EU AI Act の本格施行はいつからですか?

2026年8月2日からです。残された義務、特に高リスクAIシステムに関する義務全般がこの日に発効します。本法は2024年8月以降段階的に施行されてきました。禁止AIは2025年2月から、GPAIモデル義務は2025年8月から、高リスク制度の完全施行が2026年8月からとなります。

ISO 42001 とは何で、EU AI Act とどう関係しますか?

ISO 42001 は2023年に発行された AIマネジメントシステムの国際規格です。EU AI Act の遵守に必要な文書化とプロセスのフレームワークを提供します。ISO 42001 認証を取得した組織は、リスクレジスタ、インシデントログ、人的監督手続きなど、EU AI Act の監査が確認するガバナンス基盤をすでに整備していることになります。

2026年8月までに最低限やっておくべきことは?

受容可能利用ポリシー、インシデントログ、AIガバナンス意思決定の責任者を明示した文書の3点です。最小リスク以外のすべてのシステムで必要となり、数日で整備でき、規制当局が真っ先に提示を求める要素でもあります。

EU AI Act 違反時の罰則はどのくらいですか?

禁止AI慣行や GPAI モデル義務違反に対しては最大3,500万ユーロまたは世界年商の7パーセント。その他の違反は最大1,500万ユーロまたは3パーセント。監督当局への不正確な情報提供は最大750万ユーロまたは1.5パーセントです。

AI SystemsAI Engineering

本番LLMシステムのためのAIガバナンス・チェックリスト 2026年版

EU AI Act の本格施行は 2026年8月から始まります。本チェックリストでは、本番LLMシステムが備えるべき5層のガバナンスを、ISO 42001 と EU AI Act のマッピング付きで実務的に整理します。

2026-05-039 min read

要点

EU AI Act の高リスク条項は2026年8月に完全施行されます。違反時の制裁金は最大3,500万ユーロまたは全世界年間売上高の7%に達します。
ISO 42001 は AI マネジメントシステムの規格で、EU AI Act 準拠のための文書化フレームワークを提供します。情報セキュリティにおける ISO 27001 を、AI 向けに置き換えたものと考えてください。
多くの企業向け LLM は EU AI Act の限定リスク区分に該当しますが、採用、与信、医療、教育、法執行に用いるシステムは高リスクに分類され、はるかに厳格な要件を負います。
本番運用の LLM システムに必要な5つのガバナンスレイヤー: 利用ポリシー、データ封じ込めアーキテクチャ、人間レビューのチェックポイント、インシデントログ、AI アクションの監査証跡。
すべてを一度に実装する必要はありません。利用ポリシーの文書化とインシデントログから始めてください。どちらも2026年8月までに必要で、月単位ではなく日単位で構築できます。

Section 01 · なぜ今か

2026年8月に何が変わり、なぜ重要なのか

EU AI Act は2024年8月から段階施行されています。2026年8月は、残された要件 — 高リスク AI システムに関するすべての義務を含む — が完全に執行可能となる時点です。

クイックアンサー

短い答え: 2026年8月は EU AI Act の完全準拠の期限です。高リスク AI システムは厳格な文書化、人間による監督、監査要件に直面します。多くの企業向け LLM は限定リスクですが、採用、与信、医療、法的判断に使われるシステムは高リスクです。

EU AI Act の段階的な施行は組織に準備の時間を与えてきましたが、2026年8月の期限は現実です。執行は EU 加盟国の各国市場監視当局と、汎用 AI モデルについては European AI Office が担います。制裁金は重大です: 最も深刻な違反では最大3,500万ユーロまたは全世界年間売上高の7%、その他の違反では最大1,500万ユーロまたは3%です。

同法には域外適用もあります。AI システムが EU 内で展開される場合 — EU 居住者に影響する場合は会社の所在地を問わず — 同法の対象となります。これは、パキスタン、米国、その他どこにある企業が構築した AI システムであっても、EU のユーザーを処理または影響するなら準拠の対象となるということです。

