株式会社TIMEWELLの濱本 隆太です。
EU AI Act、米国SB 53、韓国 AI 基本法、ベトナム AI法、インド DPDP。本シリーズで国別解説を書いてきましたが、日本企業のグローバル展開を考えると、報道頻度が低くても 押さえておくべき市場群 があります。中南米(ブラジル・メキシコ・チリ)、中東(UAE・サウジアラビア)、そしてオーストラリア。
これらを私は「第二線AI規制圏」と呼んでいます。第一線(EU・米・中・韓・越・印)と比べて報道で出てくる頻度は3分の1以下。しかし、グローバルSaaS、フィンテック、製造業の現地法人を展開している日本企業にとっては 「忘れた頃にコンプライアンス指摘が来る」 地雷市場です。
3地域それぞれが、まったく異なる規制スタンスを取っています。中南米はハードロー化中、中東は既存法とセクター戦略の混合、豪州はソフトロー継続で混乱中。それぞれの読み方を整理しました。
要約
- 6か国・3地域を「ハードロー化中/既存法活用/ソフトロー継続」の3スタンスに分類
- ブラジル PL 2338 は上院通過済・下院審議中、2026年後半以降の施行見込み
- メキシコ・チリ はEU AI Act 型のリスクベース法案を2026年に審議
- UAE は PDPL + DIFC Regulation 10 の二層構造、自動意思決定の人間監督義務
- サウジアラビア は2026年「Year of AI」、SDAIA Framework が政府調達の事実上必須要件
- 豪州 は VAISS(2024)→ GfAA(2025)への置換で Mandatory Guardrails が空中分解 状態
第二線を一望する ─ 3スタンス分類表
まず全体地図を一枚で見るのが、この記事の出発点です。
| 法域 | スタンス | 包括AI法 | 主要規制 | 主管 | 状況 |
|---|---|---|---|---|---|
| ブラジル | ハードロー化中 | PL 2338(審議中) | 4階層リスクベース | ANPD | 2026後半施行見込み |
| メキシコ | ハードロー化中 | 連邦AI法案(ドラフト) | リスクベース、CONAIA | CONAIA予定 | 2026年承認目標 |
| チリ | ハードロー化中 | AI法案(審議中) | 4階層リスクベース | 未確定 | 2025年8月下院通過 |
| UAE | 既存法+セクター | なし | PDPL + DIFC Reg 10 | TDRA / DIFC DPA | PDPL 2027年完全施行 |
| サウジアラビア | ソフトロー(半強制) | なし | SDAIA Framework | SDAIA | 2026年「Year of AI」 |
| 豪州 | ソフトロー混乱中 | なし | VAISS→GfAA | DISR / NAIC | Mandatory空中分解 |
この表を私が日本企業の経営会議で使うとき、最も食いつかれるのは 「サウジアラビアのSDAIA認証が政府調達の事実上必須」 という一行です。それまで認識されていなかった商習慣が、明文化された認証要件として顕在化している。第二線とはいえ侮れません。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
中南米3か国 ─ EU AI Act 型ハードロー化の波
中南米は EU AI Act 型のリスクベース法案を3か国が同時並行で審議中 という、世界でも特異な集中現象が起きています。
ブラジル PL 2338/2023 は最も先行しています。2024年12月10日に 上院通過、現在は下院(Chamber of Deputies)で審議継続中[^1]。EU AI Act 型の4階層リスク分類(excessive / high / medium / low)に、ブラジル独自の 「主体ベース」軸(誰に被害が及ぶか)を加えた設計です。罰則はブラジル売上の最大2%で、EU AI Act の7%より穏当ですが、ANPD(国家データ保護局)が SIA(National AI Regulation System)の調整役として強い執行権を持ちます。
施行時期は当初2026年前半が見込まれていましたが、政治状況(連立内対立、業界ロビー、人権団体の修正要求)で遅延が続いています。私が読んでいる最新の予測は 「2026年後半〜2027年前半」。Lula 政権下での大統領署名はほぼ確実で、署名後の施行は「6か月猶予」が標準モデルになる見通しです。
メキシコ は連邦AI法案がドラフト段階。CONAIA(National Commission for AI) の設立、リスクベース分類、EU風の影響評価義務などが盛り込まれており、上院科学技術委員会で2026年承認を目指しています[^2]。CONAIA がメキシコ AI 規制の主管機関になる設計です。これに加えて CNBV(金融)・COFEPRIS(医療機器/SaMD)・LFPDPPP(プライバシー) のセクター別規制が並行で動いており、日本のフィンテック・メディカルAI企業はセクター別規制の方が先に効く可能性が高い。
チリ は意外にも進んでいます。AI法案は 2025年8月に下院(Chamber of Deputies)通過、現在は上院審議中[^3]。4階層リスク分類は EU AI Act と同じ構造ですが、「子ども・若者へのディープフェイク・性的コンテンツ生成」を unacceptable(禁止)に明示 している点が特徴です。これは韓国の5倍損害賠償と並んで、グローバルサウスの規制が「子ども保護」を中軸に据える傾向を示しています。
加えてチリは Law No. 21.719(2024年12月公布) で GDPR 型のデータ保護フレームワークを整備済み。2026年12月施行 で、AI規制と相互に補完する二層構造になります。
