日本AI推進法とEU AI Act:罰則ゼロと包括規制、世界三極のAI法制を比較する
2025年5月成立の日本AI推進法は罰則ゼロ・公表のみという異例の設計だ。EU AI Actは2026年5月のOmnibus合意で高リスク義務が2027年12月へ延期された。日米欧三極の規制哲学と企業の対応優先順位を一次ソースで整理する。
2025年5月28日、日本は初めてのAI推進法を成立させた。その最大の特徴は罰則の不在である。違反しても刑事罰も行政制裁もない。同時期に主要条項の適用開始が迫るEU AI Actは、最大3,500万ユーロまたは全世界売上高7%という高額罰則を課す。この対比は、同じ「AI規制」という言葉が指す設計思想の距離を象徴している。
本記事では、日本のAI推進法とEU AI Act(規則2024/1689)、そして大統領令型の米国アプローチを三極で比較し、法務・コンプライアンス担当者が自社の対応優先順位を判断するための地図を提示する。
読了後、「どの法域に自社が引っかかるか」「今年中に何から着手するか」を判断できる材料が手元に揃う状態になる、というのが本記事のゴールである。
罰則ゼロのAI法とは何か:日本が選んだ「評判型規制」の意味
日本のAI推進法は、罰則を持たない「評判型規制(reputation-based regulation)」という世界でも異例の設計を採用した。
法律の骨格はシンプルである。AI事業者に対して、AI利用に伴う安全・透明性・プライバシー等への配慮を「努力義務」として課す。義務の不履行に対して政府が行えるのは、情報収集・指導・助言、そして重大な違反があった場合の「企業名の公表」だけだ。行政処分も課徴金もない。
ここで一度、問いを置きたい。
罰則のない法律は、どれほど守られるのか。
この問いに対して法律の設計者が選んだ答えが「評判への訴え」である。日本のビジネス慣行では、政府による企業名公表(ネーム・アンド・シェイム)は相当の社会的圧力を生む。製品の安全規制や個人情報保護法の運用でも、行政指導と名称公表の組み合わせが実質的な抑止として機能してきた実績がある。立法者はその慣行をAI規制に転用したと解釈できる。
AI推進法の概要と施行スケジュール
法律の主要部分は2025年6月4日に施行された(Future of Privacy Forum、以下FPF、の報告書による)。第3章・第4章——人工知能戦略本部(AI戦略本部)の設置根拠と事業者への具体的指針にあたる章——は2025年9月1日に全面施行された(内閣府)。
人工知能戦略本部は、内閣総理大臣を本部長とし内閣全閣僚をメンバーとする本部として設計されている。閣議と同等の政治的重みを持つ体制である点は注目に値する。
法律の制定後、事業者向けの行動指針・ガイドラインが策定される予定とされているが、その公表時期については2026年6月時点で確定情報を確認できていない。法律の条文よりも、このガイドラインの内容が実務上の対応基準になると考えられる。
「ネーム・アンド・シェイム」は本当に効くのか
罰則なき規制の実効性については、現時点で評価が割れている。
楽観的な見方は「日本企業にとって評判リスクは十分な抑止力だ」という立場だ。大手製造業や金融機関が政府の指導に従ってきた歴史は確かにある。
懐疑的な見方は「グローバル展開する外資系企業や新興企業に対して、名称公表は機能しない」という立場だ。EU圏の企業が日本市場で事業を行う際、EU AI Actの義務は課せられるが日本の罰則は存在しない。この非対称性が、実効性の最大の弱点となる可能性がある。
どちらの見方が正しいかは、今後の法執行の実績が示すことになる。
ここまでで、日本が選んだ「罰則なし」の設計思想を整理した。ではその対極に立つEU AI Actは、どのような義務体系を企業に課しているのか。
EU AI Actが課す義務の全体像:リスク分類と適用スケジュールの実務インパクト
EU AI Act(規則2024/1689)は、AIシステムをリスクの高さに応じて4段階に分類するリスクベースアプローチを採用している。この分類が企業の対応コストを直接決定する。
たとえるなら、建築物の耐震基準に似た構造だ。一般の住宅は届け出のみで建てられるが、不特定多数が集まる施設には厳格な強度審査がある。AIも同じで、「何に使うシステムか」によって義務の重さが変わる。
禁止AIシステム・高リスクAI・汎用AIの3層構造
第1層:禁止AIシステム(Article 5)
2025年2月2日から適用が始まっている禁止事項には、公共空間でのリアルタイム顔認識(限定的例外あり)、ソーシャルスコアリング、人の無意識を操作する技術などが含まれる。この層に該当するシステムを提供・運用することは、EU域内では不可とされる。
第2層:高リスクAIシステム(Annex III)
採用・人事評価、教育の合否判定、医療診断支援、インフラ管理、法執行などに使うシステムが該当する。提供者には技術文書の整備、リスク管理システムの構築、ログの記録保持、人間の監督体制の確立といった義務が課せられる。
