AIエージェントのHuman-in-the-Loop義務化とは具体的に何が必要ですか？

AIエージェントがメール送信・取引執行・システム設定変更・データ削除など外部に影響を与えるアクションを自律的に実行する前に、人間が確認・承認できる仕組みを設ける必要があります。ただし、リスクレベルに応じた段階的な監視設計が認められており、企業の実情に合わせた実装が可能です。

EU AI ActのGPAI Code of Practice 2026年8月2日デッドラインの実務への影響は何ですか？

2026年8月2日以降、GPAIモデル（大規模言語モデル等）を提供またはサービスに組み込む事業者は、EU AI OfficeのGPAI Code of Practiceへの適合を証明する義務が生じます。具体的には、学習データの透明性・著作権対応・リスク評価フレームワーク・Human Oversightの4要件について、適合証明書または対応方針の公開が求められます。日本企業でもEU向けサービス・製品を提供する場合は直接適用されます。

EU AI Act 2026年のGPAI適用フェーズで企業が対応すべき主要事項は何ですか？

2026年時点のGPAI適用フェーズでは（1）利用しているGPAIモデルのインベントリ作成、（2）EU AI Act Article 6の高リスクAI分類との照合、（3）GPAI Code of Practice要件（透明性・Human Oversight・データガバナンス）へのGAP分析、（4）8月2日デッドラインから逆算した対応ロードマップの経営承認の4点が急務です。AI事業者ガイドラインv1.2の対応と並行して進めると効率的です。

AIエージェントガイドライン完全解説2026｜EU AI Act改訂・委任設計3層・監査ログ実装【v1.2補遺対応】

Q: AI事業者ガイドラインv1.2のv1.1からの最大の変更点は何ですか？

AIエージェントが外部システムや環境に自律的にアクションを取る場合のHuman-in-the-Loop義務化と、EU AI Act Article 6・GPAI Code of Practiceとの整合要件の追加が最大の変更点です。学習データのトレーサビリティ要件も強化されています。

Q: 2 August 2026のGPAIデッドラインとは何ですか？

2026年8月2日はEU AI ActのGPAI（汎用目的AI）Code of Practiceの適用デッドラインです。GPAIモデルを提供・統合する事業者はこの日までにCode of Practiceへの適合またはISO/IEC技術標準への準拠を完了する必要があります。LLMを自社サービスに組み込んでいる企業は早急な対応が必要です。

Q: AI事業者ガイドラインへの対応は法的義務ですか？

現時点では法的強制力はありませんが、ガイドラインへの対応状況は行政指導の基準となりえます。また、EU AI Actとの整合性も考慮されており、グローバルに事業を展開する企業は実質的な義務として対応することを推奨します。

Q: Google AI Searchの指針とAI事業者ガイドラインv1.2の整合方法を教えてください。

Google AI Searchは2026年のQuality ThresholdアップデートによりコンテンツのE-E-A-T（経験・専門性・権威性・信頼性）評価を強化しています。AI事業者ガイドラインv1.2の透明性要件（AI利用開示・出典明記・人間監督）はE-E-A-T強化と方向性が一致します。具体的には、規制条文の原文引用と出典URLの明記、専門家（法務・CISO）の監修表示、AIシステムの能力・制限の開示の3点を実施することで両要件を同時に満たせます。

この記事の要点

経産省・総務省が公表したAI事業者ガイドライン第1.2版の核心は「AIエージェントHITL義務化」と「EU AI Act整合の強化」。2026年8月2日のGPAI Code of Practiceデッドラインまで残り約3ヶ月。委任設計の3層モデル（高リスク事前承認/中リスク事後ログ/低リスクサンプリング）とMermaid意思決定フロー、監査ログ5Wスキーマ、Google AI Search指針との整合マトリクス、エンタープライズ向けチェックリスト（CxO/法務/情シス）を本記事で一気通貫で解説する。

ポイント

v1.2最大の変更点：AIエージェント規制の明確化とHITL義務化（高リスク=事前承認/中リスク=事後ログ/低リスク=サンプリング）
EU AI Act GPAI Code of Practice 2026年8月2日デッドライン：LLMを自社サービスに組み込む企業は適合完了が必須
委任設計の意思決定フローをMermaid化し、エスカレーション条件まで明示する
監査ログは5W（who/when/what/why/result）スキーマで構造化し、aileadの対話データを基盤として活用できる
エンタープライズ対応はCxO（予算承認）/法務（規制整合）/情シス（実装・運用）の3層に分解して推進する

