連邦レベル: 大統領令の振り子運動
米国の AI 規制は、2023年10月のバイデン大統領令14110号で体系化が始まり、2024年の大統領選後は大きく方向性が転換した。2025年1月、トランプ政権発足直後に14110号は撤回され、代わって「Removing Barriers to American Leadership in AI」大統領令(EO 14179)が発出された。
EO 14179 は安全性要件を緩和する一方で、以下を残した。フロンティアモデルの NSA 経由セキュリティ評価、CISA による重要インフラ向け AI のリスク評価、そして NIST AI Safety Institute(AISI)の維持(ただし予算は約40%削減)。
- 年7月には「AI Action Plan」が公表され、連邦政府内 AI 利用の拡大方針と、州法による過剰規制を抑制する「連邦専占(federal preemption)」の原則が打ち出された。この preemption 方針は、大型予算法案の修正として2025年10月に連邦議会を通過しかけたが、最終的に州政府の反発で削除された経緯がある。
- 年2月には、AI を国家安全保障リスクとする大統領令が追加発出され、中国・ロシア向け AI モデル輸出規制(BIS Export Administration Regulations の一部改正)、米国投資家による敵対国 AI 企業への投資制限(Treasury Outbound Investment Rule)の強化が進んだ。日系企業で米中双方に拠点を持つ場合、エンティティ・リスト該当性の再評価が必要となる。
州レベル: 最も執行が進むのはカリフォルニア・コロラド・ニューヨーク
連邦統一法が存在しないため、米国の AI 規制は州ごとに断片化している。日系 IT 企業の米国子会社が注視すべき州法は以下である。
カリフォルニア州。2024年9月にニューサム知事が拒否権を発動した SB 1047(フロンティアモデル安全法案)は廃案となったが、同知事は代替として2024年12月の SB 53(Transparency in Frontier AI Act)を成立させ、2026年1月に施行された。これは 10^26 FLOPs 超のモデル訓練企業に対し、安全・セキュリティ対応フレームワーク(SSP)の公表、重大インシデント報告、従業員からの内部告発者保護を義務付ける。
カリフォルニアはこの他に AB 2013(訓練データ開示、2026年1月施行)、SB 942(AI 検出ツール提供義務)、AB 2655(選挙期 deepfake 規制)を既に施行済み。州司法長官は2026年3月、AB 2013 違反でカリフォルニア州内モデル提供者1社に初の執行を発動した。
コロラド州。Colorado AI Act(SB 24-205)は、2026年2月1日に施行された米国初の包括的 AI 消費者保護法である。EU AI Act に類似した「high-risk AI system」概念を導入し、雇用、金融サービス、教育、住宅、医療、法執行、政府サービス、法律サービス、保険における自動意思決定に対し、アルゴリズム差別防止義務、影響評価、消費者通知、是正請求への対応を求める。違反時は州司法長官による最大20,000ドル/違反の民事罰金。
コロラド法は日系企業にとって特に注意を要する。ペイロールサービス、信用審査、採用審査、テナント審査の SaaS が典型的な対象となり、ビジネスプロセスの大幅な再設計が必要となる場合がある。
ニューヨーク州。NY Local Law 144 は NYC の採用 AI 規制として既に2023年から施行されているが、州レベルでは2025年に通過した「AI Transparency Act」(S.1169A)により、消費者向け AI 利用時の開示義務が2026年7月から発効する予定。また、2026年通常会期で審議中の「RAISE Act」はカリフォルニア SB 53 類似のフロンティアモデル透明性を要求する。
その他。イリノイ(採用 AI 規制拡張)、コネチカット(SB 2 は2024年可決断念、2026年再提出中)、ユタ(AI 消費者保護法)、テキサス(TRAIGA、2026年1月施行)が続いている。
NIST AI RMF v2 とフレームワーク収斂
NIST は2026年1月に AI Risk Management Framework(RMF)v2 をリリースした。v1(2023年1月)からの主な変更は以下である。
第一に、生成AI プロファイル(2024年7月先行公開)の本体統合。第二に、エージェント AI(autonomous AI systems)向け独立セクションの新設。第三に、ISO/IEC 42001、EU AI Act、Colorado AI Act との対応表の公式付録化。第四に、Secure Software Development Framework(SSDF)との接続強化。
RMF v2 は強制法令ではないが、連邦政府調達(FAR)と連邦金融機関(OCC/Fed/FDIC)のガイダンスに明示的に引用されているため、実質的なベースラインとなる。日本企業が米国政府・大手銀行向けに SaaS を販売する場合、RMF v2 適合性の証憑提示が要請されることが増えている。
SEC と FTC の執行動向
SEC。2024年3月に成立した「AI Washing」ガイダンスに基づき、上場企業の AI 関連開示義務が強化されている。10-K および 10-Q 内でのリスク要因(Item 1A)および MD&A セクションにおいて、AI 利用の実態、モデル依存度、知財上のリスク、サイバーセキュリティ・インシデントのうち AI 由来のものを開示することが期待される。
- 年12月には、SEC が大手テック企業2社に対し、「AI 機能の商業化時期」に関する投資家向け開示が誇大だったとして調査を開始。2026年3月には別のスタートアップ1社が和解金350万ドルを支払った。日系企業で米国上場している場合(ADR 含む)、AI に関する IR 資料・決算説明資料の法務レビューが不可欠となる。
FTC。Operation AI Comply(2024年9月開始)の執行が継続しており、2026年に入ってからは「AI を装った人間によるサービス」「誇大な AI 性能主張」「同意なきデータの AI 訓練利用」の3類型で執行が集中している。FTC Act 第5条(不公正・欺瞞的行為)違反として、消去命令(algorithmic disgorgement、訓練済みモデルの破棄を命じる措置)が現在までに9件発出されている。これは日本企業にとって極めて重大であり、違反認定時には米国顧客向けに販売した AI モデル全体の破棄が命じられ得る。
日系 IT 企業の米国子会社向けコンプライアンス・プログラム
米国子会社を有する日系 IT 企業は、以下の統合プログラム構築を推奨する。
第一段階として、州別影響評価マップの作成。子会社の事業拠点・顧客所在地・従業員所在地の3軸で、該当州法を一覧化する。リモートワーク時代においては従業員所在地ベースでの雇用関連 AI 規制が盲点になりやすい。
第二段階として、NIST AI RMF v2 をベースラインとする統一内部フレームワークの採用。州法・連邦法・本社側の日本基準(METI ガイドライン)を全てこのフレームワークにマッピングする。
第三段階として、SEC 開示と FTC 執行リスクの統合管理。AI プロダクトのマーケティングメッセージは、法務・広報・プロダクトの三者レビューを必須化する。特に「革命的」「完全自動」「人間を超える」といった最上級表現は FTC リスクに直結する。
第四段階として、インシデント対応プレイブックの整備。カリフォルニア SB 53 と連邦サイバーセキュリティ要件下では、重大インシデント発生から72時間以内に州司法長官・CISA への通報が求められる場合がある。日本本社との時差を含めた報告チェーンを事前に確定させる必要がある。
米国 AI 規制は今後数年、連邦 preemption 論と州法積み上げのせめぎ合いが続く見込みである。日本企業は「最も厳格な州基準に全米を合わせる」方針と「州別最適化」方針のどちらを採るか、戦略的に選択する必要がある。