このブログではこれまで、AIのリスクを「技術と運用」の側から見てきました。乗っ取り、社員のこっそり利用、もっともらしい嘘──。今日は初めて、「法律・ルール」の側からAIを眺めてみます。
きっかけは、つい先日の大きなニュースです。世界初の包括的なAI規制であるEUの「AI Act(AI法)」。その”本格適用の日”とされてきた2026年8月2日が、開始のわずか1ヶ月あまり前になって、一部延期と正式に決まりました。2026年6月29日、EU理事会が延期を含む簡素化パッケージを最終承認したのです。
「ヨーロッパの法律でしょ? うちには関係ない」──そう思った方にこそ、今日の話は役に立ちます。延期されたもの・されなかったものを見ると、これから世界のAIルールがどこへ向かうのか、そして日本の中小企業が「今のうちに」何をしておくと得なのかが、かなりはっきり見えるからです。
何が起きたのか──”本格適用”の直前延期
EUのAI Actは、AIを危険度で分類して義務の重さを変える「リスクベース」の法律です。2024年に発効し、段階的に適用が始まっていました。そして今年の8月2日は、採用選考・与信審査・生体認証といった「高リスクAI」への厳しい義務(文書化、人による監督、登録など)が始まる、いわば本丸の日でした。
ところが、企業や加盟国の準備、そして義務を果たすための技術標準の整備が間に合わない──という声を受けて、EUは延期を決断します。経緯を簡単に並べると:
- 2025年11月、欧州委員会が延期を含む「Digital Omnibus(簡素化パッケージ)」を提案
- 2026年5月7日、EU理事会と欧州議会が暫定合意
- 6月16日に欧州議会、そして6月29日にEU理事会が最終承認(今後、EU官報への掲載を経て正式発効の見込み)
これにより、単独の高リスクAIシステムへの義務は2027年12月2日へ、医療機器など規制対象製品に組み込まれたAIへの義務は2028年8月2日へと、それぞれ後ろ倒しになりました。
ここが重要──延期され「なかった」もの
「なんだ、延期か」で終わらせると、一番大事な点を見落とします。すべてが延期されたわけではないのです。
予定どおり2026年8月2日から始まるものの代表が、「透明性義務」(第50条)です。中身はシンプルで、要するにこの2つ。
- AIとやり取りしていることが、相手に分かるようにする──チャットボットが人間のふりをしてはいけない
- AIが生成・加工したコンテンツには、その旨を表示する──ディープフェイク対策(※表示の技術的な実装には2026年12月2日までの猶予があります)
つまりEUは、「高リスクAIの重い義務は待ってあげる。でも、AIがAIだと名乗ることは待たない」という優先順位を示したことになります。あわせて、本人の同意なく性的な画像を生成するAI(いわゆる「服を脱がせる」アプリ)などを禁止事項に追加し、これも今年12月から適用されます。悪質な用途への規制は、むしろ強まりました。
なお、EUのAI Actには域外適用があります。EU域内に製品・サービスを提供していたり、AIの出力がEU域内で使われたりする場合は、日本企業にも適用されうる建て付けです。制裁金は最も重い禁止行為違反で最大3,500万ユーロまたは全世界売上高の7%と、桁違いの重さです。
日本はどうなっている?──「罰則なし」のゆるやかな設計
一方の日本。2025年9月に全面施行された「AI推進法」は、EUとは正反対の設計です。
- 性格は「基本法+理念法」。AIの振興が主目的
- 企業に関わるのは、国の施策への協力などの努力義務だけ
- 違反しても行政処分も罰金もありません
実務の拠り所になっているのは、総務省・経済産業省の「AI事業者ガイドライン」(2026年3月31日に第1.2版へ改訂)などの、法的拘束力のない指針です。つまり日本は、「国が細かく縛る」のではなく「各社が自分で線を引く」ことを前提にした制度になっています。
「罰則がないなら何もしなくていい」ではなく、「何をするかは自分で決めてね」という制度だ、と読むのが正確です。
中小企業が「今」やっておきたい3つのこと
EUは延期、日本は罰則なし。なら急ぐ必要はない?──私は逆だと思います。罰則も締め切りもない今こそ、いちばん安く・落ち着いて準備できる時期だからです。やることは大がかりでなくてよく、次の3つで十分です。
① 社内のAI利用を「棚卸し」する
誰が・どの業務で・どのAIサービスを使っているかを、まず1枚にまとめる。これはあらゆる規制対応の出発点であると同時に、社員がこっそり使う「シャドーAI」対策の第一歩とまったく同じ作業です(詳しくは禁止しても、社員はこっそりAIを使っている ── 「シャドーAI」と中小企業の向き合い方)。
② 「AIと名乗る・AI製と表示する」を自社ルールにしてしまう
EUが8月から義務化する透明性ルールは、いずれ世界標準になっていく可能性が高い方向です。お客様対応にAIを使うなら「AIが応答しています」と名乗らせる(この設計はお客様の前に立つAI ── 中小企業が「問い合わせをAIに答えさせる」前に決める3つの線引きで詳しく書きました)。AIで作った画像や動画を販促に使うなら、その旨をひとこと添える(AI生成物の権利や注意点はAIで“それっぽい”動画はもう作れる──でも中小企業が「作る前」に確かめたい3つのことへ)。コストはほぼゼロで、顧客の信頼という一番失いたくないものを守れます。
③ EU向けの事業があるなら、「自社が対象か」だけ確認する
EUの顧客に製品・サービスを提供している、またはAIの出力がEU域内で使われる──そんな事業があるなら、自社のAI利用が高リスク区分に当たらないかの確認だけは早めに。該当するなら、延期後の2027年12月2日があなたの会社の準備期限になります(該当の判断は複雑なので、その場合は専門家への相談をおすすめします)。
まとめ──「延期」は猶予であって、免除ではない
今回のニュースを一言でまとめれば、こうなります。
世界のAIルールは「重い義務は現場に合わせて調整しつつ、『AIがAIだと分かること』から確実に始める」方向へ動いた。
日本の中小企業に、明日から新しい法的義務が生じるわけではありません。でも、AIの利用を把握し、AIには名乗らせ、AI製には表示する──この程度の身だしなみは、罰則で追い立てられる前に済ませておくのが、結局いちばん安上がりです。延期は「準備しなくていい」ではなく、「準備する時間をもらった」という意味なのですから。
参考
- Artificial Intelligence: Council gives final green light to simplify and streamline rules(EU理事会, 2026-06-29)
- Timeline for the Implementation of the EU AI Act(欧州委員会 AI Act Service Desk)
- EU AI Act Omnibus Agreement — Postponed High-Risk Deadlines and Other Key Changes(Gibson Dunn)
- 「欧州(EU)AI規制法」の解説(PwC Japan)
- 日本版AI法の概要と企業への影響(BUSINESS LAWYERS)
- AI事業者ガイドライン 第1.2版(総務省・経済産業省, 2026-03-31)
あわせて読みたい
- 禁止しても、社員はこっそりAIを使っている ── 「シャドーAI」と中小企業の向き合い方
- お客様の前に立つAI ── 中小企業が「問い合わせをAIに答えさせる」前に決める3つの線引き
- AIで“それっぽい”動画はもう作れる──でも中小企業が「作る前」に確かめたい3つのこと
本記事は複数の公開情報をもとに作成しており、法的助言ではありません。個別の判断は専門家にご確認ください。
この記事はAIが作成し、人が内容を確認して公開しています。


コメント