2026年5月、東京の大手SIerや事業会社のAI担当部署では、社内ガバナンスのチェックリストが急に分厚くなっている。理由はひとつだ。2026年8月2日にEU AI Actが本格施行され、ハイリスクAI・汎用目的AI(GPAI)を含むほぼ全ての規定が適用される。違反時の制裁金は最大3,500万ユーロ(約55億円)または全世界売上高の7%。日本企業も、EU向けにAIを売っている、あるいはAIのアウトプットがEU域内で使われている時点で対象になる。GDPRの時と同じ構図が、AIの世界でも始まっている。

現状

EU AI Actは2024年に成立し、段階的に施行されてきた。2025年2月には「禁止AI」の規定が先行発効し、社会信用スコアリングやリアルタイム生体認証など8類型が原則禁止になった。2025年8月にはGPAIプロバイダー向けの義務(技術文書、著作権ポリシー、トレーニングデータ概要の公開など)が走り出した。そして2026年8月2日には、ハイリスクAIの分類ルール(第6条第1項)を除いて、全ての章・節・条項が適用される。

リスクベースアプローチが特徴だ。AIシステムは「禁止AI」「ハイリスクAI」「透明性義務が生じる特定AI」「最小リスクAI」の4階層に分類される。ハイリスクAIには採用、教育、医療機器、与信、法執行、重要インフラなど16領域が含まれ、提供者には適合性評価、技術文書、品質マネジメントシステム、CEマーキングが要求される。透明性義務カテゴリには、生成AIによるディープフェイク、感情推定システム、生体カテゴリ分類などが入る。

経過措置として、2025年8月2日までに上市された汎用目的AIモデルのプロバイダーは、2027年8月2日までに義務を遵守すればよいとされる。だが、2025年8月以降にEUで初めて提供されるモデルは即時の遵守対象である。日本企業のChatGPT等の二次利用、自社モデルの公開、海外子会社向けデプロイの全てが、規制の射程に入る。日立、PwC、KPMG、デロイトといったコンサル各社は2025年後半から日本企業向けにAI Act対応支援サービスを正式メニュー化し、2026年4-5月の問い合わせは前年同期の数倍に伸びている。

背景

EUがAI規制を急いだ背景には、GDPRと同じく「ブリュッセル効果」を狙う産業政策的な意図がある。EUは自前の巨大なAI企業を持たないが、規制を域外適用することで、米国のOpenAI、Anthropic、Googleや中国系プレイヤーに対して市場アクセスの条件を課せる。AIが社会インフラに組み込まれる前に、人権・差別・透明性の標準をEU基準で固める——というのが、欧州議会の論理である。

日本企業がこれに無関係でいられない理由は二つだ。一つは域外適用条項。AIのアウトプットがEU域内で利用される場合、たとえ開発・運用が日本国内であっても、AI Actの対象になる。グローバル展開している自動車・精密機器・医薬品メーカーが社内システムでAIを使うとき、そのアウトプットが欧州拠点で参照される時点で適用される。もう一つは取引相手の要請だ。EU側の事業者は自社の規制リスクを下げるため、サプライヤーである日本企業に対し、適合性評価書類・データガバナンス・モデル文書の提出を求めはじめている。

国内側の制度は、これとは少し違う方向で動いている。日本政府は2026年に「AI推進法(仮称)」を成立させ、リスクベース規制ではなく、原則として事業者の自主的取組とソフトロー中心のアプローチを採用した。日本企業は、国内では緩い枠組み、海外では厳しい枠組み、というダブルスタンダードで運用せざるを得ない局面に入っている。経団連は2026年4月の提言で、国内ガバナンスを国際標準に合わせていく方向を打ち出したが、現場の文書整備とは大きなギャップが残ったままだ。

事例

日立コンサルティングは2025年から、AI Act対応の社内ガバナンス構築支援を正式メニュー化した。同社は親会社の日立製作所が欧州で鉄道・電力インフラを展開しており、自社グループ内でハイリスクAIの分類・適合性評価・技術文書整備を先行して経験したことが強みになっている。PwC Japan・KPMGコンサルティングも、2026年8月施行に向けたチェックリストとロードマップ提供サービスを展開しており、製造業大手の社内CoE(Center of Excellence)構築案件が増えている。

ソニーグループは2025年後半から、AIガバナンス委員会を本社直下に設置し、欧州法人向けに提供する全AIサービスに対してAI Act準拠のレビューを義務化した。NECは自社の顔認証技術がハイリスクAI領域に該当し得るため、EU市場向けのプロダクト構成と国内向けの構成を分離する戦略を採用している。富士通は研究開発段階からAI Actのリスク分類を組み込み、生成AIプロダクト「Fujitsu Kozuchi」の欧州展開でも、技術文書とトレーニングデータ概要の整備を先行させた。

中小規模のスタートアップも無関係ではない。EU市場にSaaSを売っている日本のAIスタートアップは、ハイリスクカテゴリの判定書類・データ管理ポリシー・モデルカードの整備を求められる。2026年5月時点で、CES Munich(欧州ローカルのSaaS商談会)で日本のスタートアップが受ける質問の半分近くが「AI Actのリスク分類はどう想定しているか」「学習データはどこから来ているか」だったという報告も上がっている。技術より先に、文書とガバナンスが商談の入口になる、という時代である。

学生・若手にとっての示唆

慶應生のうち法学部・SFC・経済学部の学生にとって、AIガバナンスは今後10年で最大のキャリア空白地帯である。技術側のエンジニアでもなく、純粋な弁護士でもなく、両者の言語を翻訳できる「AIコンプライアンス」人材は、コンサル・事業会社・官庁・国際機関のいずれでも不足している。GDPR以後、欧州・日本でデータ保護オフィサー(DPO)という職種が急成長したのと同じ構造が、AI領域でも再現されはじめている。

もう一つは、エンジニア・PM志望にとっての論点だ。プロダクトを作る段階で「これはハイリスクに該当するか」「データの来歴をどう記録するか」「モデルカードとは何か」を初日から考えられる若手は、グローバル展開する企業から強い需要を持って迎えられる。AI開発はコーディング能力だけで進む時代を終え、規制・倫理・データ管理が一体になった「設計力」の時代に入っている。学生のうちに、AI Actやその関連ガイドラインを一度通読するだけで、就職後の景色は大きく変わる。

EU AI Actは「EUが決めたルール」では済まない。グローバルにビジネスをする日本企業にとって、それは事実上のグローバル基準になり、社内のAI開発文化そのものを書き換えはじめている。2026年8月の本格施行は通過点に過ぎず、その後5年で英国・米州・ASEAN・OECDが類似の枠組みを整える可能性は高い。慶應生がいま身につけるべきは、AIを作る側の技術力だけでなく、AIを社会に置く側のルール理解である。両方を持てた人材が、これからのAI時代の中心にいる。