はじめに：前提となる「5つの現実」

1) エネルギーとAIの相互依存

生成AIの学習・推論はデータセンター電力需要を押し上げています。国際エネルギー機関（IEA）は、
2030年時点のデータセンター世界電力消費が約945TWhと、現状から「ほぼ倍増」するベースケースを提示し、
AIを主要ドライバーの一つと位置づけています。今後は、どのモデルを採用するかと同程度に、
電力・冷却・立地をどう確保・最適化するかが、企業のIT競争力を左右します。
参考：IEA Energy & AI

2) AI規制の本格施行へ

EU AI Actは2024年8月に発効し、2026年8月2日に大部分の条文が適用開始となります
（禁止用途やAIリテラシー要件は前倒し、高リスクAIの一部は2027年8月2日まで移行期間）。生成AIの利活用は、
技術だけでなく法令・ガバナンスとセットで企画するのが前提となります。
参考：European Commission: AI Act

3) 地政学と半導体の不確実性

米国は先端計算・装置・HBM等に対する対中輸出規制を継続的に拡大しており、
2025年秋には実体リスト企業の50%以上子会社へ自動拡張する新ルールが公表されました。
半導体・クラウド・ネットワーク機器調達は、もはや価格や性能だけでなく、
法域・輸出規制・再輸出制限を含めた設計課題になっています。
参考：Reuters

4) サイバー脅威の高度化

Verizon DBIR 2025は史上最多の侵害事案を分析し、
CrowdStrike 2025は「79%がマルウェア非依存」「最速ブレイクアウト51秒」と報告。
ENISA 2025はEUにおけるDDoSとハクティビズムの顕著な増加を指摘しています。
攻撃側もAIを活用し始めており、検知・封じ込めのスピードと自動化が防御側の鍵になります。
参考：DBIR／
CrowdStrike／
ENISA

5) グローバル・ガバナンスの整流化

OECD AI原則（2019→2024改定）や国連総会のAI決議（2024/3/21）により、
国際的なAIガバナンスの「共通土台」が整いつつあります。各国法制度の違いは残るものの、
基本原則の整流化が進んだ結果、企業側は
「最も厳しい枠組みに合わせて社内標準を作り、各国要件は派生管理する」
方が、長期的にはコスト効率が良いケースが増えていきます。
参考：OECD AI Principles／
UN Resolution 78/265

トレンド1：AIは“会話”から“行動”へ――エージェント化・自律システムの普及

生成AIは「指示→応答」のチャットから、外部API・RPA・データベースを自律的に呼び出す
連続行動主体（エージェント）へと進化しています。
Gartnerの2025年戦略トレンドではAgentic AIが掲げられ、
McKinseyのテクノロジートレンドも同様の方向性を示しています。
2030年には、業務フロー自体がAI前提（AI-first workflows）で設計されることが標準になります。

なぜ重要か

• 知的労働の手戻り・待ち時間を削減し、同じ人員でもスループットが非連続に向上する。
• 攻撃側もエージェント化するため、監査可能性・安全制御点をどこに設計するかが差別化要因になる。
• 「個人のちょっとした効率化」ではなく、部門横断の業務再設計に踏み込めるかが投資回収の分水嶺になる。

実務アクション（2025–2027）

• 「安全に使える社内APIカタログ」を整備（データ等級、最小権限、監査ログ、レート制限）。
• エージェントSOPを作成：失敗時フォールバック、人間の最終承認、RACI（誰が責任を持つか）の明確化。
• 品質運用指標を定義：人手レビュー率、A/Bテスト、逸脱検知→停止→是正のワークフローを明文化。
• 「AIに丸投げ」ではなく、人の検収・監督プロセスを先に設計し、そこにツールをはめ込む発想を徹底する。

トレンド2：AIファクトリーの時代――データセンター×電力×冷却のボトルネック

IEAは2030年のデータセンター電力需要を約945TWhと試算しており、
用地・送電容量・水資源・再エネPPA・液冷や廃熱回収、さらにはSMR（小型原子炉）まで含めた
「IT×エネルギーの一体最適」が競争力の核心となりつつあります。
Carbon BriefもAI普及に伴うデータセンターのエネルギー需要と排出量を複数チャートで整理しています。
参考：IEA／
Carbon Brief

