欧州のデジタル市場法(DMA)と進化するITガバナンスの動向(2026年4月)

2026年4月5日、欧州連合(EU)はデジタル市場法(DMA)をはじめとする一連のIT規制の本格適用と新たな展開を迎え、世界のデジタルエコシステムに大きな影響を与え続けている。本稿では、DMA、デジタルサービス法(DSA)、AI法、そしてサイバーセキュリティ関連法といった主要な規制の最新動向と、それが企業活動に与える影響について、2026年4月5日時点の情報を基に詳述する。

デジタル市場法(DMA)の最新動向とゲートキーパーへの影響

欧州のデジタル市場法(DMA)は、巨大IT企業を「ゲートキーパー」と指定し、公正な競争環境を確保するための義務を課している。2026年4月5日現在、DMAは既に本格的に施行されており、ゲートキーパー企業に対する具体的な義務と制裁が明確化されている。

特に注目されるのは、2026年3月9日に欧州委員会が発表した、Metaに対するDMA違反の調査開始である。Metaは、Facebook MarketplaceとMessengerの連携に関する規定に違反している疑いが持たれている。

また、2026年3月20日には、Googleが検索結果における自社サービスの優遇に関して、独占禁止法違反の調査対象となったことが発表された。これは、DMAが目指す「プラットフォームの中立性」を確保するための重要な一歩と見られている。

過去の動きとしては、2025年12月8日に欧州委員会が、AppleのApp Storeにおけるサードパーティ決済の制限について、DMA違反の可能性を指摘している。さらに、2025年4月23日には、DMAの対象となるゲートキーパー企業が正式に指定され、Meta、Google、Appleを含む主要なテクノロジー企業がその対象となった。

これらの動きは、ゲートキーパー企業がDMAの義務を遵守しない場合、全世界年間売上高の最大10%の罰金、繰り返しの違反には最大20%の罰金が科される可能性があることを示している。 企業側は、自社サービスの見直しや新たなビジネスモデルの構築を迫られており、デジタル市場の構造変革が加速している。

デジタルサービス法(DSA)とオンラインコンテンツ規制の進展

デジタルサービス法(DSA)は、オンラインプラットフォームにおける違法コンテンツ対策、ユーザー保護、透明性義務を強化することを目的としている。2026年4月5日現在、DSAは大規模オンラインプラットフォーム(VLOPs)および大規模オンライン検索エンジン(VLOSEs)に対して既に適用されており、その影響は広範囲に及んでいる。

2026年4月8日に採択された欧州評議会の勧告CM/Rec(2026)4は、コンテンツ規制からの転換とクリエイターの責務に焦点を当てており、オンラインコンテンツの責任ある管理に向けた新たな指針を示している。

また、2026年4月9日に発表された米通商代表部(USTR)の報告書では、EUのデジタル規制、特にDSAの執行強化が新たな貿易障壁として指摘されており、国際的な議論の対象となっている。 DSAは、プラットフォーム事業者に対し、違法コンテンツの迅速な削除、透明性の高いモデレーションプロセスの導入、ユーザーへの情報提供などを義務付けており、違反した場合には全世界年間売上高の最大6%の罰金が科される可能性がある。

EU AI法の本格適用とガバナンスの枠組み

EU AI法は、人工知能(AI)の利用におけるリスクを管理し、信頼できるAIの発展を促進するための世界初の包括的な規制である。2026年4月5日現在、AI法の本格適用に向けた準備が進められており、特に2026年8月2日には主要条項が施行される予定である。

AI法は、AIシステムをリスクレベルに応じて分類し、高リスクAIに対しては厳格な要件を課す「リスクベースアプローチ」を採用している。 また、AI生成コンテンツにはラベル表示を義務付ける規則草案が2026年3月5日に公表されており、AIの透明性と説明責任の確保が重視されている。

AIガバナンスにおける国際的な連携も進んでおり、欧州委員会は2026年3月1日に国際デジタル戦略を発表し、ルールに基づいた秩序の構築を強調している。 国内では、2026年4月8日にフランスで「デジタル主権」に関する省庁間セミナーが開催され、公共調達、相互運用性、AIガバナンスの交差について議論された。 これらの動きは、AI技術の急速な発展に対応し、倫理的かつ安全なAIの利用を促進するための国際的な枠組み構築に向けたEUの強い意志を示している。

サイバーセキュリティ規制(NIS2指令、CRA、DORA)の適用と企業対応

欧州では、サイバーセキュリティの強化を目的としたNIS2指令、サイバーレジリエンス法(CRA)、デジタルオペレーショナルレジリエンス法(DORA)の適用が進められている。2026年4月5日現在、これらの規制は企業に新たな義務と責任を課しており、対応が急務となっている。

NIS2指令は、重要インフラ事業者やデジタルサービスプロバイダーに対し、サイバーセキュリティ対策の強化とインシデント報告を義務付けている。2026年1月20日には、NIS2指令に対する標的型修正案が提案され、特定のセクターにおける要件の具体化が進められている。

サイバーレジリエンス法(CRA)は、デジタル製品のライフサイクル全体におけるサイバーセキュリティを確保することを目的としており、2026年9月11日から報告義務が適用される。 これにより、ハードウェアおよびソフトウェア製品の製造業者、輸入業者、流通業者には、製品の脆弱性に関する情報開示やインシデント報告が求められるようになる。

デジタルオペレーショナルレジリエンス法(DORA)は、金融セクターにおける情報通信技術(ICT)のリスク管理とオペレーショナルレジリエンスを強化するための規制である。 これらの規制は、企業に対し、リスクアセスメントの実施、セキュリティ対策の強化、インシデント対応計画の策定、サプライチェーン全体のセキュリティ確保など、多岐にわたる対応を求めている。2026年3月4日から5日に開催された「重要インフラ&産業サイバーセキュリティコンファレンス」では、これらの規制への対応策や最新の脅威動向について活発な議論が交わされた。

Reference / エビデンス

関連記事