EU AI法、16カ月の施行猶予―免除ではなく一時的な猶予

規制対象の組織が2026年8月のAIコンプライアンス期限に向けて急ぐ中、さらに16か月の猶予が与えられました――しかし、安心してペースを落とすのは間違った対応です。欧州議会は2026年6月16日、EU AI法の改正案を承認し、附属書IIIで規定される単体の高リスクAIシステムのコンプライアンス期限を2026年8月2日から2027年12月2日へと延長しました。この動きで猶予期間は生まれましたが、改正案を詳細に分析したグローバル法律事務所Morgan Lewisは明言しています:規制当局は「猶予」ではなく「正しく対応するための時間」を与えたのだと。

教育、雇用、信用スコアリング、重要インフラ、法執行――附属書IIIで明示的に対象とされる分野でAIシステムを利用するエンタープライズ組織にとって、延長された期限はコンプライアンスのタイムラインを再構成するものであり、根本的な義務が一つも免除されるわけではありません。もう一つの改正により、EU整合化法令の対象製品に安全性コンポーネントとして組み込まれたAIの期限は2027年8月2日から2028年8月2日へと延長されました。また、新たな規定として、AIを利用した「ヌーディファイア」アプリケーションの全面禁止が2026年12月2日から施行されます――この期限は変更されていません。

これらの改正が示すのは、欧州の規制姿勢が現実的な実装スケジュールに調整されつつも、本来の意図を堅持しているということです。EU AI法の中核要件――リスク管理、透明性、人による監督、データガバナンス、説明責任――はそのまま維持されています。期限延長を理由にコンプライアンス対応を先送りした組織は、2027年12月になっても2026年8月と同じ準備不足のまま、次の執行の波が始まる前の猶予が短くなるだけです。

Kiteworks 2026年データセキュリティ&コンプライアンスリスク:年次予測レポートによると、AIガバナンスとEU規制コンプライアンスは、今年のエンタープライズのセキュリティ・コンプライアンスチームにとって最重要戦略課題の一つに位置付けられています。今回の改正は、ガバナンスに関する議論をより緊急性の高いものにしています――今こそ、正しいインフラを構築するチャンスです。

主なポイント

1. 附属書IIIの期限は16か月延長、恒久的ではない

単体の高リスクAIシステムは、2027年12月2日までにコンプライアンスを達成する必要があります。EU AI法に基づくリスクおよびガバナンスの義務は変更されていません――変わったのはタイムラインであり、要件そのものではありません。

2. ヌーディファイア禁止は延期されていない

同意のない親密な画像を生成するAIアプリケーションは、2026年12月2日から禁止されます。AIによるコンテンツ生成プラットフォームや画像処理システムを持つ組織は、直ちに自社のリスクを評価する必要があります。

3. 規制当局が求めるのは、先送りされた書類作成ではなく、積極的なガバナンス

Morgan Lewisは、EU規制当局が新たな期限到来と同時に執行を開始する意向を表明していると指摘しています。延長は実装のための時間であり、優先度を下げるためのものではありません。

4. 安全性コンポーネントAIシステムの延長は16か月ではなく12か月

EU整合化法令の対象製品に安全性コンポーネントとして組み込まれたAIは、2027年8月2日から2028年8月2日へと期限が延長されました――製造業、医療機器、産業分野の組織は、誤ったタイムラインで管理していないか注意が必要です。

5. 16か月の猶予期間はAIデータガバナンス基盤構築の最適なタイミング

この期間にポリシーで強制されるコンテンツガバナンスを整備した組織は、2027年12月の期限に向けて監査対応が万全となり、直前になって書類をかき集める必要がなくなります。

どのデータコンプライアンス基準が重要?