この高リスクAIに関する主要義務は、当初2026年8月2日に適用開始の予定だった(EU AI Act実装タイムライン)。ただし後述の2026年5月のOmnibus合意により、この期限は2027年12月2日へ延期されている。
第3層:汎用AIモデル(GPAI)(第5章 / Chapter V)
ChatGPTやGeminiのような汎用基盤モデルの提供者は、2025年8月2日から透明性義務とコード規約の遵守が求められている。学習データの概要公開や著作権保護措置が主な内容だ。
Omnibus合意で何が変わったか(2026年5月7日合意)
2026年5月7日、EU理事会と欧州議会は、AI Act規則の簡素化・合理化に向けた暫定的な政治合意(Digital Omnibus)に達した(EU理事会プレスリリース)。企業の実務に直結する変更点は次の4点である。
- 高リスクAI義務の適用期限を延期:当初2026年8月2日とされていたAnnex IIIの独立型高リスクAIシステムの義務は2027年12月2日へ、製品組込み型(Annex I)は2028年8月2日へ延期された。多くの提供者・利用者が当初期限に間に合わず、適合性評価を支える整合規格も未整備だったことが背景にある。
- 中小企業(SME)・中堅企業(SMC)向けの緩和:SME・SMC(従業員500人以下)の正式な定義が導入され、技術文書の簡素化、品質マネジメントシステム要件の比例化、制裁金上限の引き下げ、規制サンドボックスへの優先アクセスが認められた。
- 非合意の性的コンテンツ生成の禁止:本人の同意なく性的・親密なコンテンツ(児童性的虐待素材を含む)を生成するAIの利用が新たに禁止され、2026年12月2日から適用される。
- 透明性義務の猶予期間を短縮:AI生成コンテンツの表示(透明性)義務の猶予期間が6か月から3か月へ短縮され、2026年12月2日が新たな期限となった。
なお本合意は暫定的な政治合意であり、正式採択と官報掲載は本記事の執筆時点(2026年6月)では完了していない。最終テキストで細部が変わる可能性は残る。
日本とEUの規制を見てきた。では大統領令と行政ガイダンスを主な手段とする米国の立場はどうか。
米国AI政策との比較:大統領令型アプローチの特徴と限界
米国には現時点でEU AI Actに相当する包括的なAI規制法は存在しない。トランプ政権下ではバイデン政権が発令した大統領令(Executive Order 14110)が撤回され、「AIイノベーションを促進する」方針が前面に出ている。
米国の規制哲学はセクター別規制に集約される。金融AIはSECとFINRA、医療AIはFDA、採用・与信AIはEEOCとFTCが管轄する形だ。包括的なAI法の代わりに、既存の法令(消費者保護法、公正与信機会法など)をAIに適用するアプローチが主流である。
この設計の利点は柔軟性だ。業界特有のリスクに合わせた規制ができる。欠点は管轄の断絶だ。どの規制当局の管轄にも明示的に入らない「グレーゾーン」が生まれやすい。
州法も無視できない。カリフォルニア州では2024年にSB 1047(大規模AIモデルの安全審査義務)が知事拒否で廃案になったが、その後も複数の州でAI関連立法の動きが続いている。米国でビジネスを行う企業には、連邦・州の両面での対応が現実的に求められる状況だ。
三つの規制体制の輪郭が見えてきた。ここからは、企業が「自分事」として判断するための実務的な整理に移る。
三極比較:規制哲学の違いが企業の対応コストに与える影響
三極の規制を並べると、設計思想の差が鮮明になる。
| 比較軸 | 日本(AI推進法) | EU(AI Act) | 米国 |
|---|---|---|---|
| 規制スタイル | 推進・原則主義 | リスクベース・包括 | セクター別・柔軟 |
| 罰則 | なし(公表のみ) | 最大3,500万ユーロ/売上7% | 業種により既存法を適用 |
| 対象 | 国内事業者(努力義務) | EU域内でサービスを提供する全事業者 | 業種・州により異なる |
| 適用開始 | 2025年6月4日(一部) | 段階的(高リスク義務は2027年12月2日へ延期) | 規則ごとに異なる |
| 企業負担 | 相対的に低い | 高リスクAIは相当の対応コスト | 業種・規模により差大 |
この比較表から、企業が判断すべき問いは一つに絞られる。
「EU市場にサービスを提供しているか」
これが「Yes」なら、日本の規制水準にかかわらずEU AI Actの義務が課される。EU域内の自然人に向けてAIを提供すれば、提供者の所在地が日本でも適用される(域外適用)。
日本法人が最初に確認すべき2つの義務
AI推進法が「努力義務」主体とはいえ、日本法人として最初に確認しておくべきことは2点ある。
1. 使用しているAIシステムの把握(インベントリ)
どのAIを、どの業務に、どう使っているか。これが把握できていない状態では、どの規制も対応できない。AI推進法のガイドラインが示す前に、社内での利用状況の棚卸しを始めることが現実的な起点になる。
