Vantage Politics

欧州：デジタル市場法（DMA）等のIT規制とガバナンスの最新動向（2026年4月11日）

2026年4月11日現在、欧州連合（EU）ではデジタル市場法（DMA）をはじめとする一連のIT規制が施行・適用段階にあり、その執行状況や関連法の進展が注目されています。本稿では、DMAのゲートキーパーに対する義務遵守状況、AI法の本格適用に向けた動き、サイバーセキュリティ関連法の最新情報、デジタルインフラ整備の取り組み、そしてオンラインコンテンツガバナンスに関する新たな勧告に焦点を当て、欧州のデジタル政策の全体像を構造化します。

デジタル市場法（DMA）の執行とゲートキーパーの義務遵守

2026年4月11日現在、デジタル市場法（DMA）の執行状況は欧州のデジタルガバナンスの中心的なテーマとなっています。特に、2026年3月9日には、指定ゲートキーパー各社が欧州委員会に対し、更新された遵守措置に関する報告書と、消費者プロファイリング技術に関する独立監査済み報告書を提出しました。欧州委員会はこれらの報告書の内容を評価しており、DMAが大手テック企業のビジネスモデルに与える影響を注視しています。

具体的な動向としては、GoogleがAndroidデバイスにおける本人確認義務付け計画を進めているほか、Amazonの価格統制メカニズムについては欧州議会議員から質問状が提出されるなど、ゲートキーパーの事業慣行に対する監視が強化されています。また、Metaは2026年1月にEUユーザーに対し、個別化広告の代替選択肢の提供を開始しました。これは、全てのデータ共有に同意して完全に個別化された広告を表示する選択肢と、共有する個人データを減らしてより限定的な個別化広告を表示する選択肢の2つを提示するものです。欧州委員会は2025年4月にMetaがユーザーの選択権に関するDMA違反を認定しており、その後の対話を経てこの代替選択肢が導入されました。

AI法の本格適用と日本企業への影響

2026年4月11日を目前に、2026年8月2日から本格適用が開始されるEUのAI法（AI Act）は、世界初の包括的なAI規制として国際的に注目を集めています。この法律は、AIがもたらすリスクの大きさに応じて異なるルールを適用する「リスクベースアプローチ」を採用しており、AIシステムを「許容できないリスク」「高いリスク」「限定的なリスク」「最小限のリスク」の4段階に分類しています。特に、医療、運輸、教育、法執行などの重要分野で使用される「高リスクAIシステム」には、厳格な安全性評価、データ品質、人的監督、正確性、堅牢性、サイバーセキュリティなどの厳しい義務が課されます。また、広範なタスクを学習・実行可能で他のAIシステムに統合可能な「汎用AIモデル」についても、トレーニングやテストプロセスの詳細な文書化、著作権法の遵守、システミック・リスクを管理するための追加ステップが求められます。

AI法に違反した場合、最大で3,500万ユーロまたは年間世界売上高の7%という高額な罰金が科される可能性があります。 2026年3月4日には、欧州データ保護監督機関（EDPS）がAI法の下での市場監視機関および通知機関としての新たな役割を担うことを表明し、EU機関によるAIシステムの使用において、健康、安全、および基本的権利の最高基準を維持するための市場監視活動を実施するとしています。日本企業も、EU市場にAIシステムやAI搭載サービスを提供する、あるいはEU向け事業に関わる共通基盤を持つ場合、AI法の適用対象となります。 2026年8月2日の本格適用に向けて、日本企業はAIガバナンス対策として、透明性、リスク分類、文書化、教育を柱とした実効性のある体制構築を今すぐ始めるべきです。

