欧州:デジタル市場法(DMA)等のIT規制とガバナンスの最新動向(2026年3月31日時点)

2026年3月31日現在、欧州連合(EU)は、デジタル市場の公平性、競争力、安全性、およびデータガバナンスを確保するため、デジタル市場法(DMA)、デジタルサービス法(DSA)、AI規制法(EU AI Act)など、多岐にわたるIT規制を積極的に推進しています。特に2026年3月29日から4月2日までの期間は、これらの規制の施行状況、ゲートキーパー企業のコンプライアンス対応、新たな規制動向、および関連する議論が活発化した重要な時期となりました。

デジタル市場法(DMA)の現状とゲートキーパーの対応

デジタル市場法(DMA)は、デジタル市場における公正な競争を促進することを目的としており、指定された「ゲートキーパー」企業に対し、特定の義務を課しています。2026年3月9日、Alphabet、Amazon、Apple、ByteDance、Meta、Microsoftといったゲートキーパー企業は、DMAに基づく更新されたコンプライアンス報告書を欧州委員会に提出しました。これらの報告書には、過去1年間に実施された変更点や、消費者プロファイリング技術に関する独立監査済み報告書が含まれています。欧州委員会は、これらの報告書を評価し、利害関係のある第三者からの意見や、進行中の規制対話および手続きも考慮に入れるとしています。

特にAppleに関しては、オンライン広告サービスやApple MapsがDMAのゲートキーパー指定から除外されたことが注目されています。しかし、EUの放送局は、Apple TVやSiriもDMAのゲートキーパーとして規制されるべきだと主張しています。 AppleはDMAに対して懸念を表明しており、EU域内のユーザーに与える影響について説明しています。

欧州議会では、DMAの執行に関する議論が活発に行われており、その適用範囲と解釈が今後の焦点となっています。 また、クラウドコンピューティングサービスを提供するAmazon Web Services (AWS) とMicrosoft AzureがDMAのゲートキーパー指定基準を満たしていないにもかかわらず、企業と消費者の間の重要なゲートウェイとして機能しているかどうかの市場調査が開始されています。 欧州委員会は、この市場調査を12カ月以内に完了することを目指しており、もし両社がゲートキーパーに該当すると判断された場合、DMAの義務を完全に遵守するために6カ月以内に措置を講じる必要があります。

デジタルサービス法(DSA)の進展

デジタルサービス法(DSA)は、オンラインプラットフォームの責任を明確にし、ユーザーの安全を確保することを目的としています。2026年3月26日、欧州委員会は、Pornhub、Stripchat、XNXX、XVideosの4つの主要なポルノサイトが、未成年者をポルノコンテンツから保護するための十分な措置を講じていないとして、DSA違反の予備的調査結果を発表しました。 これらのプラットフォームは、欧州委員会の調査ファイルにある文書を検討し、予備的調査結果に対して書面で回答する機会が与えられています。

Change.orgのようなプラットフォームもDSAの遵守状況を公開しており、2025年2月17日までの6か月間における欧州連合での月間平均アクティブユーザー数が約800万人であったことを報告しています。 また、DSA第13条に基づき、EUにおける法定代理人を任命し、EU加盟国の当局、欧州委員会、欧州デジタルサービス委員会からの問い合わせに対応する連絡先を提供しています。 市民社会団体は、デジタル権利保護の取り組みを継続しており、DSAの適用を通じてオンライン空間の安全性を高めることに貢献しています。

AI規制(EU AI Act)の動向

EU AI Actは、世界で初めて包括的なAI(人工知能)規制として2024年8月1日に発効しました。 この法律は、AIシステムをリスクの程度に応じて4段階に分類し、それぞれに異なる規制を課す「リスクベースアプローチ」を採用しています。

特に、2026年8月2日には、高リスクAIシステムに関する規制が本格的に適用開始されます。 これには、高リスクAIシステムが満たすべき要件の証明、技術文書の整備、登録、および適合性評価機関による評価などが含まれます。 日本企業を含むEU域外のプロバイダーであっても、EU域内でAIシステムを上市する場合や、EU域内で利用されるアウトプットの生成過程でAIシステムを利用する場合には、この規制の適用を受けるため、サプライチェーン全体での把握・管理が求められます。

EU AI Actで完全に禁止されるAIの用途(許容できないリスク)は、潜在意識への操作、脆弱な層の悪用、社会的スコアリング、犯罪リスク評価と予測、顔認識データベースの作成、職場や教育機関における感情認識など8項目が挙げられており、これらは2025年2月2日時点で既に施行されています。

AI規制が加速する背景には、「3つのトリガー」があるとされています。第一に、ディープフェイクや情報操作問題による社会的な混乱、第二に、採用選考やローン審査など人の人生を左右する場面でのAI利用による雇用・権利への影響、第三に、AI技術を21世紀の基幹産業と位置づける米国・EU・中国・日本間のAI覇権争いと経済安全保障が挙げられます。

その他の主要なIT規制とガバナンス

欧州では、DMA、DSA、EU AI Act以外にも、サイバーセキュリティとデータガバナンスを強化するための複数の規制が進行しています。

サイバーレジリエンス法(CRA)は、EU市場で流通するデジタル要素を含む製品のサイバーセキュリティを確保することを目的としています。 2026年9月11日からは、製造業者による悪用された脆弱性や重大なインシデントに関する報告義務が適用開始されます。 この報告義務は、2027年12月11日以前に上市された既存製品にも適用されるため、製造業者は24時間以内の早期通知と72時間以内の報告体制を構築する必要があります。

デジタル・オペレーショナル・レジリエンス法(DORA)は、金融セクターにおけるITセキュリティとリスク管理の強化を目指しており、銀行、保険会社、投資ファンド、暗号資産サービスなど広範な金融機関が対象となります。 DORAは2023年1月16日に発効し、金融機関および関連サービスプロバイダーは2025年1月17日までに準備を整える必要があります。 この法律は、ICTリスク管理の強化、インシデント対応の迅速化、オペレーショナル・レジリエンスの確保、情報共有の促進、サードパーティーリスクの管理を通じて、金融エコシステム全体の安全性を向上させることを目的としています。

EUデータ法(Data Act)は、IoT機器やクラウドサービスなどから生まれるデータについて、特定の企業だけが独占するのではなく、ユーザーや第三者が公正にアクセス・利用できるようにすることを目的とした規則です。 2025年9月12日から本格適用が開始され、一部の規定は2026年と2027年にかけて段階的に導入されます。 この法律は、EU市場にコネクテッド製品を展開する製造業者や、EUの顧客にクラウドサービスなどのデータ処理サービスを提供する事業者に対し、データ共有義務やクラウドサービスの切り替え促進に関するルールを課しています。

欧州委員会は2026年1月21日、EUにおける通信・接続ネットワーク分野の規制を近代化・簡素化・調和させることを目的とした「デジタル・ネットワーク法案(Digital Networks Act:DNA)」を発表しました。 この法案は、光ファイバー、モバイル、衛星通信などの先進的なデジタル接続ネットワークへの投資を促進し、EUの競争力を支える高容量ネットワークの普及を図るものです。 DNAは、2030年から2035年にかけての銅線ネットワークの段階的廃止に向けて、EU加盟国に対して国家計画を2029年に発表するよう義務付けています。 また、ネットワークの安全性とレジリエンスの強化のため、接続性エコシステムにおける依存関係を制限し、EUレベルでの協力を促進するとしています。

Reference / エビデンス

関連記事