株式会社TIMEWELLの濱本 隆太です。
米国州AI規制の話になると、決まって名前が挙がるのはカリフォルニア、コロラド、テキサス、ニューヨークの4州です。私自身、PR-1としてこの4州の記事を書きました。けれども実務の現場で日本企業のリスクアセスメントを手伝っていると、この4州だけ追いかけている会社が、別の3州で足元をすくわれる 場面を何度も見ます。
イリノイ、ユタ、マサチューセッツ。報道での扱いは小さく、4州ほどの派手さもありません。それでも 2026年1月1日にイリノイ HB 3773 が施行され、ユタの規制実験は2027年7月までスケジュール化され、マサチューセッツの医療AI法案は2026年内成立も視野 に入りました。
「4州地図」では拾えない、3つ目の地図 を描きます。
要約
- イリノイHB 3773:2026年1月1日施行済。AIによる雇用差別禁止+通知義務。グローバルHRTechを使う日本企業の大半が射程内
- ユタUAIPA:2025年5月7日改正で「ライト・タッチ」に方向転換。Regulatory Mitigation Agreement が日本企業の実証実験基盤として面白い
- マサチューセッツSB 2632:医療AIに特化、メンタルヘルスと利用審査でAIによる人間判断の代替を禁止。2026年内成立可能性
- 4州地図に欠けている 「雇用差別型」「サンドボックス型」「セクター特化型」 の3哲学を補完する記事
- 日本企業の優先順位は HRTech → 医療AI → コンシューマー生成AI の順で当てはまりやすい
なぜ4州だけ追ってはいけないのか
PR-1で扱ったカリフォルニア・コロラド・テキサス・ニューヨークの4州は、いずれも「包括型のAI規制」を志向した法律です。フロンティアモデル、ハイリスクAI、自動意思決定ツール——抽象度の高い概念を使って、AIを横断的に規制しようとしました。
ところが米国の州AI規制は、もう一段下のレイヤーで別の動きをしています。包括型ではなく、既存法をAIに拡張するアプローチ と、包括型を志向しつつ軽くするアプローチ、そして 特定セクターに絞るアプローチ の3つです。
イリノイの HB 3773 は、AI規制という看板を掲げていません。Illinois Human Rights Act という1950年代から続く既存差別禁止法を改正し、その中にAIを差し込んだだけ。けれども実務上は、雇用領域における米国で最も包括的なAI規制の一つになっています。
ユタの UAIPA は、当初2024年5月施行時に「米国初の包括的AI法」と報道されました。それが1年で軌道修正されて、「ライト・タッチ」に振り切ったのが2025年5月の改正パッケージです。私はこのユタの動きを、全米AI規制の方向感を占う先行指標 だと見ています。
マサチューセッツ SB 2632 は、医療というセクター一点突破型。これも見落とされがちですが、日本の医療AI企業がボストン圏のヘルスケア企業と組む場面は急増しており、関係者の射程に入っているはずです。
3州それぞれが、4州地図とは別の論理で動いている。そのまま放置すれば、4州地図を信じて準備した日本企業が、別の3州で予期しない通知違反・訴訟リスクに直面します。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
イリノイHB 3773 ─ 既存差別禁止法をAIに拡張する古典的設計
イリノイHB 3773 は、Pritzker知事が2024年8月9日に署名し、2026年1月1日に施行 されました。法律本体は数ページの短さです。けれども適用範囲は驚くほど広く、IDHR(Illinois Department of Human Rights)の draft regulations を読むと、その広さが見えてきます。
通知義務の対象になる「AIの雇用利用」は、IDHR が2025年12月に公開したドラフト規則で次のように例示されています[^1]。
- 履歴書のスクリーニング、求人ターゲティング
- コンピュータベースの性格テスト・適性テスト
- 動画・オンライン面接における表情・語彙・音声分析
- 第三者から取得したデータの分析
- 業績予測、文化適合性測定のためのアセスメント
「雇用判断に 影響を与える または 促進する AI」という広い文言が選ばれており、最終決定者が人間であっても、AIが推奨や順位付けを出している場面は全て対象です。これは EU AI Act の Annex III(高リスクAI)の雇用カテゴリと、結果的にかなり重なる範囲設定になっています。
