1. 欧州デジタル戦略の転換点と「簡素化」の真意1.1 背景:EUにおける競争力への危機感2025年11月19日、欧州委員会は「デジタル・オムニバス(Digital Omnibus)」と称される包括的な法改正パッケージを提案した。この提案は、単なる既存規制の修正にとどまらず、欧州連合(EU)が直面する深刻な競争力の低下、特に米国や中国に対する人工知能(AI)およびデータ経済における劣勢を挽回するための戦略的な転換点として位置づけられる。発端のひとつは、2024年9月に公表された、マリオ・ドラギ前欧州中央銀行総裁による通称「ドラギ・レポート」(※1)だ。そこでは、EUの規制環境が過度に複雑化し、企業のコンプライアンスコストを増大させ、イノベーションを阻害していると痛烈に批判された。これを受け、フォン・デア・ライエン委員長の第2期委員会は、2025年1月に採択された「競争力コンパス」(※2)において、規制の「簡素化(Simplification)」を最優先課題のひとつに掲げた。その具体案として提示されたのが、今回のデジタル・オムニバスである。この「簡素化」は、規制の撤廃(deregulation)ではなく、異なる規制の間の整合性を高めたり、解釈を明確化したり、手続きを簡素化したりするといった、実務的な「最適化(Optimization)」のアプローチであるとされている。1.2 AI法制にとって特に重要な観点デジタル・オムニバスはデジタル法制全般にわたるため、そのスコープはきわめて広いが、本稿では、そのうち欧州委員会が提案したAI関連の二つの主要な規則案、すなわちデータ法制に関する「デジタル法制オムニバス(COM(2025) 837)」(※3)およびAI法に関する「AIオムニバス(COM(2025) 836)」(※4)に基づき、AI関連産業に与える法的・実務的影響を包括的に分析する。具体的には、以下のAI関連の重要テーマに焦点を当てる。AI学習データの法的根拠: GDPR改正による「正当な利益(Legitimate Interest)」および「科学的研究」の再定義。AI法の適用延期: 高リスクAI規制のタイムライン変更。適合性評価のワンストップ化: 製品安全規制とAI規制の統合審査による「二重負担」の解消。新たな企業区分「SMC」: 小規模ミッドキャップ(Small Mid-Caps)への規制緩和措置。AIリテラシー義務の転換: 企業の直接義務から国家の支援施策への変更。登録義務の軽減:限定的用途の高リスクAIシステムの登録を免除へ。インシデント報告の統合: シングル・エントリー・ポイントによる運用効率化。また、これらの変更が日本企業に与える影響についても考察する。2. デジタル法制オムニバス(COM(2025) 837):AIデータアクセスのためのGDPRおよびデータ関連法改正COM(2025) 837は、AI開発における最大の障壁の一つであった「データ保護規制の不確実性」を解消するために、GDPRを含む複数のデジタル法令に修正を加えるものである1。これは、AIモデルのトレーニングや運用におけるデータの利用可能性を法的に担保し、欧州を「信頼できるAI」の開発拠点とするための基盤整備と位置付けられる。2.1 GDPR改正:AI開発における「正当な利益」の明文化AI開発者にとって、大規模なデータセットに含まれる個人データを、データ主体の同意なしに利用できるかどうかは死活問題であった。これまでのGDPRの運用では、法的根拠が曖昧であり、各国のデータ保護監督機関(DPA)によって判断が分かれるリスクがあった。2.1.1 「正当な利益」による処理の法的承認今回のオムニバス提案において、欧州委員会はGDPRを改正し、「AIシステムおよびモデルの開発・運用」が、データ管理者の「正当な利益(Legitimate Interest)」(GDPR第6条(1)(f))となり得ることを明確化する方針を打ち出した。従来、生成AIの基盤モデルのトレーニングにウェブスクレイピング等で収集した個人データを利用する場合、数億人のデータ主体から「同意」を得ることは実質的に不可能であった。そのため、「正当な利益」が唯一の現実的な法的根拠となり得るが、これに対する法的安定性が欠けていた。提案では、以下の条件を満たす場合に限り、AI開発・運用のための個人データ処理において「正当な利益」を法的根拠として認める方向性が示されている。バランシング・テストの実施: データ管理者の利益(AI開発)と、データ主体の基本的権利・自由とのバランスを評価すること。異議申立権(オプトアウト)の保証: データ主体が自身のデータがAI学習に利用されることを拒否できる権利を実質的に保証すること。高い透明性の確保: どのようなデータがどのように利用されるかを明確に開示すること。この変更は、EDPB(欧州データ保護会議)が以前から示していた慎重な姿勢を一歩進め、EU法として明示的にAI開発を「正当な利益」の枠組みに位置付けるものであり、欧州のみならず日本のAI開発企業にとっても、EUデータを活用したモデル開発の予見可能性を高めるものである。