renue

ARTICLE

AIガバナンス完全ガイド2026|EU AI Act+日本AI事業者ガイドライン統合対応・10実務・90日ロードマップ

公開日: 2026/4/7

2026年8月、EU AI Actが全面適用:日本企業も対岸の火事ではない

EU AI Actは2024年8月1日に発効し、2026年8月2日にハイリスクAIに関する大半の規定が全面適用されます。日本企業も、(1) EU域内にAIシステムを提供する場合、(2) AIのアウトプットがEU域内で利用される場合、(3) EU域内のユーザーが利用する場合、のいずれかに該当すれば、提供者・導入者の所在地を問わず適用対象です。違反時の制裁金は最大3500万ユーロまたは年間世界売上の7%で、GDPRよりも大きな金額です。一方、日本国内では「AI事業者ガイドライン」が経済産業省・総務省から発表され、2026年は両規制への同時対応が求められる年になっています。

本記事では、renueがエンタープライズAI支援の知見から、(1) EU AI Actの4リスク分類とそれぞれの義務、(2) 日本AI事業者ガイドラインの全体像、(3) 両規制の比較と統合対応のポイント、(4) ハイリスクAIに該当するか判定する5ステップ、(5) 企業に求められる10の実務対応、(6) コンプライアンス整備90日ロードマップ、(7) renue 7原則を、匿名化して共有します。法務部門・コンプライアンス部門・DX推進責任者・経営層・AIガバナンス担当を想定読者としています。

関連記事として生成AIセキュリティ完全ガイド大企業向けAIコンサル選び方DX推進責任者向け戦略医療業界向けAI導入ガイドもご参照ください。

EU AI Actの4リスク分類

分類1:許容できないリスク(禁止AI)

人間の自律性・基本的権利を著しく侵害するAIは禁止されます。具体的には、(1) サブリミナルな手法で人を操作するAI、(2) 子供・障害者・高齢者の脆弱性を悪用するAI、(3) ソーシャルスコアリング、(4) リアルタイムのリモート生体認証(公共空間での法執行)、(5) 感情認識(職場・学校)、(6) 人種・宗教・性的指向の生体分類、(7) 顔画像のスクレイピング、などが含まれます。違反した場合、最大3500万ユーロまたは年間世界売上の7%の制裁金。

分類2:ハイリスクAI

人々の健康・安全・基本的権利に重大な影響をもたらす可能性が高いAIシステム。以下の領域が含まれます。

  • 生体認証・カテゴリ分類(許容外でない範囲)
  • 重要インフラ管理(電気・ガス・水道・交通等)
  • 教育・職業訓練(試験採点・入学選抜等)
  • 雇用・人事管理(採用・評価・解雇判断)
  • 必要不可欠な民間・公共サービス(信用評価・保険・福祉判定等)
  • 法執行(リスク評価・犯罪予測等)
  • 移民・難民・国境管理
  • 司法・民主プロセス

これらに該当する場合、リスク管理システム・データガバナンス・技術文書・ログ保持・透明性・人間監督・正確性/堅牢性/サイバーセキュリティ・適合性評価・市販後監視といった広範な義務が課されます。

分類3:限定的リスク(透明性義務のみ)

チャットボット・ディープフェイク・感情認識・生体分類・生成コンテンツ等は、ユーザーへの透明性表示(「これはAIが生成しました」「これはAIです」など)が義務化されます。違反時の制裁金は最大1500万ユーロまたは売上の3%。

分類4:最小リスク(規制なし)

スパムフィルター・AI支援型ゲーム等は規制対象外。任意の自主行動規範(コードオブコンダクト)への参加が推奨されます。

追加:汎用AI(GPAI)モデルへの規制

GPT-5・Claude Opus 4.6・Gemini 2.5 Pro等の汎用AIモデル(GPAI)に対しても、技術文書・著作権遵守・トレーニングデータ要約公開・体系的リスク評価などの義務が課されます。プロバイダーだけでなく、これらを組み込む企業にも遵守責任が及びます。

日本AI事業者ガイドラインの全体像

日本では経済産業省・総務省から「AI事業者ガイドライン」が公表されており、AI開発者・AI提供者・AI利用者の3つの立場で守るべき原則・行動指針が示されています。EU AI Actのような罰則規定はありませんが、業界横断のソフトロー的位置付けで、実質的な遵守圧力があります。

10原則(共通)

  • 1. 人間中心:人間の尊厳・自律性を尊重
  • 2. 安全性:身体・財産・精神に対する安全配慮
  • 3. 公平性:差別・バイアスの回避
  • 4. プライバシー保護:個人情報の適切取扱い
  • 5. セキュリティ確保:情報セキュリティ管理
  • 6. 透明性:判断根拠・利用目的の明示
  • 7. アカウンタビリティ:責任の所在明確化
  • 8. 教育・リテラシー:関係者への教育
  • 9. 公正競争確保:市場の公正性
  • 10. イノベーション:技術発展への配慮

立場別の追加指針

  • AI開発者向け:アルゴリズム設計の透明性・データ品質管理・モデル評価
  • AI提供者向け:適切な情報提供・契約条件の明示・継続改善
  • AI利用者向け:適切な利用・リスク認識・最終判断責任