中南米3か国の共通項は 「EU AI Act を参照しつつ、グローバルサウス文脈で再解釈する」 という設計姿勢です。日本企業がブラジル子会社で運用するAIシステムは、結果的に「EU + ブラジル + 主体ベース格上げ」の3層チェックを受けることになり、これは想像以上に重いコンプライアンス負荷です。
中東 ─ UAEの二層構造とサウジの戦略的ソフトロー
中東2か国は同じ地域でありながら、全く異なる規制スタンスを取っています。
UAE は 包括的AI法を持たない という選択をしました。その代わり、連邦の PDPL(Personal Data Protection Law、Federal Decree-Law No. 45/2021) と、各経済特区(DIFC、ADGM、DHCC等)の個別規制を 二層構造 で組み合わせる戦略です[^4]。
連邦 PDPL は2021年9月公布、2027年1月完全施行 がスケジュールです。AI規制で特に重要なのが Article 22 で、自動意思決定への異議権 と 人間介入を受ける権利 を明示しています。これは GDPR Article 22 とほぼ同じ構造で、HR Tech・与信・スコアリングなどのAI意思決定に直接適用されます。
そして経済特区側で特に重要なのが DIFC Regulation 10 です。これは DIFC(ドバイ国際金融センター)が自動意思決定とAI使用に関して個別に作った規制で、雇用スクリーニング・財務評価・法的判断における人間監督 を義務化しています。グローバルバンク、フィンテック、リーガルテックが DIFC に拠点を置く場合、Regulation 10 を最初に確認する必要があります。
サウジアラビア は対照的に「戦略的ソフトロー」を選びました。SDAIA(Saudi Data and AI Authority)が2025年11月に公表した AI Adoption Framework は法的拘束力を持たない自主規範ですが、政府調達の事実上必須要件 として機能しています[^5]。
5本柱は次のとおり。
| 柱 | 内容 |
|---|---|
| データガバナンス | データ品質、ライフサイクル管理、ローカリゼーション |
| モデル説明責任 | バージョン管理、変更履歴、責任主体明確化 |
| 透明性 | ユーザー通知、AI使用の開示 |
| 人間監督 | Critical decisions への人間介入 |
| リスク管理 | 影響評価、継続監視、インシデント対応 |
サウジアラビアは2026年を 「Year of Artificial Intelligence」 と公式宣言し、政府AI採用で年間560億ドルの生産性効果を見込んでいます。Vision 2030の中核プロジェクトとして、AI 政府調達は急拡大中。日本企業がサウジ政府向けにAIソリューションを提供する場合、SDAIA 認証取得が事実上必須になります。
PDPL の罰金上限はSAR 500万(約2億円)ですが、SDAIA Framework 自体には罰則がないのが特徴。「認証取得 = 市場アクセス権」 という構造で、ハードローと同等の経済的拘束力を持たせています。
豪州 ─ ソフトロー継続だが Mandatory Guardrails が空中分解中
オーストラリアは3地域の中で最も予測が立てづらい状況にあります。
時系列で整理すると次のようになります[^6]。
| 時期 | 出来事 |
|---|---|
| 2024年9月 | Voluntary AI Safety Standard(VAISS)公表、10ガードレール |
| 2024年〜2025年 | Mandatory Guardrails for High-Risk AI 提案ペーパー、コンサルテーション |
| 2025年10月 | Guidance for AI Adoption(GfAA)公表、VAISS を置換 |
| 2026年現在 | Mandatory Guardrails の将来は 不透明 |
何が起きたか。VAISS の10ガードレール は2024年9月時点で「高リスクAI向けの mandatory 版を作る」という前提で設計されていました。ところが12か月足らずで GfAA に置換されてしまい、Mandatory Guardrails の議論は実質的に停止しています。
Department of Industry, Science and Resources(DISR)と National AI Centre(NAIC)の説明では「GfAA は包括的なガイダンスで、mandatory はもはや必要ない」というトーンに変化しています。これは2025年のオーストラリア総選挙(Albanese政権、労働党)後の政策方針転換の影響が大きいと見られています。
日本企業のオーストラリア事業では、当面は 既存法での対応 が継続することになります。
- Privacy Act 1988:個人情報保護、APP原則、データ侵害通知
- Australian Consumer Law:AI 製品の安全性、誤解を招く表示
- Anti-Discrimination 法群:AI 採用ツールの差別禁止
- Online Safety Act 2021:AI 生成コンテンツの安全性
- Industry-specific:APRA(金融)、TGA(医療機器)
オーストラリアは「規制を作るより既存法を強める」モデルです。EU・米国の流れと逆方向ですが、これも一つの戦略選択として尊重されるべきかもしれません。
日本企業の優先順位 ─ どこから手をつけるか
第二線の6か国を「全部対応する」のは現実的ではありません。日本企業の実情に合わせた優先順位の判断軸を、私が現場で使っているフレームで示します。
Tier A(必ず対応):すでに罰則が動いており、日本企業の進出が多い
- UAE PDPL + DIFC Regulation 10:金融AI・HR Techが直撃
- サウジアラビア SDAIA:政府調達案件があれば認証必須
Tier B(2026〜2027年で必ず対応):法案成立が確実視される
- ブラジル PL 2338:上院通過済、下院投票後に署名 → 2026〜2027年施行
