ちょうど1ヶ月後の2026年8月2日、欧州連合(EU)が世界で初めて成立させた包括的AI規制法「EU AI Act」の中核的な施行が始まる。この日、欧州委員会は汎用AI(GPAI: General-Purpose AI)モデルの提供者に対して、罰金を含む強制執行権限を初めて行使できるようになる。違反企業への罰金は最大で全世界売上の3%または1,500万ユーロのいずれか高い額。全世界売上10兆円規模の企業なら、3%は3,000億円に達する計算だ。
この記事では、8月2日に何が起きるのか、なぜGoogle・Anthropic・OpenAIといった主要AI企業が既に署名した「実施基準(Code of Practice)」にMetaだけが拒否を表明しているのか、そして日本の企業がなぜこの規制を無関係と扱えないのかを、順に整理していく。7月1日に米国政府が発動しすぐに解除されたClaude Opus 5・Google Fable 5への輸出規制と、EUのこの動きは同時進行だ。国境を越えたAI規制の輪郭が、この夏一気に明確になろうとしている。
EU AI Actとは何か ― 世界初のリスクベース規制
EU AI Actは2024年5月21日にEU理事会で正式採択され、同年8月1日に発効した世界初の包括的AI規制法だ。この規制の中核にあるのが「リスクベース・アプローチ」――AIシステムがもたらすリスクの大きさに応じて4段階に分類し、それぞれに異なる義務を課す仕組みである。
- 禁止AI(Unacceptable Risk):社会的評価スコアリング、警察による予測ポリシング、職場・学校での感情認識など。使用そのものが禁止される(2025年2月2日から施行済)
- ハイリスクAI(High Risk):採用選考、教育評価、信用スコアリング、司法判断支援、医療機器等。厳格な適合性評価、技術文書作成、リスク管理体制、人間による監督が義務化
- 透明性義務(Transparency):チャットボット、ディープフェイク、感情認識システム等。ユーザーに対して「これはAIである」ことを明示する義務
- 低リスク/最小リスク:スパムフィルター、ゲームAI等。特別な規制なし
そして2024年12月、EU AI Actは大改正され、当初想定されていなかった「汎用AI(GPAI)」への規制が追加された。ChatGPT・Claude・Geminiのように、単一の用途に特化するのではなく、幅広いタスクに対応できる基盤モデル――これがGPAIだ。追加規制の背景には、2022年11月のChatGPT登場以降、生成AI技術が想定を超えるスピードで社会に浸透したことがある。「AIの用途別リスク」だけでは規制しきれない「モデル自体の力」を、どう扱うかが問われた結果だった。
8月2日 ― 欧州委員会がGPAI規制の執行権限を手にする日
EU AI Actの施行は段階的に進んできた。2025年2月2日に禁止AI規制、8月2日にGPAIモデルの義務が施行済で、この時点で規制自体はすでに効力を持っていた。しかし、欧州委員会がGPAI規制の違反を認定し、罰金を含む執行措置を取る権限は、法律の条文上「1年間の準備期間」の後、つまり2026年8月2日から始まる仕組みになっていた。この1年間は、GPAIモデル提供者が体制を整えるためのグレース期間として位置づけられた。
この8月2日にAI法上何が変わるか。欧州委員会内に設置されたAI Office(AIオフィス、ブリュッセル本部・約140名の専門家)が、GPAIモデル提供者に対して以下の権限を行使できるようになる。
- 詳細な技術文書の提出を要求できる(学習データ、テスト結果、モデル評価等)
- 独立した第三者評価を実施できる
- 違反が認定された場合、最大で全世界売上高3%または1,500万ユーロの罰金を科すことができる
- 「システミック・リスク」と判定されたモデルに対しては、追加的な監督措置を課すことができる
