この記事を読むと
- EU AI Actとは何か、日本企業がなぜ対応を考える必要があるのかがわかります。
- EU AI Act日本企業対応チェックリスト、AI literacy training template、部署別AI利用ポリシーのたたき台を使えます。
- ISO 42001取得を考えるSaaSスタートアップが、何を先に整えるべきか整理できます。
この記事の監修者
宮﨑 一旗
宅地建物取引士 / 連続起業家 / 株式会社ライフワンネクスト取締役
宅地建物取引士(登録番号:(神奈川)第129630号)。補助金SEOメディア「補助金プラス」運営、AIスタートアップAtlas株式会社共同創業者。不動産・住宅領域のSEO/LLMOコンサルティングと記事監修を行う。
プロフィールを見る最新確認:AIリテラシー義務はすでに適用開始
2026年6月19日時点で、EU AI Actの一部義務はすでに適用されています。欧州委員会のAI Actページは、EU AI Actが2024年8月1日に発効し、2026年8月2日に全面適用される一方、禁止AI慣行とAI literacy義務は2025年2月2日から適用されていると説明しています。
- 日本企業でも、EU顧客、EU拠点、EU向けSaaS、EUで使われるAI機能がある場合は確認が必要です。
- 最初の実務は、AI棚卸し、リスク分類、職種別AIリテラシー研修、AI利用ポリシーの整備です。
- ISO/IEC 42001はEU AI Actそのものではありませんが、AIマネジメント体制を作る枠組みとして使いやすい標準です。
EU AI Actとは日本企業にとって何を求める法律か
EU AI Actとは、AIシステムをリスク別に管理するEUの包括的なAI規制です。欧州委員会は、EU AI Actを世界初の包括的なAI法的枠組みと説明し、AI開発者と利用者に対してリスクベースのルールを設定しています。
| 日本企業が見る論点 | 実務での確認 | 初手 |
|---|---|---|
| EU接点 | EU顧客、EU子会社、EU市場向けSaaS、EU内で利用されるAI機能があるか。 | AI台帳に地域と利用者を追加 |
| AI literacy | AIを扱う社員・委託先に十分なAIリテラシーを確保しているか。 | 職種別研修と受講記録 |
| 高リスク可能性 | 採用、信用評価、教育、医療、安全部品などに該当しないか。 | 用途別リスク分類 |
| 生成AI利用 | 社内で生成AIをどう使い、何を禁止し、いつ承認するか。 | 部署別AI利用ポリシー |
EU AI Actは「EU企業だけの法律」ではありません。EU市場にAIシステムを提供する、EU内の利用者に影響する、EU顧客にSaaSを提供する、またはEU子会社で生成AIを使う企業は、実務上の影響を受ける可能性があります。日本企業が最初にやるべきことは、条文を全部読むことではなく、自社のAI利用を棚卸しし、EUとの接点とリスクを分けることです。
この記事では、EU AI Actの概要だけでなく、日本企業が影響を受けやすい具体場面、AI literacy training template、部署別AI利用ポリシー、ISO 42001を取るかどうかの考え方まで整理します。法的判断が必要な場合は専門家確認が前提ですが、社内準備のたたき台として使える粒度を目指します。
EU AI ActとはAIをリスク別に管理する法律
EU AI Actは、AIシステムを一律に禁止する法律ではありません。大きくは、禁止されるAI、高リスクAI、透明性義務がかかるAI、最小リスクのAIに分け、リスクの大きさに応じて義務を変える構造です。欧州委員会のAI政策ページも、AI Actが4つのリスクレベルに基づくアプローチを導入していると説明しています。
日本企業が誤解しやすいのは、「生成AIを使っているだけなら関係ない」と考えることです。たとえば、EU子会社の人事部門が採用候補者の評価にAIを使う、EU向けSaaSにAI判定機能を組み込む、EU顧客へAI機能を提供する場合、利用者や用途によって義務が変わります。
EU AI Actの適用スケジュールと日本企業の確認日
欧州委員会のApplication timelineによると、EU AI Actは2024年8月1日に発効し、原則として2026年8月2日に全面適用されます。ただし、すでに適用されている義務と、後から来る義務があります。
| 日付 | 主な内容 | 日本企業の実務 |
