経済産業省と総務省は2026年3月31日、「AI事業者ガイドライン第1.2版」を公表しました。v1.1からの主要変更点は3つで、最大の注目点はAIエージェントのHuman-in-the-Loop義務化です。さらに2026年8月2日にはEU AI ActのGPAI Code of Practiceのデッドラインが迫っており、国内外の規制を統合的に捉えた企業対応が急務となっています。本記事では差分解説から業界別チェックリスト・国内先進事例・GPAIデッドラインまでを一本化して解説します。
AI事業者ガイドラインv1.2の主要変更点(v1.1との差分サマリー)
v1.2への改訂で実務に大きな影響を持つ変更点は3つです。
| 項目 | v1.1 | v1.2 | 実務への影響 |
|---|---|---|---|
| AIエージェント規制 | 「生成AIの適切利用」中心 | 「外部アクション時のHITL義務」を明示 | AIエージェント設計の見直しが必要 |
| EU AI Act整合 | 参照程度 | GPAI Code of Practiceとの整合要件を追加 | グローバル対応が実質必須化 |
| 学習データ管理 | 推奨レベル | トレーサビリティ要件として強化 | RAG・ファインチューニングの管理体制が必要 |
変更点1:AIエージェント規制の明確化。AIが自律的に外部環境へアクションを取る際の責任所在と監視要件が初めて明示されました。
変更点2:Human-in-the-Loop(HITL)の義務化。外部システムや環境に影響を与えるAIエージェントのアクションについて、人間の確認・承認プロセスを設けることが明確に求められました。
変更点3:学習データのトレーサビリティ強化。自社データでファインチューニングや社内RAGを構築する場合、データの出所・利用許諾・処理履歴を記録・追跡できる仕組みが必要になりました。
AIエージェント規制の核心:HITL 3層リスク設計
v1.2が最も力点を置くのが、AIエージェントの「外部アクション」に対するHuman-in-the-Loop(HITL)の設計です。リスクレベルに応じた3層設計が実践的な枠組みとなります。
| リスクレベル | アクション例 | HITL設計 | 監査証跡 |
|---|---|---|---|
| 高リスク | 取引執行・契約締結・データ削除・医療判断 | 事前の人間承認が必須(多段承認も可) | 承認者・承認時刻・根拠を全記録 |
| 中リスク | メール送信・CRM更新・会議設定 | 実行ログ記録+事後確認(サンプリングレビュー) | アクション内容・タイムスタンプを記録 |
| 低リスク | 情報収集・レポート生成・下書き作成 | 定期的なサンプリング確認(月次等) | 出力ログの保存 |
重要なのは「全てのアクションに人間の承認が必要」ではないことです。リスクレベルに応じた段階的な監視設計が認められており、企業の実情に合わせた実装が可能です。AIエージェントのガバナンス設計5原則では、この3層設計の詳細な実装方法を解説しています。
EU AI Act Article 6 / GPAI Code of Practiceとの整合性マッピング
AI事業者ガイドラインv1.2は、EU AI Actとの整合性を明示的に考慮した改訂です。日本で事業を行う企業でもEU向けサービス・製品を持つ場合は、両方の規制に対応する必要があります。
Article 6(高リスクAI)との対応関係
EU AI Act Article 6は「高リスクAI(Annex III)」として以下を定義しています。
- 採用・人事評価に使うAI(v1.2:採用AIのバイアス管理要件と対応)
- 信用スコアリング・金融サービスAI(v1.2:金融AIの説明可能性要件と対応)
- 医療診断・治療推奨AI(v1.2:医療AIの人間監督要件と対応)
- 教育・職業訓練評価AI(v1.2:評価AIの透明性要件と対応)
日本のAI事業者ガイドラインv1.2は「高リスクAIの特定とリスク評価」を事業者に求めており、EU AI Act Article 6の高リスク分類との照合が企業側に求められます。
GPAI Code of Practiceとの整合マッピング表
| GPAI Code of Practice要件 | v1.2対応項目 | 企業対応アクション |
|---|---|---|
| 学習データの透明性 | 学習データトレーサビリティ要件 | データソース管理台帳の整備 |
