AI Act 採用：2026 年 8 月 2 日にあなたの AI ツールに何が変わるのか

AI Act 採用は、もはや遠い未来の話ではありません —— 2026 年は転換の年です。 2024 年 8 月 1 日に発効した規則（EU）2024/1689 は、採用に関する AI システムについて、 その「ハイリスク」義務を 2026 年 8 月 2 日に適用します。具体的には、 あなたの Talent チームが応募を選別し、プロファイルをスコアリングし、選考を支援するツールを 使っているなら、あなたは対象です —— ソフトウェアの開発元としてではなく、それを使う雇用主としてです。 本記事では、なぜこれらのツールがハイリスクに分類されるのか、実際のスケジュール、誰がどの義務を負うのか、 そして準備のための具体的なチェックリストを解説します。

AI Act と採用：なぜあなたの AI ツールはハイリスクに分類されるのか

AI Act はリスクレベルごとのロジックを適用します。採用は無害な用途ではありません。それは附属書 III §4 に列挙されており、雇用、労働力管理、自営業へのアクセスを カバーします。これらの目的に向けられたあらゆる AI システムは、デフォルトでハイリスクに分類されます。

実務上、対象となるのは次のようなシステムです：

• 求人をパーソナライズした形でターゲティング・配信するもの；
• 受け取った応募を分析・フィルタリングするもの；
• 候補者を適合度に応じて評価・ランク付けするもの；
• 選考、昇進、雇用関係の終了に関する意思決定を支援するもの。

言い換えれば、現代のソーシング、マッチング、スコアリングツールのほぼすべてがこの範囲に入ります。 立法者は、これらのシステムが雇用へのアクセスや基本的権利に直接的な影響を及ぼすと考えています —— だからこそ厳格な体制が課されるのです。したがって AI 採用コンプライアンスとは、 「私は対象なのか？」を問うことではなく、「ハイリスクと推定すべきツールを、どう文書化し、どう統制するか」 を問うことなのです。

なお：第 6 条は、附属書 III のシステムであっても、それが純粋に準備的または付随的なタスクのみを行い、 意思決定に実際の影響を及ぼさない場合には、ハイリスク分類を免れうるケースを定めています。しかしこの免除は 狭く、提供者（provider）が文書化しなければならず、人物をプロファイリングするツールには決して適用されません。 候補者をスコアリングまたはランク付けするツールについては、ハイリスクが原則のままです。

AI Act のスケジュール：なぜ 2026 年 8 月 2 日が採用にとって重要なのか

適用は段階的です。実際の日付を以下に示します。あなたの Talent ロードマップに記載すべき日付は太字です：

• 2024 年 8 月 1 日 —— 規則（EU）2024/1689 の発効。
• 2025 年 2 月 2 日 —— 禁止される行為（例：ソーシャルスコアリング、特定の感情推論）の 禁止と、AI リテラシーの義務（第 4 条）の発効：あなたのチームは、使用するシステムについて 十分な理解レベルを備えていなければなりません。
• 2025 年 8 月 2 日 —— 汎用 AI モデル（GPAI）に適用される義務。これらは多くの採用ツールの 下層を支えています。
• 2026 年 8 月 2 日 —— 採用チームにとっての鍵となる期限：附属書 III のハイリスクシステム、 すなわち採用に適用される義務が、完全に適用されるようになります。
• 2027 年 8 月 2 日 —— 残余の最終規定が適用されます。

2026 年 8 月 2 日が押さえるべき基準点であるのは、この日をもって、実質的な要件 —— 文書化、人的監督、候補者への 情報提供、ログ記録 —— が準備段階であることをやめ、検証可能な義務になるからです。社内の作業（マッピング、 提供者契約のレビュー、応募プロセスの更新）には数か月を要するため、作業は 2026 年に始まるのであって、7 月ではありません。