経済産業省と総務省は2026年3月31日、「AI事業者ガイドライン第1.2版」を公表しました。v1.1からの主要変更点は3つで、最大の変更はAIエージェントのHuman-in-the-Loop（HITL）義務化です。さらに2026年8月2日にはEU AI ActのGPAI Code of Practiceのデッドラインが迫っており、国内外の規制を統合的に捉えた企業対応が急務です。本記事では差分解説から委任設計3層モデル・監査ログ実装・GPAIデッドライン逆算ロードマップ・Google AI Search指針との整合まで一気通貫で解説します。

AIエージェントガイドラインの全体像（2026年版アップデート）

AI事業者ガイドライン第1.2版（2026年3月31日公表）は、AIエージェントが外部環境に自律的にアクションを取るシナリオへの対応を大幅に強化した改訂です。v1.1との差分は3点に集約されます。

項目	v1.1	v1.2	実務への影響
AIエージェント規制	「生成AIの適切利用」中心	「外部アクション時のHITL義務」を明示	AIエージェント設計の見直しが必要
EU AI Act整合	参照程度	GPAI Code of Practiceとの整合要件を追加	グローバル対応が実質必須化
学習データ管理	推奨レベル	トレーサビリティ要件として強化	RAG・ファインチューニングの管理体制が必要

v1.2が求める「AIエージェント設計の3原則」は以下のとおりです。（1）外部アクションを伴うAIエージェントにはHITLフローを実装する。（2）EU AI ActのGPAI Code of Practiceとの整合を確認する。（3）学習・推論に用いたデータのトレーサビリティを確保する。AIエージェントのガバナンス設計5原則では、この3原則の実装方法を詳しく解説しています。

EU AI Act GPAI適用フェーズとAI事業者ガイドラインv1.2の差分

EU AI Act GPAI Code of Practiceの適用フェーズ

EU AI ActはGPAI（General Purpose AI）に関するCode of Practiceを2026年8月2日に適用します（EU AI Office）。GPAIモデルを提供または自社サービスに組み込む事業者は、この日までに4要件への適合を完了する必要があります。

GPAI Code of Practice要件	v1.2対応項目	企業対応アクション
学習データの透明性	学習データトレーサビリティ要件	データソース管理台帳の整備
モデルの能力・制限の公開	AI能力の開示推奨	モデルカード・システムカードの作成
リスク評価フレームワーク	リスクレベル分類の義務化	社内AIリスク評価シートの標準化
Human Oversight	HITL義務化	3層リスク設計の実装
著作権・データ利用	知的財産への配慮	学習データ利用許諾の確認フロー

Article 6（高リスクAI）との対応関係

EU AI Act Article 6は高リスクAI（Annex III）として採用・人事評価AI、信用スコアリングAI、医療診断AI、教育評価AIを定義しています。v1.2の「高リスクAIの特定とリスク評価」要件と直接対応しており、EU向けサービスを持つ企業は両者の照合が必要です。AIガバナンスフレームワーク実装ガイドでは統合対応の手順を解説しています。

AIエージェント委任設計の3層モデルとMermaid意思決定フロー

v1.2が最も力点を置くのが、AIエージェントの「外部アクション」に対するHITL設計です。リスクレベルに応じた3層設計が実践的な枠組みになります。

リスクレベル	アクション例	HITL設計	監査証跡
高リスク	取引執行・契約締結・データ削除・医療判断	事前の人間承認が必須（多段承認も可）	承認者・承認時刻・根拠を全記録
中リスク	メール送信・CRM更新・会議設定	実行ログ記録＋事後確認（サンプリングレビュー）	アクション内容・タイムスタンプを記録
低リスク	情報収集・レポート生成・下書き作成	定期的なサンプリング確認（月次等）	出力ログの保存

