AI法が2026年に施行、中小企業はどう対応する？

結論から先に

中小企業の経営者・総務担当向けに、施行までに最低限やっておきたい3点を先に整理します。

• 改正AI関連法は2026年から段階的に施行される見込みで、AIを業務利用するすべての企業・個人事業主が対象になります。
• AIは**4区分（禁止・高リスク・限定的リスク・最小リスク）**に分類され、リスクが高いほど厳格な管理が求められます。
• ChatGPT・Claude等の生成AIは「限定的リスク」または「高リスク」に該当する可能性があります。最低限、①使用しているAIのリスク区分確認、②社内利用ガイドラインの整備、③従業員への周知・教育を進めてください。
• 重い違反には数千万円規模の罰金が科される可能性があるため、社内のコンプライアンス体制を見直す価値があります。
• 施行スケジュールや罰則の詳細は2026年中に固まる見込みなので、政府公式情報を継続的に確認することをおすすめします。

どんな場合に当てはまるか

改正AI法の対象範囲を整理します。

高リスクAIに該当する用途例

• 採用・人事評価AI
• 信用評価・与信判断AI
• 医療診断・健康管理AI
• 教育評価・入試AI
• 法執行・司法判断AI
• 重要インフラ管理AI
• 国境管理・移民AI
• 民主主義プロセスAI

限定的リスクAIの用途例

• 顧客対応チャットボット
• マーケティング・広告AI
• 画像・動画生成AI
• 翻訳・要約AI
• レコメンドエンジン
• 音声合成・認識AI

最小リスクAIの用途例

• スパムフィルター
• 在庫管理AI
• ゲームAI
• 製品検査の画像認識
• バックオフィス業務AI
• 内部ツール

禁止AIの例

• 社会的スコアリング（個人格付け）
• 公共スペースでのリアルタイム生体認証
• サブリミナル操作AI
• 子ども・障害者を狙う操作AI
• 感情認識AI（職場・教育機関で）

例外状況

厳格な規制対象になりやすいケース

• 個人への重大な影響を持つ判断AI
• 公的セクター（医療・教育・法執行）
• 大規模なデータ処理
• 国際的なサービス展開

規制が緩やかなケース

• 完全に内部用途のAI
• 個人を識別しないAI
• 軽微な業務支援AI
• 既存システムへの組込型

経過措置

• 既存システムへの段階的適用
• 中小企業への配慮（猶予期間）
• ガイドラインの段階的明確化
• 業界別の細則整備

費用・リスク・注意点

罰則の規模感（想定）

• 重度違反（禁止AI使用等）：売上の最大7%または数千万円
• 高リスクAI規制違反：数千万〜数億円
• データ保護違反：数百〜数千万円
• 透明性義務違反：数百万円〜
• 違反の規模・故意性・改善対応で変動

コンプライアンス体制構築費用

• 内部規程整備：自社対応なら無料〜10万円
• 弁護士・コンサル相談：50〜200万円
• AI監査・評価：100〜500万円
• 継続的なリスクマネジメント：年30〜100万円

中小企業向け公的支援

• AI導入支援補助金
• セキュリティ対策補助金
• IT導入補助金
• 専門家派遣事業

AI使用時の機密情報管理

• 個人情報を入力しない
• 顧客情報・取引情報を入力しない
• 社内秘・営業秘密を入力しない
• 法律相談・税務相談の具体的内容を避ける
• 入力前にマスキング・匿名化

社内ガイドライン項目例

1. 利用可能なAIサービスの指定
2. 入力可能な情報の範囲
3. 出力内容の確認義務
4. 著作権・引用元の確認
5. 顧客への透明性確保
6. 利用記録の保管
7. 違反時の対応

従業員教育のポイント

• AI利用のメリットとリスク
• 機密情報入力の禁止
• 出力内容の事実確認
• 顧客対応での使用ルール
• セキュリティ意識の徹底

AI関連の参考情報源

• 政府公式（内閣府・総務省・経済産業省）
• AIガイドライン（業界別）
• 国際動向（EU AI Act、米国AI EO等）
• 業界団体（情報通信業界、IT業界）

国際的な動向との連動

• EU AI Act（2024年成立、段階的施行中）
• 米国 AI Executive Order
• OECD AI原則
• G7広島AIプロセス
• 日本のAI法もこれらと整合性確保

よくある質問

Q. 一人で個人事業をしていますが、対応は必要ですか？

業務でAIを使っている場合、規模に関わらず基本的な配慮は必要です。①ChatGPT等への機密情報入力禁止、②出力内容の事実確認、③顧客への透明性、④著作権の確認。大企業のような厳格な体制は不要ですが、これらの基本ルールを自分用にメモしておくと良いでしょう。

Q. 採用時にAIで履歴書を絞り込むのは違法になりますか？

「高リスクAI」に該当する可能性が高く、規制対象となる見込みです。違法ではなくとも、①AI判定の透明性確保、②差別的バイアスの除去、③応募者への通知、④人間による最終判断、などの要件が求められます。完全自動化での絞り込みは避け、AIによる支援＋人間判断のハイブリッドが推奨。

Q. AI翻訳やAI画像生成を業務で使っても良いですか？

「限定的リスク」または「最小リスク」AIとして、適切に使えば問題ありません。注意点：①翻訳の最終確認（誤訳リスク）、②画像生成の著作権（学習データの問題）、③顧客・第三者への明示（AI生成コンテンツであること）。商用利用時は各サービスの利用規約も確認してください。

Q. 弁護士やコンサルに相談すべきタイミングは？

①高リスクAIを使用または開発する場合、②AIサービスを提供する場合、③顧客個人情報をAIで処理する場合、④国際展開を予定する場合、⑤違反通報・調査を受けた場合。一般的な業務AI利用なら、初期は社内ガイドライン策定で対応し、複雑な事案発生時に専門家相談が現実的。

Q. 中小企業の対応コストはどれくらいですか？

最低限の対応（社内ガイドライン策定、従業員教育、リスクの洗い出し）なら、自社対応で5〜20万円程度。外部相談を入れると50〜200万円程度。高リスクAIを使用する場合は更に大規模な投資が必要です。年間維持コストは10〜50万円が一般的相場。

参考資料

• 内閣府「AIに関する国際戦略」— 政策動向
• 総務省「AI利活用ガイドライン」— 利用ルール
• 経済産業省「AI事業者ガイドライン」— 事業者向け