EU AI Act(欧州AI規制法)の主要規定の施行期限まで残り55日となった2026年6月、MicrosoftはコンプライアンスをクリアしたAzure AI Foundryのモデルカタログを確定した。ChatGPT(OpenAI)やGemini(Google)など主要AIサービスも対応を求められる節目であり、欧州でAIを展開・利用する企業は今まさに対応の正念場を迎えている。

EU AI Actとは何か、何が変わるのか

EU AI Actは2024年8月に発効した世界初の包括的AI規制法だ。リスクベースのアプローチを採用し、AIシステムを「容認不能リスク」「高リスク」「限定的リスク」「最小リスク」の4段階に分類する。

注目すべきは「高リスクAI」への要件だ。医療診断・採用選考・クレジットスコアリング・重要インフラ管理などに使われるAIシステムがこれに該当し、以下を満たす必要がある:

  • リスク管理システムの整備と文書化
  • 学習データの品質管理と透明性確保
  • 人間による監視(ヒューマン・オーバーサイト)の仕組み
  • 技術文書の整備とCEマーキング
  • インシデント報告体制の確立

段階的施行スケジュールとして、禁止AI(感情認識の一部・ソーシャルスコアリング等)は2025年2月に適用済み。そして2026年8月2日が一般適用の主要デッドラインとなる。

MicrosoftのAzure AI Foundry対応

この期限を前に、MicrosoftはAzure AI Foundryのコンプライアンス対応カタログを確定した。Azure上でAIを構築・展開する企業が、EU AI Actの要件をクリアしたモデル・サービスを選択できる仕組みだ。

具体的には:

  • 適合済みモデルカタログ:透明性・文書化要件を満たしたAIモデルのリスト
  • コンプライアンスツール:リスク分類の判定支援と必要文書の自動生成
  • 監査ログ機能:規制当局への説明責任を果たすためのログ管理

企業にとっては「ゼロから対応を整備する」のではなく「対応済みのプラットフォームを選ぶ」という現実的な選択肢が生まれたことを意味する。

ChatGPT・Geminiを業務利用する企業への影響

OpenAIのChatGPTやGoogleのGeminiを使っている企業も無縁ではない。EU域内でこれらのサービスを業務利用する場合、そのサービスをどのリスクカテゴリのユースケースに使うかによって、追加の義務を負う可能性がある。

  • 採用選考の書類選考にAIを使う → 高リスクAI該当
  • 医療情報の提供・診断補助 → 高リスクAI該当
  • マーケティングのパーソナライズ → 限定的リスク(透明性義務のみ)

「うちはただChatGPTを使っているだけ」という認識では通用しなくなる。用途によってリスク分類が決まるのがEU AI Actの肝であり、ツールの選択ではなく使い方が問われる。

実務への影響——日本企業はどう動くべきか

欧州に拠点を持つ、または欧州の顧客向けにサービスを提供する日本企業には直接影響がある。なお、EU AI ActはGDPRと同様に域外適用の規定がある。EU市民向けにサービスを提供する限り、企業の所在地に関わらず適用される点は見落としやすい。

影響が大きいケース:

  1. 欧州現地法人でAIを使った採用・人事評価を行っている
  2. 欧州顧客向けのAI搭載SaaSを提供している
  3. 医療・金融・インフラ領域でAIを活用している

今すぐやるべき3つのアクション:

  1. AIユースケースの棚卸し:社内で使っているAIツール・システムをリストアップし、EU向け業務に該当するものを特定する
  2. リスク分類の判定:EU AI Actのリスク分類フレームワーク(欧州委員会が公式ガイドラインを公開中)に照らして分類する
  3. プラットフォーム選定の見直し:高リスク用途なら、Azure AI Foundryのような対応済みプラットフォームの活用を検討する

55日は短いように見えるが、棚卸しから始めれば対応の優先度はかなり絞り込める。「まだ関係ない」と思っている企業こそ、今が動き始めるタイミングだ。

筆者の見解

EU AI Actは「AIをどう使うか」ではなく「AIをどう制御するか」を問う規制だ。リスクベースで分類し、高リスク用途に重点的に義務を課す設計は、一律規制に比べて現実的で筋が良いと評価している。

MicrosoftがAzure AI Foundryのコンプライアンス対応カタログをいち早く整備したことは評価できる動きだ。規制を「追い風」に変えてエンタープライズ向けの信頼性を高める戦略として、Azureプラットフォームの強みが活かせる局面でもある。エンタープライズへの浸透力という観点では、この領域こそMicrosoftが本来の強みを発揮できるフィールドだと思う。

ただし、コンプライアンス対応を「チェックリストのクリア」と誤解してはいけない。EU AI Actが求めているのはリスク管理の仕組みを実際に機能させることであり、書類を揃えることではない。「対応済みプラットフォームを使えば安心」ではなく、そのプラットフォーム上で何をどのように使うかの運用設計こそが問われる。

日本のIT現場でも「とりあえず禁止」でAI導入を止めている企業をよく見かけるが、EU AI Actが示すようにリスクを分類して適切に管理する方向への転換が遅れれば遅れるほど、競合との差は開く一方だ。規制への対応をきっかけに、自社のAI活用方針を整理し直す機会として前向きに捉えてほしい。

出典: この記事は EU AI Act enforcement deadline now 55 days out — enterprise AI compliance enters critical phase の内容をもとに、筆者の見解を加えて独自に執筆したものです。