Vantage Politics

欧州：デジタル市場法（DMA）等のIT規制とガバナンスの最新動向

2026年4月10日、欧州連合（EU）はデジタル経済における公正性と安全性を確保するため、デジタル市場法（DMA）、デジタルサービス法（DSA）、AI法、データ法、そしてサイバーセキュリティ関連法規（NIS2指令、サイバーレジリエンス法：CRA）といった一連の包括的なIT規制の執行と適用を加速させている。これらの規制は、巨大IT企業の市場支配力抑制から、オンラインコンテンツの責任、AIの倫理的利用、データ共有の促進、そしてサイバーセキュリティの強化に至るまで、デジタル社会のあらゆる側面に影響を及ぼす。特にこの数日間で、欧州評議会の新たな勧告採択や米国の貿易障壁報告書の発表、そして具体的な罰金事例が報じられ、その動向は国際社会から注目を集めている。

デジタル市場法（DMA）の執行とゲートキーパーへの影響

2026年4月10日現在、デジタル市場法（DMA）は、デジタル市場における公正な競争環境を確保するため、指定された「ゲートキーパー」企業に対する厳格な義務を課している。DMAは、特定の巨大IT企業が市場を独占することを防ぎ、中小企業や消費者がより公平な条件でデジタルサービスを利用できるようにすることを目的としている。具体的には、Apple社のようなゲートキーパー企業は、自社プラットフォーム上でのアプリストアの選択肢拡大や、サードパーティ製アプリのサイドローディングの許可など、多岐にわたる義務を負う。これらの義務は、ゲートキーパーが提供する「コアプラットフォームサービス」に適用され、違反した場合には全世界年間売上高の最大10%という巨額の罰金が科される可能性がある。繰り返しの違反に対しては、最大20%にまで引き上げられる場合もある。

米国は、EUのデジタル規制、特にDMAを貿易障壁と見なしている。2026年4月9日に発表された米通商代表部（USTR）の「2026年外国貿易障壁報告書」では、DMAが米国企業にとって不公平な負担となり、競争を阻害する可能性があると指摘された。これに対し、EUはデジタル規制の基本原則を譲らない姿勢を示しており、2026年4月2日のEUと米国の協議でも、この問題が主要な議題となったと報じられている。

デジタルサービス法（DSA）の適用とオンラインプラットフォームの責任

デジタルサービス法（DSA）は、オンラインプラットフォームの責任を明確化し、違法コンテンツや有害コンテンツの拡散を抑制することを目的として、2026年4月10日現在、その適用範囲を拡大している。特に、月間アクティブユーザー数が4,500万人を超える「超大規模オンラインプラットフォーム（VLOPs）」には、より厳格な義務が課されている。これには、リスク評価の実施、透明性報告、そして独立した監査の受入れなどが含まれる。

オンラインコンテンツ規制とプラットフォームの責任に関する議論は活発化しており、2026年4月8日には欧州評議会が勧告CM/Rec(2026)4を採択した。この勧告は、コンテンツ規制のあり方やクリエイターの責任について新たな視点を提供するものと見られている。

DSAの執行は既に具体的な事例を生み出している。2026年4月5日、欧州委員会はX社に対し、透明性義務違反を理由に1億2000万ユーロの罰金を科したと発表した。これは、X社がプラットフォーム上のコンテンツモデレーションに関する十分な情報開示を行わなかったことによるもので、DSAが定めるプラットフォームの責任の重さを改めて示すものとなった。

EU AI法の本格適用とAIガバナンスの進展

世界初の包括的な人工知能（AI）規制法であるEU AI法は、2026年4月10日現在、本格適用に向けて着実に進捗している。この法律は、AIシステムをそのリスクレベルに応じて分類し、リスクが高いと判断されるAIシステムには厳格な要件を課す「リスクベースアプローチ」を採用している。

2026年4月上旬に公表されたワーキングペーパーでは、AIエージェントに対する規制の考え方が示された。AIエージェントの展開行動がその規制プロファイルを決定するという見解が示されており、AI開発者や提供者は、AIシステムの設計段階から規制要件を考慮する必要がある。

EU AI法は、EU域内でAIシステムを提供または利用するすべての企業に適用されるため、日本企業を含む非EU企業もその影響を免れない。違反した場合、全世界年間売上高の最大6%または3000万ユーロのいずれか高い方が罰金として科される可能性がある。

EUデータ法とデータガバナンスの新たな枠組み

EUデータ法は、コネクテッド製品およびサービスから生成されるデータの利活用を促進し、データ経済における公正なアクセスと利用を確保することを目的として、2026年4月10日現在、その適用が段階的に開始されている。この法律は、企業が生成する産業データの共有を義務付け、特にIoTデバイスなどから得られるデータの利用権をユーザーに与えることで、新たなビジネスモデルの創出を促すことを目指している。

2026年中には、データ共有に関する具体的な規定が段階的に導入される予定であり、企業はデータ共有契約の見直しや、データアクセス・利用に関する新たなポリシーの策定が求められる。日本企業も、EU域内でコネクテッド製品やサービスを提供している場合、データガバナンス上の課題に直面することになる。違反した場合、全世界年間売上高の最大4%または2000万ユーロのいずれか高い方が制裁金として科される可能性がある。

サイバーセキュリティ規制（NIS2指令、CRA）の強化と企業への要請

欧州のサイバーセキュリティ規制は、NIS2指令とサイバーレジリエンス法（CRA）によって大幅に強化されている。2026年4月10日現在、これらの指令と法は、企業・組織およびデジタル要素を持つ製品に対するセキュリティ要件を厳格化し、サイバー攻撃に対する欧州全体のレジリエンス向上を目指している。NIS2指令は、重要インフラ事業者やデジタルサービスプロバイダーに対し、リスク管理措置の導入やインシデント報告義務を課している。

サイバーレジリエンス法（CRA）は、デジタル要素を持つ製品のライフサイクル全体にわたるセキュリティを確保することを目的としており、製品設計段階からのセキュリティ要件の組み込みを義務付けている。2026年4月8日に開催されたコンファレンスでは、これらの規制が企業に求める具体的な対応策や、サプライチェーン全体でのセキュリティ確保の重要性について活発な議論が交わされたと報じられている。日本企業も、EU市場に製品を供給する場合、これらの新たなセキュリティ要件への対応が不可欠となる。

米国からの批判と欧州デジタル規制の国際的影響

欧州のデジタル規制は、その広範な影響力から国際社会、特に米国からの強い関心と批判に晒されている。2026年4月9日に発表された米通商代表部（USTR）の「2026年外国貿易障壁報告書」では、EUのデジタル市場法（DMA）、デジタルサービス法（DSA）、そして一般データ保護規則（GDPR）などが、米国企業にとって新たな貿易障壁となっていると詳細に指摘された。

報告書は、これらの規制が米国企業のビジネスモデルに不必要な負担をかけ、イノベーションを阻害する可能性があると主張している。これに対し、EUはデジタル主権の確立と市民の権利保護を最優先する姿勢を崩していない。2026年4月2日に行われたEUと米国の協議においても、EU側はデジタル規制の基本原則を譲らないことを明確に示し、米国との対話を通じて相互理解を深める意向を示したと報じられている。欧州のデジタル規制は、今後も国際的な議論の中心となり、世界各国のデジタル政策に影響を与え続けるだろう。