実務アクション

• モデル圧縮・蒸留・量子化を前提としたアーキテクチャ設計で、電力あたり性能（Performance per Watt）を改善。
• 負荷の適材適所配置：オンデバイス／エッジ／クラウドのどこで推論させるかを設計し直す。
• PUE・WUE・Kg-CO2e・推論1回あたりkWhなどの運用KPIを設定し、IT指標ではなく経営指標としてモニタリング。
• 電力単価とSLA（性能・可用性）をセットで見て、「安いが遅い」「高いが速い」のポートフォリオを構築。

トレンド3：規制の本格稼働――EU AI Act、DSA/DMA、Data Act、eIDAS 2.0

• EU AI Act：発効 2024/8/1。2026/8/2に大半が適用、禁止用途は2025/2/2から、
  高リスク（製品組込み）は2027/8/2まで移行期間。EC解説
• DMA：指定ゲートキーパーは2024/3/7から全面義務。2025年以降は非遵守調査・透明性強化が本格化。
  ECニュース
• DSA：2025年以降、広範な透明性報告・広告ライブラリ・SOR提出が定常運用に。
  IAPP解説
• Data Act：2025/9/12適用開始。データ共有義務やクラウド間スイッチング義務などが段階的に適用。
  EC解説
• eIDAS 2.0：各加盟国は2026年末までに少なくとも1つのEUデジタルIDウォレットを提供。
  概要
• NIST：AI RMF とSP 800-218A（生成AI向けSSDF）により、設計〜運用までの実装ガイドが整備。
  NIST

実務ポイント：EUとの直接取引がなくても、「最も厳しい山」で社内標準化しておいた方が、
将来の地域展開や監査対応を含めたトータルのコンプライアンスコストは低く抑えやすくなります。

トレンド4：地政学リスクと“サプライチェーンの再地図化”

米国は2025年に実体リストの「50%ルール」拡張を公表し、対象企業の50%以上子会社を自動的に規制対象へ含める方向性を示しました。
一方、TSMC熊本（JASM）は2024年に開所し、12/16nm・22/28nmなどの成熟ノードで自動車・産業機器向けを支える体制を整えています。
「どのノードを、どの地域で、どのサプライヤーから調達するか」は、今後ますます経営レベルの判断になります。
参考：Reuters／
TSMC PR

実務ポイント

• BOMの法域タグ（原産国、再輸出経路、譲渡制限有無）をデータとして紐付け、検索可能にする。
• 二線系供給（特に成熟ノード活用）を前提にし、機能互換性を設計段階で確保する。
• サプライヤー契約に再輸出・サブライセンス・転売の可視化条項を組み込み、違反時の対応を明記する。

トレンド5：企業のAI導入は“実装フェーズ”へ――人と仕事の再編成

2025年前後は「個人の生産性向上ツール」としてのAI活用が中心でしたが、
今後は組織全体のワークフロー再設計とリーダーシップの関与が成果を分けます。
いわゆる「影AI」の統制、データ最小化、評価・報酬体系のアップデートなど、人事・法務・ITが一体となった設計が不可欠です。

実務アクション

• 可視化：どの業務で、どのモデルを、どのデータで使っているかをAIガバナンス台帳に整理。プロンプト／出力／根拠／アクセスログを監査可能に。
• 品質運用：業務KPIに連動したA/BテストやSLOを設定し、逸脱時は停止→原因分析→改善→再開までをワークフロー化。
• 教育：「業務委任術」として、指示の出し方・検収の仕方・是正フィードバックまでを社員教育に組み込む。
• 評価制度と連動させ、「AIを使って成果を出すスキル」をきちんと評価する枠組みを作る。

トレンド6：サイバー攻防のAI化――ID・権限・クラウド原点回帰

侵害の多くはマルウェア非依存・ID奪取型へシフトしつつあります。
いわゆるZero Trustは「ネットワーク境界」ではなく、IDと権限、そしてクラウド設定に重心が移っています。
EUではDDoSとハクティビズムの増加が顕著で、攻撃側もAIを活用し始めています。

2030年の標準装備

• パスキー＋段階的MFA強制：特権昇格やリスク行動に応じた適時認証を自動付与。
• ITDR（Identity Threat Detection & Response）の常時運用と、「IDの乗っ取り→横展開」の連鎖封じ込めプロセス。
• SBOM＋MBOM（Model BOM）で、ソフトウェアとAIモデル双方の来歴・脆弱性・依存関係を可視化。

