Vantage Politics

欧州デジタル市場法（DMA）とサイバーレジリエンス法（CRA）の最新動向：テック企業法務担当者が注視すべき規制強化と戦略的対応

欧州デジタル市場法（DMA）施行2年：執行強化と課題の浮上

2026年3月11日、ユニバーシティ・カレッジ・ロンドン（UCL）法学部において「DMA施行2年：ゲートキーパー、不遵守、そしてレビューへの道」と題する議論が開催され、デジタル市場法（DMA）の執行状況が多角的に検討されました。この議論は、DMAの執行が指定段階から実際の違反調査へと移行している現状を浮き彫りにしています。

ゲートキーパーは2026年3月9日にDMA遵守に関する更新報告書を提出しており、その内容が注目されます。具体的な動きとして、2026年3月9日にはRenew欧州議会議員団が、Googleが2026年9月からAndroidデバイスにインストールされる全てのアプリに本人確認を義務付ける計画に対し、DMAに違反し、Googleエコシステム外のアプリ配布を制限する可能性があるとして欧州委員会に懸念を表明しました。また、2026年3月10日には、ドイツ連邦カルテル庁によるAmazonの価格統制メカニズムに関する判決を受け、欧州議会議員グループがAmazonに対するDMA不遵守調査の可能性について欧州委員会に質問を投げかけるなど、DMAの執行が活発化していることを示しています。

DMAの継続的なレビュープロセスも進行中です。2026年1月8日、欧州委員会はレビューに関する協議の要約と回答を公表し、DMAの目標への広範な支持を確認しました。この協議では、相互運用性、データアクセス、データポータビリティの強化、およびAIとクラウドサービスへのDMAの適用範囲拡大を求める声が多く聞かれました。一方で、ゲートキーパーはユーザーエクスペリエンスへの影響や比例性に関する懸念を表明しています。これらの評価は、欧州委員会が2026年5月3日までに提出を予定しているレビュー報告書に反映される見込みです。

サイバーレジリエンス法（CRA）の具体化：ガイダンス草案の発表とその影響

欧州連合（EU）のサイバーセキュリティ規制の枠組みも具体化が進んでいます。2026年3月3日、欧州委員会はサイバーレジリエンス法（CRA）の実践的な適用を支援するためのガイダンス草案を公開し、意見を募集しました。このガイダンスは、デジタル要素を持つ製品のサイバーセキュリティ要件を定めるCRAの目的を明確にし、その適用範囲、フリーおよびオープンソースソフトウェア（FOSS）の扱い、実質的な変更、サポート期間、報告義務などの主要な概念を詳述しています。フィードバック期間は2026年3月31日まででした。

CRAは、NIS2指令、DORA（デジタル運用レジリエンス法）、EU AI Actといった他の主要なEU規制と連携し、2026年中にその効力を発揮し始める予定です。これにより、ITセキュリティは従来の受動的な対応から、より戦略的なサイバーレジリエンスへのパラダイムシフトを迫られ、企業には継続的な組織的コンプライアンスの構築が求められることになります。

広がるEUのIT規制網：AI、データ、クラウドサービスへの適用拡大

DMAやCRAに加えて、EUのデジタル規制網はAI Act、デジタルサービス法（DSA）、EUデータ法、NIS2指令など、多岐にわたります。これらの規制は相互に関連し、テック企業に複合的な影響を与え、コンプライアンスの複雑化を招いています。2025年から2026年にかけて、AI Act、DMA、DSAの執行は大幅に強化され、既に多額の罰金が科される事例も確認されています。