雇用主は次の対応を取る必要があります。
- AIによる雇用判断利用について、求職者・従業員への 書面通知
- 通知は 初回提示時+年次更新+新ツール導入時 に必要
- 物理オフィスとオンライン(人事ポータル、ATS等)の両方に掲示
- 採用代行業者・ヘッドハンターなど 代理人にも通知義務が及ぶ
罰則は Illinois Human Rights Act の本則を引き継ぎます。実損害賠償、民事制裁金、弁護士費用、是正命令——金額的に派手ではないものの、集団訴訟の射程に乗ると一気に重くなる タイプの法律です。米国の class action 文化と相性が良すぎる。私はここを最大のリスクポイントと見ています。
日本企業への影響を整理すると、グローバルHRTechを使っている時点で、ほぼ確実に該当します。Workday、SAP SuccessFactors、Greenhouse、HireVue、Pymetrics——これらの SaaS の どこかの機能が、イリノイ州民を相手にすれば対象 になります。「うちはAIを使ってない」と思っている人事部門でも、ATS(採用管理システム)に組み込まれたスコアリングエンジンが該当することはきわめて多いです。
合わせて読みたい:米国州AI規制の包括型2州(CA・CO)と意図ベース2州(TX・NY)の対比は、テキサスTRAIGA × ニューヨークRAISE Act と コロラドCAIA廃止とADMT置換 で別途扱っています。
ユタUAIPA ─ ライト・タッチへの方向転換と Regulatory Mitigation Agreement
ユタの動きは、米国州AI規制の中で最も特異です。2024年5月施行の Utah Artificial Intelligence Policy Act(UAIPA, SB 149)は、当初「米国初の包括的AI法」と謳われました。けれども実態は、生成AI業界からの猛烈なロビー活動を受けて、わずか1年で大幅に骨抜き にされます。
2025年5月7日に同時施行された4本の修正法(SB 226 / SB 332 / HB 452 / SB 271)が転換点です[^2]。
- SB 332:サンセット条項を 2025年5月から 2027年7月1日まで延長
- SB 226:開示義務を「high-risk AI interaction(高リスクAI対話)」に限定
- HB 452:メンタルヘルスチャットボット規制を新設
- SB 271:消費者向け生成AIサービスの定義を狭く修正
最も重要なのは SB 226 による「high-risk AI interaction」の定義です。次の2要件を 両方 満たす場合のみ、開示義務がかかります。
- 財務・医療・生体情報など、sensitive personal information の収集
- 重大な個人決定に資する助言(財務・法律・医療・メンタルヘルスのアドバイス)
つまり、雑談的なチャットボットや一般情報提供のジェネレーティブAIは、開示義務から外れました。これは大手LLMプロバイダーが求めた「ChatGPT のような汎用対話AIをいちいち開示義務にかけるな」という要望を、ほぼそのまま受け入れた形です。
そして2026年に入って HB 320(Office of Artificial Intelligence Policy Amendments)が成立し、Office of Artificial Intelligence Policy が制度的に強化されました。注目すべきは2つの仕組みです[^3]。
第一に Regulatory Mitigation Agreement。既存の州規制と衝突するAI技術について、Office と事業者が個別に合意して 時限的な規制適用免除 を受けられる仕組みです。例えば、AIによる医療アドバイスがユタ州の医師法と抵触する可能性があるとき、Office と合意することで「12か月間、特定条件下で試験運用」が可能になります。
第二に AI Learning Laboratory Program。Office が AI 技術を実証実験ベースで分析し、必要に応じて州法を見直すための制度です。これは英国の AI Growth Lab に近い構造で、「規制機関が学習する」 ことを建付けに組み込んでいます。
罰則は 違反1件あたり最大2,500ドル という軽さ。これは UAIPA が「実質的な実証実験の場」として機能することを意図した設計だと、私は読んでいます。日本企業がアメリカでAIを実証実験したい場合、カリフォルニアではなくユタを選ぶ という戦略が、ここから現実的に成立し始めました。