提供者（provider）対 配備者（deployer）：誰がどの義務を負うのか

AI 採用規則は 2 つの役割を区別しており、両者の混同が誤りの第一の原因です。提供者（provider）とは、AI システムを開発し市場に投入する主体 —— すなわち開発元、販売者です。配備者（deployer）とは、そのシステムを自らの活動の枠内で使用する主体 —— すなわち あなた、つまり雇用主または採用代理店です。

技術的義務の大部分は提供者にかかります：

• リスク管理システムを整備すること；
• 学習データのガバナンスと品質を確保すること；
• 技術文書を作成し最新に保つこと；
• イベントの自動ログ記録を組み込むこと；
• 配備者に対し透明性と使用方法の指示を提供すること；
• 実効的な人的監督が可能なようにシステムを設計すること；
• 正確性、堅牢性、サイバーセキュリティを保証すること；
• 適合性評価を実施し、CE マーキングを付し、システムを EU データベースに登録すること。

しかし配備者は、単なる受動的な利用者ではありません。あなた固有の義務には次が含まれます：

• 提供者の使用方法の指示に従ってシステムを使用すること；
• 能力ある人物による人的監督を確保すること；
• 稼働状況を監視し、インシデントを報告すること；
• システムが生成したログを保管すること；
• 候補者と労働者に対し、ハイリスク AI システムの対象であることを 通知すること、 そして関係する従業員代表に通知すること。

一部の配備者 —— とりわけ公的機関や特定の事業者カテゴリ —— は、さらに供用の前に基本的権利への影響評価（FRIA）を実施しなければなりません。「コンプライアント」な ツールを購入しても、あなたの責任は免除されません：配備者の責任は、あなた固有のものとして残ります。

採用における配備者のコンプライアンス・チェックリスト

行き当たりばったりにならずに 2026 年 8 月 2 日に臨むための具体的な進め方を示します。 6 つの実務的ステップに分かれます。

1. 採用における AI の利用をマッピングする

ソーシング、選別、スコアリング、意思決定支援に投入されているすべてのツールとすべての AI 機能を洗い出します。 それぞれについて、提供者、利用範囲、処理される個人データを記録します。多くのチームがこのステップで、 これまで把握していなかった ATS 組み込みの AI 機能を発見します。

2. 各システムのハイリスク該当性を確認する

各用途を附属書 III §4 に照らし合わせます。応募をフィルタリングし、評価し、ランク付けし、または広告を ターゲティングするツールはハイリスクに該当します。疑わしい場合はハイリスクと推定し、提供者にその文書化された 自己判断を求めてください。

3. 提供者にコンプライアンス文書を要求する

技術文書、使用方法の指示、CE マーキングの証拠、EU データベースへの登録、適合性評価の結果を要求します。 これらの要素は、あなたの契約に記載される —— または要求可能である —— べきものです。

4. 実効的な人的監督を確保する

推奨を理解し、それに異議を唱え、覆すことのできる、訓練された人物を指名します。人的監督は形式的なスタンプで あってはなりません：それは実効的な統制であり、ツールは提供者の指示に従って使用されなければならず、決して 単独の自動的意思決定として用いてはなりません。

5. 候補者と従業員代表に通知する

候補者は、ハイリスク AI システムを伴う意思決定の対象となる場合、その旨を通知されなければなりません。 応募プロセスに明確な記載を設け、説明と人的救済のチャネルを用意し、従業員代表への情報提供を行ってください。

6. ログを記録し、監視し、監査する

自動生成されるログを保管し、本番稼働を監視し、バイアスや異常を追跡し、統制を記録します。監査の日には、 この監査証跡こそが、監督が紙の上だけでなく実務上も存在することを示すものとなります。

