メインコンテンツへスキップ
AI News 16分で読める

EU AI法、8月2日施行で何が変わる|「延期」に安心した開発者が見落とした罠

「高リスクAIの期限が延びたから、うちはまだ大丈夫」。2026年5月の「Digital Omnibus」(EUが複数の規制を一括改正する立法パッケージ)合意を報じたニュースを読んで、そう判断した開発者は多いだろう。それは半分正しく、半分危険な誤解だ。

2026年8月2日、EU AI法(EU Artificial Intelligence Act)は本格的な執行フェーズに入る。高リスクAIの一部は確かに延期された。だが透明性義務とGPAI(General Purpose AI Model:特定の用途に限らず幅広いタスクをこなせる汎用AIモデル)への執行権限は予定通り開始される。AnthropicのClaude、OpenAIのChatGPT、GoogleのGeminiといったサービスを業務で使う開発者・企業には、今すぐ動くべき実務がある。

この記事はこんな人におすすめ
  • EU向けサービスを開発・運用しており、AI法コンプライアンスが自社に関係するか確認したい開発者・PdM
  • Claude・ChatGPT・GeminiのAPIをプロダクトに組み込んでいる日本のスタートアップ・SaaS企業の担当者
  • 「延期」の報道は見たが、8月2日に何が実際に始まるのか正確に把握したいエンジニアリングマネージャー

8月2日に「本当に」始まること

EU AI法の施行は段階的に進んできた。禁止行為(ソーシャルスコアリングや心理操縦的AIなど)は2025年2月から禁止、GPAI義務は2025年8月から適用済みだ。では8月2日は何が変わるのか。

透明性義務の開始が最大のポイントだ。EU向けにAIシステムを提供・展開している事業者は、次の開示をユーザーに行わなければならない(EU AI Act Article 50)。

  • チャットボット等のAIシステムと対話していることを、対話開始時に明示する
  • ディープフェイク映像・音声など操作された合成コンテンツについて、AI生成であることを開示する
  • テキスト、画像、音声等のAI生成コンテンツに、機械可読な透かし(watermark)や表示を付与する

この義務の対象は「EU域内のユーザーに向けたサービスの提供者・展開者」だ。日本に本社があっても、EU在住のユーザーにサービスを提供していれば対象となる可能性がある(European Commission guidance)。

GPAI執行権限の開始も同日だ。GPAI規則自体は2025年8月から適用されているが、欧州委員会がAnthropicやOpenAI、Googleといったプロバイダに対して実際に制裁金を課す権限を持つのは、8月2日以降だ(EU AI Act Newsletter #83)。「ルールはあったが警察官がいなかった」状態が終わる。

「延期」の正体:Annex III高リスクAIは2027年12月まで猶予

報道の多くが「延期」と伝えたのは「Annex III高リスクAI」の話だ。採用選考、信用スコアリング、学校の入学判定、国境管理などに使うスタンドアロンAIが対象で、2026年5月のDigital Omnibus合意によって義務開始が2027年12月2日まで先送りされた(Gibson Dunn, 2026年5月)。

ただし、これは「高リスクAI開発者への宿題を1年半後回しにした」という話に過ぎない。Annex IIIに該当しないAIシステムへの透明性義務は8月2日のまま変わらない。

整理すると次の通りだ。

項目適用開始
禁止行為(ソーシャルスコアリング等)2025年2月
GPAI義務(透明性・著作権)2025年8月
透明性義務(AI開示・ラベリング)2026年8月2日
GPAI執行権限(制裁金)2026年8月2日
Annex III高リスクAI義務2027年12月2日
Annex I製品組込み高リスクAI2028年8月2日

「延期」を知って安心したプロダクトチームの多くは、Annex IIIではなく透明性義務の対象に入っている可能性がある。

Claude・ChatGPT・GeminiへのGPAI義務とは

GPAI(汎用AIモデル)とは、特定の用途に限定されず幅広いタスクをこなせる大規模AI。Claude・ChatGPT・GeminiはいずれもGPAIに該当する。EU AI法はGPAIプロバイダに以下を義務付けている(GPAI Provider Obligations, aiactly.com)。

全GPAIプロバイダへの義務

  • APIの下流利用者(SaaS開発者など)に対し、モデルの能力・制約・制限事項を記した技術文書を提供する
  • EUの著作権法を遵守し、学習データのクローリング時にopt-out(拒否設定)を尊重するポリシーを設ける

「システミックリスクGPAI」への追加義務(10の25乗FLOPs以上のモデル。FLOPsは学習時の浮動小数点演算数でモデル規模の指標)

  • 展開前・重大アップデート前・年1回以上の敵対的テスト(サイバー攻撃、バイオ兵器生成、偽情報生成等のシナリオを含む)
  • 重大インシデントの欧州委員会への「不当な遅延なく」の報告(“without undue delay”。具体的な日数は法文で未規定)

AnthropicのClaude Opus、OpenAIのo3、GoogleのGemini 2.5 Proはシステミックリスク対象とされており、Amazon・Anthropic・Google・IBM・Microsoft・OpenAIはいずれもGPAIの実施規範(Code of Practice)に署名済みだ(GPAI Code of Practice, June 2026)。