マサチューセッツSB 2632 ─ 医療AI一点突破型
マサチューセッツの SB 2632 は、医療領域に特化した法案です。2025年10月16日に Senate委員会で favorably reported され、2026年5月時点では Joint Committee on Health Care Financing に係属中[^4]。
中核は2つです。
第一に メンタルヘルス領域でのAI制限。
- AIが患者と直接対話して 独立した治療判断 を行うことを禁止
- AIが生成した治療勧告は、必ずライセンス取得済み専門家のレビューが必要
- AIツール利用について、患者からの 明示的・インフォームドコンセント が必須
第二に 保険会社の utilization review(利用審査)における AI 制限。
- AI が人間の判断を完全に代替して、保険給付の可否を決定することを禁止
- 差別的影響を生じる方法での AI 利用を禁止
このアプローチは、コロラドや EU AI Act のような「ハイリスクAI」概念を使った包括的規制ではなく、医療というセクター内部で起きている具体的な問題 に対する応答です。
具体的な問題とは何か。米国では大手保険会社が AI 利用審査ツール(特に nH Predict と呼ばれる UnitedHealth Group のシステム)の 誤判定率の高さ で2023年から複数の集団訴訟を抱えています。患者団体が「保険会社が AI に給付却下を判断させ、専門家のレビューを形骸化させている」と告発した結果、複数州が立法的対応に動き始めました。
マサチューセッツの動きは、その全米的な波の中の一つです。SB 2632 が可決されれば、ボストン圏に拠点を置く医療AIスタートアップ(PathAI、Wellframe、Buoy Health など)と、それらと協業する日本のヘルスケア企業に、直接的な影響が及びます。
私の見方として、SB 2632 のロジックは 医療以外の「専門職判断」AIにも拡張する可能性 が高いです。法務(リーガルテック)、金融アドバイス、教育評価——「ライセンスを要する専門職の判断をAIが代替する場面」全体に、同様の枠組みが波及するパターンに入った、と捉えています。
4州地図と3州地図を重ねて読む
米国州AI規制を語るときに、PR-1で扱った4州とPR-2で扱う3州を、規制哲学の軸で並べると次のようになります。
| 哲学カテゴリー | 該当州 | 中核ロジック | 日本企業への当たり方 |
|---|---|---|---|
| 包括的高リスク型 | カリフォルニア、コロラド(廃止) | リスクベース、影響評価義務 | プロダクト全体の再設計圧 |
| 意図ベース型 | テキサス | 悪意ある加害のみ罰する | 禁止行為AIの棚卸し |
| フロンティア限定型 | ニューヨーク、カリフォルニアSB 53 | 大手のみ対象、72時間報告 | 日本企業はほぼ非該当 |
| 既存差別法拡張型 | イリノイ | 既存法をAIに拡張 | HRTech利用企業の大半が該当 |
| ライト・タッチ/サンドボックス型 | ユタ | 軽い規制+規制緩和合意 | 実証実験の合法的土俵 |
| セクター特化型 | マサチューセッツ | 医療など特定領域に絞り込み | 医療AI・メンタルヘルスチャットボット |
この6カテゴリーを意識して並べると、米国州AI規制が 「単一の哲学で読めない」 という現実が見えてきます。EU AI Act のように一枚岩の論理で動いている地域とは違って、米国は 連邦不在のまま、各州が別の論理で別の領域を規制している 状況です。
これは日本企業のコンプライアンス担当者にとって、頭の整理が極めて難しい問題です。私が顧客に対してまず勧めているのは、「AIプロダクトを州別に分解せず、ユースケース別に分解する」 こと。HRTech、医療AI、コンシューマー向け生成AI、金融AI、教育AI——ユースケース別にどの州のどの哲学に該当するかをマッピングすると、6カテゴリーの中の3〜4つに集中することがほとんどです。
そして3州地図でカバーしている領域は、4州地図では捉えきれません。HRTech はイリノイ、医療AIはマサチューセッツ、コンシューマー生成AIはユタ——この対応関係を頭に入れておくと、規制マッピングの作業が大幅に楽になります。
WARP SECURITYで「6つの哲学を1つの組織にどう落とすか」を設計する