但し、実際のバランシング・テストの方法や、異議申立権の実際の行使方法などについては、今後の議論を深めていく必要があるだろう。なお、類似の議論は日本でも行われている。すなわち、個人情報を統計情報等の作成(その中にはAI開発が含まれる)のみに利用することが担保されている場合など、個人にとってのリスクが客観的に低いといえる場合に、本人の同意なく個人情報の第三者移転や要配慮個人情報の取得ができるような個人情報保護法の改正が、個人情報保護委員会において検討されている。2.1.2 センシティブデータ(特別なカテゴリーの個人データ)の処理個人情報の処理に関するもうひとつの重要な提案として、AIモデルの「バイアス検出および修正(Bias Detection and Correction)」を目的とする場合に限り、人種、政治的信条、健康データなどの「特別なカテゴリーの個人データ(センシティブデータ)」の処理を例外的に許可する条項(GDPR第9条の例外または新設条項)が含まれている。これは、従来AI法(高リスクAIシステムのみ対象)で限定的に認められていたサンドボックス内での特例を、GDPR自体の規定として一般化し、すべてのAIシステムおよびモデルの開発者に適用範囲を拡大するものである。これにより、医療AIの開発や、公平性を担保するためのアルゴリズム調整において、必要不可欠なセンシティブデータの利用が適法化される道が開かれた。ただし、当該データはバイアス修正後に即座に消去されるか、匿名化・仮名化される等の厳格な保護措置(セーフガード)が条件となる。2.2 「科学的研究」の再定義と商業利用への道2.2.1 定義の拡大と明確化GDPR第89条に基づく「科学的研究(Scientific Research)」の特例は、これまで主にアカデミアや公的研究機関を対象とした狭義の解釈がなされる傾向にあった。しかし、現代のAIイノベーションの多くは民間企業のR&D部門から生まれている。そこで、オムニバス提案では、GDPR第4条等において「科学的研究」の定義を新設・明確化し、「商業的利益を追求する研究(aim to further a commercial interest)」もこの定義に含まれることを明記することが提案されている。2.2.2 目的外利用の禁止の緩和科学的研究目的での個人データの処理については、「当初の収集目的との適合性(Compatibility)」が推定されるという原則が強化される。これは、企業が当初別のサービス提供目的で収集した顧客データを、後にAIモデルの改良や新機能開発のための「科学的研究」として再利用(Secondary Use)する場合、新たな同意取得が不要になる可能性を示唆している。また、科学的研究目的の場合、特定の条件下(例えば、データ主体への通知が不可能または不釣り合いな努力を要する場合)において、透明性義務(プライバシー通知)の一部免除が認められる提案も含まれている。これは、大規模なデータセットを扱うAI開発において、個々のデータ主体への通知コストを大幅に削減する効果を持つ。2.3 個人データ定義の「主観的アプローチ」の法制化AI学習データの選定において、「個人データ」と「非個人データ(匿名加工情報等)」の境界線は常に論争の的となってきた。オムニバス提案では、欧州司法裁判所(CJEU)のSRB判決(Case C-413/23)の法理を反映し、個人データの定義に「主観的(相対的)アプローチ」を導入することが提案されている。この改正により、例えば、識別子を削除したデータを第三者から受領したAI開発者が、再識別のための追加情報(鍵)を持たない場合、そのデータを非個人データとして扱い、GDPRの厳しい制約を受けずにAIトレーニングに利用できる可能性が広がる。これはデータエコシステム全体におけるデータの流動性を高める画期的な変更である。2.4 eプライバシー指令と端末情報の利用(Edge AI)AI処理のトレンドの一つとして、クラウドからエッジ(端末側)への移行が進んでいる(Edge AI)。オムニバス提案では、eプライバシー指令(Cookie規制)の改正が含まれており、端末情報のアクセスや保存に関するルールがGDPRの基準に統合・簡素化される。具体的には、ユーザーが要求したサービスの提供、セキュリティ確保、オーディエンス測定などの目的であれば、Cookieやローカルストレージへのアクセスに関する同意が不要となる「ホワイトリスト」が拡大される。また、ブラウザ設定等を通じた自動化された同意シグナルの法的効力が認められることで、AIエージェントがユーザーに代わってプライバシー設定を管理する未来を見据えた法整備が進められている。2.5 データ法への統合と公共データのAI利用データ流通の断片化を解消するため、データガバナンス法(DGA)およびオープンデータ指令が廃止され、その主要規定が改正後のデータ法(Data Act)に統合される。