テック企業法務担当者向け:欧州デジタル市場法(DMA)・サイバーレジリエンス法(CRA)・データ法の最新動向と対応戦略

欧州のサイバーレジリエンス法(CRA)ガイダンス公表とデータ法(Data Act)の本格適用に向けた動き

欧州委員会は2026年3月3日、サイバーレジリエンス法(CRA)のドラフトガイダンスに関する意見募集を開始しました。このガイダンスは、デジタル要素を持つ製品に適用されるCRAの義務を製造業者や開発者が理解するのに役立つことを目的としており、意見募集は2026年3月31日まで実施されています。CRA自体は2025年2月に施行・適用が開始されており、企業は今後適用される義務に備える必要があります。

一方、2026年3月6日に公開された記事は、EUデータ法(Data Act)の施行状況に焦点を当てています。Data Actは2025年9月12日に施行されており、IoT機器、スマート家電、自動車、産業用機械、医療機器、農業機械、建設機械、クラウドサービスなど、日常的な利用の中でデータを生成するコネクテッド製品およびそれらの関連サービスを対象としています。欧州域外企業であっても、欧州域内でこれらの製品やサービスを提供する場合は適用対象となります。対象企業は、今後適用が控えているコアデータアクセス義務に向けて、自社製品やサービスの提供に際し、どのデータが本法規制対象となるかを明確にし、適切なデータの取扱いに係るシステム確立等を行った製品・サービスの設計が求められます。

デジタル市場法(DMA)の執行と関連規制の進捗

デジタル市場法(DMA)は2024年3月7日に施行され、デジタル分野の市場をより公平で競争力のあるものにするためのEU法として機能しています。この法律は、オンライン検索エンジン、アプリストア、メッセンジャーサービスなどのコアプラットフォームサービスを提供する大規模デジタルプラットフォームである「ゲートキーパー」に、特定の義務と禁止事項を課しています。欧州委員会はDMAの唯一の執行機関であり、2025年にはAppleとMetaがDMA違反で制裁を受けました。具体的には、Appleはアプリ開発者がユーザーを直接購入チャネルに誘導するのを妨げたとして、Metaは「ペイ・オア・コンセント」購読モデルに関して制裁を受けています。また、2024年3月25日には、Alphabet、Apple、Metaに対する不遵守の疑いに関する調査が開始されました。欧州委員会は、DMAのレビューを2026年5月3日までに実施する義務を負っており、その後の継続的な監督体制が維持されます。

AI ActとDigital Omnibusパッケージ:欧州デジタル政策の全体像

EU AI Actは、人間中心の信頼できるAIの導入促進、AIシステムの有害な影響に対する高水準の保護確保、イノベーション支援を目的としており、その禁止事項は2025年2月に発効しています。高リスクAIシステムに関する規則やその他の義務の適用が控えており、2026年は運用準備にとって重要な年と位置付けられています。違反の場合、最大で3,500万ユーロまたは年間世界売上高の7%の罰金が科される可能性があります。

また、欧州委員会は2025年11月19日に「デジタル総合法案(Digital Omnibus Package)」を正式に採択しました。これは、GDPR、ePrivacy、Data Act、AI Act、サイバーセキュリティフレームワークなど、既存の様々なデジタル法を整理し直し、運用改善に重点を置く方針を示しています。このパッケージは、行政負担の軽減と競争力強化を目指しており、これまでの「ルール形成」から「ルールの活用と強化」へと軸足が移った、欧州のデジタル政策全体の構造的な変化を示唆しています。

[ Advertisement ]

