Vantage Politics欧州のデジタル市場法(DMA)と関連IT規制、ガバナンスの最新動向(2026年3月30日時点)
2026年3月30日、欧州連合(EU)におけるデジタル政策は、企業活動に与える影響を一層強めている。デジタル市場法(DMA)やデジタルサービス法(DSA)の本格適用に加え、AI法、データ法、サイバーセキュリティ関連法といった一連のIT規制が、欧州域内のみならず、グローバル企業、特に日本企業にも具体的な対応を迫っている。本稿では、これらの規制の最新動向と、企業が取るべき対応策について詳述する。
デジタル市場法(DMA)とデジタルサービス法(DSA)の適用と影響
欧州連合(EU)は、デジタル市場における公正な競争とユーザー保護を目的としたデジタル市場法(DMA)およびデジタルサービス法(DSA)の適用を本格化させている。DMAは2022年11月1日に施行され、2023年9月にはAlphabet(Google)、Amazon、Apple、ByteDance、Meta、Microsoftの6社が「ゲートキーパー」に指定された。その後、2024年5月にはBooking.comを運営するブッキング・ホールディングスが追加され、現在7社がゲートキーパーとして多くの義務と禁止事項の遵守を求められている。
ゲートキーパーに指定された企業は、自社サービスと第三者サービスの相互運用性の確保、ビジネスユーザーへのデータアクセス提供、広告主や出版社への広告検証ツールの提供、プラットフォーム外でのオファー宣伝の許可など、多岐にわたる義務を負う。 これらの規制は、AppleのApp StoreやiOS、MetaのFacebook、Instagram、WhatsAppといった中核プラットフォームサービスに直接的な影響を与え、ビジネスモデルの変更を余儀なくされている。
DMA違反に対する制裁は厳しく、初回違反で全世界売上高の最大10%、再犯時には最大20%の制裁金が科される可能性がある。 継続的な違反の場合には、事業の分割命令もあり得るため、ゲートキーパー企業は対応を急いでいる。 これらの規制は、EU域内の競争環境を活性化させ、ユーザー体験の向上に寄与すると期待されている一方で、巨大IT企業にとっては新たなビジネス戦略の再構築が不可欠となっている。
一方、DSAはオンライン上の違法コンテンツの排除や適正なサービス提供、透明性の確保を目的としており、特に月間平均4,500万人以上の域内利用者を有する「非常に大規模なオンラインプラットフォーム(VLOP)」事業者には、偽情報を含む違法で有害なコンテンツの拡散に対するより厳しい対応が求められている。 危機対応メカニズムも導入されており、欧州委員会はVLOP事業者に対し、危機の影響を防止・排除・制限するための措置を求めることができる。
EU AI法の進捗と企業への要件
EU AI法は、AIに関する世界初の包括的な法的枠組みとして、2024年8月1日に発効した。 多くの規定は2026年8月2日に本格適用される予定であり、企業は準備を終えておくべき期限が迫っている。 この規制は、EU域内にAIシステムやAI搭載サービスを提供する日本企業にも適用されるため、他人事ではない。
AI法は、AIシステムをリスクの程度に応じて「許容できないリスク」「ハイリスク」「透明性のリスク」「最小リスク」の4つのカテゴリに分類し、リスクが高いほど厳格な要件を課す「リスクベースアプローチ」を採用している。 特に「ハイリスクAIシステム」は主な規制対象であり、医療機器や自動車などの既存規制下の製品に組み込まれるAIや、生体認証、重要インフラ管理、教育・雇用関連などのユースケースにおけるAIが該当する。
ハイリスクAIシステムのプロバイダーには、上市前にEU管理下のデータベースへの登録が義務付けられるほか、品質管理システムの整備、適合性評価の実施、透明性要件の遵守などが求められる。 適合性評価は、特定の条件下でセルフアセスメントが認められるものの、法的要件が求められる場合は第三者評価が必要となる。 また、汎用目的AI(GPAI)モデルに関する義務は2025年8月から既に適用が始まっている。
