2026年6月18日時点で、EU AI法(EU AI Act)の主要義務が適用されるまで残り6週間を切った。2026年8月2日、Article 50のチャットボット開示義務・高リスクAIシステムへの適合性評価・AI Officeによる執行権限が一斉に発動する。
「EU規制だから日本企業は関係ない」と思っていると危険だ。EUユーザーにサービスを提供するプロダクトはすべて域外適用の対象になりうる。本記事では何が変わり、何を今すぐ実装・確認すべきかを整理する。
目次
結論:何が8月2日から変わるか
| 対象 | 8月2日から適用される義務 | 今すぐやること |
|---|---|---|
| チャットボット・AIアシスタント | Article 50: ユーザーへのAI利用開示義務 | 会話開始前後の開示UI追加 |
| 生成AIコンテンツ(テキスト/画像/音声/映像) | 機械可読な識別情報(透かし等)の付与義務 | C2PAや透かし実装の計画策定 |
| 高リスクAIシステム(Annex III) | 適合性評価・技術文書・CEマーキング・EU DB登録 | Annex III該当性の自己判定 |
| GPAI(汎用AIモデル提供者) | ※2025年8月から既に適用済み | 既存モデルは2027年8月までの猶予あり |
ペナルティの上限は、禁止行為違反で3,500万ユーロまたは世界年間売上高の7%、高リスクシステム非準拠で1,500万ユーロまたは**3%**のいずれか高い方だ。
Article 50:チャットボット開示義務
確認できる事実
Article 50(1): AIが会話を行っていることを、会話開始前または開始時にユーザーに通知しなければならない。
例外がある。「文脈や状況からすでに明らかな場合」(例: 明示的にAIキャラクターのロールプレイ用途として構成されている)は適用外とされる。
Article 50(2): テキスト・画像・音声・映像などの生成AIコンテンツは、機械可読な形式で人工的に生成・操作されたことを示す標識を付与しなければならない。
EU委員会ガイドラインによれば「現時点で有効性・相互運用性・堅牢性・信頼性のすべてを満たす単一の技術は存在しない」とされており、透かし・メタデータ・電子指紋などの組み合わせが求められる。
実務解釈
最小実装は「このサービスはAIが応答します」という開示を、最初のユーザーメッセージより前に表示することだ。それに加えて次の3点が設計上の落とし穴になる。
ログ記録を実装する: 開示をユーザーに示した事実はサーバーサイドで記録しておくこと。監査・調査時の証跡になる。
多言語対応: EU各国語での開示が求められる。英語のみ対応は不十分なケースがある。
コンテンツマーキングは技術選定が必要: C2PAによるコンテンツ来歴情報の付与が有力候補だが、まだ標準策定が途上であり、EU AI Officeのガイドライン最終版(2026年6月頃の公開予定)を確認してから実装方針を固めるのが現実的だ。
Annex III:高リスクAIシステム
確認できる事実
Annex III に列挙された8カテゴリに該当するAIシステムは、「高リスクAIシステム」として一段厳しい義務が課される。
| カテゴリ | 代表例 |
|---|---|
| バイオメトリクス | 顔認証・感情認識・生体ID |
| 重要インフラ | 電力・水道・交通の管理AI |
| 教育・訓練 | 入学審査・学習評価・スコアリング |
| 雇用・人事管理 | 採用選考・業績評価・解雇判定 |
| 必須民間サービス | 融資審査・クレジットスコアリング・保険 |
| 法執行 | リスクアセスメント・多眼監視システム |
| 移民・亡命管理 | 申請審査・真正性判定 |
| 司法・民主的プロセス | 判決支援・選挙情報配信システム |
高リスクAIとして課される義務:
- リスク管理システムの構築(Article 9)
- データガバナンスの整備(Article 10)
- 技術文書の作成・維持(Article 11)
- ログの自動記録機能(Article 12)
- 透明性・利用者向け情報提供(Article 13)
- 人間による監視の仕組み(Article 14)
- 適合性評価の実施・CEマーキング(Article 43)
- EU AIデータベースへの登録(Article 49)
実務解釈
