EU AI Act は、2024 年 8 月に発効した世界で初めての包括的な AI 規制です。GDPR と同じく域外適用があり、日本に本社があっても EU の利用者向けに AI を提供している/AI の出力が EU 域内で使われるなら、対象になり得ます。本ガイドは「自社は対象か」「どのリスク階層か」「いつまでに何をするか」を、最新の施行スケジュールも踏まえて実務目線で整理します。
Why It Reaches Japan
01なぜ日本企業にも関係するのか
AI Act の適用は「会社がどこにあるか」ではなく「AI がどこで使われるか」で決まります(市場所在地の原則)。EU 市場に AI システムを出す場合だけでなく、AI の出力が EU 域内で使われる場合にも及びます。たとえば日本の SaaS が EU 拠点の顧客に AI 機能を提供している、あるいは AI が生成した文章・スコアが EU の利用者に届く――こうしたケースは域外適用の射程に入ります。
FIG.1 AI の出力が EU 域内で使われれば、提供者が日本にあっても規制が及ぶ
高リスク AI を域外から提供する場合は、義務の履行を代行するEU 域内の「域内代理人(authorised representative)」を指名する必要があります(汎用 AI モデルにも所在地を問わず独自の義務がかかります)。「EU に法人がないから無関係」と決めつけず、まずは該当性の棚卸しから始めるのが安全です。
024 段階のリスク階層
AI Act の中核は「AI のリスクの高さに応じて義務を変える」という階層設計です。下に行くほど対象は多く義務は軽く、上に行くほど対象は限られ義務は重くなります。
