2026年8月2日、EU AI法の主要条項が一斉に発効する。汎用AIモデル(GPAI)の提供者に対する罰則規定がこの日を境に動き出し、欧州委員会と各国当局はようやく「規制の歯」を手にする。一方で2026年5月7日、EU理事会と欧州議会はAI法の一部を「簡素化・合理化」する合意を発表した。施行を目前にしてルールを緩める動きと、それでも厳しさは残るという二重のメッセージ。世界のAI規制は、強化と現実適応の間で揺れながら、それぞれの大陸で形を取り始めている。
現状:4つの地域、4つの異なる答え
EU AI法は2024年8月に発効した後、段階施行のロードマップに沿って動いている。2025年8月からGPAIプロバイダーに対する義務が適用され、技術文書の作成、著作権遵守ポリシーの整備、学習データの要約公開が求められるようになった。そして2026年8月2日に、これら義務の違反に対する罰則権限が欧州委員会に正式に付与される。GPAIモデルの違反は最大で世界年商の3%という制裁金が課されうる。ハイリスクAIシステムに関する完全適用は2027年8月2日を予定している。
対照的に、日本は2025年6月4日に「人工知能関連技術の研究開発及び活用の推進に関する法律」(通称AI推進法)を公布し、9月1日に全面施行した。法律の建付けは「基本法・理念法」であり、企業に直接的な義務や罰則は課さない。代わりに、AI戦略本部の設置、基本計画の策定、透明性確保への努力義務などが定められた。EUのリスクベース規制とは対極にある、ソフトロー型のアプローチである。経済産業省は2026年4月にも「AI利活用における民事責任の解釈適用に関する手引き」を公表し、現行法の解釈で対応可能な部分を整理してみせた。
米国は、トランプ第2次政権下で連邦レベルの包括的なAI規制を後退させ、州法とセクター別規制に重心を置いている。英国は2025年7月の国王演説で「最も強力なAIモデルを対象とする限定的なAI法案」を予告したが、2025年10月にDSITが発表した「AI規制ブループリント」を経て本格的な法案提出は次回国王演説(2026年5月予定)以降にずれ込む見込みだ。代わりに2026年3月18日、政府は「Copyright and AI Report」を発表し、当初検討していたテキスト・データマイニング例外の導入を見送る方針を示した。
背景:なぜ規制のアプローチがこれほど違うのか
EUが最も厳しい規制路線を選んだのは、GAFAに対抗するための産業政策的な狙いと、市民権・基本権を重視する法文化の双方が影響している。「リスクベース」という発想自体は理にかなっているものの、GPAIに対する義務付けは、特にオープンソースモデル提供者や中小プレーヤーにとって過大な負担を生むという批判が強く、2026年5月の理事会・議会合意は、この批判を一部受け止めた「簡素化」だった。施行延期ではなく、義務の中身を整理する形での妥協である。
日本がソフトロー路線を選んだのは、過度な規制によるイノベーション阻害を避けるという明示的な判断による。AI推進法の条文には「事業者の自主性を尊重し、法令による規制は自主的な努力で対応できないものに限定する」という基本姿勢が組み込まれている。これは、半導体やバイオなど産業政策で「ルールメイカー」になり損ねた経験への反省と、AI市場で米中欧に挟まれた日本の立ち位置を踏まえた選択である。罰則がない分、企業の自主的なガバナンス整備が問われる構造になっている。
英国は2025年2月、それまでの「AI Safety Institute」を「AI Security Institute」に改称し、国家安全保障に関わる脅威に焦点を絞った。広義の「安全」から、サイバー攻撃や生物兵器設計などの「セキュリティ」へと比重を移した形だ。同研究所は2026年に入ってからも、エージェントの工具利用テレメトリやサンドボックス脱出、多段サイバー攻撃などの研究報告を継続的に公開しており、規制本体は先送りしつつ、テクニカルなガードレール整備で先行する戦略を取っている。
事例:3つの論点に表れた違い
第一の論点は「学習データと著作権」だ。EU AI法は、GPAIプロバイダーに学習データの要約公開を義務付け、EU著作権法の権利者オプトアウトに従う仕組みを採用した。英国は当初、テキスト・データマイニング例外を新設する案を最有力としていたが、2026年3月のレポートで方針転換し、現行のライセンス市場を尊重する姿勢に戻った。クリエイター団体の反発と、AIスタートアップの実務要請の間で揺れた末の現実解である。
第二の論点は「ハイリスクAIシステム」の扱いである。EU AI法は採用、信用評価、教育評価、医療機器、法執行など8カテゴリーをハイリスクに指定し、適合性評価・登録・継続監視を義務付ける。日本のAI推進法はこの種のカテゴリー指定を行わず、業法やプライバシー保護法、製造物責任法といった既存法令の解釈で対応する。経産省の2026年4月のガイドラインは、AIが関与した損害賠償について、開発者・提供者・利用者の責任分担を判例に近い形で整理しようとした最初の試みである。
第三の論点は「汎用AIの基盤モデル」だ。EUは閾値(10^25 FLOPsの学習計算量)を超えるモデルを「システミックリスク」として追加義務の対象に指定し、OpenAIのGPT系、AnthropicのClaude、GoogleのGeminiなどが該当する。これに対し米国はバイデン政権の大統領令を撤回・縮減し、安全性テストの自主性に委ねる方向に転じた。日本は明示的な閾値を設けず、政府調達ガイドラインや業界自主規範を通じて間接的に影響を及ぼす設計になっている。
学生・若手にとっての示唆
AI関連のキャリアを目指す慶應生にとって、これらの規制の違いは「どこで誰に対してサービスを出すか」を左右する実務問題になる。EU向けにSaaSやAPIを展開するなら、技術文書、データ要約、コンプライアンス体制の整備は不可避だ。スタートアップでも、シードラウンドの段階からこの設計をしておかないと、後から大改修になる。法務とエンジニアリングの両方の言語が分かる人材は、これから数年、明らかに不足する。
もう一つの示唆は、日本国内でも「罰則がないから自由」ではないという点だ。AI推進法は努力義務にとどまるが、企業の自主的なガバナンス整備が事実上の参入条件になりつつある。大企業はサプライヤーにAIガバナンス体制の説明を求め始めており、これに応えられないスタートアップは案件を取れない。法律の文面ではなく、業界慣行の方が先行して規範化していく構造を理解しておくことが、若手にとっての実務的なリテラシーになる。
AIをめぐるルールメイキングは、これから5年、技術そのものと同じスピードで動き続ける。EUの厳格規制、日本のソフトロー、米国の自由放任、英国のテクニカルガードレール、それぞれが異なる賭けをしている。どのアプローチが「正解」かは結果が出るまで分からない。確かなのは、ルールが定まるのを待っていては、市場のポジションは取れないということだ。規制動向を読みながら、自社のプロダクトと組織を先回りで設計する。それが、2026年以降の生成AIビジネスにおける最低限のリテラシーになる。