EU AI法で自社AIは高リスク？禁止？5ステップで判定する実務ガイド（域外企業も対応）

2026.03.18
読了時間目安 9分

投稿者: AI（監修：メディア担当者）
上級者
AI, AIaaS, AIエージェント, AX, Sovereign AI, 法規制

EU AI法（Regulation (EU) 2024/1689、いわゆるAI Act）への対応で最もつまずきやすいのは、「自社AIがどのリスク分類か分からない」、そして「自社が提供者（provider）なのか利用者（deployer）なのか等、ロールごとの義務が不明」という2点です。結論から言うと、EU AI法対応は、闇雲に条文を追うよりも、(1)対象範囲（域外適用含む）→(2)ロール確定→(3)リスク分類→(4)義務のチェックリスト化→(5)実装（文書・運用・契約）の順で進めるのが最短です。
なぜならEU AI法は、AIの種類を「生成AI/非生成AI」だけで切るのではなく、用途（ユースケース）と市場投入・利用の関与度（ロール）で義務が大きく変わる設計だからです。さらに、EU域外の企業でも、EU向けに提供したり、EU内で使われる結果に関与すると対象になり得ます（いわゆる域外適用）。
以下では、読者の「分類・ロール・制裁・域外適用」4大ニーズを、実務で迷わないように手順化して解説します（法務助言ではなく一般情報です。最終判断は専門家の確認を推奨します）。

まず確認：EU域外企業でもEU AI法の対象になりますか？（域外適用の考え方）
次に決める：自社のロール（提供者・利用者・輸入業者・販売業者）を確定する
本題：自社AIはどのリスク分類？（禁止／高リスク／限定的リスク等）
“判定が難しい”を解消する：リスク分類の実務フロー（5ステップ）
ロール別に「最低限」押さえるべき義務の考え方（違反リスクを下げる）
制裁・訴訟・レピュテーションを避ける「現実的な守り方」
生成AI（GPAI）やコード・オブ・プラクティスの動き：今後の実務に効く視点
まとめ：迷ったら「対象範囲→ロール→用途→証跡」の順で固める
参考・出典

まず確認：EU域外企業でもEU AI法の対象になりますか？（域外適用の考え方）

結論：EU外の企業でも“EU市場に影響”すれば対象になり得ます。
典型例は次の通りです。

EUの顧客にAIシステムを提供している（SaaS、API、組込み機器など）
EU内の企業が使う目的で、EU向けに販売・配布・提供している
EU内での利用を想定した機能（言語、EU通貨、EU向け広告等）を持つ
EU内ユーザーのデータを用いた運用や、EU内で結果が使用される業務フローに深く関与する

EU AI法は「EUで提供・利用されるAI」や「EU市場に投入されるAI」を幅広く捉えるため、“日本企業だから関係ない”は危険です。まずは、自社のAIが「EUで使われる/売られる/組み込まれる」経路を洗い出してください。
出典：EU AI Act原文（EUR-Lex）
https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

具体例
日本の開発会社が、EU企業へカスタマーサポート用チャットボットをAPI提供。EU側が社内業務で使うだけでも、提供形態やロール次第で義務が発生し得ます。

次に決める：自社のロール（提供者・利用者・輸入業者・販売業者）を確定する

結論：ロール確定が、義務の8割を決めます。
EU AI法では、主に以下のロールが登場します（実務では複数該当しがちです）。

提供者（Provider）：AIシステムを開発し、市場に投入/提供する主体（自社名でSaaS提供、製品組込み、ホワイトラベル提供など）
利用者（Deployer / User）：社内業務やサービス提供のためにAIを“使う側”（採用、与信、顧客対応などで運用）
輸入業者（Importer）：EU域外からAIをEU市場へ持ち込む主体
販売業者（Distributor）：サプライチェーン上で流通させる主体

ポイントは、「SaaSで提供している＝提供者」「社内利用だけ＝利用者」のように単純化できないことです。たとえば次のケースは“提供者寄り”になります。

他社モデルを使っていても、自社が自社ブランドで提供している
重要な改変（fine-tune、追加学習、重要パラメータ変更、目的変更）を行った
既存AIを別用途に転用し、リスク特性を変えた

実務TIP：ロール確定のための3問

EU向けに「自社名」で提供していますか？ → YESなら提供者要素が強い
顧客の業務プロセスに組み込まれ、結果が意思決定に使われますか？ → 利用者義務も要注意
EUへの持ち込み・流通を誰が担いますか？ → 輸入業者/販売業者の整理が必要

EU側の体制・支援として、欧州委員会はAI Actの実装支援（情報提供、ガイドライン等）を進めています。
出典：Commission launches AI Act Service Desk and Single Information Platform to support AI Act implementation
https://digital-strategy.ec.europa.eu/en/news/commission-launches-ai-act-service-desk-and-single-information-platform-support-ai-act
出典：European AI Office
https://digital-strategy.ec.europa.eu/en/policies/ai-office

本題：自社AIはどのリスク分類？（禁止／高リスク／限定的リスク等）

結論：分類は“AIの種類”ではなく“用途”で決まります。
EU AI法は大きく、以下の層で整理すると理解が速いです。

禁止（Unacceptable risk）：やってはいけない領域

禁止領域は「人の権利・安全を根本から侵害する恐れが高い用途」を想定しています。ここは例外の検討を含め、最優先で回避設計が必要です。

実務の着眼点
「ユーザーを不当に操作する設計」「脆弱な属性（年齢等）を悪用」「広範な監視的用途」など、禁止に近い匂いがある場合は、プロダクト要件の段階で落とすのが最善です。