参考：DBIR 2025／
CrowdStrike 2025／
ENISA 2025

トレンド7：ポスト量子暗号（PQC）移行の本格始動

NISTはFIPS 203/204/205（ML-KEM／ML-DSA／SLH-DSA）を2024年に確定し、
2025年以降は各社で暗号アジリティ計画の実行フェーズに入ります。
「いつまでに、どのシステムから、どの方式に切り替えるか」を決めないままでは、
将来の量子コンピュータ実用化より前に、移行作業そのものがボトルネックになります。
参考：FIPS 203／
FIPS 204／
FIPS 205

ロードマップ（要点）

1. 資産棚卸：暗号利用の経路・証明書・鍵・長期秘匿データを洗い出し、優先度を付ける。
2. 優先ルート選定：長寿命データ（個人情報、機密図面等）や高機密通信から先に対象を決める。
3. 二重スタック期間の明示：従来暗号とPQCを併用する期間を定義し、その間の運用ルールを決める。
4. 運用ローテーション：鍵管理・証明書ライフサイクルを見直し、更新手順と責任者を明確化。

トレンド8：量子計算の「有用性前夜」とハイブリッド化

Googleは色コードなど誤り訂正技術で前進し、IBMは2029年にFTQC到達のロードマップを掲げています。
とはいえ、2025–2030年の現実解は、汎用的な量子コンピュータではなく、
既存のHPCと組み合わせる「HPC×量子のハイブリッド」です。
参考：Google Research／
IBM Quantum Roadmap

実務の現実解

• PQCは「今やるべきこと」として優先し、量子アルゴリズムはPoCレベルでユースケースを絞り込む。
• 量子対応クラウドやソフトウェア基盤に接続できるインターフェースを先に整備し、選択肢を確保しておく。
• 「どの問題を量子に投げると経済合理性があるのか」を検証するための小さな実験を続ける。

トレンド9：6G（IMT-2030）とNTNで“つながり”が再定義

ITUのIMT-2030フレームに沿って、3GPP Rel-20（研究）→Rel-21（規格第1弾）という流れで標準化が進んでいます。
初期商用は2030年前後が目安とされ、NTN（衛星など非地上ネットワーク）とエネルギー効率が主要テーマです。
参考：3GPP／
Ericsson Blog

ユースケース例

• 産業AR、協働ロボティクス、超精密位置決めなど、低遅延と高信頼が求められる現場。
• 分散AIのマルチアクセス・オフロード（MEC×NPU）によるリアルタイム制御。
• 災害時や電力制約下でも最低限の接続性を確保するための、衛星とのハイブリッドネットワーク。

トレンド10：エッジと端末のNPU化――“AI PC/AIフォン/AIカメラ”が並走

MicrosoftはCopilot+ PC要件としてNPU 40+TOPS級を前提としており、
Intel Lunar LakeはNPU 45TOPS／プラットフォーム合計100+TOPSクラス、
Apple M4はNeural Engine 38TOPSを公称しています。
こうしたNPU搭載端末により、オンデバイス推論が「即時・プライバシー・低コスト」を兼ね備えた主力オプションになります。
参考：Microsoft Learn／
Tom’s Hardware／
Apple Newsroom

ソブリンAI（Sovereign AI）：国家レベルの“AIファクトリー”構築

ソブリンAIとは、「データ・人材・インフラを自国内（または特定ブロック内）で回す能力」を指します。
NVIDIAは各国のAIファクトリー整備を後押ししており、多国籍企業にとっては、
今後ますますデータ所在・ガバナンスの分散最適が前提となります。
参考：NVIDIA: What is Sovereign AI?

2025–2030のシナリオ（3本立て）

① 加速シナリオ

電力・水資源・規制・人材のボトルネックを相対的に克服。AIエージェントは監査可能な形で普及し、CO2/kWh当たり性能は年率30%以上で改善。国際整流が進み、越境データ利活用が拡大。

② 制約シナリオ

電力制約と遵守コストが成長のキャップとなり、オンデバイス／小型モデルが主流化して局所最適に留まる。6G初期仕様は限定的商用にとどまり、一部ユースケースのみ本格展開。

③ 分断シナリオ

ブロック間の分断とリージョン別標準が固定化。ソブリンAI要件は地域ごとに分岐し、グローバルSLAやマルチクラウド構成は一段と複雑化。企業は「どのブロックで何を諦めるか」の選択を迫られる。

業種別の着眼点（抜粋）

製造／自動車

• 成熟ノード（12/16nm・22/28nm）の確保と、輸出規制・再輸出規制への継続的なモニタリング。
• エッジAI検査・予兆保全の高度化と、PQC移行準備の並走。
• 工場内ネットワークの6G/NTN対応構想を前倒しで検討。