Read Now

EU AI法改正で実際に変わったこと

2024年8月に施行されたEU AI法は、段階的にコンプライアンス義務を展開しています。2026年6月16日に欧州議会で承認された改正は、2つの特定カテゴリの高リスクAIシステムに影響し、新たな禁止事項も導入されました。

最も大きな変更は、附属書IIIで定義される単体の高リスクAIシステムに関するものです。附属書IIIでは、バイオメトリック認証、重要インフラ管理、教育・職業訓練、雇用・労務管理、必須の民間・公共サービスへのアクセス(信用スコアリング含む)、法執行、移民・庇護、司法行政の8つの高リスクカテゴリが列挙されています。これらのカテゴリに該当し、他製品のコンポーネントとしてではなく単体で展開されるAIシステムは、元々の2026年8月2日から2027年12月2日へとコンプライアンス期限が延長されました。16か月の延長は、複雑なAIガバナンス要件に対し、当初の実装スケジュールが現実的でなかったという業界からのフィードバックを反映したものです。

2つ目の変更は、EU製品整合化法令の対象製品(医療機器、機械、産業用設備など)に安全性コンポーネントとして組み込まれたAIシステムに関するものです。これらのシステムはもともと長めのコンプライアンス期間(当初は2027年8月2日)が設定されていましたが、期限が2028年8月2日へと延長されました。製造業、医療技術、産業分野でAI搭載の安全システムを持つ組織は、コンプライアンスロードマップを見直す必要があります。

3つ目は、AIを利用したヌーディファイアアプリケーション――リアルな同意のない親密画像を生成するソフトウェア――の新たな禁止です。この禁止は2026年12月2日から施行されるため、延長された高リスクシステムの期限よりも早く適用されます。コンテンツ生成プラットフォームや消費者向けAIアプリケーション、画像処理システムを持つ組織は、今すぐリスク評価を行う必要があります。

GDPRコンプライアンスチームでEU AI法を追跡している方は、両者の重複に気付くでしょう:GDPRで適用される多くの個人データ保護要件は、附属書IIIの高リスクAIシステムが処理する個人データにも適用されます。今回の改正はこの重複を変えるものではなく、まだ対応インフラを構築できていない組織にタイムラインの猶予を与えるものです。GDPRが既に個人データ処理に課しているデータ最小化や目的限定義務は、附属書IIIのAIシステムの学習・運用データにも同様に適用されるため、GDPRのデータ取扱い実務がEU AI法データガバナンスの出発点となります。

延長が多くの組織の想定と異なる理由

期限が延びると、つい「作業の優先度を下げてよい」という暗黙の許可と捉えがちです。Morgan Lewisの分析はこの直感に明確に反論しています:規制当局は新たな期限到来と同時に執行を開始する意向を表明しており、隣接する規制分野でも早期執行の兆候が見られます。EU加盟国でのNIS2コンプライアンス執行、DORA金融セクター要件、過去18か月のGDPR執行事例など、欧州の規制環境は期限を「計画の目安」ではなく「厳格な締切」として扱い、迅速に執行・制裁を行っています。

今すぐ動くべき実務的な理由もあります。EU AI法が要求するAIガバナンスインフラ――リスク管理システム、データ品質フレームワーク、人による監督メカニズム、監査証跡、透明性ドキュメントなど――は、正しく構築するのに時間がかかります。期限の12か月前に着手した組織は、最初の6か月で予想外の複雑さに直面しがちです:未把握のレガシーAIシステム、ガバナンス機能のないデータパイプライン、法要件を満たさないベンダーAIコンポーネントなど。今、附属書IIIの各カテゴリにAIシステムをマッピングする正式なリスク評価を行えば、16か月の期間で優先順位をつけて実装作業を進めるためのインベントリが得られます。

EUデータ法や関連する欧州データ規制も、ガバナンス義務を単独で完結させません。EU AI法コンプライアンスのためにAIガバナンスを構築する組織は、データ主権要件、GDPRの越境移転制限、加盟国ごとに異なるセクター別データ取扱い要件も同時に満たす必要があります。これらすべてを同時に満たすガバナンスインフラの構築は、技術的にも組織的にも大きな取り組みです。16か月前から着手するのは、4か月前に始めるよりはるかに有利です。

