AIエージェント導入のためのEU AI法コンプライアンス:条文ごとの義務
期限
2026年8月2日、EU AI法(Regulation (EU) 2024/1689)は次の執行マイルストーンを迎えます。法の残りの部分が適用されます — 高リスクAIシステムに対する義務、AI生成コンテンツの透明性要件、罰則規定を含みます。最大制裁金は3,500万ユーロまたは全世界年間売上高の7%のいずれか高い方です。
同法は2024年8月1日に発効しました。許容できないリスクの慣行(ソーシャルスコアリング、サブリミナル操作、公共空間でのリアルタイム生体認証監視)に対する禁止は2025年2月2日から適用されています。汎用AIモデルの義務とガバナンス規則は2025年8月2日から適用されています。実施スケジュールは、2026年8月2日が高リスクシステムの義務、透明性義務、罰則枠組みが完全に発効する日であることを確認しています — 第6条(1)のシステムには限定的な例外があり、これらは2027年8月に続きます。
信用、雇用、必須サービスへのアクセス、または重要インフラに関する意思決定を行うまたは支援するAIエージェントを導入する組織にとって、8月2日はコンプライアンスの期日です。計画の日付ではありません。レビューの日付でもありません。義務が強制力を持つ日付です。
コンプライアンスの境界はアクション層に及ぶ
ほとんどの組織は、AIコンプライアンスの取り組みをモデルに集中させています — 学習データのガバナンス、バイアステスト、出力のモニタリング。Salt Securityのコンプライアンス分析は、これが不十分であることを明確にしています。法の適用範囲は、モデルが生成するものだけでなく、モデルが行うことに及びます。
第15条(サイバーセキュリティ)は、敵対的攻撃、データポイズニング、機密性攻撃、モデル回避に対する保護を要求します。Salt Securityの分析は、この保護が「AIシステムが世界と相互作用するインターフェース(APIおよびMCPサーバー)にまで及ばなければならない」ことを確認しています。Model Context ProtocolモジュールでNetSuiteを呼び出す、またはMCPコネクタでHubSpotから顧客データを読み取るAIエージェントは、それらのインターフェースをコンプライアンスの境界に取り込みます。
前文99および100は、マルチエージェントアーキテクチャを明示的に扱っています。AIエージェントのチェーンでは、コンプライアンスの境界は高リスク機能を実行するすべてのエージェントに及びます。オーケストレーターエージェントが価格決定をRFQエンジンを呼び出すサブエージェントに委任する場合、両方のエージェントが義務を継承します。コンプライアンスの範囲はエントリーポイントではなく、コールチェーン全体です。
何が高リスクに該当するか
法は高リスクAIシステムを第6条および附属書IIIで定義しています。B2Bエージェント導入に最も関連するカテゴリ:
- 雇用と労働者管理 — 履歴書スクリーニング、昇進決定、タスク割り当て、パフォーマンス監視
- 必須サービスへのアクセス — 信用スコアリング、保険価格設定、適格性判定
- 重要インフラの安全コンポーネント — 輸送、エネルギー、水
- 法執行と司法 — ただしほとんどのB2B導入はここには該当しない
サプライヤーの見積もりを評価し落札決定を推奨する調達エージェントは、調達が規制対象品目または公共部門契約を含む場合、必須サービスへのアクセスの領域に触れます。顧客層ごとに異なる価格を設定する見積もりエージェントは、価格設定が金融商品へのアクセスに影響する場合、信用と保険の領域に触れます。分類は、導入企業が事業を営む業界ではなく、AIが実行する機能に依存します。
高リスクの閾値を満たさないシステムでも、透明性義務は依然として適用されます。第50条は、個人がAIシステム(チャットボット、コンテンツ生成)と相互作用する際にデプロイヤーがそれを通知することを要求します。生成AIコンテンツは識別可能でなければなりません。これらの義務は2026年8月2日に発効します。
条文ごとの義務
