結論: 米国では連邦AI法が不在のまま、カリフォルニア・コロラド・ニューヨークを中心に州レベルのAI透明性規制が急速に進行中です。2026年中に施行が見込まれる複数の州法は、米国市場に展開する日本企業のAI活用に直接影響します。
この記事の要点:
- カリフォルニアSB 53(Transparency in Frontier AI Act)は2026年1月1日施行済み。開発者に透明性レポートと安全インシデント報告を義務付け
- コロラドAI Actのコンプライアンス期限は2026年6月30日に延期。高リスクAIの差別防止・リスク評価が対象
- ニューヨーク「RAISE Act」は2025年12月署名・2026年3月改正。インシデント72時間以内報告と最大300万ドルの民事制裁
- EU AI Actとの最大の違いは「リスク分類が州ごとに異なる」点。日本企業は州別対応が不可避
対象読者: 米国市場でAIサービスを展開中・展開予定の日本企業の経営者・法務・DX推進担当者
読了後にできること: 自社のAIシステムが米州法のどの規制対象に該当するかを判断するための3ステップチェックリストを実行できる
「うちのAIツール、アメリカで使っても大丈夫だよね?」
最近、企業向けAI研修でこの質問を受けることがぐっと増えました。SaaS形式でAIを米国向けに展開している企業、アメリカ法人でChatGPTを社内活用している企業、どちらも同じ不安を抱えています。
正直にお伝えすると、「大丈夫かどうか」はどの州で使っているかによって今や全く答えが変わります。米国には統一された連邦AI法がまだ存在しない。その空白を埋めるように、カリフォルニア、コロラド、ニューヨーク、そしてワシントン州まで、各州が独自のAI規制を次々と立法化しています。
2026年4月24日時点で、Transparency Coalitionが追跡する情報によると78本ものAI関連法案が27州で生きており、そのペースはまだ加速中です。この記事では、日本企業が今すぐ知るべき主要州法の内容、EU AI Actとの違い、そして実務的な対応アクションを整理してお伝えします。
米国AI規制の全体像 — 連邦法不在で州法が先行
まず全体像を押さえておきましょう。
2026年4月時点で、米国には包括的な連邦AI法が存在しません。バイデン政権時代の大統領令(EO 14110)はトランプ政権によって早期に撤回され、連邦レベルの立法は「AI権利章典ブループリント」などの指針文書にとどまっています。一方、トランプ政権は規制よりイノベーション促進を優先する方針を打ち出しており、連邦法の早期成立は見込みにくい状況です。
その空白を埋めるのが州法です。Transparency Coalitionの2026年4月更新によれば、州AI法案は主に5つの分野に集中しています。
| 規制分野 | 主な対象 | 先行州 |
|---|---|---|
| 訓練データの透明性・プライバシー | AIモデル開発者 | カリフォルニア(AB 2013) |
| AI生成コンテンツの来歴・開示 | コンテンツ配信者 | カリフォルニア(SB 942) |
| フロンティアモデルの安全評価 | 大規模AI開発者 | カリフォルニア(SB 53)、NY(RAISE) |
| チャットボットの安全規定(未成年向け) | 消費者向けAIサービス | コロラド(HB 1263)、NY(S 9051) |
| 医療・雇用における人間監視の義務化 | HR・医療AIシステム | コロラド(SB 24-205) |
日本企業への影響が大きいのは特に「フロンティアモデル安全評価」と「訓練データ透明性」の2分野です。AIプロダクトを米国向けに提供している場合、開発者として規制を受ける可能性があります。
AIガバナンスの基本的な枠組みや社内ルール策定については、AI導入戦略完全ガイドもあわせてご確認ください。
カリフォルニアSB 53(Transparency in Frontier AI Act) — 2026年1月1日施行済み
最も注目度が高いのはカリフォルニアのSB 53です。2025年9月29日にニューサム知事が署名し、2026年1月1日から施行されています。
SB 53の対象と要件
SB 53は「フロンティアAIモデル」の開発者を対象とし、以下を義務付けています。
- ガバナンスフレームワークの公表: 安全テスト手順、リスク評価プロセス、モデル公開ポリシーを文書化して公表すること
- 透明性レポートの定期発行: フロンティアモデルの能力、既知のリスク、安全対策を記した透明性レポートを発行すること
- 安全インシデントの報告制度: 重大な安全インシデントを報告するメカニズムの整備