EU AI法コンプライアンスが実際に求めるもの

EU AI法が附属書IIIの高リスクAIシステムに課す要件は、詳細かつドキュメント重視です。中核義務は複数の相互に関連する領域にまたがります。

適合性評価では、AIシステムが法の透明性、正確性、堅牢性、サイバーセキュリティ要件を満たしているか、組織が体系的に評価する必要があります。多くの高リスクシステムでは、内部レビューと第三者監査の両方が求められる場合があります。リスク管理システムは、システムのライフサイクル全体で確立・維持・更新されなければなりません――これは一度きりの評価ではなく、AIシステムの進化や脅威状況の変化に応じて継続的にリスクを追跡するガバナンスプロセスです。

データガバナンス実務は、AIシステム開発に用いる学習・検証・テストデータを対象とします。附属書IIIの組織は、学習データが関連性・代表性を持ち、差別的な結果を生むエラーがないことを文書化しなければなりません。学習データセットに対するデータ分類――機密度や利用目的ごとにラベリング――は、ガバナンス実務が法の品質基準を満たしているか監査時に検証される証拠基盤となります。人による監督メカニズムは、人間がAIシステムの出力に介入・上書き・停止できることを保証しなければなりません――自律型AIでは、この要件が設計上の制約となり、技術的に人による監督が実現可能でなければなりません。

技術文書とログ管理では、システムの設計・開発・テスト・性能・運用履歴に関する包括的な記録を維持することが求められます。これらの記録は、規制当局からの要請に応じて提出できるようにしておく必要があります。

AIデータガバナンスフレームワークでこれらの要件を満たすものは、AIシステムに出入りするすべてのデータをガバナンス管理下に置くという共通基盤を持っています。KiteworksのCompliant AIは、これらの要件を実装可能にするポリシー強制レイヤーを提供します――AIワークフローに投入されるデータをフィルタリング・記録・制御し、改ざん防止の監査証跡で法のドキュメント要件を満たします。CISOダッシュボードは、すべてのAI経由データアクセスイベントをリアルタイムで可視化し、コンプライアンスチームに継続的な規制監視のための証拠レイヤーを提供します。

附属書IIIに基づくデータプライバシー要件は、特に個人データと交差します:信用スコアリング、雇用判断、法執行などのために個人データを処理するAIシステムは、GDPRとEU AI法の両方の要件に準拠したデータ取扱い実務を証明しなければなりません。GDPRコンプライアンスとAI法コンプライアンスは並行するものではなく、ガバナンスインフラを共有する重複要件です。これらを別々に構築する組織は、二重投資となります。

データ主権の観点

欧州企業やEUで事業を展開する多国籍組織にとって、EU AI法コンプライアンスはより広範なデータ主権コンプライアンスフレームワークの一部です。EU居住者の個人データを処理する高リスクAIシステムは、そのデータの保存場所、第三国への移転方法、アクセス権限に制約が課されます。これらの制約はGDPRや各国データ保護法、セクター別規制にも存在し、コンプライアントなAIシステムのアーキテクチャに影響します。

AI処理に米国系クラウドプロバイダーを利用する組織は、長年この課題に直面してきました。EU AI法はさらに一段階厳格な要件を加えます:データ移転がGDPR準拠であっても、AIシステム自体が附属書IIIの技術文書・ログ要件を満たさなければなりません。もしシステムの技術文書がクラウドプロバイダーの管理下にあり、EU規制当局のアクセスが制限されている場合、そのシステムの適合性は疑問視されます。顧客管理の暗号鍵は、クラウドプロバイダーによる規制データへのアクセスを防ぐアーキテクチャ上の制御策であり、EU AIシステムの学習・運用データの内容がクラウドプロバイダーへの強制開示で漏洩することを防ぎます。

