2026年4月時点での AI Act 執行状況
- 年8月1日に発効した EU AI Act は、段階的施行の最終局面を迎えている。2025年2月に発動した「禁止慣行」条項(第5条)に続き、2025年8月には GPAI(General Purpose AI)モデル提供者の義務が発効し、2026年8月には高リスクAIシステムに関する本体規定が全面適用される。本稿執筆時点の2026年4月は、その直前の「駆け込み対応期」にあたり、日本企業にとっても最も緊張感の高い時期である。
既に欧州委員会の AI Office は、GPAI コード・オブ・プラクティスの署名状況を公表しており、OpenAI、Anthropic、Google DeepMind、Mistral、Aleph Alpha、xAI を含む主要プロバイダのうち、署名を拒否したのは Meta 1社のみとなった。未署名プロバイダに対しては、AI Office が個別に「等価コンプライアンス」の立証を求めており、実質的にコードが de facto のベースラインとして機能している。
制裁金の実例と国内監督機関の体制
- 年1月から4月までに公表されている制裁事例は以下の通りである。
第一に、フランスの CNIL は、顔認識を用いたリアルタイム感情分析をオンライン教育プラットフォームに組み込んでいた仏系 EdTech 事業者に対し、AI Act 第5条(禁止慣行)違反で 1,200万ユーロの制裁金を科した。これは AI Act 下での初の巨額制裁として欧州全域で報道された。
第二に、ドイツの BfDI(連邦データ保護情報自由委員会)は、採用審査プロセスで候補者を自動スコアリングしていた独系大手小売チェーンに対し、高リスクAIシステムとしての適合性評価を実施していない点を捉え、360万ユーロの制裁金を科した。
第三に、オランダ AP(個人情報保護庁)は、児童福祉サービスで利用されていたリスク予測モデルに対し、透明性義務違反で 520万ユーロを科した。これは GDPR 違反と AI Act 違反の二重適用事例である。
重要なのは、各加盟国が AI Act 執行機関として指定した National Competent Authority の体制が出揃いつつあることだ。フランスは CNIL、ドイツは BfDI に加え各州データ保護庁、オランダは AP、アイルランドは新設の National AI Authority、スペインは AESIA(Spanish Agency for the Supervision of AI)。このうちスペイン AESIA は AI Act 執行に特化した世界初の専門庁であり、他国からも参照されるモデルとなっている。
GPAI 透明性レポートとコード・オブ・プラクティス
GPAI 提供者は、AI Act 第53条に基づき、訓練データの概要(sufficiently detailed summary)を公開する義務を負う。2026年2月に AI Office が公表したテンプレートに従い、主要プロバイダは3月末までに初回透明性レポートを提出した。
レポートの開示粒度は想定よりも実質的で、訓練コーパスの主要ドメイン、ライセンス情報、著作権物の割合、個人データの混入状況、合成データの割合までが記載される。Anthropic の Claude 4 シリーズ、OpenAI の GPT-5 系、Google の Gemini 3 系はいずれも準拠しており、日本の生成AI開発者(例: Sakana AI、PFN、NTT 版 tsuzumi 等)も EU 市場投入時は同様の開示が必要となる。
システミック・リスク GPAI(訓練計算量 10^25 FLOPs 超)には追加義務が課される。敵対的テスト、インシデント報告、サイバーセキュリティ対策、モデル評価の外部監査である。2026年時点で「システミック・リスク」判定を受けているのは現在判明している限り11モデルに上る。
日本の SaaS 事業者が直面する実務上の論点
EU 市場に SaaS を提供する日本の IT 企業にとって、最も頻出する論点は以下である。
1. 「市場投入」の定義と域外適用。AI Act 第2条は、EU 域内のユーザーが AI システムのアウトプットを受け取る場合、提供者が第三国に所在していても適用されると明記している。東京に本社を置く SaaS が EU 子会社経由で展開している場合はもちろん、直接販売の場合も対象となる。
2. 認定代理人(Authorized Representative)の指定義務。高リスク AI 提供者は、EU 域内に書面委任された代理人を置かねばならない。2026年時点ではアイルランドやルクセンブルクを本拠地とする法務代行サービスが月額 2,000〜4,500 ユーロ程度で提供されている。
3. 適合性評価(Conformity Assessment)のコスト。高リスク AI の場合、内部評価で足りるケースと、Notified Body による第三者評価が必要なケースが分かれる。生体認証や安全部品組込みは第三者評価必須で、費用は 15〜40万ユーロ、期間は 4〜9 ヶ月に及ぶ。
4. Fundamental Rights Impact Assessment(FRIA)。公共サービス提供者や大規模民間サービスは、AI システム導入前に基本権影響評価を実施し、National Authority に通知する義務がある。GDPR の DPIA とは別枠であり、重複作業が発生する。
実務チェックリスト
越境 SaaS 事業者は、以下の順序で着手することを推奨する。
第一段階: 自社提供するAI機能を AI Act の4分類(禁止/高リスク/限定リスク/最小リスク)にマッピングする。特に雇用、教育、金融信用、法執行、移民、重要インフラ分野は原則として高リスクに該当する。
第二段階: 高リスク該当機能について、品質管理システム(QMS)、リスク管理システム、データガバナンス、ログ保持、人間による監督、頑健性・サイバーセキュリティ、技術文書作成の7本柱を整備する。ISO/IEC 42001 取得が実務的な近道となる。
第三段階: GPAI を基盤モデルとして利用している場合、提供者から受領すべき技術情報(Art. 53(1)(b) ドキュメント)を契約に明記する。Anthropic、OpenAI 等は標準提供しているが、小規模プロバイダは未整備のケースが多い。
第四段階: EU 代理人の指名、CE マーク相当の宣言、EU データベース登録、ポストマーケット監視プロセスの構築を完了させる。
- 年8月以降、執行は一段と厳格化する見込みである。CNIL は既に「教育目的のサンドボックス」を打ち切り、フル監査モードに入ると公言している。日本企業にとって、今まさに残された準備期間は4ヶ月を切った。