AIとクラウドサービスへの規制適用拡大の具体的な動きも顕著です。欧州委員会は2025年12月9日、GoogleがウェブパブリッシャーやYouTubeのコンテンツをAI目的で利用する行為について、適切な補償やオプトアウトの選択肢なしに行われているとして、EU競争法違反の可能性に関する正式な独占禁止法調査を開始しました。さらに、2026年1月27日には、Googleに対し、Android OSにおける第三者開発者への無償かつ効果的な相互運用性提供義務（特にAIサービス関連）と、Google検索データへの競合検索エンジン提供者への公正、合理的かつ非差別的な（FRAND）アクセス義務に関するDMA遵守を支援するための特定手続を開始しています。クラウドコンピューティングサービスに関しても、欧州委員会はDMAに基づき、特にAWSとAzureが企業と消費者の間の重要なゲートウェイとして機能するかどうかを評価するための市場調査を開始しており、これらのサービスが将来的にゲートキーパーに指定される可能性が示唆されています。EUデータ法は2025年9月12日に施行され、データ共有を促進し、大企業へのデータ集中に対処することを目的としており、コネクテッド製品やサービスから生成されるデータに特化したルールが定められています。

テック企業法務担当者が注視すべき今後の動向と戦略的対応

欧州におけるIT規制は、もはや単なる技術的な問題にとどまらず、企業の経営ガバナンスにおける重要な課題へと変容しています。前述のDMAレビュー報告書の提出予定や、2026年3月10日に欧州中央銀行（ECB）がEU委員会の「デジタルオムニバス」提案に関する意見を公表し、データ法におけるG2B/B2Gデータ共有の簡素化を含む修正案に焦点を当てたことなど、規制環境は引き続き進化しています。

テック企業の法務担当者は、複数の規制フレームワークにわたる継続的なコンプライアンス体制を構築し、各規制の差異や相互関係を構造的に理解することが不可欠です。これらの規制動向を戦略的に捉え、自社の事業活動への影響を評価し、適切な対応策を講じることで、将来的なリスクを軽減し、競争優位性を維持することが求められます。

