EU AI Act完全施行まで4ヶ月:すべてのCEOが知るべきこと

Thumbnail image

2026年8月2日は、EU AI Actの高リスクAIシステムへの施行規定が完全に発効する日だ。欧州で事業を行っている、欧州の顧客に販売している、あるいは雇用判断、信用評価、顧客スコアリングに関わるAIツールを使用している企業には、この期限が直接適用される。カウントダウンが始まっている。

LegalNodesが公開した詳細な規制解説によると、EU AI Actは2024年8月に発効し、段階的に展開されてきた。禁止されるAI慣行への禁止事項とAIリテラシー要件は2025年2月に発効した。汎用AIモデルのガバナンス義務は2025年8月までに発動した。2026年8月のマイルストーンは、企業が「AI製品」だとは思っていない高リスクAIシステムのほとんどのエンタープライズAI使用ケースを対象とした完全施行が始まる時だ。

罰則体制は理論的なものではない。高リスクAI義務のコンプライアンス違反は、3,500万ユーロまたはグローバル年間売上の7%のいずれか大きい方の罰金となりうる。売上5億ドルの企業にとって、自社が構築したのではなく単に展開したAIツールから潜在的に3,500万ドルの露出がある。

企業をトラブルに巻き込む思い込み

EU AI Actに関する最も一般的な誤解は、それが主にAI開発者——OpenAI、Anthropic、Mistral AIなどの会社——に適用されるというものだ。この思い込みは間違いであり、現在B2Bエンタープライズにとって最も多くのコンプライアンスリスクを生んでいる。

EUのAI規制フレームワークは、開発者だけでなくAIシステムのデプロイヤーにも義務を拡大している。採用のためのAI搭載ATSを購入した会社、従業員評価のためのAIパフォーマンス管理プラットフォーム、または財務ワークフローに組み込まれた信用判断ツールを購入した会社は、デプロイヤーだ。コンプライアンス義務はベンダーだけにあるのではない。あなた自身にもある。

これは、ほとんどの経営幹部チームが現在理解しているより重要だ。標準的なB2B調達の前提は、SaaSベンダーが自社のコンプライアンスを担当するというものだ。EU AI Actの下では、それは部分的に真実だが、人間による監視、文書化、リスク管理に関するデプロイヤーの義務は、ベンダーがコンプライアンスに準拠しているかどうかに関わらず、あなたが満たすべきものだ。AIガバナンスフレームワークはこのデプロイヤー責任を明示的に取り上げる必要がある——ベンダーコンプライアンスと内部コンプライアンスは2つの別の監査証跡だ。

「高リスク」の実際の意味

EU AI Actの高リスク分類は、AIの洗練度に基づいていない。AIシステムが知らせる、または行う判断に基づいている。HRチームの履歴書をスクリーニングするシンプルなAIツールは高リスクだ。ブログ投稿のトピックを提案する複雑なAIシステムはそうでない。

LegalNodesの分析によると、B2Bエンタープライズに最も関連する高リスクカテゴリーは以下の通りだ:

雇用と人員管理。 採用(履歴書スクリーニング、候補者ランキング、面接スコアリングを含む)、パフォーマンス監視、昇進の決定、解雇プロセスに使用されるAIツールはこのカテゴリーに該当する。ATSやパフォーマンス管理プラットフォームにAIスコアリング層がある場合(最新のものはほとんどそうだ)高リスクAIシステムを運用していることになる。これらのツールのAIセキュリティとコンプライアンスの考慮事項は、ベンダーのプライバシーポリシーを超える——独自の業務文書が含まれる。

信用と財務の決定。 与信評価、ローン発行、金融商品のリスクスコアリングに関わるAIは高リスクだ。これは銀行業を超えて、AIツールが信用限度または支払条件の決定をサポートするB2B営業の文脈にも及ぶ。

教育と職業訓練。 学習者を評価し、学習パスを推奨し、教育プログラムへのアクセスに関する決定を行うAIシステムは高リスク分類に該当する。

法執行と国境管理。 ほとんどのB2Bエンタープライズには関連性が低いが、完全性のために含める。

実践的なテストはこれだ。あなたのAIツールは人に関する重大な決定を行うか、強く知らせるか?「はい」であれば、法務チームが確認するまで高リスクとして扱う。

コンプライアンスが実際に必要とすること

EU AI ActのハイリスクAI義務を満たすことは、AIについて言及するプライバシーポリシーを持つことだけではない。規制当局に実証できる文書化されたプロセスが必要だ。SecurePrivacyのコンプライアンスガイダンスによると、高リスクAIシステムのデプロイヤーに関する中心的な要件は以下の通りだ:

システム目録と分類。 組織がどのAIシステムを使用しているか、それらがどのような判断に関わるか、上記の高リスクカテゴリーに触れているかを把握する必要がある。ほとんどのエンタープライズにはまだこの目録がなく、「AIシステム」として購入されなかった数十のSaaSツールにAI機能が埋め込まれているため、作成は聞こえるよりも難しい。