以下は委任設計の意思決定フローをMermaid図で示したものです。

flowchart TD
    A[AIエージェントの判断] --> B{リスク分類}
    B -->|高リスク| C[事前承認フロー]
    B -->|中リスク| D[実行ログ記録]
    B -->|低リスク| E[サンプリング確認]
    C --> F{承認済?}
    F -->|Yes| G[アクション実行\n監査ログ: 承認者・時刻・根拠]
    F -->|No| H[エスカレーション\n上位承認者へ通知]
    D --> I[アクション実行\n監査ログ: 内容・タイムスタンプ]
    I --> J[事後サンプリングレビュー]
    E --> K[アクション実行\n出力ログ保存]
    K --> L[月次定期レビュー]
    H --> M[人間の最終判断]

重要なのは「全てのアクションに人間の承認が必要」ではない点です。対話データガバナンスの全体像では、この3層設計をデータフローとともに解説しています。

AIエージェント監査ログ要件と実装パターン（5Wスキーマ）

v1.2が求める監査証跡は、AIエージェントの全外部アクションについて「誰が・いつ・何を・なぜ・どうなったか」を記録・追跡できる状態を指します。以下の5Wスキーマが実装の基準となります。

フィールド	内容	記録例
who（誰が）	実行主体（AIエージェントID・承認者ID）	agent-sales-001 / 承認者: 営業部長田中
when（いつ）	実行日時（ISO 8601形式）	2026-05-13T09:00:00+09:00
what（何を）	実行アクション（動詞+対象）	Salesforceフィールド更新: 商談ステージ→提案中
why（なぜ）	実行根拠（対話データのタイムスタンプ）	商談#2034 08:45:12 発言「予算は2000万で確保済み」
result（結果）	実行結果（成功/失敗/エスカレーション）	成功: SFA更新完了 / 失敗: エスカレーション通知送信済

aileadは対話データをこの5Wスキーマで構造化し、AIエージェントの判断根拠として参照可能な状態で保存します。ISO/IEC 27001:2022認証取得済みで、監査証跡を国内サーバーで完結して管理します。エンタープライズAIエージェント導入事例集では、実際の監査ログ活用事例を紹介しています。

aileadはv1.2が求める対話データのトレーサビリティ確保と監査証跡管理をネイティブに提供します。400社以上の導入実績をもとに、AIガバナンス体制の構築を支援します。AIガバナンス相談はこちら

GPAI Code of Practice 2026年8月2日デッドライン逆算ロードマップ

2026年8月2日はEU AI ActのGPAI Code of Practice適用デッドラインです。現在（2026年5月）から逆算すると、対応完了まで約3ヶ月しかありません。

月	必須アクション	担当
5月	GPAIモデル利用状況のインベントリ作成（社内LLM利用ユースケース一覧）	IT推進・法務
6月	EU AI Act Article 6の高リスクAI分類との照合 + GPAI CoP vs v1.2 統合GAP分析	DX推進・コンプライアンス
7月	GAP対応の優先実装（監査ログ整備・HITL設計・データ管理台帳・学習データ台帳）	全部門
8月2日	GPAI Code of Practice準拠完了・経営承認・外部監査対応	CxO・法務・CISO

GPAIを自社サービスに組み込んでいる企業（LLM API利用企業含む）はこのスケジュールで進める必要があります。AIエージェント導入の5ステップも合わせて参照することで、AI基盤全体のロードマップと統合して管理できます。

Google AI Search指針との整合（E-E-A-T×透明性要件のクロス対応）

2026年のGoogle Quality Thresholdアップデートは、E-E-A-T（Experience・Expertise・Authoritativeness・Trustworthiness）の評価強化を通じてAI生成コンテンツの品質基準を引き上げています。v1.2の透明性要件とE-E-A-T強化は方向性が一致しており、統合対応が効率的です。

E-E-A-T要素	Google AI Search要件	v1.2透明性要件	企業対応アクション
Experience	実際の規制対応経験の提示	AI利用状況の開示	自社AI対応ロードマップを公開
Expertise	専門家による監修・引用	高リスクAIの専門的評価	法務・CISO監修のもと規制条文を引用
Authoritativeness	権威ある出典の明示	官公庁・規制機関との整合	経産省/総務省/EU官報を常に出典明記
Trustworthiness	事実確認・偏りのない記述	中立的なリスク評価	第三者監査結果の開示・推測表現の排除

