2026年3月における欧州のデジタル市場法(DMA)等IT規制とガバナンスの最新動向

2026年3月23日、欧州連合(EU)におけるデジタル経済の規制環境は、デジタル市場法(DMA)、デジタルサービス法(DSA)、そしてAI Actといった主要なIT規制の適用と執行、関連する議論が活発化する中で、新たな局面を迎えています。これらの動向は、デジタル経済に携わる企業のガバナンスとコンプライアンス戦略に不可欠な情報を提供しています。

特に、DMAによる「ゲートキーパー」企業への義務、DSAによるオンラインコンテンツの規制強化、そしてAI Actの段階的な施行と高リスクAIシステムへの対応は、企業が欧州市場で事業を展開する上で避けて通れない課題となっています。本稿では、2026年3月21日から3月25日の期間に焦点を当て、これらの規制の最新動向と企業への影響について詳述します。

デジタル市場法(DMA)の最新動向と執行

2026年3月21日から25日の期間において、デジタル市場法(DMA)の執行状況とゲートキーパー企業に課される義務に関する議論は引き続き活発です。欧州委員会は、DMAの円滑な実施と執行を監督するため、デジタル市場法ハイレベルグループの第6回会合を開催しました。この会合では、DMAの適用に関する具体的な課題や、今後の執行戦略について意見交換が行われたと見られます。

DMAは、特定の巨大オンラインプラットフォームを「ゲートキーパー」として指定し、市場の公平性を確保するための厳格な義務を課しています。これには、自社サービスを優遇することの禁止や、ユーザーデータの利用に関する透明性の確保などが含まれます。欧州議会では、AI駆動型サービスやクラウドインフラへのDMA適用に関する議論が進められており、DMAの適用範囲が拡大する可能性が示唆されています。また、DMAと一般データ保護規則(GDPR)の相互作用に関するガイドラインの策定も、企業が両規制に効果的に対応するための重要な要素として注目されています。これらの動向は、ゲートキーパー企業だけでなく、そのエコシステムに関わるすべての企業にとって、コンプライアンス体制の見直しを迫るものとなっています。

デジタルサービス法(DSA)の進展と課題

デジタルサービス法(DSA)は、オンラインプラットフォームにおける違法コンテンツの拡散防止とユーザー保護を目的としており、2026年3月21日から25日の期間においてもその執行と課題が注目されています。DSAは、特に未成年者保護の強化と違法コンテンツへの迅速な対応をプラットフォームに義務付けています。これには、リスク評価の実施、透明性報告書の提出、そしてユーザーが違法コンテンツを報告するためのメカニズムの提供などが含まれます。

欧州委員会は、DSAの義務を遵守しないプラットフォームに対して、厳格な措置を講じる姿勢を明確にしています。特定のプラットフォームに対する違反認定の可能性も常に存在し、企業はDSAの要件を確実に満たすための体制を構築する必要があります。また、DSAは中小企業にも影響を及ぼす可能性があり、特にプラットフォームの透明性義務やコンテンツモデレーションに関する要件は、規模の大小にかかわらず、オンラインサービス提供者にとって重要な課題となっています。

AI Actの施行状況とガバナンス

欧州のAI Actは、AI技術の信頼性と安全性を確保するための画期的な規制として、2026年3月21日から25日の期間においてもその施行状況とAIガバナンスの枠組みが注目されています。AI Actは段階的な適用スケジュールが設定されており、特に「高リスクAIシステム」に対する規制は厳格です。高リスクAIシステムとは、人々の安全や基本的権利に重大な影響を与える可能性のあるAIシステムを指し、これらには厳格な適合性評価、リスク管理システム、データガバナンスの要件が課されます。

欧州議会では、AI Actの改正案に関する議論が継続しており、その執行体制の強化が図られています。また、AIガバナンスの専門家ワーキンググループが発足し、AI Actの具体的な実施に向けた専門的な知見が共有されています。教育分野におけるAI利用に関するガイドラインの策定も進められており、AI技術の倫理的かつ責任ある利用を促進するための取り組みが多岐にわたっています。欧州データ保護監督機関(EDPS)は、AI Actの執行体制について、データ保護の観点からの見解を表明しており、AIシステムの開発・展開におけるプライバシー保護の重要性を強調しています。企業は、AI Actの適用タイムラインを正確に把握し、高リスクAIシステムに該当する場合には、早期にコンプライアンス体制を確立することが求められます。

その他の主要なEU IT規制と企業への影響

2026年3月21日から25日の期間において、欧州ではDMA、DSA、AI Act以外にも、NIS2指令、サイバーレジリエンス法(CRA)、EUデータ法、そしてフィンテック関連規制など、多岐にわたるIT規制の動向が企業に大きな影響を与えています。

NIS2指令は、重要インフラおよびデジタルサービスプロバイダーに対するサイバーセキュリティ要件を強化するものであり、企業は新たなサイバーセキュリティ義務への対応が急務となっています。これには、リスク管理措置の導入、インシデント報告義務、サプライチェーンセキュリティの強化などが含まれます。サイバーレジリエンス法(CRA)は、デジタル製品のセキュリティを向上させることを目的としており、製品の設計段階からライフサイクル全体にわたるサイバーセキュリティ要件を課しています。これにより、ハードウェアおよびソフトウェア製品を提供する企業は、製品開発プロセス全体を見直す必要が生じています。

EUデータ法は、データ共有と活用に関する新たなルールを確立し、企業が生成するデータのアクセスと利用を促進することを目的としています。これにより、企業はデータの相互運用性やデータポータビリティに関する新たな義務に直面し、データ戦略の再構築が求められます。また、フィンテック分野では、デジタル金融サービスに関する包括的な規制が導入されており、決済サービスプロバイダーや暗号資産サービスプロバイダーは、新たなライセンス要件や消費者保護義務への対応が不可欠となっています。これらの規制は、欧州市場で事業を展開するすべての企業に対し、包括的なコンプライアンス戦略とガバナンス体制の構築を促しています。

Reference / エビデンス

関連記事