📘 この記事でわかること
- ▶ EU AI Act・日本・米国のAI規制の全体像と、それぞれの構造の違い
- ▶ 「APIを使っているだけ」でも規制の対象になるケースとその理由
- ▶ 2026年8月のArticle 50適用に向けて、今から準備すべきこと
- ▶ 情シス・PMが社内で説明するための3地域比較表
「うちのプロダクトにAI機能入れてるけど、法規制って大丈夫なんだっけ?」
ある会社のプロダクトチーム定例で、こんな質問が飛んできた。自社SaaSにOpenAIのAPIを組み込んでチャット機能を提供しているプロダクトだ。PMは「APIを叩いてるだけだし、基盤モデルはOpenAIだから、規制は向こうの話でしょ」という認識だった。
結論から言うと、それは間違いだ。
他社のAIモデルをAPI経由で利用していても、自社ブランドで顧客にAI機能を提供している時点で、EU AI Actでは「provider」に該当する。基盤モデルを自社で持っているかどうかは関係ない。
この記事では、AI関連の法規制について「情シスやPMが最低限押さえておくべき全体像」を、EU・日本・米国の3地域で整理する。法務の専門家向けの逐条解説ではなく、「社内で聞かれたときにちゃんと答えられるレベル」を目指す。
▼ まず押さえるべき3つの前提
AI規制の話に入る前に、3つの前提を共有しておく。これを知らないまま個別の法律を読んでも、構造が見えない。
前提①:EU AI Actが世界のベースライン
EU AI Act(Regulation (EU) 2024/1689)は、2024年に成立した世界初の包括的AI規制法だ。日本も米国も、この枠組みを部分的に参照して自国のルールを作っている。つまり、EUを先に理解しておけば、日本・米国は「EUのここに対応している/ここが異なる」という差分で読める。
前提②:判断基準は「技術」ではなく「用途」
同じLLMを使っていても、社内向けの雑談botと、採用候補者のスコアリングでは課される義務がまったく違う。規制は技術スタックではなく、宣言された用途で判断される。「GPT-4を使っている」という事実だけでは、何の義務があるか決まらない。
前提③:誰の名義で提供しているかが問われる
自社ブランドで顧客にAI機能を提供している場合、アプリケーション層の提供責任を負う「provider」になる。基盤モデルがOpenAI製だろうがAnthropic製だろうが、「基盤モデルは自社で持っていないから関係ない」という整理は成立しない。
⚠ よくある誤解
「APIを呼んでいるだけだから規制は基盤モデル側の話」——これは間違い。自社プロダクトとして顧客に提供している時点で、アプリケーション層のproviderとしての義務が発生する。
▼ EU AI Act——リスク階層で義務が決まる
EU AI Actの最大の特徴は、AIシステムをリスクレベルで4階層に分け、階層ごとに異なる義務を課す構造だ。
4つのリスク階層
| 階層 | 具体例 | 課される義務 |
|---|---|---|
| 禁止 | 社会的スコアリング、潜在意識操作、脆弱性悪用 | 市場投入・利用そのものが禁止 |
| High-risk | 雇用判定、教育評価、重要インフラ、法執行 | 適合性評価、リスク管理、ログ保持、人手介在、技術文書 |
| 限定リスク | チャットボット、ディープフェイク | 透明性義務(AIである旨の開示等) |
| 最小リスク | スパムフィルタ、ゲーム内AI | 追加義務なし |
重要なのは、どの階層に入るかは用途で決まるという点だ。同じチャット機能でも、「社内ドキュメント検索の補助」は限定リスク、「採用候補者のスクリーニング」はhigh-riskに分類される。
providerとdeployer
AI Actは主体を2つに分ける。
- ▶ Provider:AIを自社名義で市場に提供する側
- ▶ Deployer:提供されたAIを自らの業務で利用する側
providerの定義は広い。自社で開発していなくても、他社のAIを自社ブランド・自社商標で提供すればproviderに該当する。OpenAI APIを利用した自社SaaSは、そのアプリケーション層についてproviderだ。
💡 GPAI providerには基本的に該当しない
GPAI(General-Purpose AI)model providerという概念もあるが、これはGPT-4やClaudeのような汎用基盤モデルを提供する側の義務。他社モデルをAPI経由で利用しているだけであれば該当しない。ファインチューニングやRAG実装も、通常はこの閾値に到達しない。