これにより、公共部門が保有するデータ(Public Sector Data)の再利用に関するルールが一元化される。特にAI開発にとって重要な「高価値データセット(High-Value Datasets)」の利用促進や、センシティブな公共データの安全な再利用環境の整備が、単一の法的枠組みの下で推進されることになる。これは、気象データ、交通データ、統計データなど、質の高い学習データを求めるAI企業にとって、アクセス手続きの簡素化を意味する。3. AIオムニバス(COM(2025) 836):AI法実施の時期調整と最適化AIオムニバスは、2024年に成立したAI法(Regulation (EU) 2024/1689)の実施段階における課題、特に標準化の遅れや中小企業の負担増に対処するための緊急避難的な修正および構造的な改善を提案している。3.1 高リスクAI規制の適用タイムラインの「条件付き」延期AI法のスケジュールにおいて、高リスクAIシステムに関する義務の適用開始は、企業にとって最大の関門である。しかし、準拠のために不可欠な「整合規格(Harmonised Standards)」の策定が遅れており、このままでは規格不在のまま法的義務が発生する「コンプライアンスの崖」が生じる恐れがあった。3.1.1 規格利用可能性とのリンク提案では、高リスクAI規制(第3章)の適用開始を、固定された日付ではなく、「欧州委員会が整合規格や支援ツール(ガイドライン等)の利用可能性を確認する決定」を行ってから一定期間後に設定するメカニズムが導入される。附属書III(AI法独自の規制対象となる高リスクAI): 委員会の決定から6ヶ月後に適用開始。附属書I(既存の規制対象となる製品に組み込まれた高リスクAI): 委員会の決定から12ヶ月後に適用開始。3.1.2 バックストップ(最終期限)の設定ただし、法的空白を避けるため、規格が完成しない場合でも規制が強制適用される「バックストップ(Backstop Dates)」が設定された。この変更により、企業は「規格が整ってから準備する」という猶予を得られる一方、規格策定が早まれば適用も早まる可能性があるため、動向を注視し続ける必要がある。3.2 小規模ミッドキャップ(SMCs)の定義とAI法上の優遇措置本オムニバスの目玉の一つが、SME(中小企業)の定義から外れるが、大企業ほどのリソースを持たない「小規模ミッドキャップ(Small Mid-Caps: SMCs)」への支援拡大である。3.2.1 SMCの定義(勧告 2025/1099)SMCの定義は、欧州委員会勧告(EU)2025/1099に基づき、以下の基準で設定される。勧告2003/361/ECに基づくSMEに該当しないこと 従業員数: 750人未満売上高: 1億5,000万ユーロ以下または バランスシート総額: 1億2,900万ユーロ以下重要な点として、この定義においてもSMEと同様に「連結基準」が適用される。つまり、従業員数や売上高は、出資比率25%以上の「パートナー企業」や50%以上の「関連企業(Linked Enterprises)」を含めて合算される。したがって、日本の大企業の子会社であるEU現地法人は、単体でこの基準を満たしていてもSMCとは認定されず、優遇措置の対象外となる可能性が高い。3.2.2 AI法におけるSMCへの具体的緩和策AIオムニバスでは、従来SMEに限定されていた以下の特例がSMCにも拡大される。技術文書作成の簡素化(第11条): 欧州委員会が作成する簡素化されたフォームを用いて、適合性評価に必要な技術文書を作成することが認められる。品質管理システムの比例的適用(第17条): 組織の規模や複雑さに応じた、より柔軟な品質管理システムの構築が許容される。制裁金の配慮(第99条): 違反時の制裁金決定において、SMCの経済的状況や存続能力が考慮され、事実上の減額措置が適用される可能性がある。サンドボックス優先アクセス(第57条): AI規制サンドボックスへの参加申請において、SMEと同様に優先的な審査や枠の割り当てが行われる。3.3 適合性評価プロセスの合理化と「ワンストップ化」日本の製造業(ロボティクス、医療機器等)にとって、AI法の適合性評価が既存の製品安全認証に追加されることは、「二重審査」や「コスト増大」の懸念材料であった。今回の修正案は、この点に強力な解決策を提示している。3.3.1 シングル・アプリケーションとシングル・アセスメントAIオムニバス提案の第28条および第43条の改正により、AI法と既存のEU調和法令(機械規則、医療機器規則など)の適合性評価を一元化することが法的に保証された。具体的には、以下のメカニズムが導入される:単一申請(Single Application): 事業者は、製品安全の認証とAI法の認証を別々に申請する必要がなくなり、一度の申請で双方の手続きを開始できる。