EU AI Act 全面施行から3ヶ月 — 日本企業に届いた最初の影響
EU AI Actが2026年2月に全面施行されてから3ヶ月が経過し、欧州AI委員会(European AI Office)による初の執行事例が現実のものとなった。EUの域外適用条項(第2条)に基づき、EU市場向けにAIシステムまたはGPAIモデルを提供する日本企業も規制対象となり得ることが、具体的な罰金事例を通じて初めて「仮定」から「実務問題」へと転化した。
背景
EU AI Actは2024年8月に発効し、リスク分類ごとに段階的な施行スケジュールが設定された。2025年2月に禁止AI慣行条項(第5条)、2025年8月にGPAIプロバイダー義務(第53条・第55条)、そして2026年2月に高リスクAIシステム義務を含む本体規定が全面施行された。GPAIとは、GPT系・Gemini系に代表される汎用目的AIモデルを指し、10億パラメータ超を目安として「システミックリスクを有するGPAI」には追加義務が課される。日本企業のうち、(1)EU居住者・法人向けにSaaSやAPIとしてAI機能を提供する、(2)EU子会社・代理店を通じてAIシステムを販売する、(3)自社OEMにGPAIモデルを組み込んでEU向け製品を出荷するケースは、いずれも域外適用の射程に入る。施行から90日、欧州AI委員会はフランスおよびドイツ当局と連携し、初の調査通知を複数社に対して発出した。
リスクの全体像
日本企業が直面するリスクは三層構造で捉えられる。第一層は直接規制リスク:EU域内ユーザーにGPAIベースのサービスを提供しているにもかかわらず、技術文書(第53条(1)(a))・著作権ポリシー開示(第53条(1)(c))・EU AI Officeへのモデル登録を未了とした場合、最大3,000万ユーロまたは全世界年間売上高3%の制裁。第二層はサプライチェーンリスク:EU本社がGPAIプロバイダーとして適法に認定されていても、日本の開発拠点が提供するファインチューニング版モデルが「別モデル」と判断されれば、日本法人が独立したプロバイダー義務を負う。第三層は契約・調達リスク:EU企業との取引で「AI Act準拠確約書」が契約条件化されており、未提出の場合は商談失注または契約解除事由となる事例が既に複数報告されている。技術的観点では、高リスク分類AIにおけるログ保持義務(第12条)とヒューマンオーバーサイト設計(第14条)が、既存SaaS製品の設計変更を要求する局面が生じている。
チェックリスト
- EU向けAIサービスの棚卸し:自社が提供するAI機能・APIのうち、EU居住者・法人がエンドユーザーとなるものをすべて列挙し、GPAIモデル(第3条(63)定義)に該当するか判定する。
- 技術文書(Technical Documentation)の整備状況確認:第53条(1)(a)が要求するモデルアーキテクチャ・学習データ・評価手法・既知リスクの文書が存在し、EU AI Officeへの提出または開示準備が整っているかを確認する。
- 著作権ポリシーの開示実装:学習データに係る著作権遵守方針(第53条(1)(c))を公開URLで提供しており、日本語のみでなく英語・EU主要言語でも参照可能な状態にあるかを確認する。
- EU代理人(Authorised Representative)の指定:EU域内に拠点を持たない日本企業が対象製品をEU市場に提供する場合、第22条に基づくEU代理人の指名・当局への届出が完了しているかを確認する。
- EU顧客との契約条項点検:現行の取引基本契約・SLA・API利用規約に「EU AI Act準拠」に関する表明保証または誓約条項が求められていないかをレビューし、未対応の場合は法務・営業が連携して交渉方針を決定する。
打ち手
優先順位は以下の順で着手する。①スコープ確定(即時):EU向けサービスを提供する事業部門を横断的に特定し、GPAI該当性の法務判断を確定させる。②技術文書・著作権ポリシーの整備(30日以内):既存の内部設計書をEU AI Act様式に変換し、公開ページを設置する。③EU代理人の指名(60日以内):EU現地法律事務所またはコンプライアンス代理人と契約し、当局通知を完了させる。④契約レビューとサプライヤー確認(90日以内):EU顧客との全契約を点検し、下請けモデルプロバイダーへの義務フローダウン条項を挿入する。規制対応を一括委託するのではなく、法務・技術・調達が三位一体で動く体制が不可欠である。
域外適用は「対岸の火事」ではなく、EU取引の与信条件である。
Omamori AI の結論
- 事実: EU AI Actは2026年2月全面施行済みであり、欧州AI委員会は初の調査通知を発出した。GPAI提供者義務(第53条・第55条)および域外適用条項(第2条)は、EU向けAI機能を持つ日本企業に直接適用される。制裁上限は全世界売上高3%または3,000万ユーロのいずれか高い方。
- 判断軸: 自社のAI機能がEUユーザーに到達しているか否かがスコープ判定の起点。「EU拠点がないから無関係」という解釈は域外適用条項によって否定されており、EU子会社・代理店・API経由の間接提供も対象となり得る。技術文書の不備と著作権ポリシー未開示が、初期調査で最も指摘されやすいコンプライアンスギャップである。
- 打ち手: まず30日以内に「EU向けAIサービス一覧」と「GPAI該当性の法務判断書」を整備する。次にGPAI該当製品については技術文書・著作権ポリシーの公開と、EU代理人の指名を並行して進める。EU顧客との契約にAI Act準拠条項が要求されている場合は、交渉窓口を法務部門に一本化し、個別営業判断で対応させない体制を構築する。
経営者視点で考えるべきこと
取締役会が問われるのは、善管注意義務の観点から「EU AI Actの域外適用リスクを認識した上で適切な管理体制を整備したか」である。EU向けビジネスを有する上場企業においては、同リスクの重要性・対応状況を有価証券報告書のリスク情報として開示するかどうかの判断も求められる。制裁金リスク(全世界売上高3%)が顕在化した場合、株主・機関投資家に対する説明責任が生じる。一方、コンプライアンス整備はコストのみならず、EU顧客との競争優位にもなり得る。EU企業は調達先に「AI Act準拠確約書」を求め始めており、早期に対応を完了した企業はRFPの審査段階で優位に立つ。事業継続性の観点では、EU代理人未指名のままEU当局から改善命令を受けた場合、EU市場からの事実上の撤退リスクが生じる。経営判断としては、コンプライアンス費用対EU事業収益のROI計算を明示し、対応投資を「欧州事業継続のための必要原価」として取締役会決議に乗せることが実務上求められる。