ここまで読んでいただいた方は、すでに気づいているはずです。米国州AI規制の6カテゴリーを、ひとつの会社のひとつのAIガバナンスポリシーに統合する ことは、座学では到底ムリです。条文を読んで終わりではなく、自社のAIプロダクト棚卸しと突き合わせて、各州ごとに「該当する/しない/グレー」を判定し、優先順位を付ける作業が必要になります。
TIMEWELLの WARP SECURITY では、このマッピング作業を「6カテゴリー × 自社AIプロダクト」のマトリクスとして体系化するワークショップを設計しました。経営層は規制哲学の地図と優先順位判断を、現場の法務・エンジニアリングはユースケース別のチェックリストと通知文サンプルを持ち帰る、という非対称の役割分担です。
特にイリノイHB 3773 については、施行から半年が経ってもなお、日本企業の人事部門が「自社のATSが該当するかどうか」を判定できていないケースが多数あります。WARP SECURITY のワークショップでは、ATS・採用支援SaaS・面接動画分析ツールを 実物のスクリーンショットと契約書ドラフトを並べて 該当判定する手順を実演します。
ユタの Regulatory Mitigation Agreement については、日本企業がアメリカ進出時にこれを「実証実験の合法的な土俵」として活用する戦略パスを、Office of AI Policy の公式ドキュメントと並べて検討します。マサチューセッツの医療AI規制については、ボストン圏のヘルスケア企業と組む可能性のあるスタートアップ向けに、契約条項チェックリストを準備しています。
机上の条文比較で終わらせず、「明日、自社のAIプロダクトのどこに手を入れるか」 にまで降ろし切る。それがWARP SECURITYの設計思想です。
まとめ
- イリノイHB 3773 は2026年1月1日施行済。HRTech利用企業の大半が該当
- ユタUAIPA は2025年5月の修正で「ライト・タッチ」に転換、Regulatory Mitigation Agreement が実証実験の土俵に
- マサチューセッツSB 2632 は医療AI一点突破、メンタルヘルスと利用審査でAIによる人間判断代替を禁止
- 米国州AI規制は 6つの哲学カテゴリー で分類できる。4州地図だけでは穴がある
- 日本企業はユースケース別マッピング(HRTech / 医療AI / コンシューマー生成AI)で判定を効率化すべき
派手な4州ばかりが報道される中で、3州を見落とすコストは小さくありません。とくにイリノイは、施行から半年が経過した今こそ、集団訴訟リスクが顕在化し始める段階に入りました。私は「規制が静かに動く州ほど、コンプライアンス担当者が走らされる」という現実を、過去20年の米国規制動向で何度も見てきました。次に走らされるのは、HRTechとメンタルヘルスチャットボットを扱う日本企業だと感じています。
合わせて読みたい:カリフォルニア州AI規制3本、テキサスTRAIGA × ニューヨークRAISE Act、米国連邦AI政策2026。
参考文献
[^1]: Illinois Unveils Draft Notice Rules on AI Use in Employment - Ogletree [^2]: Utah scales back reach of generative AI consumer protection law - Davis Polk [^3]: Regulatory Mitigation - Office of Artificial Intelligence Policy (Utah) [^4]: Bill S.2632 194th (Current) - Massachusetts Legislature
- Legal Update: New Illinois AI Law Requires Employee Notice - Seyfarth Shaw
- Artificial Intelligence in Employment (Public Act 103-0804) - Illinois DHR
- New Utah AI Laws Change Disclosure Requirements - Perkins Coie
- Legislation in Massachusetts Addresses AI for Mental Health and Utilization Review - Hooper Lundy