規制条文の原文引用と出典URLの明記、専門家（法務・CISO）の監修表示、AIシステムの能力・制限の開示の3点を実施することで、E-E-A-T強化とv1.2透明性要件を同時に満たせます。

エンタープライズ導入チェックリスト（CxO・法務責任者・情シス部長 3層）

CxO（経営承認・予算・優先順位）

AIガバナンス委員会（またはAI推進委員会）を設置し、CxOが議長を担っているか
GPAI Code of Practice対応を2026年8月2日デッドラインの経営課題として認識しているか
AIエージェント導入に伴うリスク評価と投資対効果の経営承認を完了しているか
AI事業者ガイドラインv1.2への対応状況を四半期ごとに取締役会報告する体制があるか

法務責任者（規制対応・契約・PII）

EU AI Act Article 6の高リスクAI分類に自社AIシステムを照合し、該当するシステムを特定したか
GPAI Code of Practice要件に基づき利用規約・プライバシーポリシーを改訂したか
AIベンダーとのデータ処理契約（DPA）がv1.2およびEU AI Act GPAI要件に対応しているか
顧客向けAI利用開示文言がv1.2の透明性要件を満たしているか
AIが関与する取引・判断に対する異議申し立てプロセスを設計したか

情シス部長（実装・監査・運用）

AIエージェントの全外部アクションについて5Wスキーマで監査ログを記録・保全できているか
高リスク/中リスク/低リスクの3層HITLフローを実装し、承認権限マトリクスを整備したか
学習・推論に使用したデータのソース・利用許諾・処理履歴をトレーサビリティ台帳で管理しているか
ISO/IEC 42001（AI Management System）への対応方針を策定したか
GPAIモデル（外部LLM）の利用規約がGPAI Code of Practiceの著作権・データ利用要件と整合しているか

国内先進3社のコンプラフレーム事例（公開情報ベース）

金融機関：AIガバナンス委員会と多段承認フロー

国内メガバンクグループは、AI活用の急拡大に対応してAIガバナンス委員会を設置し、高リスクAI（与信・不正検知）に対して多段承認フローを実装しています。AI判断結果を人間のアナリストが事後レビューする「Shadow Mode」から運用を開始し、精度検証後に本番移行するプロセスを採用しています。金融業界のAIエージェントとコンプライアンスでは業界固有の要件を詳しく解説しています。

医療法人：診断支援AIの説明可能性確保

大手医療法人では、診断支援AIに対してXAI（説明可能なAI）手法を組み合わせ、医師が判断根拠を確認できる仕組みを導入しています。AI推奨の診断候補と根拠（画像の着目領域・参照した過去事例）を常に提示し、最終判断は必ず医師が下す設計です。監査ログはISO規格に準拠した形式で5年間保存する体制を整えています。

先進自治体：AI調達基準の標準化

AIシステム調達が増加している先進自治体では、ベンダー選定時の「AI調達基準チェックシート」を整備し、HITL対応・監査ログ・説明可能性の3要件を必須条件として設定しています。AI事業者ガイドラインv1.2に準拠していることをベンダー要件として明示することで、ガバナンスを調達プロセスに組み込む先進的なアプローチが注目されています。

学習データのトレーサビリティ要件（社内RAG・ファインチューニングへの影響）

社内データを使ったRAGやファインチューニングを行っている場合、v1.2のトレーサビリティ要件への対応が必要です。対話データのトレーサビリティ確保で解説するように、対話データをAI学習に活用する際は以下の管理が求められます。

データソースの記録: どの会議・商談・対話から取得したデータか
利用許諾の確認: 当事者の同意取得状況の記録
処理履歴: データのクレンジング・匿名化・ラベリングの履歴
バージョン管理: 学習に使用したデータセットのバージョンと日時

aileadはISO/IEC 27001:2022認証取得済みで、対話データの収集・構造化・保存プロセスにトレーサビリティを組み込んでいます。

FAQ

AI事業者ガイドラインv1.2はいつ、どこで公表されましたか？

経済産業省と総務省が共同で2026年3月31日に公表しました。本文42ページと付属資料185ページで構成されており、経産省の公式サイトからダウンロードできます。

AI事業者ガイドラインv1.2のv1.1からの最大の変更点は何ですか？

AIエージェントが外部システムや環境に自律的にアクションを取る場合のHITL義務化と、EU AI Act Article 6・GPAI Code of Practiceとの整合要件の追加が最大の変更点です。学習データのトレーサビリティ要件も強化されています。

