登壇者
石川 智也氏
西村あさひ法律事務所・外国法共同事業
パートナー/フランクフルト&デュッセルドルフ事務所共同代表
諏訪 啓氏
三菱電機デジタルイノベーション株式会社
取締役(セキュリティ事業担当)
兼 三菱電機株式会社
執行役員 デジタルイノベーションソリューション本部 IT・セキュリティガバナンス部長
モデレーター
高澤 真理
PwCコンサルティング合同会社
シニアマネージャー
欧州では人工知能(AI)、IoT、データ流通、サイバーセキュリティに関する法規制が次々と整備され、その件数は5年で10倍以上に急増しました。EUデータ法やAI法、NIS2指令など、日系企業の事業運営に直結する規制も増え、動向を追うだけでも大きな負担となっています。本セッションでは複雑化する欧州デジタル規制の全体像と最新動向を整理するとともに、三菱電機のNIS2指令対応事例を通じて、法規制を「守り」だけでなく「攻め」の視点で捉えるための実践的アプローチを探ります。(本文敬称略)
(左から)高澤 真理、石川 智也氏、諏訪 啓氏
欧州デジタル規制の全体像
主要法令の構造と政策の流れ
高澤:
最初に「デジタル法規制」について整理します。これはAIやIoT、サイバーセキュリティ、プライバシーなど、デジタル技術の開発・利用に関わる法令の総称です。PwCコンサルティングでは約5年前からこうしたデジタル関連の法令・ガイドラインの動向をモニタリングしていますが、この間に数は10倍以上に増加し、現在世界で約500件を確認しています。グローバル企業にとって、把握し続けるだけでも大きな負担です。
海外展開する日本企業が対応すべきデジタル法規制の動向
規制の整備状況は地域で異なります。日本はガイドライン中心のソフトロー型で、企業の自主性を重視しています。一方、欧州は要件が細かく罰金も高額で、新領域に先行して規制を導入するのが特徴です。欧州の全体像を理解することが、デジタル法規制への対応を考えるヒントになります。では石川先生、欧州のデジタル法規制の全体像を教えてください。
石川:
全体像をご説明するにあたり、まずEUの主要なデジタル関連法令を整理します。大きく「データ関連」「サイバーセキュリティ」「AI関連・技術」「プラットフォーム・市場」の四つに分類できます。もちろん、セクター別の個別法令は他にもありますが、多くの事業者が優先的に注視すべき主要法令は、この枠組みで捉えることができます。
出発点はデータ保護規制です。従前のEUデータ保護指令が2016年にGDPR(一般データ保護規則)として成立し、2018年5月25日に適用が開始しました。背景には、EU域内でデータを国境に関係なく流通させる「デジタル単一市場」構想があります。GDPRは国ごとにバラバラだったデータ保護法制を統一し、データ保護と域内流通の双方を実現する狙いです。
個人データだけではありません。2018年には「非個人データ流通規則」も制定され、2019年から適用が開始しています。日本ではあまり知られていませんが、これも同じくデジタル単一市場の構想に基づき、非個人データの域内流通を円滑にする趣旨のものです。
2020年には「EUデータ戦略」が策定され、公的機関のデータ開放ルールや流通仲介者の概念を定めた「データガバナンス法」が整備されました。しかし、民間の事業者による任意のデータ開放を前提とした流通ルールだけでは、データの開放が進まず、利活用が進まない。そこで2022年に提案、2023年に成立したのが「EUデータ法」です。この法律の柱の一つが、IoT機器から生成されるデータを事業者から利用者へ強制的に開放する仕組みです。利用者が独立のメンテナンス事業者へのデータ移転を求めれば、IoT機器の製造会社は、それに応じなければなりません。
EUデータ法はデータガバナンス法とセットで機能する設計です。データガバナンス法が流通のルールを整え、データ法が開放を強制することで、データ流通を両面から促進する狙いがあります。さらに、こうしたデータ法制をセクター別に展開する動きもあり、その最初の例としてEHDS(欧州健康データスペース)が制定されています。こうした一連の政策の流れの中に各法令が位置づけられており、全体像の理解が極めて重要です。
AI関連では、2022年に法令が提案されました。当初はハイリスクAIシステムなど四つの分類で構成されていましたが、2023年に生成AIが登場し、そのルールが追加される形で「EU AI Act(以下、AI法)」として成立しています。
プラットフォーム・市場の規制も、2020年のデータ戦略以降、順次整備されました。今後注目されるのは「デジタル・フェアネス・アクト」です。ダークパターン(利用者を誤誘導するUI設計)の問題に対し、既存の「消費者保護法令」や「デジタルサービス法」では対処しきれない部分をカバーする法令です。
