EU AI 法が今年 8 月に米国 SaaS 企業に適用開始:実務的なコンプライアンス・ガイド

約2分Mike ThriftMike Thrift
EU AI 法が今年 8 月に米国 SaaS 企業に適用開始:実務的なコンプライアンス・ガイド

ベルリン、パリ、またはアムステルダムの顧客にソフトウェアを提供しており、その製品がほぼ何らかの形で AI に触れている場合、2026 年 8 月 2 日はコンプライアンスカレンダーに丸印を付けておくべき日付です。その日は、欧州 AI 法(EU AI Act)として知られる規則 (EU) 2024/1689 が、透明性の義務について完全に施行され、汎用 AI モデルに対する欧州委員会の法執行権限が有効になる日です。罰金は世界全体の年間売上高の最大 7% に達する可能性があります。そして、本社がサンフランシスコにあり、サーバーがバージニアにあり、チームが一度もブリュッセルに足を踏み入れたことがなくても、それは関係ありません。

私たちが話を聞くほとんどの米国の創業者は、GDPR から借用した EU AI 法のメンタルモデルを持っています。つまり、いくつかのクッキーバナー、プライバシーポリシーの更新、おそらくデータ処理補足合意書(DPA)といったものです。AI 法は異なります。これはデータだけでなく、製品そのものを規制します。これは、プロバイダー、デプロイヤー、ディストリビューター、輸入業者、法定代理人といった役割ごとに義務を割り当て、ハイリスクシステムが欧州のユーザーに合法的に到達する前に、市場投入前の適合性評価、技術文書、市後監視、および EU 全域のデータベースへの登録を課します。罰則は GDPR よりも重いです。調達アンケートの影響範囲はより広範です。そして、この法律には第 2 条に域外適用が組み込まれています。

このガイドでは、米国の SaaS 企業、基盤モデルプロバイダー、および AI エージェント開発者が、現在から次の締め切りまでの間に実際に何を行う必要があるかを、実行すべき順序で説明します。

ステップ 1:この法律があなたに適用されるかどうかを確認する

本法の適用範囲は、ほとんどの米国の創業者が予想しているよりも広範です。第 2 条は以下に及びます:

  • プロバイダーがどこに拠点を置いているかに関わらず、AI システムを EU 市場に投入する、または EU 内でサービスを開始するプロバイダー
  • EU 内に所在するデプロイヤー(あなたの顧客)
  • AI システムの出力が EU 内で使用される場合、EU 域外に所在するプロバイダーおよびデプロイヤー

この最後の項目が罠です。もし米国ベースの AI システムが議事録を処理したり、マーケティングメールを生成したり、履歴書を評価したり、契約書を要約したりし、その結果の出力が EU ベースの受信者によって使用される場合、たとえ欧州の人間が直接あなたの API に触れることがなくても、あなたは適用範囲内に入ります。要約がオランダの法律事務所の案件ファイルに保存される米国のリーガルテックベンダーは適用範囲内です。候補者のランキングがミュンヘンの採用マネージャーによって確認される米国の採用ツールは適用範囲内です。フランスの顧客に販売された SaaS アプリケーションに組み込まれた米国のチャットボットは適用範囲内です。

ほとんどの B2B SaaS 企業にとっての実用的な基準はよりシンプルです。有料顧客、または顧客のエンドユーザーのいずれかが EU 内にいる場合、この法律が適用されると想定し、そこから逆算して対応してください。