| モデルの能力・制限の公開 | AI能力の開示推奨 | モデルカード・システムカードの作成 |
| リスク評価フレームワーク | リスクレベル分類の義務化 | 社内AIリスク評価シートの標準化 |
| Human Oversight | HITL義務化 | 3層リスク設計の実装 |
| 著作権・データ利用 | 知的財産への配慮 | 学習データ利用許諾の確認フロー |
国内先進3社のコンプラフレーム事例(公開情報ベース)
金融機関:AIガバナンス委員会の設置と多段承認フロー
国内メガバンクグループは、AI活用の急拡大に対応してAIガバナンス委員会を設置し、高リスクAI(与信・不正検知)に対して多段承認フローを実装した事例を公開しています。具体的には、AIの判断結果を人間のアナリストが事後レビューする「Shadow Mode」での運用から開始し、精度検証後に本番移行するプロセスを採用しています。金融業界のAIエージェントとコンプライアンスでは業界固有の要件を詳しく解説しています。
医療法人:診断支援AIの説明可能性確保
大手医療法人では、診断支援AIに対してXAI(説明可能なAI)手法を組み合わせ、医師が判断根拠を確認できる仕組みを導入しています。AI推奨の診断候補と根拠(画像の着目領域・参照した過去事例)を常に提示し、最終判断は必ず医師が下す設計です。監査ログはISO規格に準拠した形式で5年間保存する体制を整えています。
先進自治体:AI調達基準の標準化
AIシステム調達が増加している先進自治体では、ベンダー選定時の「AI調達基準チェックシート」を整備し、HITL対応・監査ログ・説明可能性の3要件を必須条件として設定しています。AI事業者ガイドラインv1.2に準拠していることをベンダー要件として明示することで、ガバナンスを調達プロセスに組み込む先進的なアプローチが注目されています。
aileadは対話データを安全に統合・構造化し、AIエージェントが業務を自動で動かすエンタープライズ基盤です。v1.2が求める対話データのトレーサビリティ確保と監査証跡管理をネイティブに提供します。お問い合わせ・AIガバナンス相談
学習データのトレーサビリティ要件(社内RAG・ファインチューニングへの影響)
社内データを使ったRAGやファインチューニングを行っている場合、v1.2のトレーサビリティ要件への対応が必要です。対話データのトレーサビリティ確保で解説するように、対話データをAI学習に活用する際には以下の管理が求められます。
- データソースの記録: どの会議・商談・対話から取得したデータか
- 利用許諾の確認: 当事者の同意取得状況の記録
- 処理履歴: データのクレンジング・匿名化・ラベリングの履歴
- バージョン管理: 学習に使用したデータセットのバージョンと日時
aileadはISO/IEC 27001:2022認証取得済みで、対話データの収集・構造化・保存プロセスにトレーサビリティを組み込んでいます。
業界別コンプライアンスチェックリスト
IT/SaaS企業向け
- AIエージェントが外部API・Webhookを呼び出す際の承認フローが存在するか
- 顧客データを含むRAGの利用許諾・同意取得フローが整備されているか
- AIが生成したコード・設定ファイルの本番適用前レビューフローがあるか
- 学習・推論に使用したデータセットのバージョン管理ができているか
- GPAIモデル(外部LLM)の利用規約がEU AI Act GPAI要件と整合しているか
金融機関向け
- AIが行う取引判断・与信スコアリングの承認ログが監査可能な形で保存されているか
- AIの判断に対する異議申し立てプロセスが設計されているか
- 規制当局に対するAIモデルの説明資料(モデルカード)が整備されているか
- 顧客向けAI利用の開示文言が利用規約・プライバシーポリシーに盛り込まれているか
- EU AI Act Article 6の高リスクAI分類に該当するシステムを特定・評価したか
製造業向け
- 品質検査・異常検知にAIを使用する場合の人間最終確認フローがあるか
- サプライチェーン判断(発注・停止)をAIが行う際の承認権限マトリクスが明確か
- AIシステムの学習データに含まれる設計図・仕様書の守秘義務管理ができているか
人材・採用業向け
- AI面接評価・候補者スコアリングの根拠説明ができる体制があるか
- AIによる採用可否推奨を最終決定する人間のフローが存在するか