採用 AI の提供者に投げかけるべき質問

あなたのコンプライアンスの大部分は、提供者の質に依存します。デューデリジェンスは購入の前、または更新の機会に 行います。投げかけるべき質問を以下に示します：

• このシステムは附属書 III の意味でハイリスクと判定されていますか、またその根拠は何ですか？
• 最新の技術文書と使用方法の指示を提供できますか？
• CE マーキングは備わっていますか、またシステムは EU データベースに登録されていますか？
• どのような人的監督のメカニズムが「by design」で組み込まれていますか？
• 自動ログ記録はどのように機能しますか、またログをエクスポートできますか？
• 学習にどのようなデータが用いられましたか、またバイアスはどのようにテストされていますか？
• スコアや推奨に異議を唱える候補者に対し、どのように説明しますか？
• GDPR、とりわけ第 22 条と、どのように整合させていますか？

この最後の点は注意に値します。AI Act は GDPR を置き換えるものではありません：両者は累積的に適用されます。GDPR 第 22 条は、法的効果または重大な効果を生じる、専ら自動化された処理のみに基づく意思決定を、 保護措置なしに行うことを禁じ —— 人的介入と説明を受ける権利を認めています。したがって、よく設計された採用ツールは、 これらの権利を支えるものでなければならず、それらを迂回するものであってはなりません。

透明性のあるツールが、あなたの AI 採用コンプライアンスをどう支えるか

いかなるツールも、あなたに代わってあなたを「コンプライアントにする」ことはできません —— 配備者の責任は あなたのものとして残ります。しかしツールの設計は、あなたのコンプライアンス対応を明らかに容易にも困難にもします。 TrueCalling では、2 つの設計上の選択が配備者の義務に沿う方向に働きます。

まず、EMILY は human-in-the-loop のコパイロットであり、自律的な意思決定者ではありません。 システムは推奨し、優先順位を付け、作業を準備します；判断を下すのはリクルーターです。 このアーキテクチャは人的監督の義務を直接支えるものであり、GDPR 第 22 条が対象とする「専ら自動化された （solely automated）」意思決定の罠を回避します。

次に、TrueFit 360 スコアは行単位で説明可能です：スコアの各構成要素が明示されるため、 推奨はリクルーターにとって読み取り可能であり、候補者にとって異議申立て可能なものになります。この透明性は 説明義務と救済の可能性を支えます。このスコアがどのように計算され、どこで誤りうるのかを詳しく理解するには、 専用記事の 候補者・ポジションのマッチングスコアをご覧ください。

個人データの面では、当社の GDPR スタンス —— 法的根拠、追跡可能な同意、保存期間、チャネル —— は WhatsApp 採用と GDPR ガイドで詳述しており、データ保護の側面で AI Act の枠組みを補完します。

明確に述べておくべき点があります：TrueCalling は「AI Act 認証済み」を称してはいません —— 現状ではこのラベルに意味はありません。雇用主は常に責任ある配備者であり続けます。良いツールは、 あなたのコンプライアンスをより示しやすくします；それに取って代わるものではありません。

制裁：なぜこの問題は象徴的なものにとどまらないのか

AI Act は GDPR に匹敵する、あるいはそれを上回る制裁を定めています。禁止行為への違反は、最大で3,500 万ユーロまたは全世界年間売上高の 7%（いずれか高い方）まで制裁されえます。 その他の義務 —— 採用における配備者に直接関わるもの —— への違反は、最大で1,500 万ユーロまたは 3% に及びえます。当局への不正確または誤解を招く情報の提供は、 最大で 750 万ユーロまたは 1% のコストとなりえます。これらの上限は、コンプライアンスを 周辺的な法務テーマから、経営層のテーマへと変えるものです。

本記事は情報提供を目的としたものであり、法的助言を構成するものではありません。正確な義務はあなたの状況に 依存します；あなたの対応については専門の助言者による確認を受けてください。

human-in-the-loop のコパイロットと説明可能なスコアが、透明性のために設計された採用プロセスに どのように組み込まれるのかをご覧になりたいですか？ TrueCalling のガイド付きデモを予約する —— そしてあなたのオープンポジションを 1 つお持ちください：ソーシングをライブで展開し、各推奨が どのように説明されるのかを、行単位でお見せします。