- チリ AI法案:下院通過済、上院通過後に施行
Tier C(フォロー継続):審議中だが不透明、または既存法対応で十分
- メキシコ AI法案:ドラフト段階、セクター別規制(CNBV、COFEPRIS)が先に効く
- 豪州 Mandatory Guardrails:将来不透明、既存法対応で当面OK
私が現場でアドバイスする順番は、Tier A から始めて、Tier B は 2026年内に対応プロジェクト立ち上げ、Tier C は 四半期ごとのフォロー監視 です。「サウジ SDAIA を後回しにして痛い目を見る」パターン がここ半年で増えており、特に Tier A は要注意です。
第二線も含めた一望地図を作る ─ WARP SECURITYの活かし方
TIMEWELL の WARP SECURITY では、第一線+第二線を 同一の地図 に統合したコンプライアンス・カルテを企業ごとに作成する支援を行っています。「第一線で精緻に作って、第二線は別管理」という分割は 必ず破綻 します。理由は3つあります。
第一に、共通要素が多いこと。リスクベース分類、人間監督、影響評価、ラベリングなど、第一線と第二線で要件のコアが共通しているため、別管理だと 作業重複と要件の不一致 が発生します。
第二に、市場別の優先順位が経営判断であること。「ブラジル子会社が来年初から本格稼働、サウジ政府案件が2026年Q4」という事業計画と、6か国のコンプライアンス対応スケジュールを 同じカレンダー上に並べる ことで、初めて経営判断ができます。
第三に、第二線が突然「第一線化」する可能性があること。中南米3か国の法案が同時に通れば、第二線が一挙に第一線になります。最初から 拡張可能な統合マップ を持っていないと、毎回ゼロから設計し直すことになります。
具体的な統合マップの構成要素は次の通りです。
- 市場別タイムライン:施行日、グレースピリオド、罰則発動日の3点を市場ごとにプロット
- 要件マトリクス:リスクベース分類・人間監督・影響評価・ラベリング・代理人指定の5要件 × 9市場(EU + 第一線 + 第二線)= 45セルのチェックリスト
- 証跡フォルダ構造:1セットの監査エビデンスを複数法域で流用するための社内ドキュメント設計
地味な作業ですが、これを 2026年内に一度作っておく と、2027年以降の規制ラッシュに対する全体最適化された対応が可能になります。
まとめ
- 第二線6か国を「ハードロー化中/既存法活用/ソフトロー継続」の3スタンスに整理
- 中南米3か国は EU AI Act 型ハードロー を同時並行で審議中
- UAE は連邦PDPL + DIFC Reg 10 の二層構造、サウジは SDAIA Framework が政府調達の事実上必須
- 豪州は Mandatory Guardrails が空中分解中、既存法対応の継続
- 日本企業の優先順位は Tier A(UAE・KSA) → Tier B(ブラジル・チリ) → Tier C(メキシコ・豪州)
第二線のAI規制を見るとき、「報道頻度が低い」ことを「重要度が低い」と読み替えるのは危険です。サウジ SDAIA や UAE DIFC Regulation 10 のように、認証や経済特区規制を通じて 事実上の市場アクセス権の前提条件 になっているケースは少なくありません。
EU・米・中・韓・越・印の第一線で頭が一杯になっているうちに、「気づいたらサウジ案件が SDAIA 未認証で落ちた」「DIFC 子会社で Regulation 10 違反が表面化した」というケースが、これから増えると予感しています。私が現場でこの記事を渡しているのは、第二線を「あとで」と先送りしないでほしい という思いからです。
合わせて読みたい:韓国AI基本法2026年1月施行、ベトナムAI法 ASEAN初の包括的AI法、シンガポール Agentic AI ガバナンスフレームワーク、インド DPDP + AI Sutras。
参考文献
[^1]: Brazil AI Regulation: Bill 2338, ANPD, Current Status (2026) - Nathaly Calixto [^2]: AI laws and regulations in Mexico - CMS Expert Guide [^3]: Chile AI Bill Signals Global Governance Shift - AI CERTs News [^4]: AI in the UAE: Understanding the Regulatory Landscape - Latham & Watkins [^5]: Saudi Arabia's AI governance framework: what it means for 2026 - 6clicks [^6]: Voluntary AI Safety Standard - Department of Industry Science and Resources
- Brazil AI Act - Artificial Intelligence Act
- AI Regulation Chile 2025 - Nemko Digital
- Mexico AI Regulation 2025: Key Legal Insights - Nemko Digital
- The UAE's AI Governance Laws: PDPL, DIFC Rules - Captain Compliance
- Saudi Arabia designates 2026 as the Year of AI - Arab News
- Australia releases proposed mandatory guardrails - Corrs Chambers Westgarth
- AI Regulation in the Middle East: 14 Countries Scored - Verifywise