高リスクシステムに対して、法は具体的で監査可能な義務を課します。Salt Securityの分析は条文レベルの内訳を提供しています。以下は各条文が要求する内容と、それがエージェントインフラにどう対応するかです。
第9条 — リスク管理
AIライフサイクル全体を通じた、継続的かつ反復的なリスク管理システム。導入前の一度きりの評価ではありません。システムは、市場投入後に発生するリスクを含め、既知かつ予見可能なリスクを特定、分析、軽減しなければなりません。
これがエージェントにとって意味すること: リスク登録簿は生きた文書です。新しいMCPモジュール、新しいコネクタ、新しいツール登録のそれぞれが、評価されなければならないリスク面です。すべてのツール呼び出しとその結果をログに記録するガバナンス層は、反復的なリスクレビューの証拠基盤を提供します — それなしには、リスク管理システムにはデータがありません。
第10条 — データガバナンス
差別的な結果を最小化するための高品質なデータセット。不正アクセスとデータポイズニングに対する保護は、推論時 — AIエージェントが能動的にAPIを呼び出し外部データにアクセスするとき — にまで及ばなければなりません。
これがエージェントにとって意味すること: エージェントが実行時に読み取るデータ(NetSuite、BigCommerce、サプライヤーカタログから)は範囲内です。サプライヤーカタログが誤った価格データで汚染され、エージェントがそれに基づいて見積もった場合、データガバナンス義務が適用されます。MCPツール応答に対する入力検証は品質の細部ではありません — それはコンプライアンス制御です。
第11条 — 技術文書
市場投入前のすべてのコンポーネント、インターフェース、機能の完全なインベントリ。エージェントシステムにとって、これはすべてのMCPモジュール、登録するすべてのツール、接続するすべての上流システム、処理するすべてのエラーパスを文書化することを意味します。
これがエージェントにとって意味すること: モジュールレジストリが文書です。スキーマ、レート制限、監査ログとともにMCPモジュールを動的に登録するシステムは、そのアーキテクチャの副産物として技術文書を生成します。アドホックなスクリプトと未登録のAPI呼び出しからなるシステムはそうではありません。
第12条 — 記録保持(ロギング)
すべてのイベントの自動ロギング。ログは改ざん耐性があり、最低6か月間(生体認証および法執行システムでは24か月)保持されなければなりません。すべてのツール呼び出し、すべてのエージェント決定、すべての人間の介入がログから再構築可能でなければなりません。
これがエージェントにとって意味すること: すべてのMCPツール呼び出しは、タイムスタンプ、エージェントID、ツール名、入力ハッシュ(生の入力ではない — PII境界)、出力ステータス、所要時間とともにログに記録されなければなりません。ログは追記のみ、または改ざん耐性がなければなりません。6か月の保持は目標ではなく最低要件です。これは最も直接的にマッピング可能な義務です:すべての関数呼び出しを構造化フィールドでDynamoDBにログするガバナンスされたMCPアーキテクチャは、構造上第12条を満たします。
第14条 — 人間による監督
システムは、異常な動作が検出されたとき、人間のオペレーターがリアルタイムで監督、介入、停止できるようにしなければなりません。これは事後にメトリクスを表示する監視ダッシュボードではありません。実行中のエージェントをタスクの途中で停止する能力です。
これがエージェントにとって意味すること: プロンプトレベルの指示(「停止」「キャンセル」)は法の下では監督にあたりません。それらはAIの会話コンテキストの一部であり、記憶喪失やプロンプトインジェクションの下で無視される可能性があります。法は、AIの推論プロセスの外で動作する決定論的な停止メカニズムを要求します。エージェントの認証トークンを失効させる、特定のMCPモジュールを設定変更で無効化する、または異常な動作パターンでサーキットブレーカーを作動させるキルスイッチは第14条を満たします。「停止」コマンドは満たしません。
miniOrangeのキルスイッチアーキテクチャ分析は、この義務に対応する4つの層を定義しています:
- アイデンティティベースのアクセス失効 — 特定のタスクに紐づく短命のセッショントークン;即時の認証情報失効
- サーキットブレーカーと異常検知 — 過剰なAPIリクエスト、異常なトークン消費、繰り返しループで作動
- スコープ限定の機能失効 — 危険な機能のみを無効化(例:メール送信権限を削除するがチケット読み取りは維持)
- 実行中タスクの処理 — 未完了の変更をロールバックし、実行ログを保存し、シャットダウン後のシステム安定性を検証
同じ分析で文書化されたOpenClaw事件は、プロンプトレベルの停止がなぜ失敗するかを示しています:メール受信箱を整理していたAIエージェントがメモリ上限を超え、コンテキストを失い、最後に記憶していた目的 — メールの削除 — に戻りました。ユーザーの「停止」および「キャンセル」コマンドは無視されました。エージェントはOSレベルで手動終了されるまで続行しました。この失敗はアーキテクチャ上のものでした:AIの推論プロセスの外に決定論的なシャットダウンメカニズムが存在しませんでした。
第15条 — サイバーセキュリティ
敵対的攻撃、データポイズニング、機密性攻撃、モデル回避に対する技術的堅牢性。保護は、AIが世界と相互作用するインターフェースにまで及ばなければなりません。
これがエージェントにとって意味すること: すべてのMCPサーバー、すべてのAPIエンドポイント、すべてのコネクタが範囲内です。2026年に文書化されたMCPセキュリティの状況 — 1億5,000万ダウンロードに影響する体系的なSTDIO設計上の欠陥、CVE-2026-33032(「MCPwn」、CVSS 9.8)、CVE-2026-0755(Gemini MCP、CVSS 9.8)、公開MCPサーバーの30〜82パーセントが悪用可能な欠陥を抱える — は、法が対象とするサイバーセキュリティリスクです。MCPサーバーのわずか8.5パーセントしかOAuthを使用していません。法はOAuthを具体的に義務付けてはいませんが、現在のMCPエコシステムがデフォルトでは満たしていないレベルのサイバーセキュリティを義務付けています。
第72条および第73条 — 市販後モニタリングとインシデント報告
導入初日から文書化されたモニタリングシステム。インシデント報告の期限:
- 生命または安全へのリスクに対して 24時間
- その他の重大なインシデントに対して 72時間
- 誤動作に対して 15日
これがエージェントにとって意味すること: 監査ログがインシデント報告の情報源です。エージェントが権限を超過し、不正な呼び出しを行い、または意思決定に影響する誤った出力を生成したとき、ログは何が起きたかを再構築します。24時間および72時間の期限は、モニタリングシステムが週次レビューではなくリアルタイムでアラートしなければならないことを意味します。
ガバナンスのギャップ
Deloitteの2026 State of AI in the Enterpriseは、自律型AIエージェントのガバナンスに成熟したモデルを持つ企業は5社に1社にすぎないことを見出しました。practical-devsecopsの2026年レポートによれば、組織の47〜53パーセントがAIエージェントによる権限超過またはインシデントを経験しています。正式なAIエージェントアイデンティティ戦略を持つのはわずか23パーセントです。
法は特定のアーキテクチャを規定しません。規定するのは成果です:継続的なリスク管理、自動的で改ざん耐性のあるロギング、システムを決定論的に停止できる監督、すべてのインターフェースに及ぶサイバーセキュリティ。これらの成果を満たすアーキテクチャは、ガバナンスされたMCPモジュールパターン — 2026年のMCP侵害タイムライン全体で文書化されたセキュリティ脆弱性に対処するのと同じパターン — です。
ガバナンスされたMCPアーキテクチャが義務をどう満たすか
本番でMCPモジュールを安全に運用できるようにするガバナンス層は、法の要件を満たす層と同じです。対応は直接的です:
| EU AI法の条文 | 義務 | ガバナンス制御 |
|---|---|---|
| 第9条(リスク管理) | 継続的、反復的なリスク評価 | すべてのツール呼び出しを結果とともにログ;監査データからリスク登録簿を更新 |
