高リスクシステムに関する一部義務の延期だけに安心してはいけません。AI Act はすでに段階的に適用されています。2026年8月2日以降は、特に透明性義務を中心に新たな重要期限が到来します。チャットボット、AI生成コンテンツ、ディープフェイク、HRツール、AI強化型SaaS、会話型エージェントなどについて、IntelligenceArtificielle.com は参考ノートで、組織は規制ウォッチから運用上の棚卸しへ移行すべきだと指摘しています。
多くの企業では、AI Act は依然として「法務」「コンプライアンス」「後で対応する案件」に分類されたままです。これは誤った判断です。
EUの人工知能規則は、もはや遠い将来の文書ではありません。2024年8月1日に施行され、段階的に適用されています。特定のAI実践を対象とする禁止事項とAIリテラシー義務は2025年2月2日から適用されています。ガバナンス規則および汎用AIモデルに関する義務は2025年8月2日から適用されています。次の大きな節目は2026年8月2日で、多くの規定が一般適用に入り、特に第50条で定められた透明性義務が重要になります。
要するに、論点はもはや「AI Act には何が書かれているのか?」ではありません。むしろ、「自社では、どこで、どのように、なぜすでにAIを使っているのかを把握できているか?」です。
高リスクの延期は、AI Act 全体の延期ではない
Digital Omnibus により、一時的な猶予があるように見えたかもしれません。高リスクAIシステムに適用される規則は再編され、付属書IIIに該当する自律型システムは2027年12月2日、部門別規制の対象となる製品に組み込まれたシステムは2028年8月2日に適用される予定です。欧州議会は2026年6月16日にこれらの簡素化措置を承認しましたが、施行前にはなお理事会による正式採択が必要です。
しかし、この延期は規則全体を停止するものではありません。
すでに適用されている禁止行為は延期されません。AIリテラシー義務も延期されません。汎用AIモデルに関する義務も延期されません。そして企業は、2026年8月2日の期限を見過ごしてはなりません。
まさにここが落とし穴です。AI Act は高リスクシステムから始まる、と考えてしまうことです。実際には、最初の実務的な波は、はるかに一般的な用途に及びます。会話型アシスタント、顧客向けチャットボット、AI生成コンテンツ、AIの補助で公開される文章、合成画像、人工音声、ディープフェイク、業務ソフトに組み込まれた生成機能などです。
2026年8月2日に何が変わるのか
2026年8月2日以降、透明性義務が中核になります。これは、利用者がAIとやり取りしていることに気づかないままにならないようにすること、合成コンテンツが適切な表示なしに流通しないようにすること、またディープフェイクやAI生成の一部の公共性の高いコンテンツが、完全に人間が作成したかのように提示されないようにすることを目的としています。
欧州委員会は2026年6月10日に、AI生成コンテンツの透明性に関するベストプラクティス・コードを公表しました。これは、提供事業者や導入事業者が、第50条で定められたマーキング、ラベリング、検知の義務を遵守するのを支援するものです。このコードへの参加は任意ですが、第50条の透明性義務自体は法的義務です。
企業にとっては、次のような非常に具体的な問いに落とし込まれます。
- 顧客は、自分がチャットボットと会話していると認識できているか?
- 公共性の高いテーマに関する公開コンテンツは、AIによって生成または大幅に修正されているか?
- 画像、動画、合成音声は、その旨が明示されているか?
- 社内ツールが、人間の意思決定に影響を与える文章、推奨、分析を生成していないか?
- マーケティング、HR、カスタマーサービス、プロダクトの各チームは、何を表示し、何を保存し、何を確認すべきかを理解しているか?
Digital Omnibus では、2026年8月2日以前に市場投入済みのシステムに関して、AI生成コンテンツの一部マーキング義務について2026年12月2日までの猶予も予定されています。ただし、この移行期間は透明性全般の延期と理解すべきではなく、特定の範囲に限定されたものです。
本当のリスク:見えないAI
企業にとって最大のリスクは、役員会で説明される大規模AIプロジェクトとは限りません。多くの場合、すでに存在しているAIの中にあります。
CRMに有効化されたAI機能。マーケティングツールに追加されたスコアリング・モジュール。採用チームが試験導入しているHRアシスタント。広報部門が使うコンテンツ生成ツール。文書データベースに接続された会話型エージェント。利用状況を正確に把握しないまま展開されたオフィス向けコパイロット。納品物にAIを使っているのに明示しない委託先。
Hub France IA は、組織内に存在するAIシステムを洗い出す必要性を強調しています。市場製品に組み込まれたもの、開発中のもの、本番運用中のもの、さらには構想段階で生まれるものも含まれます。同団体のガイド「Premiers pas vers l’IA de Confiance」は、AIシステム台帳に、データソース、技術アーキテクチャ、業務ユースケース、対象となる人々、展開コンテキスト、事前リスク分析を記録することを推奨しています。
同文書はまた、ベンダー、委託先、インテグレーターなど第三者が提供するシステムに注意を促しています。これらには、最終利用者からは見えにくいAIコンポーネントがますます多く組み込まれています。また、「Shadow AI」という現象、つまり一般用途ツールの非公式利用、ベンダーが追加したAIオプション、購買プロセスを通さずに契約された小規模SaaS、ITの監視外で行われる社内実験にも言及しています。
ここで、AI Act のコンプライアンスは法務だけでなく、ガバナンスのテーマになります。
コンプライアンスは台帳づくりから始まる
多くの組織にとって、最初に有効な一手は大規模な法務プロジェクトではありません。AI利用のシンプルな台帳を作ることです。
この台帳は、初日から完璧である必要はありません。重要なのは、次の基本的な問いに答えられることです。
- どのAIツールまたはシステムを使っているか?