これに先立ち、2026年6月1日、欧州委員会は60名の科学パネル(Scientific Panel)とAdvisory Forumのメンバーを正式任命した。この科学パネルには、EU域内の主要大学の計算機科学・法学・倫理学の研究者、市民社会組織代表、独立系の AI 安全研究者が名を連ねている。パネルは AI Office への独立した技術評価を提供する役割を担い、欧州委員会が判断を下す際の科学的根拠を提供することになっている。
「システミック・リスク」 ― 10^25 FLOPsという境界線
GPAIの中でも特に注視されているのが「システミック・リスク」を持つとされるモデルだ。EU AI Actは、GPAIモデルの学習に用いられた計算量が「10の25乗(10^25)FLOPs(浮動小数点演算)」を超えた場合、システミック・リスクを持つと自動的に推定するとしている。この閾値は、GPT-4、Claude 3.5 Sonnet、Gemini Ultra、Llama 3.1 405Bなど、現時点で最先端に位置する大規模言語モデルにほぼ相当する。
システミック・リスク認定を受けたGPAIモデルの提供者には、通常のGPAI義務に加えて、以下の追加義務が課される。
- モデル評価(Adversarial Testing、Red-Teaming等)の実施と結果の報告
- 重大インシデントの追跡・記録・報告体制の整備
- サイバーセキュリティ対策の確保
- 欧州委員会への提出用の詳細な技術文書
- 下流のAIシステム開発者への情報提供
この閾値は今後、技術の進展に応じて欧州委員会が下方修正する可能性がある。実質的には、次世代のフロンティアモデル(例:GPT-5、Claude 5、Gemini 2)がリリースされる度に、システミック・リスク認定を受ける可能性がある構造になっている。
Meta拒否、Anthropic・OpenAI署名 ― 分断されるハイテク業界
8月2日の施行を目前に、GPAIモデル提供者が「実施基準(GPAI Code of Practice)」への署名を要請されてきた。この基準は法律の条文よりも詳細な運用ルールを定め、署名した企業は「セーフハーバー(法的免責)」的な効果を得られる仕組みになっている。逆に署名しない企業は、EU AI Actの条文に直接照らして違反判定を受けるリスクを背負う。
2026年春時点での署名状況は、業界内で明確な分断を生み出している。
署名した企業
- Google(Alphabet):Gemini・Fable 5・PaLM系のGPAI提供者
- OpenAI:GPT-4o・GPT-5系のGPAI提供者
- Anthropic:Claude 3.5・Claude 4系のGPAI提供者
- Microsoft:Azure経由でOpenAIモデルを提供、独自の小規模モデルも展開
- Amazon:AWSでのGPAIモデル配信
- IBM:エンタープライズ向けAIの提供
- Mistral AI:EU域内のフロンティアAI企業
- その他、欧州系の中小AI企業数十社
署名を拒否した企業
- Meta(Facebook):Llama系のGPAIモデル提供者。西側大手として唯一の拒否表明
- Alibaba、Baidu、DeepSeek:中国系AI企業(言及なし、実質的な拒否)
Metaの拒否声明は2025年7月18日、同社上級副社長Joel Kaplanが公表した。同氏の説明では「Code of Practiceは法律の範囲を超える義務を課している」「モデル開発者に法的不確実性を生む」「Metaが求めている段階的な導入モードと合致しない」との3点。しかしEU域内のAI規制関係者からは、「Metaは欧州でのAI事業展開よりも、米国での自由度確保を優先している」との解説も出ている。
Metaが拒否したとしてもEU AI Act本体からの免除は受けられないため、罰金リスクは残る。事実上、Metaは「Code of Practice署名によるセーフハーバー」を放棄した状態で施行日を迎えることになる。この状態でEU内でLlamaの提供を続けた場合、欧州委員会の直接介入によるインシデントリスクは他社より格段に高くなる。
Anthropic・OpenAIとの「戦略対話」開始 ― 事前調整の水面下