データ戦略の流れで言えば、デジタル単一市場構想から欧州データ戦略へ発展し、フォンデアライエン政権第二期の2024年11月には「欧州データ連合戦略」が提唱されました。「Unlocking Data for AI(AIのためのデータ開放)」を掲げ、データ利活用の先にAI高度化という目標を明確に据えています。つまり、データをより広く開放・流通させ、そのデータをAI開発や高度化に活用することを前提に、既存のデータ法制も見直し・強化されていくという構図です。こうした政策全体の方向性を理解することが、EUデジタル法規制を読み解く上で不可欠です。
西村あさひ法律事務所・外国法共同事業
パートナー/フランクフルト&デュッセルドルフ事務所共同代表 石川 智也氏
高澤:
諏訪さんに伺います。こうした動向をどのようにキャッチアップしていますか。
諏訪:
正直、キャッチアップするのは大変です(笑)。10年前はデジタル法規制も少なく、海外は現地のグループ関係会社に任せていました。しかしGDPRを機に、グループ全体でグローバル対応する体制が必要になり、現在はグループ本社主導の下各地域の代表会社と連携しています。加えて、法律事務所やコンサルティング会社など第三者の知見も活用しながら進めています。
日系企業が今対応すべき二つの法律
IoTデータ条項とAI法、見落としがちな適用リスク
高澤:
ここからは個別の法律を深掘りしていきます。石川先生、お話しいただいた法律の中で、日系企業が特に注視すべき法律は何ですか。
石川:
セキュリティに関する法律を除けば、「EUデータ法」と「AI法」の二つです。
EUデータ法には「クラウドスイッチング条項」と「IoTデータ条項」があります。クラウドスイッチング条項は、IaaS・PaaS・SaaSすべてのクラウドサービスが対象で、EU向けにサービスを提供する場合、利用者が他のクラウド事業者へ乗り換えやすくする措置が求められます。もっとも、欧州向けにクラウドサービスを直接提供している日本企業はそこまで多くないため、影響は限定的かもしれません。
注目すべきはIoTデータ条項です。欧州で機器を販売しセンサーでデータを取得する場合、産業データも個人データも全て対象になるからです。つまり、IoT製品をEU域内で販売する製造事業者には、「ユーザー自身がデータを利用できる製品設計」と、「生成されるデータに関する情報提供」が求められます。
また、製造事業者が製品から取得したデータを保有している場合は、ユーザーの求めに応じて無償でアクセスできるようにしなければなりません。さらにユーザーが第三者へのデータ移転を求めた場合も、応じる義務があります。その際はFRAND(Fair, Reasonable and Non-Discriminatory:公正、合理的かつ非差別的)条件で対価を受け取れる枠組みです。非個人データの取得時には利用者との契約も必要になります。
つまり、IoTデータ条項は、「製造事業者にため込まれがちなデータを開放し、修理などのアフターマーケットサービスやデータ活用によるイノベーションを促進する」ことを目的としたものです。さらに近年のAI開発におけるデータ需要の高まりが、この条項の重要性を押し上げています。
高澤:
IoTデータ条項は、実務面にかなり影響しそうですね。
石川:
はい。影響範囲は広域で、インターネット経由だけでなくケーブル接続でデータを取得できる製品も全て対象です。実務では、影響範囲の特定、情報提供文書・契約の作成、製品仕様の検討、ポータビリティ権行使への準備が求められます。FRAND条件を巡る紛争リスクも高く、EU域内では別の法令の下ですでにセクター別に紛争事例が出ています。EUデータ法の適用により、こうした紛争がコネクテッド製品全般に拡大していく見通しです。
最大の難点は、EUデータ法の条文やガイドラインを日本語で読んでも具体的な対応方法が分かりにくいことです。解釈論の大半がドイツ由来で、ドイツ語のコメンタールに当たる必要があります。とはいえ、欧州系・日系・米系の多くの企業が2025年9月12日の適用開始に向けて対応を進めており、情報提供文書や契約、権利行使の実例もすでに存在します。製品が出るたびに対応が必要ですから、継続的な体制整備が不可欠です。
高澤:
もう一つのAI法についてはいかがでしょうか。
石川:
AI法で最も重要なのは、自社がどの範囲で適用対象になるかを早い段階で見極めることです。「うちには関係なさそうだ」と感じる企業は多いですが、実際に精査してみると影響範囲に入るケースが頻出します。
