2026年8月2日に、EU AI Act(EUの人工知能法)の高リスクAIシステムに関する中核的な規定が完全に施行されます。これは、加盟国が都合よく解釈できるような指令ではありません。EU加盟27か国すべてに直接の法的効力を持つ規制です。貴社が欧州でAIシステムを開発し、導入し、または利用しているなら、すでにコンプライアンスの猶予期間は動き始めています。
ドイツ、オーストリア、スイスの企業、そして他地域からDACH市場向けにサービスを提供する企業にとって、これはGDPR以来の最も重要な技術規制です。そして罰則はさらに厳しいものとなります。
変わることは何か
EU AI Act(規則(EU)2024/1689)は、人工知能に関する世界初の包括的な法的枠組みを定めています。2024年8月に施行され、2027年まで段階的に導入されており、最も影響の大きい期限として、高リスクAIシステムの義務が2026年8月に到来します。
この規制は4段階のリスク分類を用います。容認できないリスクのAIは全面的に禁止されます――ソーシャルスコアリング、操作を目的とするシステム、特定のバイオメトリクス監視などです。これは2025年2月からすでに施力されています。高リスクのAI――採用、クレジットスコアリング、医療機器、重要インフラで用いられるシステム――は、リスク評価、技術文書、人による監督、継続的な監視を含む完全なコンプライアンス枠組みの対象となります。チャットボットやコンテンツ生成のような限定リスクのAIでは、透明性の義務が必要です。利用者は、自分がAIとやり取りしていることを知る必要があります。最小リスクのAI――スパムフィルター、レコメンドエンジン、ほとんどの社内ツール――は、規制は大部分が適用されません。
注意点は次のとおりです。採用判断、信用評価、従業員の監視、安全に関わる重要な業務にAIを使う場合、気づいていないとしても、高リスクのカテゴリに該当する可能性が高いのです。そして多くの企業は、まだ自社のシステムを分類できていません。
罰則は机上のものではない
EU AI Actに基づく不遵守の罰金は、GDPRの水準を上回ります:
違反の種類
最大罰金
禁止されるAIの実施
3,500万ユーロまたは全世界の年間売上高の7%
高リスクシステム違反
1,500万ユーロまたは売上高の3%
規制当局への不正確な情報
750万ユーロまたは売上高の1%
これらは、EU域内でAIを運用するEU企業およびEU域外企業の両方に適用されます。罰金のほか、当局は製品のリコールを命じる、導入を停止する、市場へのアクセスを制限するといった措置を取ることができます。システムの誤分類――実際には高リスクなのに「限定リスク」と呼ぶこと――それ自体で、強制的なリコールや停止が引き起こされることがあります。
DACHに固有の状況
ドイツは、EUの最大経済圏であることから、主要な取締りの対象となる見込みです。ドイツ企業はすでにGDPR、NIS2、および業種別の規制に対応しながら進めているため、欧州で最も複雑なコンプライアンス環境に直面します。同国の産業の基盤――生産、品質管理、物流、そして人事領域でAIを導入する中小規模の企業(ミッテルシュタンド)が増えていること――により、多数の企業が、自社の業務用AIシステムが高リスクに該当するかを評価する必要に迫られます。
オーストリアは、2026年に向けて公式の人手不足職種リストを64の役割へと拡大し、AI関連の職種も含めました。これは、コンプライアンスを支えるために必要な技術人材への需要が高まっていることを反映しています。医療や金融サービス分野におけるオーストリア企業は、AI Actと既存の業界規制の双方の下で、特に厳格な要件に直面します。
スイスはEU加盟国ではありませんが、スイス企業がAIシステムをEU市場へ販売する場合、遵守が必要です。EUで事業を行う拠点を持つ、スイス本社の多国籍企業は、ベルン国内で何が決まるかにかかわらず、コンプライアンスの枠組みを整える必要があります。EUの取締りが始まっているのに、スイス固有の立法を待つのは、リスクであって戦略ではありません。
実務的には何を意味するのか
大企業では、法務部門が専用のAIガバナンス体制を構築しています。ミッドマーケット企業にはそのような余裕はほとんどありませんが、それでも行動する必要があります。朗報は、最初からAI導入を適切に進めれば、コンプライアンスは別個の作業ストリームにはなりません。プロセスの中に組み込まれるからです。
利用しているあらゆるAIシステムを棚卸しする。これには、購入したツール(CRMインテリジェンス、チャットボット、採用スクリーニング)だけでなく、チームが非公式に使っているツール(ChatGPT、Claude、Copilot)、既存ソフトウェアに組み込まれたAIも含まれます。動いているものを知らなければ、リスク評価はできません。MITの研究では、90%の従業員が職場で個人のAIツールを利用していることが分かっています。この「シャドーAI」は、IT部門が追跡できていないコンプライアンス上のリスク要因を生み出します。構造化されたAI監査――AIがどこで価値を提供できるかを特定するのと同じ種類の業務上のアセスメント――は、すでに何が動いているのか、そして自社のリスクがどこに位置しているのかを、まさに明らかにします。