2026年5月11日、欧州委員会は、施行に向けた「戦略対話(Strategic Dialogue)」をOpenAIおよびAnthropicと正式に開始したと発表した。この対話は、8月2日の執行権限発動を前に、欧州委員会側が最先端GPAIモデルの「内部」に対する理解を深めるための場と位置づけられている。
この場でOpenAIは、まだ公開されていない次世代GPAIモデルへのアクセス権を欧州委員会に提供する用意があると通告した。これは、モデルの実装詳細を規制当局と共有することで、規制の予測可能性を高めようとするOpenAI側の戦略である。他方、Anthropicは同水準のアクセス提供には至っておらず、対話は「憲法的AI(Constitutional AI)」フレームワークの実装状況を中心とした「建設的な意見交換」の段階にとどまっている、と欧州委員会関係者は語っている。
この2社の姿勢の違いは、両社のAI安全に対する哲学的な立ち位置を反映しているとの分析もある。OpenAIは「規制当局との協業による信頼構築」を選び、Anthropicは「安全上のガードレール自体の透明性」を優先した対話戦略を選んだ、というものだ。ただし、いずれの企業もEU AI Act本体との整合性を最終的に取らなければならないという結論は同じである。
米国の輸出規制と、EUの消費者保護 ― 二つの規制軸の交錯
2026年7月1日、Anthropicの「Fable 5」と、Googleの「Mythos 5」というフロンティアモデルが、米国商務省の輸出規制指令により全世界向けに一時的に停止された。理由は「jailbreak(安全策の回避)耐性が弱いフロンティアモデルが第三国へ流出することの安全保障リスク」。2日後の7月2日には解除条件(政府への事前協議・悪用報告・新しい安全分類器の実装)を満たしたことで、両モデルは再開された。詳細は別記事で報じたとおりだ。
この米国の動きと、EU AI Actの8月2日施行は、規制の性質としては全く異なる。米国は「輸出管理法(Export Administration Regulations, EAR)」を根拠に、国家安全保障の観点から「フロンティアAIモデルの外国流出」を制限しようとする。他方EUは「消費者保護法」の延長線上に「消費者・市民への潜在的な害」の観点から、AI提供者の説明責任と透明性を求めている。両者はアプローチが違うだけで、対象領域は重複している。
ここから見えてくるのは、フロンティアAIモデルの提供者が「米国政府の輸出承認」と「EUのAI法遵守」という二重の関門をくぐらなければ、グローバル展開が困難になる時代に入ったということだ。しかも米国と EU の判断基準は必ずしも一致しない。米国が「安全に問題あり」と判定したモデルをEUは「透明性義務を満たしていない」と判定するかもしれないし、その逆もあり得る。企業は複雑な規制環境の中で、モデル設計そのものを含めた戦略的判断を迫られる。
域外適用 ― 日本企業も無関係ではない
「EU AI Actは欧州の話だから日本には関係ない」は誤りだ。EU AI Actは、GDPR(一般データ保護規則)と同様、「域外適用(extra-territorial application)」の仕組みを持つ。具体的には以下の条件のいずれかに該当する場合、日本企業でもEU AI Actの遵守が求められる。
- EU域内の個人・企業に向けて直接AIシステム/モデルを提供している
- 提供先の日本企業がEU域内に支社を持ち、そこでAIを利用している
- 提供先企業がEU域内の顧客に対してAIを組み込んだサービスを提供している
- AIシステムの出力(判定・生成物)がEU域内で使用される
この域外適用の広さは、実質的には「EU向けにビジネスをする日本企業ならほぼ全て何らかの形で影響を受ける」と読み替えられる。楽天、ソフトバンク、日立、パナソニック、トヨタ、ソニーグループ――これらの企業が自社AIをEU向けに展開している、あるいは自社サービスにChatGPTやClaudeなどのGPAIを組み込んでEU市場に提供している場合、EU AI Actの適用対象となる可能性がある。