Reference / エビデンス

  • EUのデジタル政策の概要 - 欧州連合日本政府代表部 EU AI Actは2026年8月2日から本格適用開始(施行6か月後、1年後、3年後に適用開始となる規定あり)。人間中心の信頼できるAIの導入促進、AIシステムの有害な影響に対する高水準の保護確保、イノベーション支援を目的としている。違反の場合、最大で3,500万ユーロまたは年間世界売上高の7%の罰金が科される。Cyber Resilience Actは2025年2月施行・適用開始。コネクテッド製品や関連サービスの提供者にデータアクセス義務などを課すEUデータ法は2023年12月成立、2024年1月施行、2025年9月適用開始。
  • Enforcing Europe's Digital Markets Act - CEPA 欧州の新しいデジタル市場法(DMA)は2024年3月7日に施行された。執行は課題であり、欧州委員会が執行を主導する権限を与えられている。ゲートキーパーに指定された22のサービスが対象となったが、AppleのiMessageやMicrosoftのBingなどは対象外とされた。各ゲートキーパーはコンプライアンス変更を提案する必要がある。
  • EU Digital Markets Act to Affect Digital Platforms - Jones Day デジタル市場法(DMA)は2022年7月に正式に採択され、ゲートキーパーに該当する大規模デジタルプラットフォームに新たな行動義務を課している。欧州委員会は2026年2月18日にEU地政学リスクアップデート、2026年2月11日にドイツ競争当局がAmazonに罰金を科したニュースレターを発行している。
  • U.S. Chamber: EU's Digital Markets Act Prioritizes Regulation Over Innovation 2024年3月6日、米国商工会議所は、欧州連合のデジタル市場法(DMA)の3月7日施行を前に、「DMAはイノベーションよりも規制を優先している」との声明を発表した。この規制は競争を促進するのではなく管理することになり、将来の競合他社の出現を抑制する可能性があると指摘している。
  • The EU Digital Markets Act (VOSTEN) - European Union デジタル市場法(DMA)は、デジタル分野の市場をより公平で競争力のあるものにするためのEU法である。ゲートキーパーは、オンライン検索エンジン、アプリストア、メッセンジャーサービスなどのコアプラットフォームサービスを提供する大規模デジタルプラットフォームであり、DMAに記載された義務と禁止事項を遵守する必要がある。欧州委員会はDMAの唯一の執行機関である。2026年3月9日には、ゲートキーパーがDMA遵守に関する更新レポートを公開したというニュースが発表された。
  • The EU's Digital Markets Act and Digital Services Act - German Marshall Fund 欧州委員会は、DMAのレビューを2026年5月3日までに実施し、その後3年ごとに繰り返すことが義務付けられている。2024年3月25日には、Alphabet、Apple、Metaに対する不遵守の疑いに関する調査が開始された。2025年3月には、AlphabetのGoogle Playと検索における自己優遇に関する予備的調査結果が発表された。
  • EU Policy Update – March 2026 - centr.org 2026年3月3日、欧州委員会はCyber Resilience Act(CRA)のドラフトガイダンスに関する意見募集を開始した。このガイダンスは、デジタル要素を持つ製品に適用されるCRAの義務を製造業者や開発者が理解するのに役立つことを目的としている。また、欧州委員会は2026年3月18日に「EU Inc.」という新しい企業法的枠組みに関する規則案を公表し、欧州のスタートアップの成長を刺激し、資金調達を誘致することを目指している。
  • EU Digital Law 2026: An overview of the most important changes - Heuking 2026年には欧州のデジタル法が新たな段階に入り、AI規制は2026年8月2日から広範に適用される。E-evidence規制は2026年8月18日から直接適用され、電子証拠の取り扱いが根本的に変わる。データ法のコアデータアクセス義務は2026年9月から適用されるため、コネクテッド製品の製造業者は製品開発においてデータ法への対応を確保する必要がある。
  • Regulating Data: EU Data Act & More - March 2026 Edition 2026年3月3日、欧州委員会はCyber Resilience Act(CRA)のドラフトガイダンスに関する意見募集を公開した。このガイダンスは、デジタル要素を持つ製品にサイバーセキュリティ要件を定めるCRAの適用を企業が理解するのに役立つことを目的としている。意見募集は2026年3月31日まで開かれている。
  • デジタル市場法 - Wikipedia デジタル市場法(DMA)は、欧州のデジタル市場における競争を高度化することを目的としたEU規則であり、大企業の市場支配力の濫用を防ぎ、新規参入を可能にする。指定されたゲートキーパーの義務を定め、違反した場合には全世界売上高の10%を上限とする罰金などの制裁措置が講じられる。2022年11月1日に発効し、条文ごとに段階的に適用が開始されている。
  • 第9回日EUデジタル政策対話を開催しました - 経済産業省 2026年3月25日、経済産業省は欧州委員会通信ネットワーク・コンテンツ・技術総局とともに第9回日EUデジタル政策対話を実施した。AI、半導体、量子、オンラインプラットフォーム、データ、サイバーレジリエンスといった重要事項について活発な議論が行われ、今後の日EU間における協力の深化・具体化に向けて引き続き緊密に連携していくことを確認した。
  • Main Developments in Competition Law and Policy 2025 – European Union デジタル市場法(DMA)の義務は2024年3月からほとんどのゲートキーパーに適用された。2025年には欧州委員会による初の執行措置が実を結び、AppleとMetaがDMA違反で制裁を受けた。Appleはアプリ開発者がユーザーを直接購入チャネルに誘導するのを妨げたとして、Metaは「ペイ・オア・コンセント」購読モデルに関して制裁を受けた。
