2026年8月2日。高リスクAIシステムに対するEU AI Actの施行が始まる日です。罰金:€3,500万または全世界売上高の7%。高い方が適用されます。禁止されたAIプラクティスは2025年2月からすでに違法です。自社のAIシステムのどれが高リスクか把握していますか?ほとんどの組織は把握していません。それがコンプライアンスの盲点であり、無視している中で最もコストの高いリスクです。
AIシステムの棚卸しが行われていません。生体認証アクセス制御、採用スクリーニングツール、信用スコアリングモデル、重要インフラAI — これらのいずれかがあれば、EU AI Act第6条に基づく高リスクとなります。そして確認していません。
5つのドキュメンテーション要件が法律となっています:技術文書、適合性評価、人間の監視手順、データガバナンス記録、インシデント報告プロトコル。組織内でこれらのいずれも担当者がいません。
法務は技術の問題だと言います。技術は法務の問題だと言います。一方、EU AI Actの施行は2026年8月2日に始まり、責任者を一人も任命していません。
AIベンダーはコンプライアンスを主張しています。しかし検証できません。EU AI Actの下では、デプロイヤーの義務はプロバイダーの義務とは独立して存在します。デプロイするものに対してあなたが責任を負います — ベンダーが何を言おうと。
数四半期ではなく数週間で評価から監査対応に移行するEU AI Actコンプライアンスコンサルティング。Aegis AI — EU AI ActとGDPR向けの専用コンプライアンスエンジン — を構築するのに使用したのと同じフレームワーク。バインダー埋め演習ではなく、既存のプロセスに統合する実践的ガバナンスです。
すべてのAIシステムの完全な棚卸し — 内部構築、ベンダーツール、組み込みモデル。EU AI Act第6条に基づき各システムを分類:高リスク(生体認証システム、採用AI、信用スコアリング、重要インフラAI)、限定リスク、最小リスク。2週間で明確さが得られます。
各高リスクシステムを5つのドキュメンテーション要件にマッピングする優先順位付きアクションプラン:技術文書、適合性評価、人間の監視、データガバナンス、インシデント報告。すべての要件にオーナーと期限が設定されます。
ドキュメンテーションの構築、モニタリングの設定、チームのトレーニング。各高リスクシステムの適合性評価。実務で機能する人間の監視手順。EU AI ActとGDPRの両方を満たすデータガバナンス。
ガバナンスフレームワークの確定:ポリシー、プロセス、ロール、継続的モニタリング。あらゆる監査人、規制当局、取締役会メンバーに対して、いつでもコンプライアンスを証明できる組織になります。
ISO 42001 AIマネジメントシステム標準およびEUデータ主権要件に整合。GOVERNはEU AI Actコンプライアンスを法的チェックボックス演習ではなく、エンジニアリングの問題として扱います。すべての成果物は第6条の高リスク分類に基づく規制義務に直接マッピングされます。MohammedはAegis AI — EU AI Actのリスク分類、義務抽出、監査対応レポートのためのフルコンプライアンスエンジン — をまさにこの方法論で構築しました。
EU市場でAIをデプロイしているか、EU市民にサービスを提供している方。複数のAIシステムを持ち、一元的な棚卸しがない方。取締役会がEU AI Actコンプライアンスについて質問し、誰も回答を持っていない方。採用、信用スコアリング、生体認証、重要インフラでAIを使用している方 — いずれも高リスク分類のトリガーとなります。理論的なフレームワークではなく、2026年8月2日までに監査対応のコンプライアンスを望んでいる方。
はい。EU AI Actは域外適用があります。会社の本社がニューヨーク、シンガポール、ドバイにあっても、AIシステムの出力がEU内の誰かに影響を与える場合、管轄下に入ります。GDPRと同じ域外適用の原則です。パリを拠点とするEU AI ActコンプライアンスコンサルタントであるMohammed Cherifiは、欧州、北米、アジア太平洋の組織にこれらの国境を越えた義務の遵守を助言しています。
EU AI Act第6条に基づく高リスク分類は、AIの仕組みではなく、AIの用途によります。生体認証システム、採用判断に使用されるAI、信用スコアリングモデル、教育、医療診断、重要インフラ管理におけるAI — すべて高リスクです。テストはテクノロジーではなく、ユースケースです。Mohammedは、どのシステムが適合性評価を必要とし、どのシステムがより軽いガバナンスで済むかを正確に特定するための体系的なAI棚卸しを実施します。
3つの日付が重要です。2025年2月2日:禁止されたAIプラクティスがすでに違法(社会的スコアリング、リアルタイム生体監視(限定的な例外あり))。2025年8月2日:汎用AIモデルの義務が適用。2026年8月2日:高リスクシステム要件が完全に施行可能に。年単位ではなく、月単位しか残されていません。今から始めれば、棚卸し、分類、ドキュメンテーションの時間があります。2026年6月に始めれば、緊急の対応とギャップが生じます。
いいえ。EU AI Actはプロバイダーの義務とデプロイヤーの義務を分離しています。ベンダーはシステムが技術基準を満たすことを確保する必要があります。あなたは適切な使用、人間の監視、モニタリング、インシデント報告を確保する必要があります。ベンダーの採用AIが差別し、監視手順なしでデプロイした場合、あなたが責任を負います。Mohammedはデプロイヤーがベンダーの主張とは独立した具体的な義務をマッピングするのを支援します。
3段階。禁止されたAIプラクティスに対して最大€3,500万または全世界年間売上高の7%。高リスクシステム違反に対して最大€1,500万または3%。当局への不正確な情報提供に対して最大€750万または1.5%。規制はどちらか高い方を適用します。中小企業には罰金が比例的に減額されますが、依然として重大です。これらのペナルティは、非コンプライアンスをコンプライアンスよりもコストが高くなるように設計されています。
2つの変数があります:運用するAIシステムの数と、既存のガバナンスの有無。ISO 42001や同様のフレームワークを持つ組織は通常3〜4ヶ月で監査対応状態に到達します。ゼロから始める組織は6〜9ヶ月が必要です。最大の時間消費はAIシステムの棚卸し(ほとんどの企業は40〜60%過少計上)、各高リスクシステムの適合性評価、実務で機能する人間の監視手順の構築です。Hyperion Consultingは評価スプリントを2週間で完了します。
ISO 42001はAIマネジメントシステムの国際標準です。リスク管理、ガバナンス、責任あるAI開発をカバーします。任意であるISO 42001と法律であるEU AI Actは異なりますが、ISO 42001認証を取得した組織はガバナンスインフラの60〜70%をすでに整備しています。GOVERNフレームワークはISO 42001と整合しているため、規制コンプライアンスと同時に認証を追求できます — 一つの投資から二つの成果。
AIモデルがEU市民のデータで訓練されているが、米国や中国のクラウドインフラでホストされている場合、EU AI ActとGDPRの両方における重複した規制リスクに直面します。ソブリンAIデプロイメント — オンプレミス、EUホストクラウド、ハイブリッドアーキテクチャ — がこのリスクを軽減します。Mohammedは推論速度やコスト効率を犠牲にすることなく、データとAI処理を管轄域内に保つソブリンAIオプションを評価します。
このサービスがお客様の具体的な課題にどう対処し、実際の成果を生み出すかを話し合いましょう。