Reference / エビデンス

Two Years of the DMA in Action: Gatekeepers, Non‑Compliance and the Road to Review | Faculty of Laws - University College London 2026年3月11日、UCL法学部で「DMA施行2年：ゲートキーパー、不遵守、そしてレビューへの道」と題する議論が開催され、DMAの執行状況、不遵守調査、データ利用、アプリストアアクセス、相互運用性に関する課題、およびDMAの地政学的文脈が検討された。
The EU Digital Markets Act (VOSTEN) - European Union ゲートキーパーは2026年3月9日にDMA遵守に関する更新報告書を提出した。
Sixth meeting of the Digital Markets Act High-Level Group - European Union 2026年3月20日、デジタル市場法ハイレベルグループの第6回会合が開催され、EUデジタル規制における協力推進、DMA執行措置、およびAIとクラウドに焦点を当てた調査について議論された。
DSA Enforcement, AI Act & Safety & DMA Compliance - Insights by Policy-Insider.AI 2026年3月9日、Renew欧州議会議員団は、Googleが2026年9月からAndroidデバイスにインストールされる全てのアプリに本人確認を義務付ける計画について、DMAに違反し、Googleエコシステム外のアプリ配布を制限する可能性があるとして欧州委員会に懸念を表明した。
DSA Enforcement, AI Act & Safety & DMA Compliance - Insights by Policy-Insider.AI 2026年3月10日、ドイツ連邦カルテル庁によるAmazonの価格統制メカニズムに関する判決を受け、欧州議会議員グループがAmazonに対するDMA不遵守調査の可能性について欧州委員会に質問した。
Enforcement of the Digital Markets Act | O-000016/2026 | European Parliament 2026年3月27日、欧州議会はDMAの執行について、市場開放における実質的な成果、調査の長期化、AI駆動型サービスやクラウドインフラへの適用、および欧州委員会のリソースの適切性に関して質問を提出した。
Commission publishes summary and responses to the consultation on the ongoing review of the Digital Markets Act - European Union 2026年1月8日、欧州委員会はDMAの継続的なレビューに関する協議の要約と回答を公表した。回答はDMAの目標への広範な支持を示し、相互運用性、データアクセス、データポータビリティの強化、およびAIとクラウドサービスへのDMAの適用範囲拡大を求める声があった。ゲートキーパーはユーザーエクスペリエンスへの影響や比例性に関する懸念を表明した。これらの評価は2026年5月3日までに提出される欧州委員会のレビュー報告書に反映される予定である。
Regulating Data: EU Data Act & More - March 2026 Edition 2026年3月3日、欧州委員会はサイバーレジリエンス法（CRA）の実践的な適用を支援するためのガイダンス草案を公開し、フィードバックを募集した。このガイダンスは、適用範囲、フリーおよびオープンソースソフトウェアの扱い、実質的な変更、サポート期間、報告義務などの主要な概念を明確にすることを目的としており、フィードバック期間は2026年3月31日までであった。
IT Regulations: Which IT laws should you be aware of in 2026? - it-sa 365 2026年には、NIS2指令、DORA、サイバーレジリエンス法（CRA）、EU AI Actなど、多くの主要なEU規制が移行期間を終え、全面的に施行されるか、その効力を発揮し始める。これは、受動的なITセキュリティから戦略的なサイバーレジリエンスへのパラダイムシフトを示し、企業にとって継続的な組織的コンプライアンスが求められる。
What the EU AI Act, DMA and DSA Mean for Software Companies in 2026 - SoftwareSeni EU AI ActのハイリスクAIシステムに関する義務は2026年8月2日に施行される予定である。この期限を2027年12月に延期する「デジタルオムニバス」法案は、2026年3月時点では採択されておらず、元の期限が適用される。
「EUデータ法」が施行 | 中小企業の未来をサポート MSコンパス三井住友海上 EUデータ法は2025年9月12日に施行され、データ共有を促進し、大企業へのデータ集中に対処することを目的としている。コネクテッド製品やサービスから生成されるデータに特化したルールが定められている。
What the EU AI Act, DMA and DSA Mean for Software Companies in 2026 - SoftwareSeni 2025年から2026年にかけて、AI Act、DMA、デジタルサービス法（DSA）の執行が大幅に強化され、すでに多額の罰金が科されている。
EU digital chief warns of 'weaponised' reliance on foreign tech - Brussels Signal 2026年3月31日、EUデジタル担当幹部のヘンナ・ヴィルックネン氏は、欧州の外国製テクノロジー企業への依存が「武器化される」可能性を警告し、重要なデータには国産サービスをより多く利用するよう促した。また、EUのデジタルルールを米国と交渉することなく、EUが自ら決定する主権的権利を主張した。
欧州委、デジタル市場法違反のメタの対応と、グーグルの独占禁止法違反の調査開始を発表(米国、EU) | ビジネス短信 - ジェトロ欧州委員会は2025年12月9日、GoogleがウェブパブリッシャーやYouTubeのコンテンツをAI目的で利用する行為が、適切な補償やオプトアウトの選択肢なしに行われているとして、EU競争法違反の可能性について正式な独占禁止法調査を開始した。
2026年3月 - 公正取引委員会欧州委員会は2026年1月27日、Googleに対し、Android OSにおける第三者開発者への無償かつ効果的な相互運用性提供義務（特にAIサービス関連）と、Google検索データへの競合検索エンジン提供者への公正、合理的かつ非差別的な（FRAND）アクセス義務に関するDMA遵守を支援するための特定手続を開始した。
欧州委、デジタル市場法に基づきクラウドコンピューティングサービスに関する市場調査を開始(米国、EU) | ビジネス短信 ―ジェトロの海外ニュース欧州委員会は、DMAに基づき、クラウドコンピューティングサービス（特にAWSとAzure）が企業と消費者の間の重要なゲートウェイとして機能するかどうかを評価するための市場調査を開始した。これにより、これらのサービスが将来的にゲートキーパーに指定される可能性がある。
EU Policy Update – March 2026 - centr.org 2026年3月10日、欧州中央銀行（ECB）は、EU委員会の「デジタルオムニバス」提案に関する意見を公表し、データ法におけるG2B/B2Gデータ共有の簡素化を含む修正案に焦点を当てた。