# EU AI Actのハイリスク規制——日本企業の該当事例と2026年の対応ステップ > EU AI Actのハイリスク(High-risk)AIの定義と判定基準を整理。日本の中小企業が規制対象になる具体的なケースと、今すぐ着手できる3つの対応ステップを解説します。 - Canonical: https://kuucorp.com/blog/eu-ai-act-high-risk-japan-sme/ - Date: 2026-05-08 - Last modified: 2026-05-08 - Publisher: Kuu株式会社 (https://kuucorp.com) --- EU AI Actは「ヨーロッパだけの話」と思っていた中小企業経営者の元に、欧州取引先から「AIシステムの説明責任書類を提出してほしい」という要求が届き始めています。EU向けに何かを販売・開発している企業なら業種・規模を問わず無関係ではいられません。[AIガバナンス](/ai-governance/)の観点から、自社AI用途のカテゴリ別対応方法を整理します。 ## EU AI Actとは何か——世界初のAI包括規制法 > EU AI Actは2024年施行の世界初のAI規制法で、高リスクAIには文書化・ログ・人間監督の義務が生じます。 EU AI Act(人工知能法)は2024年8月に施行された、世界で初めてAIを包括的に規制する法律です。対象はEU域内で使用または販売されるすべてのAIシステムで、次の4つのリスクカテゴリに分類されます。 - **禁止AI(Unacceptable Risk)**: 社会信用スコアリング、目的外の顔認識など。EU域内では原則禁止。 - **高リスクAI(High-Risk)**: 採用・医療・信用評価・重要インフラ制御など。厳格な義務が発生する。 - **限定リスクAI(Limited Risk)**: チャットボットなど。ユーザーへの告知義務のみ。 - **最小リスクAI(Minimal Risk)**: スパムフィルタ等。特段の規制なし。 高リスクAIには、リスクマネジメント計画の策定、技術文書の維持、6カ月以上のログ保存、人間による監督フローの設計が義務付けられます。 ## 日本企業が「高リスクAI」に該当するケース > EU向けビジネスで採用評価・信用スコアリング・医療診断補助AIを使えば、日本拠点でも高リスク規制の対象になります。 EU AI Actの管轄範囲は「EUの居住者に影響を与えるAIシステム」です。日本に法人登記があっても、次のケースに当てはまれば規制対象になります。 **採用・人事評価AI** EU企業向けSaaSに候補者のCV自動スクリーニング機能を組み込んでいる場合、高リスク扱いになります。採用AIはEU AI Actが最も厳格に規制するカテゴリです。 **信用スコアリングAI** EU法人や個人顧客のローン審査・与信判断にAIを活用しているFinTechプロダクトは対象です。 **医療診断補助AI** EUの医療機関向けに画像解析・症状判断補助AIを提供している場合、欧州医療機器規則(MDR)とのダブル対応が必要です。 **重要インフラ管理AI** EU域内の電力・水道・交通インフラ管理AIも対象です。国内完結のビジネスには直接適用されませんが、大企業の調達先の中小企業には取引先経由でコンプライアンス要求が届くケースが増えています。 ## 実務的な3ステップ対応 > 自社AI用途の棚卸し→リスク分類→ガバナンス文書整備の3ステップで中小企業でも規制対応を段階的に進められます。 ### ステップ1:AI用途の棚卸し 社内・外部委託を含めすべてのAI用途を一覧化します。汎用ツール(ChatGPT・Microsoft Copilot等)、業務システムに組み込まれたAI機能、外部パートナーが構築したAI処理をリストアップし、「EU向けビジネスに接触しているか」を基準に優先度を付けます。 ### ステップ2:リスク分類と現状ギャップ確認 棚卸したAI用途をEU AI Actの4カテゴリに照合します。高リスクの可能性がある用途については、技術文書の有無・ログ保存体制・人間監督フローと規制要件のギャップを確認します。 ### ステップ3:ガバナンス文書の整備 高リスクAIに該当する用途には、以下を整備します。 - **AIリスクマネジメント計画書**: リスク特定・評価・軽減措置を記述する - **技術文書**: アーキテクチャ・使用モデル・学習データの仕様を説明する - **ログ記録体制**: 入力・出力・判断根拠を最低6カ月保存する - **人間監督フロー**: 誰がどのタイミングでAIの判断をレビューするかを設計する 既存のISO 27001やプライバシーマーク対応フレームワークを活用することで、整備コストを大幅に抑えることができます。 ## EU AI Actが国内に波及する理由 > 大企業サプライチェーン要求と国内規制強化により、直接対象外の中小企業にも規制対応が実質的に求められます。 EU AI Actの影響は直接的な規制適用にとどまりません。 **サプライチェーン経由の波及** EU市場に製品を提供する大企業は、取引先の中小企業に対して「AIシステムの説明責任書類」を求め始めています。製造業部品メーカーやIT開発パートナーへの要求が増えています。 **国内規制の先行指標として機能** 経済産業省の「AI事業者ガイドライン」はEU AI Actを参考にしており、法的強化の際も同様の方向性が予想されます。EU基準への自発的準拠は国内対応の先行投資としても機能します。 ## まとめ EU AI Actのハイリスク規制は、EU向けビジネスに携わる日本の中小企業にとって対岸の火事ではありません。まず自社のAI用途を棚卸しし、どのカテゴリに当てはまるかを確認することが最初のアクションです。 Kuuでは[AIガバナンス設計・構築支援](https://kuucorp.com/services/ai-ops/)において、EU AI Act対応を含むガバナンスフレームワークの整備を提供しています。「うちはEU規制の対象になるのか」という判断から一緒に進めますので、まずはお気軽にご相談ください。