データレジデンシー要件は、クラウドAI導入をさらに複雑にします。加盟国によっては、EUレベルの移転枠組みに関係なく、機微な個人データを国内サーバーに限定する国別要件があります。こうしたデータを処理するAIシステムは、EU AI法が求めるガバナンスの可視性を損なうことなく、レジデンシー要件も満たすアーキテクチャが必要です。

Kiteworksのプライベートデータネットワークは、データレジデンシーや主権設定とEU AI法コンプライアンスに必要なコンテンツガバナンスを両立させる統制環境を提供します。プラットフォームで生成される監査ログは、GDPRの説明責任要件とEU AI法のログ義務の両方を満たし、両フレームワークにまたがる規制調査を支える統合ガバナンス記録を実現します。

延長期間を賢く活用する

附属書IIIの期限まで残された16か月は、今すぐ着手すれば十分に防御可能なAIガバナンスプログラムを構築できる期間です。効果的な進め方は次の通りです:まずAIシステムのインベントリを作成し、附属書IIIの対象となるすべてのシステムを特定します。次にリスク分類を行い、各システムが法の高リスク基準に該当するか評価します。個人データを処理するシステムにはDPIA分析を実施します。データ品質・監査ログ・人による監督要件に対応した技術ガバナンスインフラを構築し、期限直前ではなく事前に適合性評価を完了させます。HIPAAやCMMC 2.0コンプライアンス義務もある組織は、EU AI法ガバナンスインフラを最初からこれらのフレームワークにも拡張できる設計にすべきです――監査ログ、アクセス制御、データ分類要件は大きく重複しています。

KiteworksのCompliant AIフレームワークは、この作業のためのインフラレイヤーを提供します。Kiteworks Compliant AIは、データとAIの境界でコンテンツポリシーを強制し、AIシステムが検証済みかつポリシー準拠のデータ環境で動作することを保証します。また、Kiteworksプライベートデータネットワークは、EU AI法が要求する包括的なログ管理・アクセス制御インフラを提供します。

Kiteworks 2026年データセキュリティ&コンプライアンスリスク:年次予測レポートによれば、コンプライアンスを「期限駆動の短距離走」とせず、早期にAIガバナンスインフラへ投資した組織ほど、AI導入への自信が高く、規制リスクも低いと報告しています。この延長を「構築のための時間」として活用してください。うまく使った組織は2027年12月に監査対応が万全となり、先送りした組織は望まぬ状況に陥ることになります。

2027年12月の期限前にEU AI法コンプライアンスインフラを構築する方法について、今すぐカスタムデモをお申し込みください

よくある質問

2027年12月2日の期限は、EU AI法附属書IIIで列挙された8つのカテゴリ(バイオメトリック認証、重要インフラ管理、教育・職業訓練、雇用・労務管理、必須サービスへのアクセス(信用スコアリング含む)、法執行、移民・庇護、司法行政)の単体高リスクAIシステムに適用されます。「単体」とは、EU整合化法令の対象製品に安全性コンポーネントとして組み込まれたAIとは異なり、独立して展開されるシステムを指します――後者は2028年8月2日という別の期限が適用されます。貴社がこれらのカテゴリでEU市場またはEU居住者向けにAIシステムを展開している場合、対象となります。AIデータガバナンスは、法が求める適合性評価の前提条件です。個人データが関与する場合、GDPRコンプライアンス義務も同時に適用される可能性があります。個人の健康情報や機微な個人データに関わるAIシステムを持つ組織は、附属書IIIのリスクとGDPRや業界別データ保護義務を最初から並行してマッピングすべきです。