特に注意喚起しているのが、ハイリスクAIシステムです。アネックス(※1)Ⅰに列挙された医療機器規則や機械規則など約20の整合法令の下で第三者認証を受けた製品の安全性にAIを利用していれば、全てハイリスクに該当します。アネックスⅢの利用分野ばかり注目されがちですが、アネックスⅠ該当のメーカーも非常に多いです。適用延期の議論や「デジタルオムニバス法案(※2)」による簡素化も限定的です。「標準規格が出れば明確になる」という待ちの姿勢も危険です。規格だけで自動的にコンプライアンスは確立しません。
※1 アネックス:EU法令の附属書。アネックスⅠはAI法の適用対象となる整合法令(医療機器規則や機械規則など)の一覧。アネックスⅢはハイリスクAIシステムに該当する利用分野(生体認証、重要インフラ、雇用管理など)の一覧
※2 デジタルオムニバス法案:複数のデジタル関連法令を一括改正するためにEUが2025年11月に提出した法案。
高澤:
では、日系企業としてはどのような対応をするべきでしょうか。
石川:
求められるのは、自社のAIシステムの把握、リスク別の対応分類、そして実際の対応という三段階の体制構築です。リスクマネジメントの手法は各国間で大きな差がなく、早期に着手できるので、早急に着手すべきです。
製造業における対応の実践
本社主導のグローバル法規制対応
高澤:
ここからは自社に適用される法律が見えてきた後の対応について掘り下げます。諏訪さん、三菱電機ではGDPRやNIS2指令(※3)(以下、NIS2)、CRA(※4)などへの対応は、本社主導で実施したと伺っています。なぜ、本社主導にしたのでしょうか。現地法人との役割分担も含めて教えてください。
※3 NIS2指令(Network and Information Security Directive 2):2016年のNIS指令の改訂版で、EUの重要インフラや重要事業者にサイバーセキュリティ対策を義務付ける指令。2023年の改訂で製造業・化学品・食品などにも対象が拡大され、制裁金も「全世界売上の1.4%」または「700万ユーロ」の高い方が適用される。
※4 CRA(Cyber Resilience Act):サイバーレジリエンス法。デジタル要素を持つ製品にサイバーセキュリティ要件を課すEU規則。
諏訪:
製造業は「良いものを作って売る」だけではなく、コネクテッド化でお客さまとつながり続け、データから価値を生み出す時代になっています。我々も売上高の半分以上が海外です。サプライチェーンもグローバルにつながっている以上、拠点ごとの個別対応では限界があります。そこでGDPRを契機に、グループ本社主導のグローバル体制へ切り替えました。
役割分担としては、グループ本社がハイレベルな法令モニタリングや影響分析、対応方針の策定を行い、各地域のグループ代表会社が詳細調査や当局対応、政策当局とのコミュニケーションを担います。特に欧州では法律要件と運用レベル実務が合わないケースもあり、現地の実情を把握してもらうことが重要です。
三菱電機デジタルイノベーション株式会社
取締役(セキュリティ事業担当)
兼 三菱電機株式会社 執行役員
デジタルイノベーションソリューション本部 IT・セキュリティガバナンス部長
諏訪 啓氏
高澤:
NIS2対応の取り組みについて教えてください。
諏訪:
NIS2自体はモニタリングしていましたが、当初は重要インフラ事業者向けの規定という認識で、影響は限定的だと考えていました。ところが外部パートナーから「製造業も無関係ではない」と指摘を受け、対策検討を開始しました。
NIS2の要求は三つあります。一つ目がサイバーセキュリティ対策の実施、二つ目が重大インシデントの報告、そして三つ目がサプライチェーン管理です。セキュリティ対策は、「ISO 27001」や「NIST SP800-171」、「IEC 62443」に準拠したグループ内ガイドラインを整備しており極端な驚きではありませんでしたが、NIS2定義の重大なインシデント発生時の当局報告ルートや対応主体はまだ整理ができていませんでした。
そこでまず二つの初動対応に着手しました。一つ目はNIS2の対象となるグループ内関係会社の特定です。製造拠点は分かりやすい一方、マネージドICTサービス業など判断が難しいケースもあり、今現在も精査を続けています。二つ目はNIS2定義の「重大なインシデント報告基準」の策定であり、グループ本社で基準を作り、グループ全体へ展開中です。今後はサプライチェーン管理にも対応範囲を広げる必要があり、法令化の進展に合わせて、急ピッチで整備を進めている状況です。
PwCコンサルティング合同会社 シニアマネージャー 高澤 真理
今後の展望と欧州規制の方向性
データ利活用促進へ向かうEU法制の再編
高澤:
デジタル法規制が次々に整備される中、三菱電機としてはコンプライアンス対応をどのような姿勢で進めているのでしょうか。
諏訪:
新しい法律は、新しい市場を生む契機にもなります。新技術が生まれ、法整備が進み、それが市場の形成につながる、このサイクルはデジタルに限らず普遍的なものです。