  • The Digital Services Act - Shaping Europe's digital future - European Union デジタルサービス法(DSA)は、オンライン環境を安全で信頼できるものにするためのEU法である。市場、ソーシャルメディアネットワーク、アプリストア、オンライン旅行・宿泊プラットフォームなどのオンラインサービスに適用される。DSAは市民の基本的権利の保護を強化し、オンラインプラットフォームや検索エンジンを利用する際に、より大きな管理と選択肢を提供する。DSAはデジタル市場法(DMA)によって補完される。
  • 欧州デジタル総合法案 - Rouse 2025年11月19日、欧州委員会は「デジタル総合法案(Digital Omnibus Package)」を正式に採択した。これは、デジタル経済に関する様々な規制を整理し直し、既存の法律の運用改善に重点を置く方針を示している。高リスクAIシステムのコンプライアンス要件の施行日を16ヶ月延期する提案も含まれている。
  • European Compliance Requirements 2026: Key Regulations and Implementation Steps 2026年には、EU AI Actの本格的な施行、Corporate Sustainability Due Diligence Directive (CSDDD)、および強制的なオンライン撤回ボタンなどの新しいデジタル消費者権利を含む、欧州のコンプライアンスが義務化される。高リスクAIシステムは、雇用決定、信用スコアリング、生体認証などの分野で使用されるものを含め、文書化、透明性、人間による監視の義務が課される。AI Actは2024年8月1日に発効し、禁止されているAIに関する規制は2025年2月2日から適用され、AI Actの広範な適用は2026年8月2日から、残りの特定の高リスクAI義務は2027年8月2日までに適用される。2026年は運用準備にとって極めて重要な年となる。データ法のコアデータアクセス義務は2026年9月12日から適用される。
  • Sixth meeting of the Digital Markets Act High-Level Group - European Union 2026年3月20日、デジタル市場法(DMA)ハイレベルグループはブリュッセルで第6回全体会議を成功裏に開催し、EUデジタル規制における協力の推進に焦点を当てた。会議では、DMAの執行措置と調査、特に人工知能(AI)とクラウドに関するもの、およびゲートキーパーに指定された企業に関する国家当局による他の規制措置の適用について意見交換が行われた。
  • Consultation on the first review of the Digital Markets Act - European Union 欧州委員会は、2026年5月3日までにDMAのレビューを実施することが義務付けられており、その後3年ごとに繰り返される。2025年7月3日には、DMAの最初のレビューに関する公開協議が開始され、利害関係者は2025年9月24日まで意見を提出できた。
  • 「EUデータ法」が施行 | 中小企業の未来をサポート MSコンパス 三井住友海上 2026年3月6日に公開された記事によると、EUの「Data Act(EUデータ法)」は2025年9月12日に施行された。本法は、IoT機器、スマート家電、自動車、産業用機械、医療機器、農業機械、建設機械、クラウドサービスなど、日常的な利用の中でデータを生成するコネクテッド製品およびそれらの関連サービスを対象としている。欧州域外企業であっても欧州域内でこれらを提供する場合は適用対象となる。対象企業は、自社製品やサービスの提供に際し、どのデータが本法規制対象となるかを明確にし、適切なデータの取扱いに係るシステム確立等を行った製品・サービスの設計が求められる。クラウドポータビリティ(第23条~第28条)に関しては、施行後1年~1年半後に適用が開始される予定である。
  • AI Act | Shaping Europe's digital future - European Union EU AI Actの禁止事項は2025年2月に発効した。高リスクAIに関する規則は2026年8月と2027年8月に発効する予定である。欧州委員会は2026年第2四半期に、AI Actの実施を支援するための主要文書を公開する予定である。
  • 【歐盟資安】歐盟數位產品CRA 強制通報義務將於2026 年9 月11 日正式實施 欧州のCyber Resilience Act(CRA)に基づく強制的な安全通報義務は、2026年9月11日からすべてのデジタル要素を持つ製品の製造業者に適用される。企業は、積極的に悪用されている脆弱性や重大なセキュリティインシデントを24時間以内に早期警告として、72時間以内に正式な完全通報として報告する必要がある。欧州ネットワーク・情報セキュリティ機関(ENISA)は、一元的な通報プラットフォーム(Single Reporting Platform, SRP)を開発しており、2026年9月11日に正式運用を開始する予定である。
  • 欧州(EU)が包括的プラットフォーム規制法(DMA/DSA)の対象を公表 | InfoComニューズレター デジタル市場法(DMA)は、プラットフォーム市場における市場支配力の濫用防止や、公平で公正な競争の確保などを目指している。デジタルサービス法(DSA)は、プラットフォーム市場における違法、不適切なコンテンツの排除や、適正なサービス提供の徹底などを意図した法律である。DMAとDSAは2023年から本格的な運用を開始し、規制対象となる具体的な事業者とサービス名が公表された。
  • 欧州委、デジタルサービス法に基づく初の不順守決定、Xに1億2000万ユーロの罰金(米国、EU) 2025年12月5日、欧州委員会はデジタルサービス法(DSA)に基づく透明性義務違反により、米国のX(旧Twitter)に対し1億2,000万ユーロの罰金を科した。違反事項には、「青いチェックマーク」の欺瞞的なデザイン、広告リポジトリの透明性欠如、研究者への公開データ提供義務の不履行が含まれる。これはDSAに基づく初の不遵守決定である。