域外適用:日本企業でも関係する
「EUに拠点がない」「サーバーがEUにない」は免責理由にならない。EUのユーザーにAI機能の出力が届いているのであれば、AI Actの射程に入る。EUに顧客がいるSaaSは、国内開発・国内運用であっても検討対象だ。
今すぐ意識すべき2つの条文
high-riskに該当しない場合でも、チャット型AIに直接関わる義務が2つある。
| 条文 | 内容 | 適用時期 |
|---|---|---|
| Article 4(AI literacy) | AIを扱うスタッフに対し、AIの仕組みとリスクに関する教育を確保する義務 | 2025年2月〜適用済み |
| Article 50(透明性) | AIと対話していることをユーザーに知らせる設計とする義務 | 2026年8月〜 |
⚠ Article 50はUI対応が必要
「AIと対話していることをユーザーに知らせる設計」が義務になるため、プロダクトのUI改修が発生する。2026年8月の適用まで残り数ヶ月。今から準備を始めるべきタイミングだ。
▼ 日本——法律ではなくガイドラインで動いている
日本にはEUのような包括的AI規制法は存在しない。2025年に「人工知能関連技術推進法」が成立したが、これは国家戦略・基本計画を定める枠組み法であり、企業に直接義務を課すものではない。
実務上の基準になっているのはガイドラインだ。
AI事業者ガイドライン(内閣府)
AIに関わる主体を「開発者/提供者/利用者」の3つに分け、10原則(人間中心、安全性、公平性、透明性、アカウンタビリティ等)を示している。法的強制力はないが、事実上の公的基準として機能しており、RFP・監査・DDで「準拠しているか」を問われる場面が増えている。
AISI評価観点ガイド・レッドチーミング手法ガイド
AI特有の評価手法を公的に整理したもの。RAG実装やマルチモーダル基盤モデルまで対象に含まれている。通常のQAや脆弱性診断とは別に、AI固有の評価を組むべきという前提が置かれている。
💡 EUとの構造的な違い
EUは「provider / deployer」の2区分だが、日本は「開発者/提供者/利用者」の3区分。また、明示的なリスク階層はなく、10原則を用途に応じて当てはめる形になっている。発想の方向性はEUと整合しているが、運用のされ方が異なる。
▼ 米国——連邦法なし、FTCと州法の組み合わせ
米国にも連邦レベルでの包括的AI法はない。代わりに、FTC(連邦取引委員会)の執行と州法の組み合わせで規律されている。
FTCの立場:「AIだから例外」は認めない
FTCの公式見解は明確だ。「AIであっても既存法の例外にはならない」。誇大な精度主張、根拠のない「bias-free」主張、AIによる欺瞞的サービスは、いずれも既存の消費者保護法による執行対象になる。プロダクトのマーケティング文言には注意が必要だ。
州法で実務上影響が大きいのは2つ
| 州法 | 概要 | 施行時期 |
|---|---|---|
| Colorado SB24-205 | high-risk AIの開発者・利用者に差別防止のreasonable care、impact assessment、年次見直し、消費者への通知・訂正機会を要求。会話型AIの開示義務も条文化 | 2026年6月30日(延期済み) |
| Utah Chapter 77 | 会話型AIに特化。消費者取引でAIか人間かを問われた際の開示義務。医療・法律などの規制職種ではより明示的な開示が必要 | 2025年5月7日〜施行済み |
✅ 効率的な対応のポイント
EU Article 50とUtah Chapter 77はいずれも「会話型AIの開示」を求めている。両方を満たすUI設計を一つ作ってしまえば、最も効率的に対応できる。
NIST AI RMF——法律ではないが無視できない
NISTが公表しているAI Risk Management Frameworkは、法的強制力のない自主適用の標準だ。しかし、政府調達や大企業との契約・DDにおいて「NIST AI RMFに準拠しているか」を問われる場面が増えている。「法ではないから無視してよい」という整理は成立しない。
▼ 3地域比較:社内説明用の一覧表
社内で説明する際に使える比較表を整理した。経営陣やプロダクトチームに共有する際にはこの粒度で十分だ。
