【EU】AI法が8月に完全施行、日本企業も罰金3,500万ユーロの対象に。欧州委員会のガイドライン遅延が混乱を招く

📝 EU AI法、8月2日から高リスクAIに適合性評価を義務化

EUの「AI法（AI Act）」が2026年8月2日に完全施行を迎える。この日を境に、採用・信用審査・教育・法執行などに使われる「高リスクAIシステム」の運用者には、適合性評価の完了、技術文書の整備、CE認証の取得、EUデータベースへの登録が義務づけられる。

問題は、施行まであと約3カ月半にもかかわらず、欧州委員会自身がガイドラインの策定に遅れを出していることだ。高リスクAIの分類基準を定める第6条のガイドラインは、本来2月2日が期限だったが、未だに最終版が公表されていない。標準化団体（CEN/CENELEC）も技術標準の策定が2025年秋の期限に間に合わず、2026年末までずれ込む見通しだ。

📰 IAPP報道：欧州委員会がガイドライン策定期限を超過

元ネタ：European Commission misses deadline for AI Act guidance on high-risk systems（IAPP / 2026年2月）

“These standards are not ready, and that’s why we allowed ourselves…to give us more time to work on guidelines or specification.” — Renate Nikolay, European Commission Deputy Director-General

🔥 施行まで3カ月半、ルール未確定と域外適用の三重苦

3つの要因が重なり、2026年春の今がまさに「嵐の前の静けさ」と言われている。

第一に、期限の迫り。8月2日まであと約3カ月半。適合性評価には現実的に32〜56週間（8〜14カ月）かかるとされ、今から着手しても間に合わない企業が続出する計算だ。

第二に、ルールの不確定さ。欧州委員会は2025年末に「デジタル・オムニバス・パッケージ」を提案し、高リスクAI規制の一部を2027年12月まで延期する案を出した。しかし正式決定には至っておらず、「延期を見込んで準備を止めるのは危険」というのが法律専門家の一致した見解だ。

第三に、域外適用の広さ。EU AI法はGDPR（一般データ保護規則）と同様に域外適用される。AIシステムの出力がEU域内で利用される場合、開発者・運用者の所在地が日本であっても規制対象になる。日本企業にとって「うちはEUに拠点がないから関係ない」は通用しない。

🇯🇵 日本企業・日本社会への影響は？

直接的な影響を受ける企業は多い。EU市場でAI製品・サービスを提供する日本企業（自動車メーカー、電機メーカー、SaaS企業など）は、8月2日までに適合性評価を完了する必要がある。PwC Japanや日立コンサルティングなど大手コンサル各社がEU AI法対応サービスを相次いで立ち上げており、需要の高さがうかがえる。

日本とEUの規制哲学の違いも浮き彫りになっている。日本は2025年に「AI事業者ガイドライン」を策定したが、罰則なし・届出義務なしの「ソフトガバナンス」路線だ。一方EUは罰金最大3,500万ユーロという「ハードロー」路線をとる。Bird & Birdの分析によれば、日本の「イノベーション優先」型とEUの「包括的リスク管理」型は対照的であり、グローバル展開する企業は両方の基準を満たす「ダブルスタンダード対応」を迫られる。

取引先からの事実上の準拠要求も。法的義務が発生する前から、EUの取引先やサプライチェーンが「AI開発プロセスの透明性」や「適合性認証」を求めてくるケースが報告されている。EU AI法は、直接の規制対象でない日本企業にも間接的な影響を及ぼしつつある。

🏁 欧州委員会の遅延が、グローバル企業の最大リスクに

EU AI法の完全施行まであと約3カ月半。欧州委員会自身のガイドライン遅延、技術標準の未整備、延期案の不確定という「三重の霧」の中で、日本企業を含むグローバル企業は準備を進めなければならない。罰金3,500万ユーロ（約56億円）は決して抽象的な数字ではなく、GDPRの前例が示すように、域外企業への執行も十分にありうる。「まだ時間がある」という認識は、今この瞬間が最も危険だ。