- 内部告発者保護: 安全懸念を報告した従業員への報復禁止
「フロンティアモデル」の定義には閾値があります。現在のガイドラインでは、学習計算量や公開モデルの規模に基準が設けられており、ChatGPT・Claude・Geminiのような大規模商用モデルが主な対象です。多くの日本企業は「ユーザー」側のため直接適用を受けません。ただし、これらのモデルをラップしてSaaS製品として米国市場に提供している場合は別途検討が必要です。
2026年4月時点のカリフォルニア追加動向
SB 53に加え、カリフォルニアではさらに複数の法案が進行中です。
- AB 2013(訓練データ透明性): 2026年1月1日施行済み。AI開発者に対し使用したデータセットの情報開示を義務付け
- SB 942(AI検出ツール): 施行が2026年8月2日に延期。生成AI提供者に検出ツールと開示の提供を義務付け
- SB 813(AI標準・安全委員会設置): 2026年1月27日に上院を31対7で通過、下院審議中
- SB 1142(デジタル・ディグニティ法): 個人の「デジタルレプリカ」へのアクセス取り消し権を規定
コロラドAI Act(SB 24-205) — コンプライアンス期限2026年6月30日
コロラドのAI Actは米国の州法の中で最も包括的なAI規制の一つで、当初2026年2月が期限でしたが、実装準備のため2026年6月30日に延期されました。
対象:高リスクAIシステム
コロラドAI Actの対象は「高リスクAI(現在は”covered automated decision-making technology”への改名が審議中)」です。具体的には、雇用・採用、教育、金融(融資・保険)、住宅、医療サービスなど、個人に重大な影響を与える意思決定に「実質的な影響」を与えるAIシステムが対象となります。
主な義務
| 主体 | 義務内容 | 開始時期 |
|---|---|---|
| 開発者 | 「合理的な注意義務」の履行(アルゴリズム差別防止)、技術文書の提供、パブリックステートメントの公表、規制機関・デプロイヤーへの通知 | 2026年6月30日〜 |
| 導入企業(デプロイヤー) | リスク管理ポリシーの策定、初回・年次インパクト評価の実施、意思決定前・決定後の消費者通知、ウェブサイト開示 | 2026年6月30日〜 |
注目すべきは「デプロイヤー(AIを業務に組み込んで使う企業)」にも義務が課されている点です。コロラド州で従業員採用・評価にAIを使う日本企業の現地法人は対象となる可能性があります。
施行は6月30日だが改正審議が続いている
2026年4月時点では、コロラドAI Actの内容自体の改正審議が並行して進んでいます。高リスクAIの定義を絞り込み、正式なリスク管理・インパクト評価の要件を軽減する方向の改正案が出ており、最終的な規制内容は施行直前まで変わる可能性があります。
ニューヨーク「RAISE Act」— 2025年12月署名、2026年3月改正
ニューヨーク州は「RAISE Act(Responsible AI Safety and Education Act)」を2025年12月に署名・成立させ、2026年3月27日に重要な改正が加えられました。
RAISE Actの特徴
ニューヨークのアプローチはカリフォルニアやコロラドと異なり、「透明性・報告ベースのフレームワーク」を重視しています。主な要件は以下のとおりです。
- 安全プロトコルの確立: フロンティアモデル開発者に対し、リスク評価・安全テストプロセスの確立を義務付け
- 72時間以内のインシデント報告: 重大な安全インシデントは72時間以内に当局へ報告(EUのGDPRに似た速報義務)
- 高額な民事制裁: 違反に対する民事罰則は最大100〜300万ドル(改正後に引き上げ)
また、ニューヨーク市ではすでに施行中の「Local Law 144」により、雇用における自動意思決定システム(ADS)を使う企業に対して偏見監査と開示が義務付けられています。ニューヨーク市に拠点を置く日本企業の採用部門は今すぐ確認が必要です。
ニューヨークの追加動向
- S 9051(子ども向けチャットボット安全法): 上院インターネット・テック委員会を7対0で可決(2026年2月25日)、上院財政委員会で審議中
- S 933(最高AIオフィサー設置): 2026年3月4日に上院で三読会まで進行
ワシントン州・その他の動き
カリフォルニア・コロラド・ニューヨーク以外にも、2026年に入って規制が進む州があります。
- ワシントン州: 2026年4月、ファーガソン知事が2本のAI関連法に署名。AI安全・透明性に関する重要な一歩とされています
