カリフォルニアAI大統領令の要点と企業への実務影響

EO N-5-26が示す州調達起点のAIガバナンス設計思想

カリフォルニア州のギャビン・ニューサム知事は2026年3月30日、AI企業との州契約に新たな安全・権利保護基準を組み込む大統領令 N-5-26 を出しました。話題になっているのは「AI規制を強めた」という一点ですが、実際の中身はもっと実務的です。州内のすべてのAI企業を一律規制するのではなく、まず州の調達ルールを使って、州と取引したい企業に説明責任と安全策を求める設計になっています。

この方式は、州が使いやすい権限から先にAIガバナンスを積み上げる典型例です。しかも今回の命令は、締め付けだけでなく、州政府自身のAI活用も同時に進めています。この記事では、EO本文と州政府の公表資料をもとに、この命令の要点を整理します。

大統領令の中身

120日で動く調達ルールの見直し

EO本文の第1項は、州調達の核心です。発令から120日以内に、一般調達局（DGS）と技術局（CDT）が、州と取引したい事業者に新たな certifications を求める案を知事へ提出すると定めています。企業は、技術の誤用防止に関する自社の方針や安全策を「attest to and explain」することが想定されています。つまり、単なる宣誓ではなく、方針の説明責任まで求められる構造です。

対象として例示されているのは三分野です。第1に、児童性的虐待素材や同意のない性的画像など違法コンテンツの悪用防止。第2に、有害なバイアスを示すモデル、またはその抑制ガバナンスを欠くモデルへの対応。第3に、表現の自由、投票、人間の自律、不法な差別・拘禁・監視など、市民的自由への侵害防止です。

州独自の調達防衛線

今回の命令で見落とされやすいのが第2項と第3項です。第2項では、連邦政府が特定企業を supply chain risk に指定した場合でも、州のCISOが「不適切」と判断すれば、州機関がその企業から引き続き調達できるよう共同ガイダンスを出せるとしています。第3項では、プライバシーや市民的自由を違法に損なったと司法認定された企業と州が契約しないための責任条項、停止、失格制度の見直し案を120日以内にまとめるよう求めています。

これは単なるAI安全策ではなく、連邦の調達判断から州の調達を切り離す防衛線でもあります。州の3月30日発表も、トランプ政権の contracting standards rollback を正面から批判しており、必要なら州独自で調達判断を守る姿勢を打ち出しました。

企業に何が変わるのか

すぐに義務化されるものと、これから固まるもの

誤解しやすい点ですが、このEOは3月30日時点で民間企業に即時の新法的義務を一斉に課すものではありません。本文末尾には、この命令は州に対する法的権利や利益を創設しないと明記されています。まず動くのは、調達ルール設計、ガイダンス、認証要件の勧告です。したがって、いま直ちに州外企業まで含めて包括的規制が始まるわけではありません。

ただし、州契約を狙う企業にとっては実質的な影響が大きいです。今後の認証要件に備えるには、違法コンテンツ対策、モデル評価、バイアス低減手順、権利侵害リスクの統制、監査記録、説明文書の整備が必要になります。特に「説明できること」が重要で、内部統制があっても文書化されていなければ州調達では弱い可能性があります。

水印とデータ最小化の実務

EO第5項は、CDTに対し、AI生成または大きく加工された画像・動画の watermarking に関する best practices を120日以内に策定するよう指示しています。しかも根拠法として California Business & Professional Code §§ 22757.2 と 22757.3 を明示しており、これは2024年に成立したSB 942など、既存の州法との接続を意識した条文設計です。2024年9月の知事発表でも、SB 942は widely-used generative AI systems に provenance disclosures を求めると説明されていました。

さらに第4項では、州機関向けに data minimization toolkit の策定も命じています。テンプレート、特別契約条項、レビュー用チェックリストまで含むため、これは理念ではなく実装寄りの措置です。州政府がAI導入を進めるほど、入力データの範囲や保持期間、機密情報の扱いがボトルネックになるため、調達条件とデータガバナンスを一体化した点に実務上の意味があります。

なぜカリフォルニアはこの形を選んだのか

既存政策の延長線

今回の命令は突然の方向転換ではありません。GovOpsの整理によれば、ニューサム知事は2023年の N-12-23 で、州内でのGenAIの利用とリスク評価を進めるよう指示していました。その後、2024年3月に州は「GenAI Guidelines for Public Sector Procurement, Uses and Training」を公表し、2025年4月には渋滞緩和、道路安全、コールセンター改善のための三つのGenAI契約を発表しています。今回のEOは、その既存の活用路線に trust and safety 条件を上乗せしたものです。

カリフォルニアはすでにAI関連の州法も積み上げています。2025年末に公表された「NEW IN 2026」では、AB 489、AB 621、SB 53、SB 243、SB 524 などが、AIの誤認、性的被害、リスク管理、未成年者保護、警察報告の透明性に関わる新ルールとして紹介されました。今回の大統領令は、そうした州法群を調達と行政運用へ接続する役割を持っています。

規制ではなく市場形成

このEOの本質は、市場参加条件を通じたルール形成です。州は巨大な買い手であり、カリフォルニアは世界4位の経済規模を持つと州発表は強調しています。EO本文も public procurement を「市場行動を形づくる最も強力な手段の一つ」と明記しました。つまり、州はまず自らの財布を使って「どういうAI企業を良い供給者とみなすか」を定義しようとしています。

この手法の利点は、民間市場全体への即時包括規制より法的に守りやすいことです。州は自分の契約相手に条件を付けやすく、連邦との正面衝突も避けやすいからです。逆に限界は、州と取引しない企業には直接効きにくい点です。したがって、このEOだけでカリフォルニア州内のAIリスク全体が解消するわけではありません。

州契約限定の規制範囲と認証・連邦乖離の三大焦点

よくある誤解は、「カリフォルニアがAI企業全体を新規制した」という理解です。正確には、州契約の入口を厳しくする命令であり、州政府自身のAI利用基盤を整える命令でもあります。民間一般への包括的禁止ではありません。

今後の注目点は三つです。第1に、120日後にDGSとCDTがどこまで詳細な認証要件を出すか。第2に、不適切な harmful bias や civil liberties 侵害をどう測定するか。第3に、州独自調達と連邦調達ルールのずれが現実にどこまで広がるかです。特に州のCISOが連邦の supply chain risk 指定を覆し得る構造は、今後の対立点になりそうです。

州調達審査が内部統制勝負に変わる六つの柱と勧告の展望

カリフォルニア州の新しいAI大統領令は、派手な市場規制ではなく、州調達を起点に企業の安全策と説明責任を引き上げる実務命令です。違法コンテンツ対策、バイアス管理、権利侵害防止、水印、データ最小化、州独自調達防衛という六つの柱でできています。

企業にとって重要なのは、州契約の審査が価格や性能だけでなく、trust and safety の内部統制勝負に変わる可能性が高いことです。今後120日で出る勧告の具体性が、この命令の実効性を左右します。

参考資料:

• As Trump rolls back protections, Governor Newsom signs first-of-its-kind executive order to strengthen AI protections and responsible use
• Executive Order N-5-26
• California to impose new AI regulations in defiance of Trump call
• Generative AI Executive Order
• Governor Newsom signs bills to crack down on sexually explicit deepfakes & require AI watermarking
• Governor Newsom deploys first-in-the-nation GenAI technologies to improve efficiency in state government
• NEW IN 2026: California laws taking effect in the new year