金融

• モデルリスク管理（審査ログ・説明性）の高度化と、eIDAS 2.0に基づくKYC連携。
• 高リスクAIの評価・記録・監査をAI Act準拠でテンプレ化し、監督当局対応を平準化。
• オンデバイス・プライバシー強化型のパーソナル金融アドバイザリへの対応。

医療・公的

• 人権配慮・公平性評価をOECD/UN原則と整合させた枠組みで文書化。
• ソブリンAI構想や公的データ活用に応じたデータ主権の確立。
• 長期保存データに対するPQC対策と、量子計算時代を見据えた前倒しの鍵管理。

小売・物流

• 店舗・倉庫のロボティクス×エージェント化、需要予測モデルと現場オペレーションの統合。
• 広告・推薦のDSA透明性対応（広告ライブラリ、SOR提出）と、クッキー後の計測設計。
• エッジデバイスでの在庫・需要推定による、電力・通信コストの最適化。

直近18か月でやっておくこと（実務チェックリスト）

• AIガバナンス台帳：モデル、データ来歴、評価・監査、制御点、人的関与、停止手順を一元管理。下のテンプレ参照（
  AI RMF／
  SP 800-218A）。
• 暗号アジリティ計画：PQC二重スタックの期間と優先システムを決め、FIPS 203/204/205に沿ってロールアウト。
• ID中心防御：パスキー/MFAの全面化、条件付きアクセス、ITDRの常時運用。
• 電力・配置の戦略化：オンデバイス/エッジ/クラウドの最適配分、PPA、水・冷却KPIを含めたIT投資計画。
• EU法域の先取り：AI Act/DSA/DMA/Data Act/eIDAS 2.0を見据えた社内ポリシーと責任体制の整備。
• サプライ網の可観測化：輸出規制モニタリング、BOM法域タグ、再輸出・譲渡の契約統制をセットで運用。

すぐ使えるテンプレ：AIガバナンス台帳の骨子

FAQ：よくある疑問

Q1. まず何から着手すべき？

「台帳化→権限→電力」の3点同時着手が最短距離です。AIガバナンス台帳テンプレで棚卸しを行い、ID/MFAとITDRを優先的に整備しつつ、推論コストのKPI化で費用対成果を見える化します。

Q2. EU法域に直接取引がない場合も対応は必要？

はい。社内標準を「最も厳しい基準」に揃えておいた方が、後の地域展開やM&A時のデューデリを含めて総コストが安いケースが多くなります。

Q3. GPU不足と電力制約にはどう対処する？

モデル圧縮・蒸留・オンデバイス化で電力とレイテンシを最適化しつつ、推論のキャッシュ／バッチ化、リージョン分散で安定性を上げます。「全部大規模モデルでやる」前提を一度外すのが出発点です。

Q4. ソブリンAIにはどう向き合うべき？

データ所在・人材育成・法域内クラウドを「分散最適」で設計し、単一ベンダーロックインを避ける契約を検討します。特に基幹データについては、「どの国のどのデータセンターに置いて良いのか」を先に方針化しておくことが重要です。

Q5. 量子計算は今やるべき？

事業価値の観点では、優先順位はPQCが先です。量子計算そのものは、ハイブリッド前提でユースケースを絞り、PoCで知見を蓄積するスタンスが妥当です。

参考リンク（海外一次情報まとめ）

• IEA：Energy & AI – Energy demand from AI
• EU AI Act：EC – AI Act概要と適用時期
• DMA/DSA：DMA Gatekeepers／
  DSA透明性
• Data Act：EC – Data Act
• eIDAS 2.0：EUデジタルIDウォレット
• NIST（AI RMF／SSDF）：AI RMF／
  SP 800-218A
• PQC（FIPS 203/204/205）：203／
  204／
  205
• 6G（IMT-2030）：3GPP Rel-20／
  Ericsson 6G
• 量子計算：Google Research／
  IBM Roadmap
• ソブリンAI：NVIDIA
• セキュリティ動向：DBIR 2025／
  CrowdStrike 2025／
  ENISA 2025
• 半導体・地政学：Reuters（50%ルール拡張）／
  TSMC JASM
• オンデバイスAI：Microsoft Learn／
  Intel Lunar Lake／
  Apple M4
• エネルギー文脈：Carbon Brief