Section 02 · リスク分類

あなたのシステムはどの区分に該当するか

一般的な LLM ユースケースに対する EU AI Act のリスク分類
リスク区分	例	主な義務
許容不可(禁止)	ソーシャルスコアリング、リアルタイム生体監視、サブリミナル操作	禁止 — EU 内に配備不可
高リスク	採用ツール、信用スコアリング、医療診断、教育評価、法執行	完全な文書化、人間による監督、精度要件、監査証跡、適合性評価
限定リスク (GPAI)	汎用チャットボット、コーディングアシスタント、文書要約	透明性義務、著作権開示、AI 生成コンテンツのラベル表示
最小リスク	スパムフィルタ、単純なレコメンドシステム、ゲーム内 AI	義務的要件なし

汎用 AI モデル — GPT-5.4、Claude Sonnet 4.6、Gemini 2.5 を含む — は GPAI(General Purpose AI)条項の対象となり、透明性と著作権開示が求められますが、高リスク要件ほど重くはありません。GPAI モデルの上にアプリケーションを構築し、そのアプリケーションが高リスク用途で使用される場合、高リスクの義務はあなたのアプリケーションに適用されます。

Section 03 · ガバナンスチェックリスト

本番運用 LLM システムに必要な5つのガバナンスレイヤー

利用ポリシー

AI システムが何を行うことを許可されているか、どのユースケースが禁止されているか、どのデータの処理が許されているかを定める文書化されたポリシー。これが土台です。これがなければ、規制当局や監査人に対して、システムのリスク面を考えたことを示せません。2026年8月までに文書化してください。

データ封じ込めアーキテクチャ

本番運用の LLM システムは、必要でない限り個人データや機微情報をモデルのコンテキストに渡すべきではありません。コンテキスト構築前の PII 検出、EU 居住者データのデータレジデンシー制御、モデルが何のデータを見るのか・なぜ見るのかの明確な文書化を実装してください。文書を選択的に取得する RAG アーキテクチャは、データベース全体を渡すシステムより監査可能です。

高リスク判断のための人間レビューのチェックポイント

人の生活に影響する AI 支援判断 — 採用、与信、医療、教育 — については、判断が実行される前に人間レビューのステップを実装してください。人間レビューは網羅的である必要はありません。文書化され、ログ記録され、AI の推奨を実質的に覆せる必要があります。

インシデントログ

AI システムが誤った、有害な、または予期しない出力を生成したインシデントは、日付、入力、出力、コンテキスト、解決とともにログに記録されなければなりません。このログは ISO 42001 によって要求され、EU AI Act 準拠監査の主要な証拠基盤です。8月を待たず、今からログ記録を始めてください。

AI アクションのための監査証跡

メッセージ送信、レコード更新、ワークフロー起動などのアクションを取るエージェントシステムでは、すべてのアクションが、エージェントの推論トレース、呼び出されたツール、渡されたパラメータ、人間による承認(必要な場合)とともにログ記録されなければなりません。これが、ガバナンス可能なエージェントとガバナンス不可能なエージェントを分ける統制です。

Section 04 · ISO 42001

ISO 42001: ガバナンスを監査可能にするマネジメントシステム

ISO 42001 は2023年末に公開された、AI マネジメントシステムに特化した初の国際規格です。組織が AI システムを責任ある形で構築、配備、ガバナンスする方法に対する構造化されたフレームワークを提供します。BSI、DNV、TÜV といった主要監査機関がこの規格に基づく認証を行っています。

ISO 42001 と EU AI Act の実務的関係: ISO 42001 は、EU AI Act の準拠要件が前提とする文書化とプロセスのフレームワークを提供します。ISO 42001 認証を取得した組織は、根底にあるガバナンス基盤がすでに整っているため、EU AI Act 監査に向けて有利な位置にあります。

EU AI Act の義務を ISO 42001 条項と実装優先度に対応付け
EU AI Act の義務	ISO 42001 条項	優先度
リスクマネジメントシステム	6.1 — リスクアセスメント	高
技術文書	9.1 — 監視、測定、分析	高
人間による監督メカニズム	8.4 — AI システム設計の管理策	高
精度と頑健性の試験	9.1 — パフォーマンス評価	中
データガバナンス	8.2 — AI システムのデータマネジメント	高
インシデントログ	10.1 — 不適合と是正処置	高

FAQ

よくある質問

EU AI Act の完全執行はいつから始まりますか?