| 項目 | EU | 日本 | 米国 |
|---|---|---|---|
| 包括的AI法 | あり(AI Act) | なし(推進法は枠組みのみ) | なし(連邦法なし) |
| 実務上の基準 | AI Act本体 | AI事業者ガイドライン | FTC執行+州法+NIST AI RMF |
| 主体の区分 | Provider / Deployer | 開発者 / 提供者 / 利用者 | Developer / Deployer(州法による) |
| リスク分類 | 4階層(禁止〜最小リスク) | 明示的な階層なし(10原則を当てはめ) | 州法ごとに定義(Coloradoはhigh-risk概念あり) |
| 会話型AIの開示義務 | Article 50(2026年8月〜) | ガイドラインで推奨 | Utah施行済み、Colorado 2026年6月〜 |
| 域外適用 | あり(EUユーザーに出力が届けば射程内) | なし | 州法の射程による |
| 法的強制力 | あり(罰則あり) | ガイドラインのため直接の強制力なし | FTC執行+州法で強制力あり |
▼ タイムライン:いつまでに何をやるべきか
EU AI Actの適用スケジュールを中心に、主要な期限を整理する。
| 時期 | 適用される内容 | 対応のポイント |
|---|---|---|
| 2025年2月 | EU:禁止行為(Article 5)、AI literacy(Article 4) | 自社AIが禁止類型に該当しないか確認。スタッフ教育の仕組みを整備 |
| 2025年5月 | 米国:Utah Chapter 77 施行 | 米国ユーザー向け会話型AIがある場合、開示UIを確認 |
| 2025年8月 | EU:GPAI関連義務 | APIを利用しているだけなら通常は該当しない |
| 2026年6月 | 米国:Colorado SB24-205 | high-risk AI利用がある場合、impact assessmentの準備 |
| 2026年8月 | EU:AI Act本体(Article 50透明性義務含む) | UI対応が必要。「AIと対話している」旨の表示を実装 |
| 2027年8月 | EU:Annex II系high-risk | EU製品安全法制と関わるAIコンポーネント |
▼ 情シス・PMが今やるべきこと
法規制の全体像を把握した上で、具体的に何から手をつけるべきか。最低限のアクションを整理する。
STEP 1:自社AIの「用途」を棚卸しする
まず、自社プロダクトや社内で利用しているAI機能の一覧を作り、それぞれの用途を明確にする。「社内ドキュメント検索」「顧客対応チャットボット」「採用候補のスクリーニング」——用途によって課される義務がまったく違うので、ここが起点になる。
STEP 2:自社の「立ち位置」を確認する
その機能を自社ブランドで顧客に提供しているなら provider。社内利用のみなら deployer。この区別によって、対応すべき義務の範囲が変わる。
STEP 3:Article 50対応のUI設計を始める
2026年8月までに、「AIと対話していること」をユーザーに知らせるUI設計が必要になる。EU Article 50とUtah Chapter 77の両方を満たす設計を一つ作っておけば効率的だ。チャットUIに「AI Assistant」「Powered by AI」等の表示を追加するだけでも、safe harborの適用に近づく。
STEP 4:スタッフ教育(AI literacy)を整備する
Article 4は2025年2月から適用済みだ。AIを扱うスタッフに対し、AIの仕組みとリスクに関する教育を確保する義務がある。まだ対応していないなら、今すぐ着手すべき項目だ。
💡 まとめ:情シスが押さえるべきポイント
- ▶ 規制の判断基準は技術スタックではなく用途
- ▶ APIを利用しているだけでもproviderになり得る
- ▶ EU AI Actは域外適用がある——日本企業でも対象になる
- ▶ 2026年8月のArticle 50に向けてUI対応の準備を
- ▶ 日本のガイドラインも監査・DDで事実上要求される
📅 30分無料相談、受け付けています
「自社プロダクトのAI機能が法規制にどう引っかかるのか整理したい」「社内でAI利用のガイドラインを作りたいけど何から始めればいいかわからない」——そういった段階からお気軽にどうぞ。
📅 30分無料相談を予約する →