ステップ 2:自分の役割とシステムのリスク階層を分類する

この法律は、自称ではなく、実際に行っていることに基づいて義務を割り当てます。ほとんどの SaaS 企業は、以下のカテゴリの 1 つまたは複数に同時に該当します。

  • プロバイダー (Provider) — 自社名または商標で AI システムを市場に投入する。これは AI 機能を搭載したほぼすべての SaaS ベンダーが該当します。
  • デプロイヤー (Deployer) — 自分の権限の下で AI システムを使用する(例:製品内でサードパーティのモデルを使用する)。デプロイヤーの義務はプロバイダーよりも軽いですが、無視できないものです。
  • 汎用 AI モデルプロバイダー (General-purpose AI model provider) — 多くのタスクで使用可能な基盤モデルを開発またはファインチューニングする。ほとんどの米国 SaaS 企業は GPAI プロバイダーではなく、他社の GPAI モデルを利用しています。しかし、Llama をファインチューニングしたり、独自の基盤モデルを構築したりする場合、その境界線を越えている可能性があります。
  • 法定代理人 (Authorized representative) — ハイリスクシステムおよび GPAI モデルの EU 域外プロバイダーに義務付けられています(詳細は後述)。

リスク分類は第 2 の軸です。この法律は 4 つの階層を設けています。

階層意味
容認できない (第 5 条)社会的スコアリング、職場での感情認識、標的を定めない顔写真のスクレイピング2025 年 2 月 2 日より全面的に禁止
ハイリスク (附属書 III)採用、信用スコアリング、教育機関の入学選考、生体認証、重要インフラ、法執行機関で使用される AI完全な適合性評価、CE マーキング、EU データベースへの登録
限定的なリスク (第 50 条)チャットボット、ディープフェイク生成器、感情認識(職場以外)透明性に関する開示義務のみ
最小限のリスクスパムフィルター、ビデオゲーム内の AI、AI 強化検索ランキング特定の義務なし

既存のワークフローに AI 機能を重ね合わせたほとんどの米国の B2B SaaS 製品は、限定的なリスクのカテゴリーに分類され、第 50 条の透明性義務を負います。例外は重要です:雇用決定、教育機関の入学、信用力、生体認証、または不可欠な公共サービスに関連するものはすべてハイリスクに分類され、対応の難易度が大幅に上がります。

ステップ3:適用される期限をカレンダーに登録する

欧州人工知能法(AI法)の義務は3年間にわたって段階的に導入されます。現在の整理されたスケジュールは以下の通りです:

  • 2025年2月2日 — 禁止されるAI慣行(第5条)およびAIリテラシー義務(第4条)が施行されました。もし貴社の製品が第5条で禁止されている慣行を導入している場合は、直ちに停止してください。今日から適用されます。
  • 2025年8月2日 — ガバナンス規定および汎用AI(GPAI)モデルの義務が発効しました。この日以降にリリースされる新しいGPAIモデルは、直ちに準拠する必要があります。この日以前に存在していたモデルについては、2027年8月2日までの猶予があります。
  • 2026年8月2日 — 重要な節目です。第50条の透明性義務が施行されます。附属書IIIに基づくハイリスクAIの義務も施行されます。制裁金を科す権限を含む、GPAIモデルに対する欧州委員会の執行権限が有効になります。EU域外のハイリスクAIプロバイダーに対する第22条の授権代理人要件が適用されます。
  • 2027年8月2日 — 既存のGPAIモデルは完全な準拠を達成する必要があります。すでに規制されている製品(玩具、医療機器、機械など)に組み込まれたハイリスクシステムがAI法の枠組みに含まれます。
  • 2027年12月2日 — 特定の附属書IIIカテゴリー(生体認証、重要インフラ、教育、雇用、移住、亡命、国境管理)ですでに運用されているハイリスクシステムは、準拠を達成しなければなりません。
  • 2028年8月2日 — 規制対象製品(エレベーター、玩具など)に組み込まれたハイリスクシステムの完全な執行が始まります。

EUの顧客にチャットボットやAIアシスタントを提供している一般的な米国のSaaS企業にとって、実務上の当面の期限は、第50条の透明性に関する2026年8月2日です。基盤モデルのプロバイダーやAIエージェントプラットフォームの場合、GPAIの執行期間も同日に始まります。

ステップ4:第50条の透明性への対応

製品が「限定的リスク」層に該当する場合、このセクションが最も重要です。第50条は、以下の4つの具体的な開示を求めています:

  1. チャットボットの開示: 人がAIシステムと対話する場合、文脈から明らかな場合を除き、AIと対話していることを通知しなければなりません。「明らか」という言葉の解釈には注意が必要です。保守的な判断としては、最初の対話時に明示的な開示を追加することをお勧めします。
  2. 合成コンテンツのマーキング: AIによって生成または操作された画像、音声、ビデオ、またはテキストコンテンツは、人工的であると検出可能な機械読み取り可能な形式でマーキングされる必要があります。これは事実上、ウォーターマーク(電子透かし)やプロバナンス(由来)メタデータ(C2PA規格など)を意味します。
  3. ディープフェイクのラベル付け: ディープフェイクに該当するコンテンツは、人工的に生成または操作されたものであるというラベルを付ける必要があります。
  4. 公益に関するテキストのラベル付け: 公益に関する事項について一般に通知するために公開されるAI生成テキストは、編集責任を伴う人間によるレビューを受けていない限り、AI生成であることを開示しなければなりません。

この開示レイヤーの構築は技術的に難しくはありませんが、プロダクト、デザイン、法務の間の連携が必要です。有効なパターンをいくつか紹介します:

  • チャット画面に小さな「AIアシスタント」バッジを配置し、詳細な開示ページへのツールチップリンクを設ける
  • C2PA規格を通じて、生成時にプロバナンスメタデータをメディア出力に埋め込む
  • 承認済みの開示文言のコピーライブラリを作成し、製品が提供されるすべてのEU言語にローカライズする
  • 「公益」に関わるコンテンツ(ニュース要約、政治トピック、健康情報)は必ず人間が編集レビューを行い、ログを記録するという内部ポリシーを策定する

ステップ5:EU授権代理人の選任(必要な場合)

第22条は、米国を含む第三国に設立されたプロバイダーに対し、ハイリスクAIシステムをEU市場に投入する前に、EU内に書面による委任を受けた授権代理人を選任することを義務付けています。第54条も、GPAIモデルのプロバイダーに対して同様の義務を課しています。

第50条の透明性義務のみを伴う限定的リスクのシステムを提供している場合は、第22条の代理人は不要です。ハイリスクシステムやGPAIモデルを提供している場合は必要であり、適切な代理人を探すには時間がかかります。代理人の職務には以下が含まれます:

  • EU適合宣言書および技術文書が整備されていることの確認
  • 技術文書を各国の所轄官庁が10年間閲覧可能な状態に維持すること
  • 是正措置、撤回、または回収について当局に協力すること
  • 苦情、インシデント報告、重大なインシデントの通知をプロバイダーに転送すること
  • プロバイダーが義務を履行しない場合に、委任を終了(および当局へ通知)すること

代理人は、第9条から第17条に基づくプロバイダーの核心的な義務を代行することはできません。その責任は引き続き貴社にあります。代理人は本質的に、EUにおける責任ある存在であり、AIオフィスや各国の市場監視当局との窓口となります。

小規模なプロバイダー向けの授権代理人サービスの価格は、システムの複雑さ、提供するEU加盟国数、文書レビューの範囲に応じて、年間5,000ユーロ〜25,000ユーロの範囲で安定しています。デラウェア州の登録代理人(Registered Agent)の費用と同じように予算を組んでください。

ステップ6:ドキュメンテーション・スタックの構築

ハイリスクシステムを提供しているかGPAIモデルを提供しているかにかかわらず、証跡(ペーパー・トレイル)を残す義務があります。AI法は、作成し、常に最新の状態に保つ必要があるいくつかの文書を挙げています:

  • 技術文書(ハイリスクシステムは附属書IV、GPAIモデルは附属書XI) — システムアーキテクチャ、データガバナンスの慣行、トレーニング手法、評価結果、既知の制限事項
  • リスク管理システム文書(第9条) — 予見可能なリスクの特定、軽減策、許容される残留リスクの基準
  • データガバナンス文書(第10条) — トレーニング、検証、テストデータのソース、データ品質基準、バイアスの調査
  • ログ記録(第12条) — 市後監視を可能にするために十分な詳細を備えた自動イベントログ
  • 人間による監視の設計(第14条) — 人間のオペレーターが出力をどのように解釈し、介入、上書き、またはシステムの停止を行えるか
  • 市後監視計画(第72条) — 実際のパフォーマンスデータやインシデントをどのように収集、分析、対応するか
  • EU適合宣言書(第47条) — システムがAI法の要件を満たしていることを証明する法的宣誓
  • CEマーキング — 製品に貼付され、適合性を示すもの

GPAIプロバイダーにとって、2025年7月にAIオフィスが発表した実務コード(Code of Practice)が事実上のコンプライアンス基準となっています。これは自発的なものですが、署名することは誠実な遵守姿勢を示すことになり、2026年8月に執行権限が開始された際の後続の評価において有利に働きます。このコードの3つの章 — 透明性、著作権、安全性とセキュリティ — は、AIオフィスが執行権限を行使し始める2026年8月に注目するポイントと密接に連動しています。

ステップ7:調達時質問票の波に備える

ほとんどの米国SaaS企業にとって、EU AI法の最初の具体的な兆候は、AI局からの突然の訪問ではありません。それは、EUの顧客の法務チームから届く調達時質問票です。そこには、どのモデルを使用しているか、どのようなトレーニングデータに基づいているか、禁止された使用を防止するためにどのような管理策を講じているか、データレジデンシー(居住性)の構成はどうなっているか、そして第22条に基づく代理人を置いているかといった質問が並んでいます。

これらの質問票は、2026年8月の施行日よりもずっと前である現在、すでに届き始めています。なぜなら、EUの買い手は期限直前の混乱に陥る前に、コンプライアンスを遵守しているベンダーを確保したいと考えているからです。規制の厳しい業界(金融、ヘルスケア、政府、教育)では、買い手がAI法特有のデューデリジェンスを追加するため、セールスサイクルが長期化しています。セールスサイクルの第1週目に自信を持って質問票に回答できる創業者こそが、準備不足の競合他社が逃す案件を成約させることができるのです。

今すぐ、常備用の「AI法ファクトパック」を作成しましょう。それには以下を含めるべきです。

  • 自身の役割(提供者/導入者/その両方)、リスクティア、および適用される義務の1ページ要約
  • 使用している基礎モデルのリスト(サブプロセッサーおよびDPA形式の情報を含む)
  • 透明性に関する開示事項(第50条)
  • データガバナンスおよびトレーニングデータの文書(必要に応じて秘匿化)
  • インシデント対応および重大なインシデントの報告手順
  • 該当する場合、公認代理人の委任状のコピー

GDPR、データ法、DSAとの整合性

AI法は既存のEU法を置き換えるものではなく、それらに重ね合わされるものです。個人データを処理する高リスクシステムは、AI法とGDPRの両方の規制を受け、義務が積み重なります。AI法第26条第8項は、高リスクシステムの導入者に対し、GDPRのデータ保護影響評価(DPIA)要件を明示的に維持しています。データ法のデータ共有および切り替えに関する義務は、AI法の適合性と並行して適用されます。デジタルサービス法(DSA)のレコメンダーシステムの透明性ルールは、第50条に加えて適用されます。

実務的には、コンプライアンスプログラムに統合された記録が必要であることを意味します。単一のAI機能が、GDPRのDPIA、AI法のリスクアセスメント、第50条の開示、DSAのレコメンダーシステム透明性レポート、およびデータ法のデータポータビリティの確約を同時に引き起こす可能性があります。これらを別々のワークストリームとして扱うことは、ミスを招く原因となります。共有ドキュメントを備えた一つのプログラムとして扱うことが、正気を保つ方法です。