多くのBtoB SaaSは「うちは高リスクじゃない」と判断しがちだが、雇用・採用・融資・信用スコアに関わるAI機能はAnnex IIIに入る可能性がある。採用候補者のスクリーニング機能を追加した瞬間にAnnex III対象になるケースがある点に注意が必要だ。
EU域内に事業所がない場合はEU代理人(Authorized Representative)の指定が必要になる。これは数週間で準備できる性質のものではないため、今すぐ確認を始める必要がある。
実装チェックリスト
分類ステップ
- 自社製品のAI機能を一覧化し、「チャットボット」「生成AIコンテンツ」「Annex III高リスク」の3種類に分類した
- EU域内ユーザーに対してサービスを提供しているか確認した(日本拠点でも域外適用の対象になる)
Article 50対応
- チャットボット・AIアシスタントに「AIが応答します」旨の開示を会話開始前/開始時に追加した
- 開示をユーザーに示した事実をサーバーサイドのログに記録する仕組みを実装した
- EU圏のユーザー向けに開示文を対応言語で表示できるか確認した
- 生成AIコンテンツ(テキスト・画像・音声・映像)に機械可読な識別情報を付与する計画を立てた
- EU AI OfficeのArticle 50最終ガイドライン(2026年6月発行予定)を確認する予定を入れた
Annex III高リスクAI対応
- Annex III該当性の判定を法務・プロダクト担当と連携して実施した
- 高リスク該当の場合、技術文書作成の担当者とスケジュールを決めた
- EU域内に拠点がない場合、EU代理人の確保を検討した
- EU AIデータベースへの登録手続きを確認した
社内AIツールも忘れずに
- 採用AI・コードレビューAI・業績評価AIなど内製ツールについても同様の分類・確認をした
- ペナルティの上限(最大3,500万ユーロまたは世界売上高の7%)を経営層に共有した
失敗パターン
「日本拠点だから域外適用は関係ない」と判断するケース
EU AI ActはEU域内の利用者に影響が及ぶAIシステムに適用される(Regulation (EU) 2024/1689 Article 2(1)(c))。拠点が日本でも、EUユーザーにSaaSを提供しているなら対象になる可能性が高い。
「OpenAI/AnthropicのAPIを呼ぶだけだから、コンプライアンスはモデル提供者側の問題」と判断するケース
モデルプロバイダー(GPAI提供者)とデプロイヤー(アプリ開発者)の責任は分業されているが、免除ではない。チャットボット開示義務(Article 50)はデプロイヤーが独自に負う。外部モデルを使っていても、自社サービスのUI/UX側で開示を実装する必要がある。
「UI実装チームに任せれば完了」と考えるケース
ログ記録・多言語対応・コンテンツマーキング・Annex III判定は法務・セキュリティ・プロダクトが横断して動かないと漏れが生じる。8月2日まで6週間しかない。技術文書の整備は数週間かかるため、今週から優先度の整理を始める必要がある。
「EU AI Officeのガイドラインがまだ最終版でないから待つ」というケース
Article 50の基本義務(チャットボット開示)はガイドライン確定前でも8月2日から適用される。コンテンツマーキングの技術仕様は暫定的に決める必要があるが、開示UIとログ記録は今すぐ実装できる。
参考リンク
- EU AI Act Implementation Timeline — Future of Life Institute運営の公式まとめ
- Article 50: Transparency Obligations — EU AI Act Explorer
- Guide to Article 50 Transparency Rules — 実務向けガイド
- EU AI Act Compliance Checker — 自社製品の該当判定に使える
- AI Act Service Desk - European Commission — EC公式の質問窓口
- EU AI Act 2026 Updates: Compliance Requirements - LegalNodes
この記事を書いた人✏️@YushiYamamoto
ITPRODX.com代表 / AIアーキテクト
Next.js / TypeScript / n8nを活用した自律型アーキテクチャ設計を専門としています。
日々の自動化の検証結果や、ビジネス側の視点(ROI等)に関するより深い考察は、以下の公式サイトおよびnoteで発信しています。