リスクアセスメント。 使用中の各高リスクAIシステムについて、システムの意図された目的、偏りや差別的アウトカムの可能性、データ品質コントロールをカバーする文書化されたリスクアセスメントが必要だ。

人間による監視メカニズム。 高リスクAIシステムは、最終決定が行われる前に意味のある人間のレビューを可能にするよう設計されなければならない。「AIが推奨した」は、Actの下での雇用または信用決定の十分なプロセスではない。

データガバナンス文書化。 AIシステムの訓練または運用に使用されるデータが正確、完全、系統的な偏りがないことを実証する必要がある。これは関連するデータがあなたではなくSaaSベンダーにある場合が多いため、最も難しい部分だ。AIによるリードスコアリングと予測ツールを実行しているRevOpsチームには、RevOpsコンプライアンスチェックリストがそれらのワークフローの特定の文書化ステップをカバーしている。

ベンダーコンプライアンスの検証。 展開しているツールを構築したAIベンダーがAct上のAI開発者およびプロバイダーとしての義務に準拠していることを確認する必要がある。推測するな。書面で彼らのコンプライアンス文書を求める。

ほとんどのリーダーシップチームが対処していないギャップ

EU AI Act準備に関する会話で繰り返し出てくる特定のギャップがある。法務・コンプライアンスチームと実際にAIツールを展開している業務機能(HR、営業オペレーション、財務、Customer Success)の間の断絶だ。

ほとんどのエンタープライズ法務チームはEU AI Actが存在することを知っている。しかし、社内で実際にどのAIツールが稼働しているかを知っている人々(HR、営業オペレーション、財務、Customer Successの担当者)は必ずしもそれらの法務の会話に参加していない。昨年ATSをアップグレードしたHRリーダーは、AIスコアリング機能が高リスクシステムに該当することを知らないかもしれない。AIリードスコアリングシステムを設定したRevOpsディレクターは、デプロイヤー文書化を必要とする信用隣接の決定に触れていることに気づかないかもしれない。

このギャップを埋めるには、孤立した法務レビューではなく、部門横断的な目録プロセスが必要だ。2026年8月に好位置にいる企業は、今その部門横断的な会話を始めている。

コンプライアンスアクションフレームワーク

これは法的アドバイスではない。具体的な義務については資格のある法律顧問と連携のこと。経営幹部の認識という観点から、今後4ヶ月での合理的なシーケンスを示す:

  1. AIシステム目録の委託。 今後2〜3週間以内に、各部門長に、既存のSaaSプラットフォームに組み込まれたツールも含め、チームが使用するすべてのAIツールまたはAI対応機能のリストを作成するよう求める。結果はあなたを驚かせるはずだ。

  2. 高リスク分類テストの適用。 特定された各ツールをEU AI Actの高リスクカテゴリーに照らして確認する。雇用、信用、教育、法執行の文脈が主なフィルターだ。法務チームがこのレビューを行うべきだが、まず目録が必要だ。

  3. ベンダーからコンプライアンス文書を要求する。 高リスクに該当しうるツールについて、ベンダーに連絡しEU AI Actのコンプライアンスステータス文書を求める。提出できない場合は調達チームにエスカレーションする。ベンダーコンプライアンスは今やセキュリティチェックボックスではなく調達基準だ。

  4. 人間による監視プロセスのマッピング。 使用中の高リスクAIシステムについて、重大な決定が確定される前に人間のレビューが実際にどのように行われているかを文書化する。正直な答えが「行われていない」であれば、対処すべきプロセスのギャップだ。

  5. 正式アセスメントのための法律顧問の関与。 目録を手に入れ、予備的な高リスク分類が完了した段階で、法務チームまたは外部顧問との実質的な会話ができる準備が整う。彼らは具体的な文書化要件とリスク露出について助言できる。

今週すべきこと

1つの具体的なアクション:AIシステム目録を始める。

リーダーシップチーム(HR、RevOps、財務、製品、Customer Success)に、自分たちの機能でアクティブに使用しているすべてのAIツールまたはAI対応機能のリストを——すでに持っているツールに組み込まれた機能を含めて——1週間以内に提出するよう求める短いメッセージを送る。回答を一元的にまとめる。

この単一のステップで、8月2026年に自分たちが何を運用しているかをまだ把握しようとしている大多数の企業より先を行くことができる。コンプライアンスのタイムラインは固定されている。準備のタイムラインはそうではないが、ほとんどの経営幹部が現在想定するより短い。

出典:EU AI Act 2026 Updates (LegalNodes)EU Digital Strategy規制フレームワーク、およびSecurePrivacyコンプライアンスガイド。本記事は経営幹部向けの認識ブリーフィングであり、法的アドバイスではない。自社の状況に特有のアドバイスについては、資格のある法律顧問に相談のこと。