EU AI Act vs 日本AI事業者ガイドライン:比較

EU AI Act日本AI事業者ガイドライン
法的拘束力あり(罰則あり)なし(ソフトロー)
最大制裁金3500万ユーロ or 売上7%なし
適用範囲EU域内に提供 or 出力がEU内で利用日本国内のAI事業者
リスク分類4分類 + GPAI分類なし(10原則)
適合性評価ハイリスクAIで義務任意
市販後監視義務推奨
透明性要件具体的(GPAI/限定的リスクで義務)原則としての記載
運用開始時期2026年8月全面適用段階的に運用開始済み

両者は法的拘束力で大きく異なりますが、要求される実務(リスク評価・データガバナンス・透明性・人間監督・継続監視)はほぼ一致します。日本企業は両方を統合して対応する戦略が現実的です。

ハイリスクAIに該当するか判定する5ステップ

ステップ1:AIシステムの目的を特定

採用判定・信用評価・医療診断・教育評価・法執行・重要インフラ運用のいずれかに使う場合、ハイリスク該当の可能性が高いです。

ステップ2:付録IIIのリストに該当するか確認

EU AI ActにはハイリスクAIの分野リスト(付録III)があります。自社のAIシステムがこのリストに該当するかをチェックします。

ステップ3:例外条件に該当するか確認

付録IIIに該当しても、(1) 純粋に手続的タスクのみ、(2) 人間による意思決定の準備のみ、(3) 偏向の検出・修正のみ、(4) 人間の判断の補助のみ、といった例外条件に該当すればハイリスクから除外されます。

ステップ4:リスクアセスメントの実施

影響範囲・誤判定の影響度・利用頻度・対象人数・代替手段の有無などを評価し、リスクレベルを決定します。

ステップ5:法務・コンプライアンス部門による最終判定

技術部門だけでなく、法務・コンプライアンス部門と外部弁護士の意見を交えて最終判定します。誤判定は数億円規模の制裁金リスクに繋がります。

企業に求められる10の実務対応

対応1:AI使用の棚卸しと分類

社内で使われているすべてのAIシステム(社内ツール・SaaS・組込み機能)を棚卸しし、リスク分類を行います。シャドーAIも含めた全AI資産の可視化が出発点です。

対応2:リスク管理システムの構築

ハイリスクAIに該当する場合、リスク管理システム(識別・評価・緩和・モニタリング)を構築します。継続的なプロセスとして運用します。

対応3:データガバナンスの整備

学習データ・検証データ・運用データの品質・代表性・バイアス検証を実施します。データの出所・加工履歴を文書化します。

対応4:技術文書の作成

AIシステムの設計・開発・性能・限界・使用条件を記述した技術文書を作成します。EU AI Actでは付録IVに記載すべき項目が定められています。

対応5:ログ保持・トレーサビリティ

AIシステムの動作ログを保持し、後日の監査・検証に対応できるようにします。改ざん防止・保持期間設定が必須です。

対応6:透明性義務の履行

ユーザーに「これはAIが生成しました」「あなたはAIと対話しています」「この決定はAIが関与しました」を明示します。チャットボット・ディープフェイク・感情認識等が対象です。

対応7:人間監督の確保

AIシステムの判断を人間が監視・介入・覆すことができる仕組みを設計します。完全自律化を避け、最終判断を人間が担う設計にします。

対応8:正確性・堅牢性・サイバーセキュリティ

AIシステムの精度・安定性・セキュリティを技術的に担保します。プロンプトインジェクション対策、ハルシネーション検出、敵対的攻撃対策を含みます。

対応9:適合性評価と CE マーキング

ハイリスクAIをEU域内に提供する場合、適合性評価を実施し、CE マーキングを取得する必要があります。第三者認証機関の関与が必要なケースもあります。

対応10:市販後監視と是正措置

本番運用後も継続的にAIシステムの動作を監視し、問題発生時は是正措置を実施します。重大なインシデントは規制当局への報告義務があります。

コンプライアンス整備90日ロードマップ

Phase 1(Day1〜Day30):棚卸しとリスク分類

  • 社内で使用中のすべてのAIシステムを棚卸し
  • シャドーAIの調査
  • 各AIシステムをEU AI Actの4分類で仮判定
  • 日本AI事業者ガイドラインの10原則チェック
  • 法務・コンプライアンス部門との初期協議
  • Day30で経営層に中間報告

Phase 2(Day31〜Day60):ハイリスクAI対応

  • ハイリスク該当AIのリスト確定
  • リスク管理システム構築
  • データガバナンス整備
  • 技術文書の初版作成
  • ログ保持・トレーサビリティ設計
  • Day60で結果報告

