欧州のデジタル市場法(DMA)と関連IT規制の最新動向(2026年3月)

2026年3月28日、欧州連合(EU)におけるデジタル市場法(DMA)および関連するIT規制は、その本格的な適用に向けて重要な局面を迎えています。特に、巨大IT企業を「ゲートキーパー」と指定し、公正な競争環境の実現を目指すDMAの施行状況、そしてAI技術の健全な発展を促すEU AI Actの本格適用に向けた動きが注目されています。本稿では、2026年3月26日から3月30日までの期間に発表された主要なニュースや動向を基に、これらの規制の最新状況を詳報します。

デジタル市場法(DMA)の施行とゲートキーパーの遵守状況

欧州のデジタル市場における公正な競争を促進することを目的とするデジタル市場法(DMA)は、2023年から段階的に適用が進められており、2026年3月もその遵守状況が厳しく監視されています。DMAは、EU域内で年間売上75億ユーロ以上または時価総額750億ユーロ以上、月間ユーザー数4,500万人以上、年間法人ユーザー1万社以上、かつ同じ中核サービスを3年以上提供している企業を「ゲートキーパー」と定義し、Google(Alphabet)、Apple、Amazon、Meta、Microsoftなどが指定されています。

ゲートキーパー企業は、DMAの義務を遵守するために様々な対応を迫られています。例えば、AppleはApp Storeの独占的構造がDMA違反の可能性があるとして、iOSにおける外部ストアの許可や外部決済手段の導入を進めています。 しかし、AppleはDMAがEU域内のユーザー体験を悪化させ、新たなリスクにさらしているとの見解を示しており、機能提供の遅れやプライバシー・セキュリティへの新たな脅威を懸念しています。

欧州委員会は、DMAの義務違反に対して厳しい罰則を設けており、違反企業には全世界年間売上高の最大10%の罰金が科される可能性があります。 2025年4月には、AppleがDMA上のアンチステアリング義務に違反したとして5億ユーロの制裁金が、Metaが個人データの使用に関する義務に違反したとして2億ユーロの制裁金が賦課されるなど、既に具体的な執行が行われています。 また、欧州委員会は2025年3月19日、Appleに対し、iOSで使用される9つの接続機能に関して、スマートウォッチやヘッドフォンなどの他社製デバイスとの連携強化を義務付ける2つの決定を採択しました。これにより、iPhoneとの相互運用性が向上し、データ転送の高速化やデバイスのセットアップが容易になることが期待されています。

Google(Alphabet)に対しても、欧州委員会はDMAに基づく調査を進めています。2025年3月19日には、Google検索が自社サービスを競合他社より優遇している可能性や、Google Playがアプリ開発者の他の購入チャネルへの誘導を技術的に妨げている可能性について、予備的調査結果を送付しました。 さらに、2026年3月20日には、DMAハイレベルグループの第6回会合が開催され、DMAの最新動向が議論されました。 また、3月9日にはゲートキーパー企業がDMA遵守に関する最新の報告書を公表しています。

EU AI Actの本格適用に向けた動きと企業への影響

世界初の包括的なAI規制法であるEU AI Actは、2024年8月1日に施行され、2026年8月2日には多くの規定が本格的に適用される予定です。 この規制は、AIシステムをリスクの程度に応じて「許容できないリスク」「ハイリスク」「透明性が必要なリスク」「最小リスク」の4つに分類し、リスクが高いAIシステムにはより厳格な要件を課す「リスクベースアプローチ」を採用しています。

特に「ハイリスクAIシステム」に対する規制は厳しく、データガバナンス、透明性、文書化、人間の監督、堅牢性に関する詳細な要件が含まれます。 例えば、重要インフラ、教育、雇用、法執行、社会保障などの分野で使用されるAIシステムがこれに該当します。 ただし、欧州委員会は2025年11月19日、高リスクAIシステムに関する規則の適用時期を最長16カ月延期し、2027年12月までとする方針を発表しました。これは、標準化された技術仕様やガイダンスの整備に時間を要するためとされています。

EU AI Actは、EU域内に拠点を持たない日本企業にも適用される可能性があります。EU域内でAIシステムを上市する、またはEU域内で利用されるアウトプットの生成過程でAIシステムを利用するプロバイダーは、本規制の対象となります。 違反した場合には、最大で3,500万ユーロまたは年間世界売上高の7%という高額な制裁金が科される可能性があります。

日本企業は、2026年8月2日の本格適用に向けて、AIガバナンス体制の構築を急ぐ必要があります。具体的には、自社が開発・提供・利用するAIシステムがEU AI Actの適用対象となるか、どのリスクカテゴリに分類されるかを分析し、透明性、リスク分類、文書化、教育といった対応の柱を整備することが求められます。 汎用目的型AIモデル(GPAIモデル)についても、プロバイダーはモデルに関する仕様書等の最新化や適切な情報提供の実施など、透明性を高める義務が課せられます。

その他の欧州IT規制の進展

DMAやEU AI Act以外にも、欧州ではサイバーセキュリティに関する新たな規制の整備が進んでいます。欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)は、デジタル要素を含む製品のサイバーセキュリティ確保を製造者に義務付ける規則であり、2024年12月10日に発効しました。

CRAは段階的に適用され、2026年9月11日からは脆弱性およびインシデント報告義務に関する部分が適用開始となります。 そして、2027年12月11日からはCRAが全面的に適用され、CEマークの取得がない製品は欧州市場で販売できなくなります。 CRAの対象となるのは、PC、スマートフォン、スマート家電、産業IoT機器、さらにはアプリストア経由でダウンロードされるソフトウェアなど、ネットワークに接続されるあらゆるデジタル要素を含む製品です。

製造業者は、CRAに準拠するために、製品のライフサイクル全体にわたるセキュリティ要件の実装、脆弱性の管理、インシデント報告、サプライチェーンにおけるデューディリジェンスの実施などが求められます。 また、製品が重要製品またはクリティカル製品に分類される場合、第三者の認証機関による適合性評価が必要となる場合があります。 2026年3月16日には、CRAの整合規格策定が佳境を迎え、IEC 62443がCRA適合版(A11:2026)へ進化し、自動更新機能や技術文書の根拠記述が強化されるなど、最新動向が報じられています。

Reference / エビデンス

関連記事