企業内でのAI利用実態については、シャドーAIとガバナンスでも詳しく取り上げている。無申告・無断のAI利用が広がっている企業では、このインベントリ作業自体が最初のハードルになる。
2. AIリテラシー教育の位置づけ
AI推進法および EU AI Act(Article 4)ともに、組織内のAIリテラシー確保を重要な要素として位置づけている。具体的な義務形態は異なるが、「社員がAIの限界とリスクを理解して利用する」という方向性は共通している。
日本のAI普及状況と企業規模の関係については、日本のAI導入格差データ2026が参考になる。規模によって対応余力が大きく異なるという実態が、規制対応の優先順位にも反映される。
EU展開を持つ企業が高リスク義務の延期期限(2027年12月)までに整える項目
EU AI Actの高リスクAI義務は、2026年5月のOmnibus合意による延期で、Annex IIIの独立型システムについては2027年12月2日から本格適用される。この期限に間に合わせる必要がある主要なものを整理する。
- 技術文書(Technical Documentation)の整備:システムの設計・訓練データ・性能指標・限界の記録
- 適合性評価(Conformity Assessment)の完了:高リスクカテゴリに該当するシステムの審査
- 人間監督(Human Oversight)の仕組みの確立:AIが下した判断を人間が介入・覆せる体制
- ログの保持:高リスクAIシステムが生成したログの6か月間保持
これらを「期限までに全部やる」のは規模によっては困難かもしれない。現実的な判断として、まずは自社のAIシステムが本当に「高リスク」カテゴリに入るかを法務・外部顧問と確認することが先決だ。
Annex IIIのカテゴリに明示的に含まれていないシステムについては、高リスク認定を受けない可能性が高い。過剰な義務対応より、まず分類の確認に時間を使う方が合理的である。
「罰則がない」は「何をしても構わない」ではない:今後の対応の起点
本記事で整理した内容を一文で言えば、日本AI推進法の「罰則ゼロ」は企業の自律的対応を前提とした設計であり、EU AI Actの高額罰則は外部強制型の設計だ。両者はアプローチが異なるだけで、安全・透明・人間監督という指向するゴールは一致している。
冒頭で「罰則ゼロとEU AI Actの罰則体系の比較」を本記事のテーマとして置いた。ここまで読んだ読者は、その比較を構成する三つの要素——設計思想の違い・適用対象の射程・実務的な対応起点——を一通り手にしているはずである。
「罰則がないから様子見でいい」という判断は、短期的には合理的に見えるかもしれない。しかし以下の理由から、現時点で何もしないことのリスクは着実に積み上がっている。
まず、EU市場へのアクセスが将来の選択肢にある企業は、今から技術・プロセス面のベースラインを整備しておく方が、急ぎ対応するより総コストが低い。次に、日本のガイドラインが確定した後に「実は業務に使っているAIがある」と気づいても、そこから遡及対応するのは現場への負荷が大きい。
最初の一手は複雑ではない。
社内のAI利用状況を把握し、リストにする。それだけでよい。
その作業を通じて、どの規制の射程にどのシステムが入るかが自ずと見えてくる。次のアクション(専門家への確認・社内ポリシーの整備)は、その結果を持ってから判断する方が精度が高い。
AI規制の最新動向を追う
EU AI Actの適用スケジュール、日本AI推進法の実施状況、米国の動向を継続的に取り上げている。社会カテゴリでは政策・規制・社会的影響の記事をまとめている。
参考資料
本記事の執筆にあたり参照した主な情報源を示す。
- Future of Privacy Forum(FPF)「Understanding Japan’s AI Promotion Act: An Innovation-First Blueprint for AI Regulation」(2025年)
- EU AI Act 実装タイムライン「Implementation Timeline」(artificialintelligenceact.eu)
- EU理事会(Council of the EU)「Artificial intelligence: Council and Parliament agree to simplify and streamline rules」(2026年5月7日、Digital Omnibus暫定合意)
- LegalNodes「EU AI Act 2026 Updates: Compliance Requirements and Business Risks」(2026年)
- White & Case「Japan’s First AI Legislation Becomes Law」(2025年)
AI通信 編集部
AIが社会・ビジネス・日常へ浸透する構造を、官公庁・調査機関・一次論文のデータで追っています。速報より文脈、感覚より数字——変化の「なぜ」を理解することで、次の動きが読める記事を目指しています。