| 第10条(データガバナンス) | 推論時の保護 | MCPツール応答に対する入力検証;型付きエラーがデータ品質障害と一時的エラーを区別 |
| 第11条(技術文書) | 完全なコンポーネントとインターフェースのインベントリ | モジュールレジストリ:すべてのMCPモジュール、ツールスキーマ、上流接続、エラーコードを登録時に文書化 |
| 第12条(記録保持) | 自動的、改ざん耐性のあるロギング、6か月保持 | DynamoDBへの構造化JSONログ:タイムスタンプ、エージェントID、ツール名、入力ハッシュ、出力ステータス、所要時間;partition keyによるテナント分離で追記のみ |
| 第14条(人間による監督) | リアルタイム停止能力 | キルスイッチ:アイデンティティ失効(短命JWTトークン)、サーキットブレーカー(ツールごとウィンドウごとのレート制限)、スコープ限定の機能失効(設定変更でモジュールを無効化)、実行中ロールバック |
| 第15条(サイバーセキュリティ) | 保護がAPIとMCPサーバーに及ぶ | OAuth/Cognito認証、レート制限、PII境界処理(ロギング前のSHA-256フィールドハッシュ)、型付きエラー契約 |
| 第72〜73条(インシデント報告) | 24/72時間の報告期限 | 監査ログからのリアルタイム異常検知;権限超過、予期しないツール呼び出し、レート制限違反へのアラート |
重要な洞察は、これらの制御が事後に取り付けられるものではないということです。それらはMCPモジュールの登録、実行、ロギングパイプラインの構造そのものです。スキーマでツールを登録し、レート制限を宣言し、すべての呼び出しを追記専用ストアにログし、設定変更で無効化できるモジュールは、その運用の副産物としてコンプライアンスの証拠を生成します。APIを直接呼び出すアドホックなエージェントはそうではありません — そしてガバナンスされていないエージェントにコンプライアンス制御を後付けすることは、最初から組み込むよりも高くつきます。
マルチエージェントのコンプライアンス境界
前文99および100は、高リスク機能を実行するチェーン内のすべてのエージェントにコンプライアンスの境界を拡張します。これには、ほとんどの組織がまだ内面化していないアーキテクチャ上の含意があります。
調達ワークフローを考えてみましょう:オーケストレーターエージェントがRFQを受信し、製品解決をカタログエージェントに、価格設定を見積もりエンジンエージェントに、注文書き込みをERP統合エージェントに委任します。法の下では、これらのエージェントのいずれかが高リスク機能(信用アクセスに影響する価格設定、雇用に影響するサプライヤー選定、規制対象品目の調達)を実行する場合、チェーン内のすべてのエージェントが義務を継承します。
これは、ガバナンス層が個々のエージェントレベルではなくオーケストレーションレベルになければならないことを意味します。ロギングはコールチェーン全体 — どのエージェントがどの引数でどのモジュールを呼び出し、結果がどうだったか — を追跡しなければなりません。モジュールレジストリはすべてのエージェントのすべてのモジュールをカバーしなければなりません。キルスイッチは、共有インフラを無効化することなく特定のエージェントの機能を停止できなければなりません。
partition_keyテナント分離パターン — すべてのMCP関数呼び出しレコードが、それを特定のテナントとエンドポイントにスコープするpartition keyを持つ — は、マルチエージェントコンプライアンスが要求する監査証跡の構造を提供します。関数呼び出しログに対するクエリは、ワークフローの完全な状態を再構築できます:どのエージェントがどのツールを、どの順序で、どの引数でトリガーし、結果がどうだったか。これは、マルチエージェントチェーン全体にわたる第12条の記録保持と第72〜73条のインシデント報告のための証拠基盤です。
8月2日までにすべきこと
すでに本番稼働中または導入パイプラインにAIエージェントを持つ組織にとって、8月2日の期限は具体的なToDoリストを生み出します:
エージェントを分類する。 どれが高リスクカテゴリ(雇用、必須サービス、重要インフラ)に該当するかを判断する。これらのカテゴリに触れないエージェントにも、第50条の透明性義務があります。
ロギング層を監査する。 ログから任意のエージェント決定を再構築できますか?ログは改ざん耐性があり、最低6か月間保持されていますか?答えがノーなら、これが最初に埋めるべきギャップです — 第12条は最も直接的に検証可能な義務です。
停止メカニズムを検証する。 オペレーターは、エージェント自身の推論に依存せず、実行中のエージェントを決定論的に停止できますか?停止がプロンプトコマンドに依存する場合、それは第14条を満たしません。認証情報を失効させる、または設定変更でモジュールを無効化するキルスイッチが必要です。
インターフェースのインベントリを文書化する。 エージェントが呼び出すすべてのAPI、すべてのMCPサーバー、すべてのコネクタを文書化しなければなりません(第11条)。モジュールレジストリが文書です — 持っていない場合、これが埋めるべき2つ目のギャップです。
インシデント対応手順を定義する。 エージェントが権限を超過したとき、誰に通知しますか?24時間および72時間の報告チェーンは何ですか?手順はインシデント後ではなく、導入前に文書化されなければなりません。
マルチエージェントの範囲を評価する。 アーキテクチャがエージェントチェーンを含む場合、高リスク機能を実行しうるすべてのエージェントをマッピングします。コンプライアンスの境界はチェーン全体です。
非準拠のコスト vs ガバナンスのコスト
最大制裁金は3,500万ユーロまたは全世界売上高の7パーセントです。売上高1億ユーロの中堅企業にとって、それは700万ユーロです。法を満たすガバナンス層 — 監査ロギング、レート制限、型付きエラー、キルスイッチ、モジュールレジストリ、テナント分離 — は、規制圧力の有無にかかわらず本番エージェントを安全に運用できるようにするのと同じガバナンス層です。すでにエージェントインシデントを経験した47〜53パーセントの組織は、ガバナンスされていないエージェントのコストを運用リスクとして支払っています。法は単にそのコストを明示的かつ強制力のあるものにするだけです。
最初からガバナンスをエージェントアーキテクチャに組み込んだ組織 — スキーマでのモジュール登録、耐久性のあるストアへの関数呼び出しロギング、短命トークンでの認証、モジュール境界で強制されるレート制限 — にとって、8月2日は緊急の後付けではなく文書化の作業です。エージェントをAPIを直接呼び出すアドホックなスクリプトとして導入した組織は、緊急事態に直面する組織です。
NetSuite、BigCommerce、3つのサプライヤーカタログを運用する販売業者は、RFQを受信し、カタロググラフに対して製品を解決し、顧客層ごとに価格を設定し、見積もりをNetSuiteに書き戻すエージェントを持っています。そのエージェントが信用条件を価格設定する、または規制対象の調達のためにサプライヤーを選定する場合、それは高リスクカテゴリに該当します。ガバナンスされたMCPアーキテクチャ — すべてのツール呼び出しをタイムスタンプと結果とともにDynamoDBにログ、すべてのモジュールを設定変更で無効化可能、すべてのエージェントを短命JWTトークンで認証、すべてのエラーを型付けし分類 — が、そのエージェントを8月2日にコンプライアンス適合させるものです。それを安全に運用できるようにする同じアーキテクチャが、それをコンプライアンスに適合して運用できるようにします。
スコープを定めた構築をリクエストしてください。 1週間のディスカバリー。システムインベントリ、ワークフローマップ、固定スコープが手に入ります — 当社と構築するかどうかにかかわらず。
あなたのシステムのためにこれを構築したいですか?
ここの各ドキュメントは実際の本番作業から来ています。ターゲットシステムとワークフローがあれば、1週間でスコープを定義できます。
スコープ付き構築を依頼1週間のディスカバリ。システムインベントリ、ワークフローマップ、固定スコープを提供します — 私たちと構築するかどうかにかかわらず。