単一評価プロセス(Single Assessment Procedure): 認証機関(Notified Body)は、製品全体の審査の中にAI部分の審査を統合し、一度のプロセスで完了させる。これにより、重複するテストや監査が排除される。3.3.2 NANDOコードの整備による認証機関の可視化また、認証機関がAI法の審査能力を持つかどうかを明確にするため、EUの認証機関データベース(NANDO)において、AIシステムの種類やカテゴリ(例:機械学習、論理ベース等)に応じた詳細なコード体系(Annex XIV)が導入される。これにより、FA(工場自動化)機器、産業用ロボット、医療機器などを欧州へ輸出する日本企業は、既存の認証パートナーとの関係を維持しつつ、追加のモジュールとしてAI認証を受けられる可能性が高まり、製品上市までのリードタイムの短縮とコスト削減につながる可能性がある。3.4 AIリテラシーの担い手の変化:企業の「義務」から「推奨」へAI法第4条に規定されていた「AIリテラシー」に関する義務は、当初、すべてのAIシステム提供者および導入者(企業)に対し、スタッフへの教育を法的に義務付けるものであった。これは、中小企業を含む多くの企業にとって、具体的な実施基準が不明確なまま重い負担となっていた。3.4.1 義務の主体変更今回の修正案では、この第4条を根本的に書き換えている。変更前: 「提供者および導入者は、スタッフのAIリテラシーを確保するための措置を講じなければならない(shall take measures to ensure...)。」変更後: 「欧州委員会および加盟国は、提供者および導入者がAIリテラシー確保措置を講じるよう奨励(encourage)しなければならない。」つまり、AIリテラシー向上の法的義務の主体が「企業」から「国家・行政」へとシフトし、企業にとっては法的強制力を伴う義務から、推奨されるベストプラクティスへと緩和されることが提案されている。3.5 市場投入後の監視(Post-market Monitoring)の柔軟化高リスクAIシステムのプロバイダーには、市場投入後の監視(Post-market Monitoring)システムの確立が義務付けられている。AI法では、欧州委員会がこの市場投入後の監視計画に関する詳細な実施法(implementing act)を採択する権限を付与している。しかし、今回の提案では、そのような欧州委員会の権限が削除されることになる。この修正は、プロバイダーに対して一律に「調和された監視計画の様式」を義務付けることを回避し、AIシステムの特性やリスク、プロバイダーの規模や複雑性に応じて、より柔軟かつ比例的な監視計画を策定することを可能にする。これにより、形式的なコンプライアンス負担を軽減し、実質的なリスク管理に注力しやすくなるというメリットがある。3.6 AIシステム提供者に対する登録負担の軽減AI法の下では、高リスクに分類されるAIシステムは、EUデータベースに登録することが義務付けられている。しかし、高リスクのリスト(附属書III)に該当する分野のAIシステムであっても、その利用目的や機能が極めて限定的である場合、高リスクAIに課される義務を免除する例外規定が設けられている。他方で、そのような限定的な高リスクAIシステムであっても、登録義務自体は課されていた。本修正案では、提供者によって「高リスクではない」と結論付けられたAIシステム(狭いタスクや手続き的なタスクにのみ使用されるシステム等)について、EUデータベースへの登録義務を削除する変更が提案されている。この変更は、当該システムの提供者、特に中小企業(SME)やSMC(小規模ミッドキャップ)が、不必要な事務的負担を負うことを図っている。他方で、事業者の自主的な判断で登録義務を免れるのであれば、規制当局が高リスクAIによる被害を発見する端緒を失ってしまうという懸念の声も上がっている。3.7 規制サンドボックスと実世界テストの拡大イノベーション促進のため、テスト環境に関する規制も緩和される。EUレベルのAI規制サンドボックス: 2028年から、AIオフィスが運営する汎欧州的なサンドボックスが稼働する。これにより、複数の加盟国にまたがるプロジェクトの実証実験が単一の枠組みで可能になる。実世界テスト(Real World Testing)の対象拡大: 従来、附属書III(AI法独自の規制対象となる高リスクAI)に限られていたサンドボックス外での実世界テストが、附属書I(既存の規制対象となる製品に組み込まれた高リスクAI)にも拡大される。これにより、自動運転車やAI搭載医療機器などの開発において、市場投入前の公道テストや臨床試験に近い実証が、AI法の枠組みの中で(各国の製品安全法規と整合しつつ)実施しやすくなる。