高リスク（High-risk）：原則OKだが、厳格な義務が課される

高リスクは、雇用、教育、重要インフラ、医療、金融、法執行、移民・国境管理、司法など、社会的影響が大きい分野のAIが中心です。高リスクに該当すると、技術・運用・文書化・監査対応まで、やることが一気に増えます。

出典：EU AI Act原文（EUR-Lex）
https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

具体例（分かりやすい）

採用候補者をスコアリングするAI
与信審査に直結するAI
医療の診断・治療方針に影響するAI
重要設備の稼働判断に使うAI

限定的リスク（Limited risk）：主に透明性義務が中心

典型は、人がAIと対話していることを知らせる、生成コンテンツの扱い（ラベル等）など、透明性でユーザー保護を図る領域です。

出典：Commission launches consultation to develop guidelines and Code of Practice on transparent AI systems
https://digital-strategy.ec.europa.eu/en/news/commission-launches-consultation-develop-guidelines-and-code-practice-transparent-ai-systems

最小リスク：原則として追加義務が限定的

スパムフィルタや単純な推薦など、影響が限定される用途が想定されます（ただし他法令や契約責任は残ります）。

“判定が難しい”を解消する：リスク分類の実務フロー（5ステップ）

結論：ユースケースを分解し、境界条件を文章化すると迷いが減ります。

ステップ1：AIの「アウトプットが使われる意思決定」を列挙する

誰が（人/システム）が
何を（採用/与信/診断/監視/本人確認等）
どの程度（自動決定/最終判断補助/参考情報）で使うか

ステップ2：対象ユーザーと影響範囲を特定する

消費者向けか、従業員向けか、公共領域か。影響を受ける人数や脆弱性の有無も確認します。

ステップ3：禁止の“匂い”がないか先にチェックする

疑わしければ要件変更（機能削除、対象地域の制限、利用規約だけでなく技術的制御）も検討します。

ステップ4：高リスク該当性を「用途」で照合する

同じモデルでも、採用に使えば高リスク寄り、問い合わせ対応のFAQなら限定的……というように、利用する文脈で結論が変わります。

ステップ5：結論と根拠を1枚にまとめる（監査・取引対応に効く）

想定用途
利用者（顧客）の運用条件
制限事項（禁止用途、精度限界、ヒューマンレビュー必須等）
分類結論（暫定でも可）と根拠
今後の見直しトリガー（用途変更、学習データ変更等）

ロール別に「最低限」押さえるべき義務の考え方（違反リスクを下げる）

結論：義務は“条文丸暗記”ではなく、運用に落とすチェックリスト化が重要です。

提供者（Provider）の基本スタンス

提供者は、プロダクトとしてのAIを市場に出す立場なので、設計・評価・文書・監視が中心になります。特に高リスクの場合、リスク管理や品質管理、技術文書、記録、説明可能性、監視当局対応など「やることの体系」が必要になります。

出典：EU AI Act原文（EUR-Lex）
https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

利用者（Deployer）の基本スタンス

利用者は「どう使うか」が問われます。

運用手順（ヒューマンレビュー、例外対応）
利用者教育（社内のAIリテラシー）
目的外利用の防止（現場が勝手に採用判断に流用、など）

以上が実務の要点です。

輸入業者・販売業者（サプライチェーン）

自社がEU向け流通を担うなら、適合している製品を扱っているか、表示・文書が揃っているか等、サプライチェーン管理が焦点になります。契約で責任分界を曖昧にすると、監督当局対応で詰みやすいです。

制裁・訴訟・レピュテーションを避ける「現実的な守り方」

結論：罰金額だけ見て怖がるより、“監督当局対応できない状態”が最大の経営リスクです。
EU AI法は違反に対して行政制裁（罰金等）を予定しており、加えて取引停止・契約解除・炎上といった二次被害が起き得ます。条文対応だけでなく、次の3点を最優先で整備すると、実務上の事故が減ります。

説明できる書類セット（分類根拠、用途制限、評価結果、運用手順）
顧客・代理店・SIer向けの「やっていい/ダメ」ガイド（禁止用途の明文化）
インシデント時の動き（責任者、ログ、連絡先、暫定措置）

EU側でも、実装のための情報提供（Service Desk、タイムライン提示等）が進んでいます。

出典：Timeline for the Implementation of the EU AI Act
https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act

生成AI（GPAI）やコード・オブ・プラクティスの動き：今後の実務に効く視点

結論：条文だけでなく、EU当局が出すガイドラインや行動規範（Code of Practice）を継続ウォッチすると、手戻りが減ります。欧州委員会はAI Actの実装に向けて、ガイドラインや行動規範づくりを進めています。生成AI（General-Purpose AI）関連の実務は、今後この周辺文書の影響を強く受ける可能性があります。

出典：General-Purpose AI Code of Practice now available
https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1787
AI Act
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

実務TIP

「規制対応＝法務の仕事」で止めず、プロダクト要件（UI表示、ログ、利用制限）に落とし込む
“EUで売れる状態”を証明できるよう、更新履歴・モデル変更履歴を残す
取引先からのDD（デューデリ）質問票に即答できるテンプレを作る

まとめ：迷ったら「対象範囲→ロール→用途→証跡」の順で固める

EU AI法対応の要点は、自社AIのリスク分類を一発で当てることではなく、分類できる材料（用途定義・根拠・証跡）を揃えることです。
まずは、(1)EUとの接点（域外適用）を棚卸しし、(2)自社ロールを確定し、(3)用途ベースで禁止/高リスク/限定的リスクを判定し、(4)義務をチェックリスト化して、(5)運用と契約に落とし込む——この順で進めれば、罰金・監督当局対応・取引停止・レピュテーションリスクを現実的に下げられます。