私は2024年度までグループ全体のセキュリティを担当していましたが、2025年度から新会社の設立に伴い、三菱電機デジタルイノベーション株式会社に移り、社内DXとその知見の外部提供の両方を担うようになりました。その経験もあり、法規制を「来たから守る」だけでなく、なぜ制定され、どんなビジネス機会につながるのかまで考えるようになりました。
特に製造現場のセキュリティは大きな課題ですが、ここに本気で取り組めば、多くの製造業に役立つ知見にもなるため、法規制への向き合い方は、より前向きでアクティブなものになっています。
高澤:
コンプライアンスはコストと見られがちですが、規制がこれだけ複雑化する今こそ、プロアクティブな姿勢が重要ですね。石川先生は、今後のEUの規制動向をどのようにご覧になっていますか。
石川:
EUはデジタル規制を厳格化してきましたが、2024年9月の「ドラギレポート(※5)」が大きな転機になりました。デジタル規制がテック産業の成長を阻害しているとして、ルールの簡素化を提言したのです。これを受け、2025年2月にはフォンデアライエン政権第二期の冒頭で「デジタルパッケージ」が提案されました。
※5 ドラギレポート:マリオ・ドラギ元欧州中央銀行(ECB)総裁が2024年9月に公表した、EUの競争力強化に関する報告書。デジタル規制の簡素化を含む広範な提言を行った。
その後も、AIアクションプラン、サイバーセキュリティ分野のパブリックコンサルテーション、欧州データ連合戦略のエビデンス収集と、政策の動きは加速しています。共通する方向性は、「AI開発に必要な、大規模かつ高品質なデータをEU内で確保・活用できるようにする」ことです。2025年11月19日には、欧州データ連合戦略の最終版が示され、同年2月に公表されたデジタルパッケージの一環として、デジタルオムニバス法案が提出されました。おおむね1年以内に大きな変更なく成立する見通しです。
この戦略が解決を目指す課題は三つあります。一つ目はデータ不足でAIが開発できないこと、二つ目は規制がAI開発の障壁になっていること、三つ目は高価値データが各国に偏在しEU事業者が利用できないことです。これらの課題に対応するため、戦略では優先分野を設定して取り組む構造になっています。
ここで最も重要なのがデータ法制の合理化です。非個人データ流通規則やデータガバナンス法などを統合する「One Data Act」が提案されており、今後のEUデータ法制はこのOne Data Actを基盤に、個人データについてはGDPRが上乗せされる形になります。
ただし、これは単にコンプライアンスのための法制ではありません。データ利活用を促進し、企業がどう振る舞うかを問う法制です。欧州データ連合戦略においては、公的データの開放や流通基盤の整備に加え、合成データ技術の推進やソブリンクラウド導入など、ビジネスチャンスにつながる政策も含まれています。
私がいつも強調しているのは、コンプライアンス対応は「二番手」でも許されることがある一方、ビジネスチャンスは「一番手」でなければつかめないという点です。法規制のキャッチアップを、単なる義務ではなく戦略として捉えることが極めて重要です。
日本の法制度への影響と求められる体制
デジタル法規制の波及を見据える
高澤:
最後に、欧州の規制動向が日本の法制度にどのような影響を及ぼすのかを教えてください。
石川:
日本への影響を語る前に一点だけ。「日本企業は欧州デジタル規制にまだ対応していない」という話がよく出回ります。しかし、実際には多くの企業が静かに動き始めています。情報収集時には、この「錯覚」に惑わされないことが重要です。本社が担うべきなのは、情報を入手し、自社への影響を評価し、グループ全体に展開すること。そしてもう一つ大事なのが、日本の法制度への波及を見据える視点です。
例えば、2025年6月13日にデジタル行財政改革会議で決定された「データ利活用制度の在り方に関する基本方針」です。この中には、EUデータガバナンス法やデータ法の考え方が反映されており、EUの法制が日本のどこに反映されるか見通せます。さらに、EUのデジタルオムニバス法案がAIによる個人データ利活用を促進する方向性を示す一方、日本でもAIによる個人データの統計処理が議論されています。
また、オムニバス法案は、プラットフォーム、消費者保護、セキュリティ、AI法など多領域に波及するため、自社ビジネスとの関係整理が欠かせません。こうした動向を踏まえると、本社に欧州デジタル規制のインテリジェンス機能を集約し、社内外の知見を一元化することが極めて重要だと考えています。
高澤:
積極的なコンプライアンス対応がビジネスチャンスにつながること。そして、現地任せにせず、本社が主体的に情報収集とキャッチアップを始めることが最初の一歩であると認識しました。本日はありがとうございました。