- メイン州: 2026年4月13日、AIを使った無資格の療法提供を禁止する法律が成立
- ネブラスカ州: チャットボット規制法(LB 525)が2026年4月14日に成立
- ジョージア州: SB 540(チャットボット開示・子ども安全法)、SB 444(医療AI制限)が知事署名を待つ状態
78本のAI法案が27州で進行中という事実は、「ある州では合法、別の州では規制対象」という複雑なモザイク状況が続くことを意味します。
EU AI Actとの根本的な違い
米国の州法とEU AI Actはいずれも「AIのリスクを管理する」という目的は共通ですが、アプローチが大きく異なります。日本企業にとって実務的に重要な違いを整理します。
| 項目 | EU AI Act | 米国州法(現状) |
|---|---|---|
| 適用地理 | EU全域(統一規制) | 州ごとに別個(50州がバラバラ) |
| リスク分類 | 禁止・高リスク・限定リスク・最小リスクの4段階 | 州によって定義が異なる(高リスク基準が不統一) |
| 域外適用 | EUユーザーに影響する全事業者 | 各州ユーザー/従業員に影響する事業者 |
| 施行機関 | AI Office(EU統一) | 州AG(検察長官)等、州ごとに別 |
| エンフォースメント | 最大売上高7%等の罰則 | NY:最大300万ドル、コロラドは審議中 |
| 中小企業への配慮 | SME向け軽減措置あり | コロラドは検討中、カリフォルニアはフロンティアモデル中心 |
「EUは統一規制だから対応しやすい。米国は州法のパッチワークだから逆に管理が大変」— これは100社以上の企業向けAI研修・コンサルを通じて最もよく聞く声です。コンプライアンスコストで言えば、実は欧州よりも米国対応の方が中長期的に重くなる可能性があります。
EU AI Actより日本企業に有利な点
一方、米国州法がEU AI Actより日本企業にとって「マシ」な面もあります。現状の州法の多くは、フロンティアモデルの「開発者」を主な対象としており、ビジネスユーザーや社内活用ユーザーへの義務は限定的です。EU AI Actが「高リスクAIを業務で使う企業」にも幅広い義務を課すのと比べると、範囲が絞られています。
ただし、コロラドのデプロイヤー義務のように例外もあるため、油断は禁物です。
日本企業への具体的影響と対応アクション
AIガバナンスの観点から、米州AI法が日本企業に与えるインパクトを整理します。
影響度マトリックス
| 企業タイプ | 主な影響リスク | 優先度 |
|---|---|---|
| 米国向けAI SaaSを提供(特定規模以上) | SB 53対象の可能性、RAISE Act対象可能性 | 今すぐ確認 |
| コロラド州で採用・人事評価にAIを使用 | コロラドAI Act デプロイヤー義務 | 6月30日前に確認 |
| ニューヨーク市で採用にAIを使用 | Local Law 144(すでに施行中) | 今すぐ確認 |
| 米国市場向け生成AIコンテンツ配信 | SB 942(カリフォルニア、8月施行予定) | 第2四半期中に確認 |
| 社内業務でChatGPT等を使うのみ | 直接適用はほぼなし | 引き続き動向注視 |
3ステップ実務チェックリスト
まずは以下の3ステップで自社のエクスポージャーを確認してください。
ステップ1: 自社のAI「立場」を明確にする
自社は「開発者」「デプロイヤー」「エンドユーザー」のどれに該当するかを整理します。フロンティアモデルを自社で開発していれば開発者、既存のAIツールを業務に組み込んで使っていればデプロイヤー、従業員がChatGPT等を個人利用しているだけならエンドユーザーです。
ステップ2: 対象州を特定する
米国のどの州でビジネスを行っているかを確認します。カリフォルニア・コロラド・ニューヨーク・ワシントン州が現時点での主要規制州です。従業員・顧客・ユーザーがその州に所在する場合に規制が適用される可能性があります。
ステップ3: 用途カテゴリを確認する
採用・評価・融資・医療・教育など「高リスク」用途にAIを使っているかを確認します。これらの用途が最も規制の対象になりやすく、インパクトアセスメントや開示義務が課される可能性が高いです。
【要注意】米州AI法対応でよくある失敗パターン
失敗1: EU AI Act対応と同じアプローチでOKだと思う
❌ 「EU対応が終わっているから米国も問題ない」
⭕ EU AI Actとは規制対象・定義・域外適用範囲が異なるため、別途の確認が必要