これらのAPIを使ってプロダクトを作る開発者は「下流プロバイダ」として、GPAIプロバイダから提供される技術文書を受け取り、保管・確認することが求められる。

なお、Claude APIを使う開発者にとって一定の恩恵がある。AnthropicはGPAIプロバイダとして技術文書・コンプライアンス情報を下流開発者向けに提供する義務を負っており、開発者が個別に技術文書を一から作成するコストを抑えることができる。

日本企業・日本人エンジニアへの影響

EU AI法は「域外適用」を持つ。EU域内でサービスが使われれば、開発者が日本にいても対象となる可能性がある(EU AI Act Guide, 2026)。

具体的には次のようなケースが対象となる可能性がある。

  • EU在住ユーザーが使えるBtoCのWebアプリ・スマホアプリにAIチャット機能を搭載している
  • EU企業向けにBtoBのSaaSを提供しており、そのSaaSにAI生成機能がある
  • 日本に本社があるが、EU拠点のグループ会社がAIシステムを展開している

罰則は最大**3,500万ユーロ(執筆時点の参考換算で約60億円)または全世界年間売上の7%**のいずれか高い方(EU AI Act, Article 99)。禁止規定違反の場合の上限だ。GPAI固有の違反(Article 101)はそれより低く「1,500万ユーロまたは全世界年間売上の3%のいずれか高い方」と定められているが、大手AI企業では売上の3%がはるかに大きな金額になる。

ただし現実には、まず大企業・巨大モデルプロバイダへの執行が優先される。中小スタートアップへの即時制裁より、透明性義務の実装が求められる段階が先になる可能性が高い。だからこそ今のうちに記録・体制を整えておくことが重要だ。

米国では同時期に連邦規制「Great American AI Act」の動きが進んでおり、EU・米国双方の規制圧力が高まっている。グローバル展開を視野に入れる開発者には両方の動向を把握することを勧める。

GPAI規則の義務の大半はモデルプロバイダ側が負担する設計のため、Claude・ChatGPT・GeminiのAPIを使う開発者が直接担うべき義務は、透明性開示が中心となる。

8月2日前に動くべき実務チェックリスト

法律事務所やコンサルが提示するチェックリストは複雑だが、EU向けAIプロダクトを持つ日本の開発者が最低限確認すべき項目は絞られる(EU AI Act Compliance Guide, legalnodes.com)。

透明性開示(優先度:高)

  • UIに「このサービスはAIを使用しています」という表示を追加する
  • AIチャットボットに「私はAIアシスタントです」という応答を最初のメッセージに含める
  • AI生成コンテンツ(画像・文章・音声)に、生成AIによって作られたことを示すラベルを付ける

GPAIモデルの使用記録(優先度:中)

  • 使用しているAPIのモデル名・バージョン・プロバイダを文書化する
  • AnthropicやOpenAI等のGPAI技術文書(Anthropicは利用規約・ドキュメント内に提供)を入手・保管する
  • モデルの能力と制限をユーザー向けドキュメントに記載する

リスク分類の確認(優先度:中)

  • 自社のAIシステムがAnnex IIIに該当する「高リスクAI」かを確認する(採用、教育、信用スコアリング、医療等の分野で重要な判断を下す場合は要注意)

当面、対応優先度が低いと考えられるもの(個別の状況により異なる。弁護士への確認を推奨)

  • Annex IIIの高リスクAI完全コンプライアンス対応(採用・信用スコア等の用途のみ。2027年12月2日が期限)
  • CE適合性マーキング(Annex I製品組込みは2028年8月まで猶予。Annex Iは医療機器・産業機械等のEU製品安全規制対象機器を指す)

コンプライアンス対応として最もコストパフォーマンスが高い出発点は「透明性の開示」だ。ユーザーインターフェースに数行の文言を追加するだけで、透明性義務への対応に大きく近づける。

EU AI法のリスク分類:4段階の早見表

禁止(施行済み2025年2月): ソーシャルスコアリング、心理操縦的AI、リアルタイム生体認証(公共空間、例外あり)

高リスク(Annex III / 義務開始2027年12月): 採用・人事評価、信用スコアリング、学校入学選考、医療診断支援、国境・移民管理、法執行

限定リスク(透明性義務のみ / 8月2日施行): チャットボット、感情認識、バイオメトリクス分類、ディープフェイク生成

最小リスク(義務なし): スパムフィルター、ゲームのNPC、おすすめシステム等

Claude APIを使ったプロダクト開発のコスト管理も重要課題

EU AI法コンプライアンスと並行して、Claude API利用コストの管理も経営課題になりつつある。Uberが4ヶ月でAI予算を使い切った事例から、エンタープライズAIのコスト構造を理解しよう。

Claude Code導入コストの実態を読む

関連記事


本記事の法的情報は2026年7月6日時点の公開情報に基づく。EU AI法の施行状況・解釈は変更される場合がある。具体的なコンプライアンス対応については、EU法を専門とする弁護士に相談することを推奨する。罰則額・日程は欧州委員会の公式発表を必ず確認すること。

Share