Vantage Politics

欧州：デジタル市場法（DMA）等のIT規制とガバナンスの最新動向（2026年3月26日時点）

2026年3月26日、欧州連合（EU）はデジタル経済における公正性、競争、安全性、そしてイノベーションを確保するため、多岐にわたるデジタル規制の執行と新たな枠組みの構築を精力的に進めています。デジタル市場法（DMA）やデジタルサービス法（DSA）といった主要な法律の執行状況から、データ法、サイバーセキュリティ関連法、そしてAI規制に至るまで、欧州のデジタル政策は企業活動に大きな影響を与え続けています。本記事では、本日時点における欧州のデジタル規制の全体像と、各規制の具体的な進展、企業への影響、および今後の展望について詳細に分析します。

デジタル市場法（DMA）の最新動向と執行状況

デジタル市場法（DMA）は、巨大なオンラインプラットフォームである「ゲートキーパー」の市場支配力を抑制し、公正な競争環境を促進することを目的としています。2026年3月26日現在、DMAの執行は活発に進められており、ゲートキーパー企業はコンプライアンス義務の遵守に追われています。

特に注目すべきは、3月20日に開催された第6回DMAハイレベルグループ会合です。この会合では、DMAの執行状況と今後の課題について議論が交わされました。また、3月9日には、指定されたゲートキーパー企業がDMA遵守に関する最新の報告書を公表しました。これらの報告書は、ゲートキーパーがDMAの義務にどのように対応しているかを示すものであり、欧州委員会はこれらの報告を厳しく精査しています。欧州委員会は過去2年間で、米国の大手テクノロジー企業に対し70億ドル以上の罰金を科しており、DMAの遵守を強く求めています。

さらに、3月27日には欧州議会議員（MEP）がDMA執行の適時性と有効性を精査する予定であり、DMAの運用に対する政治的な監視も強化されています。DMAは、ゲートキーパーが自社サービスを優遇したり、競合他社のサービスを不当に制限したりすることを禁じており、違反企業には巨額の罰金が科される可能性があります。

デジタルサービス法（DSA）の執行と課題

デジタルサービス法（DSA）は、オンラインプラットフォーム上の違法コンテンツや有害コンテンツに対処し、ユーザーの権利を保護することを目的としています。2026年3月26日、欧州委員会はDSAの執行において重要な一歩を踏み出しました。

本日、欧州委員会は、大手アダルトコンテンツプラットフォームであるPornhub、Stripchat、XNXX、XVideosに対し、未成年者保護に関するDSA違反の疑いで予備的な認定を行いました。これは、これらのプラットフォームが未成年者へのアクセス制限や有害コンテンツの拡散防止において十分な措置を講じていない可能性を示唆しています。DSAは、特に未成年者をオンライン上のリスクから保護するための厳格な義務をプラットフォームに課しています。

また、DSAの執行を巡っては、米国から「検閲」であるとの批判も上がっていますが、欧州委員会は3月31日にこれらの疑惑を否定する声明を発表する予定です。欧州委員会は、DSAが言論の自由を尊重しつつ、オンライン上の安全性を確保するためのバランスの取れた枠組みであると主張しています。

EUデータ法（Data Act）の施行と企業への影響

EUデータ法（Data Act）は、コネクテッド製品から生成されるデータの公正なアクセスと利用を促進し、データ経済における競争とイノベーションを活性化することを目的としています。この法律は2025年9月12日に施行されており、企業はデータの共有とアクセスに関する新たな義務に直面しています。

2026年3月6日には、三井住友海上が「EUデータ法」が施行されたと報じ、企業がこの新たな規制にどのように対応すべきかについて注意を喚起しました。本日3月26日には、PwCがData Act対応支援について言及しており、企業がデータ共有の義務、データアクセス権、および契約条件の見直しなど、多岐にわたるコンプライアンス要件を満たすためのサポートを提供していることが示されています。企業は、製品やサービスから生成されるデータの取り扱いについて、新たな法的枠組みに沿った戦略を策定する必要があります。

サイバーセキュリティ関連法（CRA, NIS2, DORA）の進展

欧州では、デジタル化の進展に伴いサイバーセキュリティの脅威が増大していることを受け、サイバーレジリエンス法（CRA）、NIS2指令、およびDORA（デジタルオペレーショナルレジリエンス法）といった一連のサイバーセキュリティ関連法が強化されています。

サイバーレジリエンス法（CRA）は、デジタル製品のセキュリティを強化し、サプライチェーン全体のリスクを低減することを目的としています。CRAにおける強制通報義務は、2026年9月11日から正式に実施される予定です。これにより、デジタル製品の製造業者や輸入業者は、セキュリティインシデントが発生した場合、当局への通報が義務付けられます。3月30日には、CRAの強制通報義務に関する詳細な記事が公開される予定であり、企業はこれらの義務を理解し、適切な対応策を講じる必要があります。

NIS2指令は、重要インフラ事業者やデジタルサービスプロバイダーのサイバーセキュリティ要件を強化し、インシデント報告義務を拡大するものです。また、DORAは金融セクターにおけるデジタルオペレーショナルレジリエンスを向上させることを目的としており、金融機関はITリスク管理とインシデント対応能力を強化することが求められています。これらの規制は、欧州で事業を展開する企業に対し、包括的なサイバーセキュリティ対策の導入を促しています。

その他のデジタル規制とガバナンスの取り組み

欧州は、DMA、DSA、データ法、サイバーセキュリティ関連法に加えて、人工知能（AI）やデジタル公平性など、新たな技術分野における規制とガバナンスの枠組みも積極的に構築しています。

AI Act（AI法）は、AIシステムのリスクベースアプローチに基づき、高リスクAIの厳格な規制を導入する世界初の包括的なAI規制です。この法律は、AIの信頼性と安全性を確保しつつ、イノベーションを促進することを目指しています。

また、3月31日には、マクグラス委員がDigital Fairness Actについて言及する予定であり、デジタルプラットフォームにおける消費者保護と公正な取引慣行の確保に向けた議論が進められています。

さらに、3月18日には「EU Inc.」が発表されました。これは、欧州連合内でのビジネスをより容易にするための取り組みであり、単一市場の統合を深化させることを目的としています。欧州委員会はまた、デジタル接続性を支援するためのデジタル・ネットワーク法案も発表しており、2030年までの消費者政策の方針も示しています。これらの多岐にわたる規制とガバナンスの取り組みは、欧州がデジタル時代の課題に対応し、持続可能で公正なデジタル社会を構築しようとする強い意志を示しています。