4. サイバーセキュリティとインシデント報告の統合(Single Entry Point)AIシステムはサイバー攻撃の標的となりやすく、インシデント発生時にはAI法だけでなく、GDPR(個人データ漏洩)、NIS2指令(重要インフラ)、DORA(金融機関)など、複数の法令に基づく報告義務が発生する。この多重報告状態を解消するための統合メカニズムの導入が提案されている。4.1 シングル・エントリー・ポイントの構築ENISA(欧州ネットワーク・情報セキュリティ機関)が運用する「シングル・エントリー・ポイント(Single Entry Point)」が設立される。対象法令:NIS2指令(重要インフラ全般)GDPR(個人データ侵害)DORA(金融部門)eIDAS規則(トラストサービス)CER指令(重要エンティティのレジリエンス)AI法(重大インシデント報告も将来的に統合される可能性が高い)4.2 運用メカニズムと企業へのメリット企業は、この単一のポータルを通じてインシデント報告を行えば、法的義務を履行したとみなされる。ポータルは受け取った情報を自動的に振り分け、関連する所管当局(データ保護当局、CSIRT等)に通知する。また、本オムニバスでは、この統合に合わせてGDPRの報告要件自体も緩和することが提案されている。報告期限は72時間から96時間に延長され、当局への報告が必要なインシデントの閾値も「高リスク(High Risk)」な場合に限定される。これによって、インシデント発生時の混乱(どこの当局に、いつまでに、どの様式で報告するか)が大幅に軽減されることが期待される。5. 今後の課題と日本企業への示唆2025年のデジタル・オムニバス提案は、EUが「規制の輸出」から「イノベーション環境の整備」へと政策の重心を微修正したことを示している。AI開発におけるデータの利用可能性を広げ(GDPR改正)、過度な負担を軽減し(SMC支援・適用延期・リテラシー義務緩和)、手続きを一元化する(シングル・アセスメント・シングル・エントリー・ポイント)という方向性は、欧州市場で活動する企業にとってポジティブな変化であるといえよう。5.1 立法プロセスの不確実性と「二重対応」のジレンマもっとも、留意すべきは、本オムニバス法案があくまで欧州委員会の提案段階にあり、最終的な条文は欧州議会および理事会との三者間協議(Trilogue)を経て決定されるという点である。特に、AI法におけるリテラシー義務の緩和やGDPRの解釈変更などは、政治的な論争を招く可能性があり、成案化の過程で修正されるリスクが残る。さらに、現行AI法の高リスクAI規制の適用開始(2026年8月2日)までに本改正が成立・発効するか否かは予断を許さない状況にある。仮に協議が難航すれば、企業は「改正案による延期・緩和」を期待しつつも、法的には「現行のデッドライン」に縛られるというジレンマに直面する。したがって、企業にとっては、先行きが依然として不透明な中で、改正を見据えた戦略と、現行法に基づく確実なコンプライアンス準備という、二重の対応を迫られる難しい局面が続くことになる。5.2 自律的ガバナンスへの深化と日本企業への示唆これらは単なる規制の撤廃ではなく、企業自身の説明責任を前提とした「自律的なガバナンス」への移行を意味する。特に、AI学習データへのアクセスにおいて「正当な利益」を法的根拠とする場合、企業はデータ主体の権利利益と自社の利益を比較考量する「バランシング・テスト」を厳密に実施し、その正当性を立証する高度な判断能力が求められることになる。また、インシデント報告の窓口一本化は事務負担を軽減するものの、報告の迅速性や正確性が免除されるわけではなく、むしろ異なる法規制(GDPR、NIS2等)にまたがるリスクを即座に特定・評価し、シングル・エントリー・ポイントを通じて適切に伝達する統合的な危機管理体制の構築が不可欠となる。日本企業にとっては、欧州市場での事業機会が拡大する反面、受動的な法令順守(コンプライアンス)から、リスクベース・アプローチに基づく能動的かつ高度なAIガバナンス能力の実装が、これまで以上に強く求められることになるだろう。これは、日本がAI政策の基本に据えているアジャイル・ガバナンスとも方向性を同一にするものである。(※1)https://commission.europa.eu/topics/competitiveness/draghi-report_en(※2)https://commission.europa.eu/topics/competitiveness/competitiveness-compass_en(※3)https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal(※4)https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal本稿は公開情報や執筆者の専門的知見に基づいた一般的な分析・見解を提供するものです。本稿に記載の見解は執筆担当者の個人的見解であり、当社または当社のクライアントの見解ではありません。