各システムをリスク階層で分類する。そのAIは、人に関する意思決定(採用、クレジット、保険、サービスへのアクセス)を作り出す、または大きく影響しますか。安全に関わる重要な環境で稼働しますか。はいなら、高リスクである可能性が高いです。この分類は一度きりの作業でもありません。技術が進化すれば、欧州委員会が高リスクのリストを更新し得るため、継続的な監視が義務の一部になります。
コンプライアンスを「周りに付け足す」のではなく「導入の中に組み込む」。企業が犯す中で最も高くつくミスは、まずAIを導入してから後付けでコンプライアンスを取り付けることです。AI Actで求められる文書化、リスク評価、監視は、最初の日から導入プロセスの一部として扱う方が、はるかに作成しやすくなります。Digital Colliersでは、すべてのAI導入案件で、稼働するシステムと並行して技術文書、リスク分類、ガバナンスの枠組みを作成します。事後に別個のコンプライアンス案件として作るのではありません。2026年8月を迎える時点で、当社のクライアントには、規制当局が確認したいと考えるファイルがすでに揃っています。
指名された責任者を割り当てる。AIガバナンスには委員会ではなく担当者が必要です。ミッドマーケット企業では、法務支援のもとCTOまたはオペレーション責任者であることが多いです。社内にAIリーダーシップがない企業では、分数(パートタイム)のAI担当者――フルタイム採用の費用をかけずに、継続的な戦略的助言を提供する外部の専門家――がそのギャップを埋めます。これは、新しい部門を作らずにガバナンスを必要とする、€10〜100M規模の企業で特にうまく機能しているモデルです。
交錯(オーバーラップ)の問題
AI Actは単独で存在しません。GDPRと重なります――特に、AIが個人データを処理したり、22条に基づく自動化された意思決定を行ったりする場合です。NIS2とも重なります――EUのサイバーセキュリティ指令で、重要および重要性の高い事業体に対してインシデント報告を求めます。さらに業種別の規制とも重なります。医療のMDR、金融サービスのDORA、自動車のUNECEルールです。
DACHの企業が規制対象の複数分野にまたがって事業を行う場合、これは、各規制ごとに別々のサイロで進めるのではなく、統合されたコンプライアンス戦略が必要になることを意味します。AI連携を構築するエンジニアリングチームは、監査の時点で発見するのではなく、最初からこれらの重なり合う要件を理解している必要があります。DACHの規制に深い経験があるパートナーと協働する――単なる一般的な「欧州」知識ではなく――ここが、実質的な違いになります。
義務の裏にあるチャンス
義務の裏にあるチャンス
AIガバナンスに対して、反応的ではなく先回りして取り組む企業は、実際の競争上の優位性を得ます。AI Actで求められる規律――リスク評価、データ品質、人による監督、継続的な監視――は、AI導入を本当に成功させるために必要な同じ規律です。95%のパイロット失敗率が存在するのは、まさに企業がこれらの手順を飛ばしてしまうからです。コンプライアンスは、機能するシステムにつながる厳密さを強制します。
B2Bの市場、特にドイツでは、文書化されたAIガバナンスを示すことが、クライアントの信頼を高めます。責任ある、文書化されたAIの利用を説明できる企業は、AIシステムの仕組みや、不正確な出力が出た際に誰が責任を負うのかを説明できない企業よりも、より魅力的なパートナーになります。取り締まりが始まると、コンプライアンスの枠組みがない企業は、公的調達、規制対象の業界、そしてサプライチェーンのコンプライアンスを求める大企業との提携の場から締め出されてしまう可能性があります。
The bottom line
2026年8月が迫っています。この問題をうまく乗り切れる企業とは、コンプライアンスを法的な負担ではなく構造的な優位性として捉える企業です。つまり、期限が迫ってから後付けするのではなく、初日からAI導入にガバナンスを組み込みます。多くのミッドマーケット企業にとって、これは大規模な法務チームを必要としません。必要なのは、きちんと行われたAI導入です。文書化、監視、リスク分類を、任意の付加物ではなく標準的な成果物として行います。
EU AI Actは、AIの採用を止めるために設計されたものではありません。AIが責任ある形で導入されることを確実にするために設計されています。これを理解している企業こそが、2026年9月になっても引き続き自由に事業を行える一方で、競合はまだ書類の整理に追われているでしょう。
Digital Colliersは、システム監査やリスク分類から始まり、文書化・監視・ガバナンスを標準的な成果物として含めた本番導入まで、DACH企業がコンプライアンスを組み込んだ形でAIを導入するのを支援します。2026年8月があなたの検討範囲に入っているなら、お問い合わせください。
この記事は、もともとDigital Colliers Blogに掲載されたものです。Digital ColliersはDACHおよび英国の企業がAIを導入するのを支援します――AIコンサルティングサービスをご覧いただくか、こちらからお問い合わせください。