国内の生成AI開発事業者の動きとしては、Preferred Networks(PFN)が2026年春、情報通信研究機構と共同で国産LLM「PLaMo 2.0」の後継モデルを発表した。日本の文化・法制度・慣習を反映した生成AIの開発を目指すもので、EU域外でも規制対応が必要になる時代に、独立系の日本の基盤モデル提供者としての地位確保を意識した設計になっている。ソフトバンクはArmとの連携で独自のAIチップ・GPAIモデル路線を模索、Sakana AIは日本市場を主戦場に据えつつも海外展開の可能性を残す形で成長している。
罰則規模 ― 3,000億円級のインパクト
EU AI Actの罰則規模を数値で理解することは重要だ。カテゴリ別に整理する。
- 禁止AIの違反:最大3,500万ユーロ(約60億円)または全世界年間売上の7%のいずれか高い方
- ハイリスクAI・透明性義務違反:最大1,500万ユーロ(約25億円)または全世界売上の3%のいずれか高い方
- GPAIモデル提供者の義務違反:最大1,500万ユーロまたは全世界売上の3%のいずれか高い方
- 虚偽情報の提出:最大750万ユーロ(約13億円)または全世界売上の1%のいずれか高い方
売上高の3%という比率は、GDPRの4%と比べれば低いが、GPT・Claude・Geminiクラスの大規模GPAIモデル提供者にとっては、実質的に本業の利益を吹き飛ばす規模の罰金だ。例えば、Alphabetの2025年通期売上約3,500億ドル(約55兆円)に対して3%は約1兆6,500億円。OpenAIの推定売上を100億ドルと見積もれば3%は450億円。「もし違反判定を受けたら、その年の粗利は消し飛ぶ」というレベルの脅威となっている。
日本の読者への解説 ― AI規制の3つの潮流
2026年夏、AI規制は世界で3つの潮流が同時に動いている。
第一の潮流は、米国の輸出管理型規制だ。フロンティアAIモデルを「二重用途技術(dual-use technology)」として扱い、外国への流出を輸出管理法で制限する方針。7月1日のFable 5・Mythos 5停止事件はその象徴的なケースだった。この規制は主に安全保障を根拠に、米国政府(商務省・国防総省)が対象となる。技術の「国外流出」を防ぐという点で、半導体輸出規制と同じ発想の延長線上にある。
第二の潮流は、EUの市民保護型規制だ。AI Actがそれで、AIシステム・モデルが市民・消費者に及ぼす潜在的な害を、リスクベースで規制する。8月2日から本格施行される。GDPRと同様、EU域外の提供者にも適用されるため、日本企業にも直接影響が及ぶ。
第三の潮流は、日本を含むアジア・グローバルサウスの自主基準型規制だ。日本のAI事業者ガイドラインは法的拘束力を持たない自主基準の集合体で、EU AI Actのような包括的な罰則を持たない。政府はG7広島AIプロセスを通じて国際協調を模索しているが、EU的な包括規制と米国的な輸出管理の間で、独自の道を模索する状況にある。
日本の一般消費者としては、AI規制の話は遠く感じられるかもしれない。しかし、日常的に使う生成AIツール(ChatGPT・Claude・Gemini)が、これから規制環境の変化によって、機能制限・料金変更・地域制限を受ける可能性は十分にある。8月2日以降、EU域内でのAIサービス提供に規制コストが上乗せされ、その分がグローバル価格に転嫁されるという構造も、他人事ではない。
AI技術の発展のスピードに対して、規制の整備は常に「後追い」だ。しかし、2026年夏はその後追いが一気に追いつく分岐点かもしれない。米国が「モデルの輸出を止められる」ことを実証し、EUが「モデル自体の透明性と説明責任を強制できる」ことを実証しつつある。この夏、AIをめぐる規制の骨格が、世界的に一気に立ち上がろうとしている。日本の読者としても、この動きを軽視する余裕はない。
関連記事:Anthropic Fable 5が復活、米国の輸出規制解除の条件/Fable 5・Mythos 5停止、米政府の輸出規制指令の詳細/スペイン政治の全体像2026