サイバーセキュリティ規制（NIS2, CRA）の進展

2026年4月11日現在、EUのサイバーセキュリティ規制は進化を続けています。サイバーレジリエンス法（CRA）は、デジタル要素を含む製品のサイバーセキュリティ確保を製造者に義務付ける規則であり、2026年9月11日から脆弱性およびインシデント報告義務が適用開始され、2027年12月11日には全面適用が予定されています。 CRAは、PC、スマートフォン、スマート家電、産業IoT機器、アプリストア経由でダウンロードするソフトウェアなど、あらゆるコネクテッド製品が対象となります。製造業者は、製品の設計段階からセキュリティ要件の実装、脆弱性の管理、インシデント報告、サプライチェーンにおけるデューディリジェンスの実施などが求められます。

特に、2026年3月3日にはCRA初のガイダンス草案が公開され、2026年4月13日まで意見募集が行われています。このガイダンス案は、経済事業者および市場監視当局がCRAを適用するのを支援することを目的としており、適用範囲、オープンソースソフトウェアの扱い、実質的な変更、サポート期間、報告義務などの主要な概念の明確化を図るものです。また、ネットワークおよび情報システムセキュリティ指令（NIS2指令）の国内法への移行も進んでおり、ドイツでは「NIS-2-Umsetzungsgesetz」（NIS2実施法）が2025年12月6日に施行されました。これにより、ドイツのサイバーセキュリティ法制が包括的に見直され、行政機関に加え、多くの民間企業に対しても厳格なITセキュリティ要件が課されています。ドイツでは、対象企業は2026年3月6日までに連邦ネットワーク庁（BSI）への登録が義務付けられており、期限遅れには高額な罰金リスクがあります。日本企業も、EU市場に製品を流通させる場合や、サプライチェーンを通じてEU域内事業に関与する場合、NIS2指令およびCRAへの対応が急務となります。

デジタルインフラと接続性（DNA）の推進

2026年4月11日時点での欧州のデジタルインフラ戦略は、デジタル・ネットワーク法案（DNA）の発表により新たな局面を迎えています。欧州委員会は2026年1月21日、EUにおける通信・接続ネットワーク分野の規制を近代化・簡素化・調和させることを目的としたDNAを発表しました。この法案は、光ファイバー、モバイル、衛星通信などの先進的なデジタル接続ネットワークへの投資を促進し、EUの競争力を支える高容量ネットワークの普及を図るものです。

DNAの主な内容には、企業が1カ国での登録のみでEU全域におけるサービス提供を可能とすること、欧州全域をカバーする衛星通信サービスの開発支援、電波周波数ライセンスの有効期間延長とデフォルトでの更新可能化による投資予見性の向上などが含まれます。さらに、DNAは2030年から2035年にかけての銅線ネットワークの段階的廃止に向けて、EU加盟国に対して2029年に国家計画を発表するよう義務付け、先進的な接続ネットワークへの移行を促進します。これは、EUの競争力強化とデジタル単一市場構築への貢献を目指すものであり、AIやクラウドといった革新的技術を可能にする基盤となります。

オンラインコンテンツガバナンスとプラットフォームの責任

2026年4月11日現在、オンライン空間における表現の自由と安全確保は、欧州評議会閣僚委員会が2026年4月8日に採択した勧告CM/Rec(2026)4によって新たな視点が提示されています。この勧告は、コンテンツの直接規制から、プラットフォームのシステム設計と利用者の主体性確保へと重心を移している点を強調しています。その核心にあるのは「エンパワーメント」の概念であり、利用者がオンライン環境を自律的に管理し、情報にアクセスし、表現の自由を行使できる能力を高めることを目指しています。

勧告では、プラットフォームの設計責任が重視されており、少数の影響力あるプラットフォームが情報環境を実質的に形成する構造の中で、既存の規制論では対処しきれない問題への対応が求められています。また、広範な聴衆に到達し公共の議論に影響を与える発信者であるクリエイターに対しても、正確性・誠実さをもって行動し他者の権利を尊重すること、職業として情報を発信する者にはジャーナリズムの原則に従うことや収益化の仕組みを開示することなどが期待される責務が規定されています。これらの動きは、違法・不適切なコンテンツの排除や透明性の確保を目指すデジタルサービス法（DSA）と相まって、欧州のオンラインコンテンツガバナンスの全体像を形成しています。