日本企業はEUデジタルオムニバス法案をどのように捉えるべきか

ポイント1．AI規制法における企業向け要件の明確化と簡素化の推進

既に施行されており、要件が段階的に適用されているAI規制法⁴について、企業に対する要件の明確化が提案されています。特に、「高リスクAIシステム」に分類されるAIシステムに対する要件について、規制当局によるガイドライン等の整備状況を踏まえて一部要件の適用を延期する提案が行われました。これは、企業が何をするべきか明確にした上で規制を適用するという考えに基づいています。高リスクAIシステムには、自動車や医療機器などの特定のEU法で規制される製品やその安全コンポーネントとして使用されるAIシステム（AI規制法付属書I）、重要インフラの管理や雇用・労働管理で用いるAIシステムを含む特定のユースケースに該当するもの（AI規制法付属書III）など幅広い対象が含まれています。そのため、この提案はいわゆる生成AIモデルの提供者だけではなく、広く製造業やユーザー企業などにも影響する可能性がある点に注意が必要です。その他にも、図表1で示すような点が提案されています。

図表1：AI規制法関連の主な改正提案

ポイント3．非個人データ関連規制の統合と合理化

欧州において非個人データに関するデータ主体の権利を保障しつつ、域内での利活用を目指す法規制はデータ法、デ⁠ータガバナンス法、オ⁠ープンデ⁠ータ指令、非個人データのEU域内自由流通枠組規則などに分散していましたが、これらをデータ法⁵に一本化することで、企業が対応すべき法令要件を明確化することが提案されています。他にも、データ法改正提案には以下のような内容が含まれます。

• データ保有者が重大な経済的損害や営業秘密の不法な取得、使用または開示から保護されるようにするため、データ保有者は、EUと同等の保護を提供しない域外の企業や、そのような企業の間接的あるいは直接的な支配下にある事業体に対し、根拠を当局に示した上でデータの提供を拒否することが可能
• ビジネス対行政（B2G）データ共有要件の範囲は、「公共の緊急事態（公共の緊急事態の緩和または復旧を支援する場合を含む）」に限定される
• テーラーメイドのデータ処理サービスおよびSME・SMCのデータ処理サービス提供者が、2025年9月12日以前または当日までに締結された非IaaSサービスに関する契約の下でサービスを提供する場合には、ベンダーロックインの回避を目的としたデータ法第6章の規定の多く（サービス切り替えを円滑化するための情報適用や手数料の無償化などの要件）の適用が免除される

ポイント4．企業のインシデント報告義務対応の効率化

欧州では企業に対するインシデント報告義務を課す法令が複数存在します。そのため、例えば製造業であれば個人データ関連のGDPR、重要インフラ関連のNIS2指令、製品セキュリティのサイバーレジリエンス法といった複数法令の報告義務に対応することになる可能性があります。これまでは個人データ関連のインシデントはGDPRが定める報告先に、製品インシデントはサイバーレジリエンス法が定める報告先に、といったように法令ごとに報告先が異なり、また報告の様式も異なっていました。企業が複数の法令ごとに報告方法を切り替える負担を軽減するために、今回の法案では欧州連合サイバーセキュリティ機関（ENISA）によって開発される単一窓口（SEP）に異なる法令のインシデント報告先を集約することや、報告テンプレートを可能な限り標準化することが提案されています（図表3）。また、GDPRの報告要件が一部緩和される可能性がある点もポイントです。

図表3：インシデント報告義務関連の主な改正提案⁶

欧州向けのビジネスを行う企業はデジタルオムニバス法にどのように対応すべきか

当インサイトで概観したように、デジタルオムニバス法案はあくまでも複雑化したデジタル法規制の簡素化と合理化を目的としており、既存法規制を抜本的に転換するような性質のものではないと説明されています。ただし、AI規制法における要件の明確化やGDPRにおける個人データの定義の見直し、インシデント報告窓口の一本化といった企業の法規制対応に大きなインパクトがある内容も含まれるため、今後の欧州議会と欧州理事会における法案の審議を注視する必要があります。

また、現在加盟国の一部や欧州データ保護会議（EDPB）、欧州データ保護監視機関（EDPS）などからAI規制法やGDPRの改正を含む現状の提案に対する警戒や意見が表明されていることを踏まえると、デジタルオムニバス法案の内容はいまだ流動的であり、具体的に個別の法規制に反映されるのには一定の時間を要する可能性があります^7・8。デジタル法規制が合理化されるまでは様子見をするという姿勢では、既に施行された、あるいは施行されつつあるサイバーレジリエンス法、AI規制法、NIS2指令といった、欧州市場における製品やサービスの提供に大きな影響のある法規制への対応が間に合いません。足元の法規制対応を確実に進めつつ、同時に欧州におけるデジタル法規制や政策を巡る議論をモニタリングし、確実かつ効率的にコンプライアンス対応を進めていくことが企業に求められています。

¹ “The future of European competitiveness: Report by Mario Draghi”、https://commission.europa.eu/topics/competitiveness/draghi-report_en、2026年2月27日閲覧

² “Digital Omnibus Regulation Proposal”、
https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal、2026年2月27日

³ Directive (EU) 2022/2555の通称である。EUにおいて重要インフラとしてのサービスを提供する事業体に対するサイバーセキュリティに関連した義務を定める規制である。

⁴ Regulation (EU) 2024/1689の通称である。AIシステムをリスクレベルに応じて分類し、その提供者や導入者に対して義務を定める。

⁵ Regulation (EU) 2023/2854の通称である。EU域内の非個人データについて、一定のガバナンスルールを課した上でEU域内で積極的に流通・利活用させることを目指した法令である。

⁶ 図表3におけるDORAとは、Regulation EU 2022/2554の通称でEUの金融セクターなどを対象にサイバーセキュリティ上の要件を設ける法令である。CERはDirective (EU) 2022/2557の通称で、EUの重要インフラのレジリエンスや関連する義務について規定した法令である。CRAはRegulation (EU) 2024/2847の通称で、欧州で上市されるデジタル要素を持つ製品とその製造者などに対してセキュリティ関連の要件を定めた法令である。

⁷ “EDPB-EDPS Joint opinion 1/2026 on the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI)”、https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-12026-proposal_en、2026年2月27日閲覧

⁸ “EDPB-EDPS Joint opinion 2/2026 on the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus)”、
https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22026-proposal_en、2026年2月27日閲覧