- 候補者へのAI利用開示と同意取得プロセスが整備されているか
- 評価モデルのバイアスチェック・定期監査のスケジュールがあるか
人事・採用領域のAIガバナンスでは採用AIの固有要件を詳しく解説しています。
2 August 2026 GPAIデッドラインから逆算した企業対応ロードマップ
2026年8月2日はEU AI ActのGPAI Code of Practice適用デッドラインです。このデッドラインから逆算すると、現在(2026年4月)から残り約4ヶ月です。
| タイミング | アクション | 担当 |
|---|---|---|
| 今すぐ(4月) | GPAI利用状況のインベントリ作成(社内で利用しているLLMとユースケースの一覧) | IT推進・法務 |
| 5月 | EU AI Actの高リスクAI分類(Article 6)への自社AIシステムの照合 | 法務・CISO |
| 6月 | GPAI Code of Practice要件とv1.2要件の統合ギャップ分析 | DX推進・コンプライアンス |
| 7月 | 対応未完了項目の緊急対応(監査ログ整備・HITL設計・データ管理台帳) | 全部門 |
| 8月2日 | GPAI Code of Practice準拠完了 | 経営承認 |
GPAIを自社サービスに組み込んでいる企業(LLM API利用)は特に早急な対応が必要です。AIガバナンスフレームワーク完全ガイドでは、統合的なガバナンス体制の構築手順を詳しく解説しています。
企業対応の5ステップ
Step 1: AIエージェントのインベントリ作成(1〜2週間)
社内で稼働するAIエージェントを一覧化し、「外部アクションを伴うか」「どのデータにアクセスするか」「高リスクAI分類に該当するか」を明示します。
Step 2: リスク分類(1週間)
各AIエージェントのアクションをリスクレベル(高・中・低)に分類します。EU AI Act Article 6の高リスク分類との照合も同時に実施します。
Step 3: HITLフローの設計・実装(2〜4週間)
3層リスク設計に基づき、高リスクアクションには事前承認フロー、中リスクには実行ログとアラート、低リスクには定期レビューを設計します。
Step 4: 学習データのトレーサビリティ確保(2〜3週間)
社内データを使ったRAGやファインチューニングを行っている場合、データソース・利用日時・処理内容をメタデータとして記録する仕組みを整備します。
Step 5: 監査証跡の整備(継続的)
AIエージェントの実行ログ・承認履歴・データアクセス記録を一元管理できる体制を整えます。AIエージェント導入の5ステップと合わせて、AIシステム全体のライフサイクル管理を確立します。
aileadのガバナンス機能で実現する安全なAIエージェント運用
aileadはv1.2が求める「AIエージェントの監査証跡」に直結する機能を提供しています。
- 構造化ログ管理: 商談・面接・会議での対話内容をスキーマ化し、AIエージェントの判断根拠として参照可能な状態で保存
- アクション承認フロー: AIエージェントが推奨するSFA更新・タスク起票・メール送信を人間が確認・承認できるワークフローを提供
- 監査証跡の一元管理: データアクセス履歴・AI推奨アクション・承認ログをISO/IEC 27001:2022準拠の国内サーバーで管理
400社以上の導入実績を持ち、エンタープライズ企業のAIガバナンス体制構築を継続的にサポートしています。
まとめ:今すぐコンプラ責任者が動くべき3つのアクション
- AIエージェントのインベントリを作成し、HITL対応が必要なアクションを特定する
- EU AI Act Article 6の高リスクAI分類と社内AIシステムを照合し、GPAI Code of Practice対応の優先度を判断する
- 2026年8月2日のGPAIデッドラインから逆算したロードマップを経営承認し、対応を開始する
関連記事
- AIエージェントのガバナンス設計5原則
- AIガバナンスフレームワーク完全ガイド
- 金融業界のAIエージェントとコンプライアンス
- 人事・採用領域のAIガバナンス
- AIエージェント導入の5ステップ
- 対話データのトレーサビリティ確保
ailead編集部
株式会社ailead
aileadの公式編集部です。営業DX・AI活用に関する情報を発信しています。