- どの部門が使っているか?
- どの業務用途で使っているか?
- どのデータを使っているか?
- どの人、またはどの属性の人に影響しうるか?
- 企業は単なる利用者か、導入事業者か、インテグレーターか、提供事業者か?
- その用途は透明性義務の対象か?
- 高リスクに該当しうるか?
- どの証跡が保存されているか?
- どのベンダーが何に責任を持つのか?
目的はイノベーションを止めることではありません。主導権を取り戻すことです。
AIをどこで使っているか把握できていない企業は、それを統制できているとは言えません。また、誰が何をどのデータで、どの目的で使っているか分からない企業は、顧客、監査人、保険会社、パートナー、公共調達の発注者、監督当局からの要請に対応するのが非常に難しくなります。
今すぐ着手すべきチェックリスト
2026年8月2日の期限まで数週間となった今、企業は実務的な方法で前進できます。
1. AI Act の責任者を任命する。
必ずしも新しい役職を作る必要はありません。ただし、IT、法務、購買、事業部門、HR、コンプライアンス、セキュリティ、広報を横断的に調整できる明確な責任者が必要です。
2. AI利用の棚卸しを開始する。
まずは見えるツールから始めます。チャットボット、コンテンツ生成ツール、コパイロット、社内エージェント、モデルAPI、HRソリューション、マーケティングツール、スコアリングツール、文書分析ツールなどです。
3. 見えないAIを探す。
事業部門、購買、委託先に確認します。重要な利用は、公式プロジェクトの中にあるとは限りません。SaaSのオプション、個人アカウント、ローカルな試験導入の中に潜んでいることがあります。
4. 最小限の台帳を作成する。
各用途について、ツール、ベンダー、目的、利用部門、処理データ、対象者、想定リスクレベル、透明性義務の有無、人間による監督、利用可能な証跡を記録します。
5. 機微な用途を特定する。
HR、採用、従業員評価、教育、与信、保険、医療、生体認証、セキュリティ、必須サービスへのアクセスなどは、優先的に分析すべき領域です。
6. 透明性対応を準備する。
チャットボット、会話型エージェント、生成コンテンツ、合成画像、人工音声、ディープフェイク、公共性の高い文章について、何を、どこで、どの表現で、どの画面で、どの証跡とともに表示するかを決めます。
7. ベンダー契約を見直す。
購買担当は、ベンダーや委託先に対し、バリューチェーン上の役割、利用可能な文書、使用モデル、使用データ、学習条件、ログ、セキュリティ、バージョン変更、サービス終了、再委託先など、必要な情報を求めるべきです。
8. チームを教育する。
AIリテラシーは一般的な研修だけでは不十分です。採用担当、マーケター、法務担当、開発者、購買責任者、マネージャーでは、リスクも必要な知識も異なります。
9. 監督体制を整える。
重要な用途については、誰が、いつ、どの閾値で、どの是正措置を取るのかを定義する必要があります。Hub France IA は、継続的監督、人間による確認、ログ、アラート、バイアス監視、インシデント報告手順、文書更新を推奨しています。
10. 証跡ファイルを整備する。
コンプライアンスは実施するだけでは不十分です。実施したことを示せる必要があります。台帳、決定事項、リスク分析、研修、ベンダー条項、ユーザー通知画面のキャプチャ、社内手順、ログ、レビュー記録などです。
簡潔な形式で共有できるチェックリスト:
制裁は論点の一部にすぎない
AI Act には厳しい制裁が定められています。禁止行為には最大3,500万ユーロまたは世界年間売上高の7%、多くのその他の違反、特に透明性義務には最大1,500万ユーロまたは3%、当局への誤った、不完全な、または誤解を招く情報提供には最大750万ユーロまたは1%です。
しかし、多くの企業にとって、最も差し迫ったリスクはもっと地味なものかもしれません。入札に敗れる、ベンダー質問票に回答できない、HRツールが適切に評価されていなかったことが判明する、顧客向けチャットボットに表示がないことが分かる、AI支援の意思決定が本当に人間によって監督されていることを証明できない、といった事態です。
したがって、AIコンプライアンスは商業的な信頼の問題でもあります。
今後数か月で、大企業、公共調達、保険会社、投資家、テクノロジーパートナーはますます次のように尋ねるでしょう。どのAIシステムを使っていますか?どのデータで?どの用途で?どの監督の下で?どのベンダー保証と証跡がありますか?
完璧なコンプライアンスを待たない
すべてのガイド、規格、市場慣行が確定するまで待ってから着手するのが落とし穴です。現時点での課題は、完璧な仕組みを持つことではありません。まずは初期のマッピング、初期の台帳、機微な用途の初期分析、初期の応答能力を持つことです。
AI Act のコンプライアンスは、法務ファイルから始まるのではありません。運用上の問いから始まります。何を、どこで、何のために、どのデータで、どの責任の下で、どの証跡とともに動かしているのか、把握できているでしょうか?
これに答えられる企業は優位に立てます。答えられない企業は、AI がマッピングなしに展開されると、すぐに統制不能になることを知るでしょう。
本記事は、企業における AI Act の実務的カウントダウンに関する参考ノートをもとにしており、統合カレンダー、すでに適用されている義務、汎用AIモデル、透明性、高リスク、ベンダー、AI台帳に関する留意点を含みます。
本記事は一般的な情報提供を目的としており、各組織の状況に応じた法的助言に代わるものではありません。