|---|---|---|
| 2024年8月1日 | EU AI Actが発効。 | AI台帳とEU接点の棚卸しを開始。 |
| 2025年2月2日 | 禁止AI慣行とAI literacy義務が適用開始。 | AI研修、利用ルール、禁止用途の周知を始める。 |
| 2025年8月2日 | GPAIモデル関連の義務が適用開始。 | 自社がモデル提供者か、単なる利用者かを分ける。 |
| 2026年8月2日 | 多くの義務が適用。 | リスク分類、透明性、監査証跡を整える。 |
| 2028年8月2日 | 規制対象製品に組み込まれる高リスクAIは移行期間が延長。 | 医療機器、車載、産業機器などのAI機能は長期計画で管理。 |
EU AI Act日本企業対応チェックリスト
日本企業の初手は、法務部だけで条文を読むことではなく、事業・情シス・人事・開発・セキュリティを巻き込んだAI棚卸しです。EU AI Actは「提供者」「導入者」「輸入者」「販売者」などの立場で義務が変わるため、自社がどの立場にいるかも記録します。
| チェック項目 | 見る内容 | 証跡の例 |
|---|---|---|
| AI台帳 | 利用AI、提供者、部署、用途、利用データ、利用者を一覧化する。 | AI inventory、ツール申請、契約一覧 |
| EU接点 | EU顧客、EU拠点、EU市場投入、EU内利用者の有無を確認する。 | 顧客地域、SaaS提供地域、契約条項 |
| リスク分類 | 禁止AI、高リスクAI、透明性義務、最小リスクを用途別に分類する。 | 用途別リスク判定表 |
| ベンダー契約 | AIベンダー、モデル提供者、データ処理者の責任範囲を確認する。 | DPA、SLA、モデルカード、ログ仕様 |
| AI literacy | AIを扱う社員・委託先に職種別研修を実施する。 | 研修資料、受講記録、確認テスト |
| 監査証跡 | 承認、利用履歴、例外、インシデント、改善履歴を残す。 | チケット、監査ログ、レビュー記録 |
AI literacy training template EU AI Act:職種別に設計する
欧州委員会のAI Literacy Q&Aは、Article 4がAIシステムの提供者・導入者に対し、AIシステムを扱うスタッフや関係者の十分なAIリテラシーを確保する措置を求めると説明しています。さらに、技術知識、経験、教育、利用文脈、AIの対象となる人々を考慮するとしています。
つまり、全社員に同じ動画を一度見せるだけでは弱い可能性があります。AIをどの部署が、どの用途で、誰に対して使うかによって、研修内容を変えるのが現実的です。
| 対象 | 研修テーマ | 確認テスト |
|---|---|---|
| 全社員 | 生成AIの基本、ハルシネーション、機密情報、著作権、禁止用途。 | 機密情報を入力してよいか、回答をそのまま使ってよいか。 |
| 営業・CS | 顧客説明、誇大表現、AI生成物の扱い、顧客情報の入力制限。 | 顧客別の機密情報をAIへ入れる判断。 |
| 人事 | 採用・評価AIの高リスク可能性、バイアス、説明責任。 | AIで候補者を自動順位付けしてよいか。 |
| 開発・情シス | ログ、モデル変更、セキュリティ、データ保持、ベンダー管理。 | AI機能を本番投入する前のレビュー項目。 |
| 管理職 | 承認権限、例外処理、事故対応、監査証跡。 | 部署で未承認AIを見つけた時の処理。 |
欧州委員会はAI literacy practicesのrepositoryも公開しています。これは法的な適合を保証するものではありませんが、研修設計の参考になります。
AI利用ポリシー生成AI部署別テンプレート
生成AI利用ポリシーは「機密情報を入れない」「最終判断は人が行う」だけでは現場で迷いが残ります。EU AI Act対応を意識するなら、部署ごとに許可しやすい用途、承認が必要な用途、禁止または専門家確認が必要な用途を分けます。
部署別AI利用ポリシーのたたき台
| 部署 | 許可しやすい用途 | 承認が必要な用途 | 禁止・要専門確認 |
|---|---|---|---|
| 営業 | 提案書の下書き、議事録要約、FAQ草案。 | 顧客データを含む分析、契約条件の比較。 | 顧客へAI回答を未確認で送信。 |
| 人事 | 研修資料、社内FAQ、求人票の草案。 | 採用プロセス支援、評価補助。 | 候補者や社員をAIだけで評価・順位付け。 |