EU AI ActとAI事業者ガイドラインv1.2の関係は何ですか？

AI事業者ガイドラインv1.2はEU AI Actとの整合性を明示的に考慮した改訂です。特にGPAI（汎用目的AI）に関するCode of Practiceの要件を日本のガイドラインに反映させています。グローバル展開する企業はEU AI Actへの直接対応も必要であり、両方の要件を満たす統合的なガバナンス設計が必要です。

2 August 2026のGPAIデッドラインとは何ですか？

2026年8月2日はEU AI ActのGPAI Code of Practiceの適用デッドラインです。GPAIモデルを提供・統合する事業者はこの日までにCode of Practiceへの適合またはISO/IEC技術標準への準拠を完了する必要があります。LLMを自社サービスに組み込んでいる企業は早急な対応が必要です。

AIエージェントのHuman-in-the-Loop義務化とは具体的に何が求められますか？

AIエージェントがメール送信・取引執行・システム設定変更・データ削除など外部に影響を与えるアクションを自律的に実行する前に、人間が確認・承認できる仕組みを設けることが求められます。リスクレベルに応じた段階的な監視設計が認められており、企業の実情に合わせた実装が可能です。

AI事業者ガイドラインへの対応は法的義務ですか？

現時点では法的強制力はありませんが、ガイドラインへの対応状況は行政指導の基準となりえます。EU AI Actとの整合性も考慮されており、グローバルに事業を展開する企業は実質的な義務として対応することを推奨します。

EU AI Act GPAI Code of Practice 2026年8月2日デッドラインの実務への影響は何ですか？

2026年8月2日以降、GPAIモデルを提供またはサービスに組み込む事業者は、EU AI OfficeのGPAI Code of Practiceへの適合を証明する義務が生じます。学習データの透明性・著作権対応・リスク評価フレームワーク・Human Oversightの4要件について適合証明書または対応方針の公開が求められます。日本企業でもEU向けサービス・製品を提供する場合は直接適用されます。

EU AI ActのGPAI適用フェーズで企業が対応すべき主要事項は何ですか？

2026年時点のGPAI適用フェーズでは、（1）利用しているGPAIモデルのインベントリ作成、（2）EU AI Act Article 6の高リスクAI分類との照合、（3）GPAI Code of Practice要件へのGAP分析、（4）8月2日デッドラインから逆算した対応ロードマップの経営承認の4点が急務です。

Google AI Searchの指針とAI事業者ガイドラインv1.2の整合方法を教えてください。

Google AI Searchの2026年Quality Thresholdアップデートによるコンテンツ品質強化（E-E-A-T）は、v1.2の透明性要件（AI利用開示・出典明記・人間監督）と方向性が一致します。規制条文の原文引用と出典URLの明記、専門家（法務・CISO）の監修表示、AIシステムの能力・制限の開示の3点を実施することで両要件を同時に満たせます。

Sources

本記事は以下の公式資料を参照しています。

経済産業省：AI事業者ガイドライン — AI事業者ガイドライン第1.2版本文・付属資料
総務省：AI事業者ガイドライン関連情報 — 総務省側の公表情報
EU AI Act（Official Journal of the EU） — EU AI Act全文（Regulation (EU) 2024/1689）
EU AI Office — GPAI Code of Practice・AIオフィス活動
ISO/IEC 42001 — AI Management System国際標準
ISMAP（政府情報システムのためのセキュリティ評価制度） — 政府クラウドセキュリティ評価
FISC（金融情報システムセンター） — 金融機関向けセキュリティ基準
Google Search Central Blog — Quality Threshold・E-E-A-T最新情報

※各リンク先の情報は2026年5月時点のものです。最新情報は各公式サイトをご確認ください。

ailead編集部

株式会社ailead

aileadの公式編集部です。営業DX・AI活用に関する情報を発信しています。

AIエージェントガイドライン完全解説2026 | EU AI Act改訂・委任設計3層・監査ログ実装【v1.2補遺対応】

AIエージェントガイドラインの全体像（2026年版アップデート）