Phase 3(Day61〜Day90):透明性・人間監督・運用設計

  • 透明性表示の実装
  • 人間監督フローの設計
  • 正確性・堅牢性・サイバーセキュリティ対策
  • 市販後監視の運用設計
  • 2026年8月本格適用に向けた最終チェック
  • Day90で経営層に最終プレゼン・意思決定取得

renue 7原則:AIガバナンス対応

原則1:EU AI Actと日本ガイドラインを統合対応する

両者を別々に対応すると工数が倍になります。要求される実務はほぼ重なるため、統合フレームワークで対応します。

原則2:AI使用の棚卸しから始める

「自社で何のAIをどう使っているか」を可視化しないと、対応すべき範囲が分かりません。シャドーAIを含めた全AI資産の棚卸しが第一歩です。

原則3:法務・コンプライアンス部門をDay1から巻き込む

技術部門だけで判断すると誤判定リスクが高まります。法務・コンプライアンスを最初から共同責任で進めます。

原則4:ハイリスク該当の判定は外部弁護士の意見を交える

「ハイリスクに該当するか」の判定は法的解釈の余地が大きく、自社判断だけでは危険です。外部弁護士の意見を取ります。

原則5:技術文書・ログ・トレーサビリティを初日から組み込む

後付けは不可能です。AIシステムの設計段階から、技術文書テンプレート・ログ保持・トレーサビリティを組み込みます。

原則6:人間監督を構造的に保証する

「人間が関与している」と言うだけでは不十分。「AIの判断を人間が承認しないと実行できない」設計を構造的に作ります。

原則7:継続監視と改善サイクルを仕組み化する

本番運用後も継続的にAIシステムを監視・評価・改善する仕組みを作ります。一度作って終わりではありません。

FAQ

Q1. 日本国内だけでAIを使っている企業もEU AI Actは関係ありますか?

はい、関係する可能性があります。EU域内のユーザーが利用する場合、AI出力がEU域内で利用される場合は適用対象になります。輸出企業・グローバル企業は特に注意が必要です。

Q2. 制裁金はどの程度のリスクですか?

禁止AI違反は最大3500万ユーロまたは年間世界売上7%。GDPRの最大2000万ユーロ・売上4%を上回ります。世界売上1兆円企業なら最大700億円規模の制裁金リスクです。

Q3. ChatGPT・Claude・Geminiを業務で使っているだけでも対象ですか?

用途次第です。汎用LLMをそのまま使う限り低リスクですが、採用判定・信用評価・医療診断などのハイリスク領域に組み込むと、提供者だけでなく利用企業にも遵守責任が及びます。

Q4. 中小企業も対応必須ですか?

はい、企業規模にかかわらず適用対象です。ただし、ハイリスクAI該当のケースが少ない中小企業は、透明性義務・データガバナンス程度で済むケースが多いです。

Q5. 日本AI事業者ガイドラインに罰則はありますか?

現時点では罰則はありませんが、業界横断のソフトロー的位置付けで、企業の社会的信頼に影響します。今後法制化される可能性もあります。

Q6. 適合性評価とCE マーキングはどう取得しますか?

ハイリスクAIの種類によっては、認証機関による第三者評価が必要です。社内での自己評価で済むケースもあります。法務・コンプライアンス部門と認証機関に確認します。

Q7. シャドーAIはどう見つけますか?

(1) 全社員アンケート、(2) ネットワークログ分析、(3) クラウドサービス棚卸し、(4) 経費精算からのAIサブスクリプション洗い出し、の4手法を組み合わせます。

Q8. renueはAIガバナンスにどう関わりますか?

renueはAIコンサルティング事業として、AI使用棚卸し、リスク分類、ガバナンスフレームワーク構築、技術文書整備、人間監督設計、市販後監視設計まで伴走支援します。法務・コンプライアンス部門との連携も含めた実装伴走をご提供します。詳細は大企業向けAIコンサル選び方をご参照ください。

まとめ:AIガバナンス対応は「2026年8月までに準備完了」が現実的なゴール

EU AI Actが2026年8月に全面適用される現実は、グローバル展開する日本企業にとって対岸の火事ではありません。日本AI事業者ガイドラインと統合した対応フレームワークを構築し、AI使用棚卸し・リスク分類・データガバナンス・技術文書・ログ・透明性・人間監督・継続監視の8要素を整備することが、2026年の経営課題です。本記事の10実務対応・5ステップ判定・90日ロードマップ・7原則を使って、社内の整備を進めることをお勧めします。

renueはAIコンサルティング事業として、AIガバナンスの設計・実装・運用を伴走支援しています。「自社のAI使用棚卸しから始めたい」「ハイリスク該当の判定を相談したい」「90日でコンプライアンス整備を進めたい」など、フェーズ別のご相談をお受けしています。法務・コンプライアンス部門との連携、外部弁護士との協業も含めた実装伴走が可能です。

renueにAIガバナンス対応の相談をする

renueはAIコンサルティング事業として、EU AI Act・日本AI事業者ガイドライン両方への統合対応を伴走支援しています。AI使用棚卸し、リスク分類、ガバナンスフレームワーク構築、技術文書整備、人間監督設計、市販後監視設計、社内ガイドライン策定までご相談可能です。グローバル展開する大企業から国内中堅企業まで、規模・業種問わずご相談をお受けしています。

無料相談はこちら

関連記事

navigate_before記事一覧へ戻る