| 開発 | コードレビュー補助、テストケース案、ドキュメント草案。 | 本番コード生成、外部API連携、自動修正。 | 秘密鍵、本番データ、未公開脆弱性を未承認AIへ入力。 |
| 法務 | 条項比較、論点整理、契約レビューの下準備。 | 対外文書の作成、規制判断の補助。 | AI回答を法的判断としてそのまま採用。 |
このテンプレートは、EU AI Act対応だけでなく、国内の生成AIガバナンスにも使えます。重要なのは、各部署が「どのAIを、どのデータで、どの判断に使っているか」を継続的に更新することです。
ISO 42001取得をSaaSスタートアップが考える時の順番
ISO/IEC 42001は、AIマネジメントシステムを構築、実施、維持、継続的改善するための国際標準です。ISOは、AIを開発または利用する組織が責任あるAI利用を管理するための標準として説明しています。
ISO 42001はEU AI Actの代替ではありません。取得すればEU AI Actに自動適合するわけではありません。一方で、AI台帳、リスク評価、影響評価、責任者、ポリシー、教育、改善サイクルを作るための管理システムとして、SaaSスタートアップには相性があります。
| 段階 | やること | 成果物 |
|---|---|---|
| 1. 取得前 | AI機能と顧客要求を棚卸しする。 | AI台帳、EU接点リスト、利用データ一覧 |
| 2. ギャップ分析 | 既存のISMS、SOC2、プライバシー管理と重なる部分を確認する。 | 不足管理策一覧 |
| 3. AIMS設計 | AI方針、役割、リスク評価、影響評価、変更管理を決める。 | AI管理規程、リスク評価表 |
| 4. 運用 | 研修、レビュー、インシデント対応、モデル変更の記録を残す。 | 研修記録、承認ログ、監査証跡 |
| 5. 認証判断 | 顧客要求、営業効果、監査コストを見て認証取得を決める。 | 認証ロードマップ |
EU顧客へAI機能を提供するSaaSなら、まずEU AI Act対応のためのAI台帳と研修を先に整え、そのうえでISO 42001を営業・監査・組織運用の武器にする順番が現実的です。
EU AI Actについてよくある質問
EU AI Actとは何ですか?
EU AI Actとは、AIシステムをリスク別に管理するEUのAI規制です。禁止AI、高リスクAI、透明性義務、最小リスクなどに分けて義務を設定します。
日本企業もEU AI Actに対応が必要ですか?
EU顧客、EU拠点、EU市場向けSaaS、EU内利用者に影響するAI機能がある場合は確認が必要です。日本国内だけで完結する用途とは切り分けて考えます。
AI literacy trainingは全社員に必要ですか?
EU AI Act Article 4は、AIシステムを扱うスタッフや関係者のAIリテラシー確保を求めています。実務上は、全社員向け基礎研修に加え、人事、営業、開発、管理職など職種別に分けると運用しやすくなります。
AI利用ポリシーはどこまで作ればよいですか?
最低限、利用可能AI、入力禁止データ、承認が必要な用途、禁止用途、ログ、事故時の連絡先を決めます。現場運用では、部署別テンプレートまで落とす方が有効です。
ISO 42001を取ればEU AI Actに適合しますか?
自動的に適合するわけではありません。ただし、AIマネジメントシステムを整える枠組みとして有効で、EU AI Act対応に必要な棚卸し、リスク管理、教育、証跡管理と相性があります。
出典・一次情報
- European Commission: AI Act
- European Commission: AI Literacy Questions & Answers
- European Commission: Repository of AI literacy practices
- European Commission: Guidelines for providers of general-purpose AI models
- EUR-Lex: Regulation (EU) 2024/1689
- ISO: ISO/IEC 42001:2023 Artificial intelligence management system
最終確認日:2026年6月19日。EU AI Actのガイドライン、移行期間、各国当局の運用は変わる可能性があります。具体的な適用判断は専門家と公式情報で確認してください。