欧州:デジタル市場法(DMA)等のIT規制とガバナンスの最新動向(2026年4月12日時点)

欧州連合(EU)は、デジタル市場における公正な競争促進、サイバーセキュリティの強化、そしてAI技術の健全な発展とガバナンス確立を目指し、デジタル市場法(DMA)、AI法、NIS2指令、デジタルサービス法(DSA)など、多岐にわたるIT規制の導入と強化を進めています。これらの規制は、巨大IT企業(ゲートキーパー)の行動を制限し、中小企業の競争機会を創出し、消費者の権利保護を強化することを目的としています。2026年4月12日現在、これらの規制の執行状況や新たな政策動向が活発に議論されており、特にAI法の本格適用やDMAの執行事例、サイバーセキュリティ対策の成熟が注目されています。

デジタル市場法(DMA)の執行と影響

2026年4月12日現在、デジタル市場法(DMA)の執行は本格化しており、巨大IT企業であるゲートキーパーに対する規制が強化されています。2025年には、DMA違反に対して制裁金が科される事例が発生しました。具体的には、欧州委員会は2025年に、ゲートキーパーがDMAの義務を遵守しない場合、全世界年間売上高の最大10%の罰金を科す可能性があると警告しています。さらに、違反が繰り返された場合には、最大20%の罰金が科される可能性もあります。

Metaは、2026年1月からDMAへの対応を開始しました。同社は、FacebookやInstagramなどのサービスにおいて、ユーザーが個人データを利用したパーソナライズ広告の受け入れを拒否した場合、有料のサブスクリプションサービスを提供するという選択肢を導入しています。これは、DMAがゲートキーパーに対し、ユーザーデータの利用に関する透明性と選択肢の提供を義務付けていることへの対応と見られています。

欧州委員会は、2026年5月にDMAの執行状況に関する報告書を公表する予定です。この報告書では、DMAがデジタル市場に与えた影響や、今後の規制の方向性について詳細が示されると予想されています。また、クラウドプロバイダーがDMAのゲートキーパーとして指定される可能性についても検討が進められています。これは、クラウドサービスがデジタル経済において果たす役割の重要性が増していることを反映した動きです。

Appleは、DMAに対して懸念を表明しています。同社は、DMAがユーザーのプライバシーとセキュリティを損なう可能性があると主張しており、特にサイドローディング(App Store以外からのアプリインストール)の義務付けが、マルウェアや詐欺のリスクを高めると指摘しています。

AI法(AI Act)の本格適用とガバナンス

欧州連合のAI法(AI Act)は、2026年8月2日に本格的な適用が開始されます。これは、AI技術の健全な発展とガバナンス確立に向けたEUの取り組みの集大成であり、世界初の包括的なAI規制として注目されています。

本格適用に先立ち、2026年4月11日には「AI大陸行動計画」が発表されました。この計画は、AI規制だけでなく、AI産業の振興も視野に入れた5つの柱から構成されており、規制とイノベーションのバランスを追求するEUの姿勢を示しています。

AI法の適用に向けて、規制サンドボックスの運用も開始される予定です。これにより、企業は実際の市場環境に近い形でAIシステムをテストし、規制当局と協力しながらコンプライアンスを確保できるようになります。また、AI規制の簡素化に関する議論も活発に行われています。一部では、過度な規制がイノベーションを阻害するとの懸念から、既存のデジタルフレームワークの簡素化を求める声も上がっています。しかし、アムネスティ・インターナショナルなどの人権団体は、AI規制の簡素化が市民の権利保護を後退させる可能性があると警鐘を鳴らしています。

サイバーセキュリティ規制(NIS2, DORA)の成熟

2026年4月12日現在、欧州のサイバーセキュリティ規制は成熟度を増しており、企業に対する要求事項がより厳格になっています。

NIS2指令は、その適用範囲を大幅に拡大し、より多くのセクターと企業が対象となっています。これには、エネルギー、交通、銀行、医療、デジタルインフラなどの重要インフラだけでなく、製造業や食品加工業なども含まれます。NIS2指令では、経営陣の個人責任が明確に規定されており、サイバーセキュリティ対策の不備が経営陣個人の責任に問われる可能性があります。これにより、企業はサイバーセキュリティを経営上の最重要課題の一つとして位置づけることが求められています。

金融サービス分野に特化したDORA(デジタルオペレーショナルレジリエンス法)は、金融機関のデジタルオペレーショナルレジリエンスを強化することを目的としています。DORAは、情報通信技術(ICT)リスク管理、インシデント報告、デジタルオペレーショナルレジリエンス試験、第三者ICTサービスプロバイダーのリスク管理など、多岐にわたる要件を定めています。

2026年には、クラウドサービスプロバイダーに対する監視がさらに強化される見込みです。これは、多くの企業がクラウドサービスに依存している現状を踏まえ、サプライチェーン全体のサイバーセキュリティを確保するための措置です。クラウドプロバイダーは、DORAやNIS2指令の要件に準拠し、顧客に対して高いレベルのセキュリティとレジリエンスを提供することが求められます。

その他のデジタル規制と政策動向

欧州では、DMA、AI法、サイバーセキュリティ規制以外にも、様々なデジタル規制と政策動向が進行しています。

デジタルサービス法(DSA)は、2026年4月1日から執行が強化されています。これに伴い、欧州委員会は欧州連合知的財産庁(EUIPO)と提携し、オンラインプラットフォーム上の偽造品対策を強化する方針を打ち出しました。DSAは、オンラインプラットフォームに対し、違法コンテンツの削除や透明性の向上などを義務付けており、その執行は今後さらに厳格化されると予想されます。

「デジタルオムニバス規制」による既存法(GDPR等)の簡素化に関する議論も進められています。これは、EUのデジタルフレームワークが複雑化している現状を踏まえ、企業が規制を遵守しやすくするための試みです。しかし、一部の団体からは、このような簡素化が市民の権利保護を後退させる可能性があるとの懸念も示されています。

通信インフラへの投資促進を目的とした「デジタルネットワーク法案(DNA)」も注目されています。この法案は、高速ブロードバンドネットワークの展開を加速させ、EU域内のデジタル接続性を向上させることを目指しています。

さらに、規制当局はAI関連のM&A(合併・買収)への監視を強化しています。AI技術の急速な発展に伴い、市場の集中や競争阻害のリスクが高まっているため、競争当局はAI分野におけるM&A取引を厳しく審査する方針です。これは、デジタル市場における公正な競争環境を維持するための重要な取り組みと言えます。

Reference / エビデンス

関連記事