いいえ。改正はコンプライアンスのタイムラインを調整するものであり、附属書IIIの組織が満たすべき実質的な要件自体は変わりません。リスク管理システム、データガバナンス実務、人による監督メカニズム、技術文書、ログ要件は、当初の規定通り有効です。Morgan Lewisは、規制当局が新たな期限到来と同時に執行を開始する意向を明言しているとしています――2027年12月2日を「計画の目安」ではなく「厳格な締切」として扱うべきです。欧州の規制タイムラインがエンタープライズAIガバナンス投資判断にどう影響しているかは、Kiteworks 2026年データセキュリティ&コンプライアンスリスク:年次予測レポートをご覧ください。データ主権コンプライアンスは、どの期限がAIシステムに適用されるかに関わらず、EU居住者の個人データに対して並行して課される義務です。また、AIのサプライチェーン――ベンダーや第三者モデル提供者――も、導入組織と同じガバナンス基準を満たしているか評価すべきです。サプライチェーンリスク管理義務は、AIベンダーとの関係にも及びます。

個人データを処理するAIシステム――附属書IIIの大半は信用スコアリング、雇用判断、法執行など本質的に個人データを伴うため――において、EU AI法コンプライアンスとGDPRコンプライアンスは、並行するのではなく重複する義務です。法のデータガバナンス要件(学習データの品質・代表性・エラー修正)は、GDPRが「個人データ」と定義するデータにも適用され、同じデータ取扱い実務で両フレームワークを同時に満たす必要があります。GDPRのデータ最小化、目的限定、データ主体の権利も、AIの学習・運用データの利用方法を制約します。両フレームワークを同時にカバーする統合ガバナンスアーキテクチャは、2つの独立したコンプライアンスプログラムより効率的かつ監査対応も容易です。KiteworksのCompliant AIは、データとAIの境界でポリシー強制とログ管理を適用し、この統合アプローチを支援します。

最初の90日間で最も効果的な活動は、AIシステムのインベントリ作成です:附属書IIIの各カテゴリに該当する自社のAIシステムをすべて特定し、処理データを文書化し、単体か安全性コンポーネントかを評価します。この過程で、多くの組織は予想以上に対象AIシステムが多いことに気付きます。AI機能が調達・人事・カスタマーサービスツール等に分類されずに組み込まれているケースが多いためです。インベントリが完了したら、リスク分類により各システムで求められるコンプライアンス対応の深さを決定します。現状のログ管理や監査証跡機能がEU AI法の要件を満たしているかも評価しましょう――この分野のギャップが、今後最大の技術的実装課題となることが多いです。延長期間中に新規AI導入を計画する場合は、DPIA要件も適用される可能性があります。AIシステムのログをSIEMプラットフォームと最初から統合し、監査時だけでなく継続的な可視性を確保することが、法の継続的モニタリング要件を満たす近道です。

部分的に可能です。GDPRコンプライアンスインフラ――データマッピング、データプライバシーポリシー、データ主体権利管理、漏洩通知プロセスなど――は、EU AI法コンプライアンスの基盤となります。しかし、AI法はGDPRに直接対応しない要件も導入しています:AI特有の技術的特性に対する適合性評価、AIライフサイクルガバナンスのためのリスク管理システム、ポリシーベースではなくアーキテクチャレベルの人による監督メカニズムなどです。Compliant AIインフラは、GDPRコンプライアンスが既に提供するものとEU AI法が追加で求めるもののギャップを埋めます。実務的な推奨は、GDPRのデータマッピングをEU AI法システムインベントリの出発点としつつ、AI特有の義務に対応するための追加インフラ投資を計画することです。既存のGDPRコンプライアンスをEU AI法対応として十分と見なすのは、監査時にギャップ指摘を受けやすい前提です。GDPRでは暗黙的にしか求められないAIデータアクセスの詳細な監査ログ、学習データの機密度別分類、モデル境界でのポリシー強制アクセス制御などは、EU AI法では明示的な要件となっており、個別のインフラ投資が必要です。

追加リソース

  • ブログ記事
    手頃なAIプライバシー保護のためのゼロトラスト戦略
  • ブログ記事
    77%の組織がAIデータセキュリティで失敗している理由
  • eBook
    AIガバナンスギャップ:なぜ91%の中小企業が2025年にデータセキュリティでロシアンルーレットをしているのか
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

Table of Content
Share
Tweet
Share
Explore Kiteworks