実際の罰則金の内容

第99条に基づく本法の罰則構造は3つのティアに分かれています。

  • 禁止対象プラクティス(第5条違反):最大3,500万ユーロ、または全世界の年間売上高の7%のいずれか高い方
  • その他のほとんどの義務(第8〜15条、第50条、第101条に基づく汎用AIの義務):最大1,500万ユーロ、または全世界の年間売上高の3%のいずれか高い方
  • 当局への虚偽情報の提供:最大750万ユーロ、または全世界の年間売上高の1%のいずれか高い方

スタートアップを含む中小企業(SME)の場合、罰金は「高い方」ではなく「低い方」の金額が上限となります。これは実質的な譲歩ですが、シリーズBのSaaS企業にとって売上高の1%は依然として大きな数字です。また、EUの定義による「SME」の上限は売上高5,000万ユーロであり、米国の成長段階にあるSaaS企業の多くはこのラインを超えています。

2026年後半から2027年にかけての執行措置の第一波は、基盤モデルのラボや大規模なコンシューマー向けAI製品など、最も目立つ大規模な提供者をターゲットにする可能性が高いでしょう。しかし、各国の市場監視当局は広範な裁量権を持っており、苦情に基づく調査はあらゆる提供者を対象とする可能性があります。最悪のケースではなく、中程度のケースを想定して計画を立ててください。あなたが最初に罰金を科されることはないかもしれませんが、是正措置計画が完了するまで自社のEU売上高が凍結された理由を、取締役に説明する創業者にはなりたくないはずです。

コンプライアンスをエンジニアリングの外側ではなく内側に構築する

AI法で最も苦労するコンプライアンスチームは、完成した製品に法的な演習を後付けしようとするチームです。これをスマートに処理するチームは、データレイヤーに組み込まれたデータガバナンス、推論レイヤーに組み込まれたロギング、UXに組み込まれた人間による監視、コンポーネントライブラリに組み込まれた透明性の開示など、システム設計の制約として扱います。本法の要件のほとんどは、適切に設計されたAI製品が本来行うべきこと(堅牢な評価、明確な文書化、構造化されたインシデント対応、透明性のあるUX)です。本法は単にそれらを法的義務にしたに過ぎません。

特に米国の創業者にとってのマインドセットの転換は、EUが「後回し」にできるオプションの市場ではないと認識することです。AI法の「EU内での出力」を介した域外適用により、小規模なB2B契約であっても対象となる可能性があります。そして、調達時質問票の動向は、準備ができていることが単なるコンプライアンス項目ではなく、今すぐ活用できる競争優位性であることを意味しています。

財務記録も監査可能な状態に保つ

SaaS企業をEUにスケールさせる場合、AI法への準拠はより広範な文書化課題の一部に過ぎません。クリーンな財務記録、複数管轄区域のサブスクリプションに対する防御可能な収益認識、移転価格文書、およびVAT-MOSSの申告も必要になります。クリーンでバージョン管理されたコンプライアンス文書を推進するのと同じエンジニアリングの直感を、財務帳簿にも適用すべきです。つまり、プレーンテキストで、監査可能であり、人間またはAI監査人がレビューできる形式です。

財務の透明性を、AIと同じレベルに

AI法(AI Act)が示す深い教訓——ドキュメント化、監査可能性、そして透明性が今や競争上の優位性(moat)であるということ——は、あなたの帳簿にもそのまま当てはまります。Beancount.ioは、財務記録に完全な透明性とバージョン管理をもたらすプレーンテキスト会計を提供します。現代のコンプライアンスが要求する、人間が読めてマシンが解析可能な構造をそのまま備えています。ブラックボックスもベンダーロックインもありません。監査人(あるいはあなた自身のAIエージェント)が直接読み取ることができる仕訳帳です。無料で始めることで、AIファーストの企業を構築している開発者や財務のプロフェッショナルが、なぜプレーンテキスト会計に切り替えているのか、その理由を確かめてください。