例えばEU AI Actでは高リスク分類が明確に列挙されていますが、米国州法は州ごとに「高リスク」の定義が異なります。EU対応済みだからと油断すると、コロラドやニューヨークの独自要件を見落とすリスクがあります。
失敗2: 「フロンティアモデル」対象だから中小企業は関係ないと思う
❌ 「大手AI企業向けの規制だからうちは無関係」
⭕ コロラドのデプロイヤー義務やNYのLocal Law 144は、AIを「使う企業」も対象
コロラドAI Actのデプロイヤー義務は、AIを自社で開発していない企業でも、採用・人事評価にAIを使っていれば適用される可能性があります。従業員数は問いません。
失敗3: 施行日だけを目安に動く
❌ 「施行日は6月30日だから5月に入ってから考えればいい」
⭕ インパクトアセスメントの実施や社内ポリシー整備には数ヶ月かかる
コロラドAI Actのデプロイヤー義務には「年次インパクト評価」が含まれます。これを施行日直前に始めても間に合いません。今から準備を始めることを推奨します。
失敗4: 法律の文言だけを読んで終わりにする
❌ 「条文を読んで”うちは大丈夫”と判断した」
⭕ 条文の解釈は複雑。改正・ガイダンスの動向も追う必要あり
コロラドAI Act自体、現在も内容の改正審議が進行中です。条文を一度読んだだけで終わりにするのではなく、Transparency Coalition等のアップデートを定期的にフォローする体制が必要です。
今後の注目ポイント
2026年後半に向けて注目すべき動きをまとめます。
- コロラドAI Act改正の行方: 「高リスクAI」の再定義、デプロイヤー義務の修正等。6月30日施行前に最終内容が固まる見込み
- カリフォルニアSB 813(AI委員会設置法案): 下院審議中。成立すれば州レベルのAI規制機関が誕生し、さらなる規制の起点になる可能性
- 連邦法の可能性: トランプ政権はイノベーション優先方針だが、業界からの自主規制要求も高まっており、特定分野(医療AI、軍事AI等)では連邦規制が先行する可能性あり
- 州法の相互影響: 今後、他州が先行州(CA・CO・NY)の条文を参考に立法化するケースが増え、「事実上の標準」となる規制が生まれる可能性
参考・出典
- Governor Newsom signs SB 53 — Governor of California(参照日: 2026-04-25)
- California’s SB 53: The First Frontier AI Law, Explained — Future of Privacy Forum(参照日: 2026-04-25)
- Compliance Deadline for Colorado AI Act Delayed Until June 30, 2026 — Alston & Bird(参照日: 2026-04-25)
- State AI Laws – Where Are They Now? — Cooley(参照日: 2026-04-25)
- AI Legislative Update: April 10, 2026 — Transparency Coalition(参照日: 2026-04-25)
- Proposed State AI Law Update: April 20, 2026 — Troutman Privacy(参照日: 2026-04-25)
まとめ:今日から始める3つのアクション
- 今日やること: 自社のAI活用を「開発者」「デプロイヤー」「エンドユーザー」に分類し、米国事業でどの州に関わるかリストアップする
- 今月中: 法務部門またはAIコンプライアンスの専門家に、コロラドAI Act(6月30日期限)とNY Local Law 144(既施行)の適用可否を確認する
- 今後継続: Transparency Coalitionの週次アップデートをウォッチリストに登録し、78本の州法動向を定期的にフォローする
AIガバナンス・セキュリティポリシーの策定については、AI導入戦略完全ガイドで詳しく解説しています。また社内のAI利用ルール整備についてはChatGPTビジネス活用ガイドもあわせてご参考ください。
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。早稲田大学法学部在学中に生成AIの可能性に魅了され、X(旧Twitter)で活用法を発信(@SuguruKun_ai、フォロワー約10万人)。100社以上の企業向けAI研修・導入支援を展開。著書『AIエージェント仕事術』(SBクリエイティブ)。SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談はお問い合わせフォームからお気軽にどうぞ。