日本企業は、自社が開発・提供・利用するプロダクトやサービスがEU AI法の適用対象となるか、どのリスクに分類されるかを分析し、2026年8月2日の本格適用に向けて、法務と開発部門が連携して対応を進める必要がある。 違反した場合、最大で3,500万ユーロまたは年間世界売上高の7%という高額な罰金が科される可能性があるため、早期の対応が不可欠だ。
EUデータ法とデータガバナンスの強化
EUデータ法(Data Act)は、2025年9月12日に施行され、一部の規定は2026年と2027年にかけて段階的に導入される。 この法律は、IoT製品やクラウドサービスから生成されるデータの取り扱いルールを定め、欧州域内でのデータ活用を促進し、産業競争力強化を目指す「欧州デジタル戦略」を具体化するものである。
データ法は、IoT機器、スマート家電、自動車、産業用機械、医療機器、農業機械、建設機械、クラウドサービスなど、日常的な利用の中でデータを生成するコネクテッド製品および関連サービスを対象とする。 欧州域外企業であっても、欧州域内でこれらの製品やサービスを提供する場合は適用対象となる。 本法では、特定の大企業に集中しがちなIoT製品やクラウドサービスから得られるデータを、中小企業も利用しやすくすることで、イノベーションや産業発展を阻害する問題を解消することを狙っている。
主な規定として、利用者にコネクテッド製品や関連サービスのデータを共有できるようにすること、利用者からの要請に応じてデータを第三者に提供できるようにすること、データ保持者とデータ受領者間でデータ提供に関する契約を取り決めることなどが挙げられる。 また、クラウドサービスの相互運用性・切替容易性の改善も目的とされている。 違反した場合、最大2,000万ユーロまたは全世界売上高の4%の制裁金が想定されている。
データ主権の強化もデータ法の重要な側面であり、データが保存されている国の法律や規制に従うという概念が強調されている。 中小企業は、自社製品やサービスで生成されるデータが規制対象となるかを明確にし、適切なデータ取り扱いシステムを確立する必要がある。 データ形式やAPIの標準化については、欧州標準化機関等が今後策定を進めることが公表されている。
サイバーセキュリティ規制(NIS2指令、CRA)の最新動向
欧州では、サイバーセキュリティを強化するための規制として、NIS2指令(改正ネットワーク及び情報システム指令)とCRA(EUサイバーレジリエンス法)が導入されている。NIS2指令は、重要インフラの運営組織やデジタル事業者に対し、高度なサイバーセキュリティ対策を義務付けるもので、2023年に発効した。
一方、CRAは、デジタル要素を持つ製品のサイバーセキュリティ確保を製造業者に義務付ける規則であり、2024年12月10日に発効した。 主要な規定の適用は2027年12月11日からだが、脆弱性およびインシデント報告義務に関する部分は2026年9月11日から適用が開始される。
CRAの対象となる「デジタル要素を含む製品」は非常に広範で、ハードウェアだけでなく単体のソフトウェアも含まれる。 ネットワーク接続機能を持つ全ての製品が原則として対象となり、PC、スマートフォン、スマート家電、産業IoT機器、アプリストア経由でダウンロードするソフトウェアなどが含まれる。 ただし、医療機器や自動車など、既に専門の規制が存在する分野はCRAの適用外となる。
製造業者には、製品の設計段階からのセキュリティ対策(セキュリティ・バイ・デザイン)、脆弱性管理、適合性評価の実施、技術文書の作成と管理、CEマーキングの実施などが求められる。 特に、積極的に悪用された脆弱性や重大なインシデントを認識した場合、製造業者は24時間以内に早期警告通知、72時間以内に脆弱性またはインシデント通知、そして最終報告書を提出する義務がある。 この報告要件は、2027年12月11日以前に上市された製品にも適用されるため、日本企業は早期の備えが不可欠だ。
日本企業がCRAに対応する上で、「適合性の推定」という仕組みの活用が推奨されている。 整合規格(hEN)などを適用することでCRAの規制要件を満たしていると法的にみなされ、市場監視当局とのやり取りにおいて証拠提示の責任が当局側に移るため、EU域内での流通が容易になる。 現在、CEN、CENELEC、ETSIなどの標準化機関が43件の規格策定を進めており、これらの整合規格をいかに活用するかが実務上のポイントとなる。
デジタル・ネットワーク法案(DNA)と接続性インフラ
