テック企業法務担当者向け:欧州デジタル市場法、AI法、サイバーレジリエンス法の最新コンプライアンス要件

欧州IT規制の最新動向:AI法とCRAの進展

2026年3月3日、AI生成コンテンツの表示・ラベリングに関するAI法(人工知能法)の第二次草案が公開されました。同日、欧州委員会はサイバーレジリエンス法(CRA)に関するガイダンス草案への意見募集を開始しました。このガイダンスは、デジタル要素を持つ製品の製造業者や開発者がCRAに基づく義務を理解するのを支援する目的を持っています。AI法はリスクベースのアプローチを採用し、AIシステムがもたらすリスクレベルに応じた義務を課す一方、CRAはデジタル要素を持つ製品のサイバーセキュリティ強化に焦点を当てており、それぞれ異なる側面から欧州デジタル市場の健全性向上を目指しています。

デジタル市場法(DMA)の執行とゲートキーパーの対応

欧州委員会は、デジタル市場法(DMA)の執行において具体的な措置を講じています。2026年1月27日には、GoogleがDMAの規制義務を遵守するのを支援するため、2つの「仕様策定手続き」が開始されたと発表されました。これらの手続きは、GoogleのAndroid OSのハードウェア・ソフトウェア機能(AIサービスGeminiが使用するものを含む)への相互運用性ツールを無償で提供する義務、および第三者のオンライン検索エンジンプロバイダーがGoogle検索の匿名化されたランキング、クエリ、クリック、ビューデータに公正、合理的かつ非差別的(FRAND)な条件でアクセスできるようにする義務の適用を明確化するものです。

AI法の段階的施行と企業への影響

AI法は2024年8月1日に発効し、段階的に施行が進められています。2025年2月2日からは禁止されているAI慣行とAIリテラシー義務が、2025年8月2日からは汎用AIモデルのガバナンス規則と義務が適用されています。2026年3月3日には、AI生成コンテンツの表示・ラベリングに関するAI法の第二次草案が公開され、その重要性が示されました。AI法は、AIシステムが健康、安全、基本的権利に与えるリスクのレベルに基づいて規制義務を調整する、比例的でリスクベースのアプローチを採用しています。このため、AIシステムがもたらすリスクレベルに応じて異なる義務が課されることになります。

サイバーレジリエンス法(CRA)の導入とガイダンスの役割

欧州委員会は2026年3月3日、サイバーレジリエンス法(CRA)に関するガイダンス草案への意見募集を開始しました。CRAは、デジタル要素を持つ製品(ハードウェア、ソフトウェア、付随サービスを含む)のサイバーセキュリティを強化することを目的としています。このガイダンスは、製造業者や開発者がCRAに基づく義務を理解し、遵守するために役立つツールとなるものです。ガイダンスはオープンソースソフトウェア(FOSS)がCRAの適用範囲に含まれる条件など、具体的な適用事項に焦点を当てており、製品ライフサイクル全体にわたるサイバーセキュリティの責任を企業に課すものであることを示唆しています。

欧州IT規制の構造的比較と今後の展望

デジタル市場法(DMA)、AI法、サイバーレジリエンス法(CRA)は、それぞれ異なるアプローチを通じて欧州のデジタル市場における公平性、安全性、信頼性を確保するという共通の目標を追求しています。DMAは特定のゲートキーパー企業の市場行動に対する事前規制を志向し、AI法はAIシステムのリスクレベルに応じた規制を適用し、CRAはデジタル要素を持つ製品のサイバーセキュリティ強化に焦点を当てます。これらの規制はテック企業に累積的な影響を与え、法務担当者には複数の規制要件を統合的に管理する体制が求められます。AI法は段階的に施行されており、企業は継続的なコンプライアンス体制の構築が不可欠であると考えられます。

[ Reference ]

  • The EU AI Act implementation timeline: understanding the next deadline for compliance
    2026年3月3日、AI生成コンテンツの表示・ラベリングに関するAI法(人工知能法)の第二次草案が公開されました。AI法は段階的に施行されており、2026年8月2日にはほとんどの残りの規則が適用開始されます。
  • EU Policy Update – March 2026 - centr.org
    2026年3月3日、欧州委員会はサイバーレジリエンス法(CRA)に関するガイダンス草案への意見募集を開始しました。このガイダンスは、製造業者や開発者がCRAに基づく義務を理解するのを支援することを目的としており、デジタル要素を持つ幅広い製品に適用されます。
  • Gatekeepers publish updated reports on DMA compliance - Digital Markets Act
    2026年3月9日、Alphabet、Amazon、Apple、ByteDance、Meta、Microsoftといった指定されたゲートキーパー企業が、デジタル市場法(DMA)に基づく更新されたコンプライアンス報告書を欧州委員会に提出しました。これらの報告書は、過去1年間に企業がDMAの義務を遵守するために実施した変更と措置を詳述しています。
  • EU Commission opens proceedings to aid Google in complying with the Digital Markets Act
    2026年1月27日、欧州委員会はGoogleがDMAの規制義務を遵守するのを支援するため、2つの「仕様策定手続き」を開始したと発表しました。これらは、GoogleがAndroid OSのハードウェア・ソフトウェア機能(特にAIサービスGeminiが使用するもの)への相互運用性ツールを無償で提供すること、および第三者のオンライン検索エンジンプロバイダーがGoogle検索の匿名化されたランキング、クエリ、クリック、ビューデータに「公正、合理的かつ非差別的(FRAND)」な条件でアクセスできるようにすることに関するものです。
  • European Parliament votes to delay EU AI Act implementation - CIO
    2026年3月26日、欧州議会はEU AI法の一部の施行を遅らせることを採決しました。これは、欧州当局が企業が実装を支援するためのガイダンスと基準を準備する時間を与えるため、特に高リスクAIシステムに関する規則の適用を延期するものです。
  • Everything You Need to Know About the EU AI Act in 2026 - BARR Advisory
    EU AI法は2024年に正式に採択され、2026年末までに完全適用される予定で、段階的に施行されています。この法律は、AIシステムが健康、安全、基本的権利に与えるリスクのレベルに基づいて規制義務を調整する、比例的でリスクベースのアプローチを採用しています。
  • AI Act | Shaping Europe's digital future - European Union
    AI法は2024年8月1日に発効し、2026年8月2日には完全に適用される予定ですが、一部例外があります。禁止されているAI慣行とAIリテラシー義務は2025年2月2日から適用されており、汎用AIモデルのガバナンス規則と義務は2025年8月2日から適用されています。高リスクAIシステムに関する規則は、2027年8月2日まで移行期間が延長されています。
  • Digital Markets Act timeline - when the DMA came into force - Usercentrics
    欧州委員会は、2026年5月3日までにDMAの規則をレビューし、議会、理事会、欧州経済社会委員会に変更点を報告することが義務付けられています。
[ Advertisement ]