark backlash - Business and Human Rights Centre [^5]: Deepfake Regulation: Korea Orders AI Ad Labels - AI CERTs News
- South Korea's New AI Framework Act: A Balancing Act - Future of Privacy Forum
- One Law Sets South Korea's AI Policy - ITIF
- South Korea: Comprehensive AI Legal Framework Takes Effect - Library of Congress
- Korea's new AI Basic Act: Characteristics and significance - Law.asia
- Global AI Governance Law and Policy: South Korea - IAPP