2026年8月2日です。これは残された要件が施行される時点で、高リスク AI システムに関するすべての義務を含みます。同法は2024年8月から段階施行されています: 禁止 AI システムは2025年2月から禁止され、GPAI モデル義務は2025年8月から適用、完全な高リスク制度は2026年8月から適用されます。

EU AI Act は EU 域外の企業にも適用されますか?

はい。EU AI Act には域外適用があります: EU 内で展開される、または EU 居住者に影響する AI システムには、提供者の所在地を問わず適用されます。パキスタン、米国、その他のいずれの国の企業であっても、EU のユーザーに影響する AI システムを運用するなら準拠が必要です。

ISO 42001 とは何で、EU AI Act とどのように関係しますか?

ISO 42001 は2023年に公開された AI マネジメントシステムの国際規格です。EU AI Act の準拠が要求する文書化とプロセスのフレームワークを提供します。ISO 42001 認証を取得した組織は、EU AI Act 監査が探すガバナンス基盤 — リスクレジスタ、インシデントログ、人間による監督手順 — を備えています。

2026年8月までに最低限実装すべきことは何ですか?

利用ポリシー、インシデントログ、AI ガバナンスの判断責任者の文書化です。この3つは最小リスク以外のすべてのシステムに必須で、日単位で実装でき、規制当局が最初に求めるものです。まずここから始め、その後に技術的統制を重ねていってください。

EU AI Act 違反の制裁金はいくらですか?

禁止された AI 慣行や GPAI モデル義務に関する違反については、最大3,500万ユーロまたは全世界年間売上高の7%。その他の違反については、最大1,500万ユーロまたは売上高の3%。監督当局への誤った情報提供については、最大750万ユーロまたは売上高の1.5%です。

よくある質問

EU AI Act の本格施行はいつからですか?: 2026年8月2日からです。残された義務、特に高リスクAIシステムに関する義務全般がこの日に発効します。本法は2024年8月以降段階的に施行されてきました。禁止AIは2025年2月から、GPAIモデル義務は2025年8月から、高リスク制度の完全施行が2026年8月からとなります。
EU AI Act は EU 域外の企業にも適用されますか?: 適用されます。EU AI Act は域外適用の効力を持ち、提供者の所在地に関係なく、EUで運用されるか EU 居住者に影響を与えるAIシステムに適用されます。パキスタン、米国、その他どこに拠点があっても、EUのユーザーに影響を与えるAIシステムを運用するなら遵守が必要です。
ISO 42001 とは何で、EU AI Act とどう関係しますか?: ISO 42001 は2023年に発行された AIマネジメントシステムの国際規格です。EU AI Act の遵守に必要な文書化とプロセスのフレームワークを提供します。ISO 42001 認証を取得した組織は、リスクレジスタ、インシデントログ、人的監督手続きなど、EU AI Act の監査が確認するガバナンス基盤をすでに整備していることになります。
2026年8月までに最低限やっておくべきことは?: 受容可能利用ポリシー、インシデントログ、AIガバナンス意思決定の責任者を明示した文書の3点です。最小リスク以外のすべてのシステムで必要となり、数日で整備でき、規制当局が真っ先に提示を求める要素でもあります。
EU AI Act 違反時の罰則はどのくらいですか?: 禁止AI慣行や GPAI モデル義務違反に対しては最大3,500万ユーロまたは世界年商の7パーセント。その他の違反は最大1,500万ユーロまたは3パーセント。監督当局への不正確な情報提供は最大750万ユーロまたは1.5パーセントです。