欧州委員会は2026年1月21日、EUにおける通信・接続ネットワーク分野の規制を近代化・簡素化・調和させることを目的とした「デジタル・ネットワーク法案(Digital Networks Act:DNA)」を発表した。 この法案は、従来の電気通信規制枠組である「欧州電子通信コード(EECC)」を刷新し、AIやクラウドといった革新的技術の前提となる高度な通信網への投資促進を図るものだ。
DNAの主な目的は、接続性に関する単一市場の強化、高度な接続ネットワークへの移行、規制の簡素化と投資促進、安全で強靭性のある接続の確保、そして革新的なサービスにおけるネット中立性の保護である。 特に、通信事業者がいずれかの加盟国で登録すればEU全域で事業展開が可能となる仕組みの導入や、EUレベルの周波数割当枠組の構築による汎欧州的衛星通信サービスの創出が提案されている。
また、DNAは2030年から2035年にかけて銅線ネットワークを段階的に廃止し、高度ネットワークへの移行を促進するため、加盟国に対し2029年までに国家計画を提出するよう義務付けている。 企業が投資とイノベーションに注力できるよう、行政上の負担や報告義務の軽減も図られる。
さらに、DNAはネットワークの安全性とレジリエンスの強化のため、接続性エコシステムにおける依存関係を制限し、EUレベルでの協力を促進する。 自然災害や外国からのネットワーク干渉を含む危機リスクの高まりに対処するためのEUレベルの準備計画も導入される。 この法案は今後、欧州議会とEU理事会で審議され、最終的に欧州電子通信コード、BEREC規則、電波政策プログラム、およびオープンインターネット規則の4つの法律を置き換えて、直接適用可能な1つの規則に統合される予定だ。
Reference / エビデンス
- The Digital Services Act - Shaping Europe's digital future - European Union
- 欧州(EU)が包括的プラットフォーム規制法(DMA/DSA)の対象を公表 | InfoComニューズレター
- 欧州議会、オンラインプラットフォーム規制のデジタル市場法案とデジタルサービス法案を採択(EU) | ビジネス短信 ―ジェトロの海外ニュース
- デジタル市場法(DMA)がEU域内のユーザーに与える影響 - Apple
- EU、デジタル市場法を初適用=アップルとメタに制裁金 | 防災・危機管理ニュース - リスク対策.com
- EUのDMA(デジタル市場法)から読み解く、スマホ新法がもたらす変化とは?【スマホ新法の「?」を解決】 - Repro(リプロ)
- DMA最后期限将至,欧盟:不会立即启动财务处罚,推动苹果和Meta合规是第一位 - 白鲸出海
- 欧洲针对美数字巨頭加强监管 - 新華網
- 数字市场法案如何影响全球科技竞争格局? - 新浪新闻
- 《數碼市場法》對歐盟地區用户影響 - Apple
- デジタルサービス法 | Siemens
- EUのデジタル政策の概要 - 欧州連合日本政府代表部
- 「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応 - PwC
- EU理事会、AI法案を採択、2026年中に全面適用開始へ - ジェトロ
- 「EUデータ法」が施行 | 中小企業の未来をサポート MSコンパス 三井住友海上
- European Data Union Strategy | Shaping Europe's digital future
- CRA、GDPRなどの欧州関連法令を見据えた対策 欧州データ法(Data Act)対応支援 - PwC
- EUのデジタル政策の概要 - 欧州連合日本政府代表部
- 【2026年最新】EUサイバーセキュリティ規制の全貌|NIS2・CRA・DORAを徹底解説
- EUサイバーセキュリティ規制の「NIS2」と「CRA」が日本企業に与える影響と対応策
- CRA、GDPRなどの欧州関連法令を見据えた対策 欧州データ法(Data Act)対応支援 - PwC
- 欧州委、デジタル接続性を支援するデジタル・ネットワーク法案を発表(EU) | ビジネス短信 - ジェトロ
- 欧州委、デジタルネットワーク法案を発表 « デイリーウォッチャー|研究開発戦略センター(CRDS)