オムニバス規則による AI Act 大幅後退の実態
2026年4月現在、The Next Webの報道によると、欧州委員会が提案したオムニバス規則は、EU AI Actの根幹を揺るがす内容となっている。同規則は高リスクシステムに対するAI Actの中核義務を最大16ヶ月延期し、GDPR下でAIモデル学習における個人データ利用の新たな正当利益根拠を創設する。さらに、個人データの定義自体を狭義化し、AIプロバイダーと展開者に課されていたスタッフのAIリテラシー確保義務も削除される予定だ。
これらは単なる編集上の修正ではなく、構造的な譲歩である。欧州委員会は、AI Actのインクが完全に乾く前、そして誰もがフレームワークの有効性を公正に評価できる前に、その内容を空洞化させようとしている。この動きの背景には、米国の技術覇権と規制緩和姿勢への懸念が色濃く反映されている。
2026年3月の欧州議会での採決では、高リスクAI期限の延期は支持されたものの、委員会提案の猶予期間は短縮され、透かし義務についても固定日程が設定された。さらに議会は、AI powered nudificationシステムの禁止を新たに追加し、委員会が完全削除を提案していたAIリテラシー義務についても、弱体化した形ながら維持した。
米欧間のテック規制摩擦が激化
CNBCの報道によると、過去2年間でEUが米国ビッグテック企業に課した制裁金が70億ドルを突破し、米欧関係に深刻な緊張をもたらしている。60億ユーロの制裁金は現在法廷で争われているが、EU法により暫定的支払いや金融保証でカバーされる必要がある。
2026年2月、欧州委員会はMetaに対し、進行中の調査の一環として、WhatsAppから第三者AIアシスタントを排除することを停止する「中間措置」を課すと通告した。また3月には、Snap社が所有するSNSプラットフォーム「Snapchat」が、オンライン児童安全に関してデジタルサービス法に準拠しているかを調査するため、正式な手続きを開始した。
アンドリュー・プズダー駐EU米国大使は3月27日、CNBCの番組で「欧州連合がAI経済に参加するつもりなら、データセンター、データ、米国のAIハードウェアスタックへのアクセスが必要だ。過度な規制と規制のゴールポスト移動、巨額制裁金の賦課は両立しない」と述べ、強い懸念を示した。ハワード・ルトニック商務長官も昨年11月のBloombergインタビューで「未解決の案件を解決し、過去のものとしよう」と発言している。
医療機器分野での AI 規制統合が本格化
Medical Device and Diagnostic industryの分析によると、医療技術分野では2027年前半までにRWE(Real-World Evidence)を活用した監視ループの構築が義務化される。具体的には、レジストリ、電子健康記録(EHR)、請求データへのパイプライン確立、ドリフト検出のための統計的トリガー定義、PCCP(Predetermined Change Control Plan)認可更新によるループ完成が求められる。
2025年6月のサイバーセキュリティ最終ガイダンスでは、SPDF(Software Bill of Materials)の強化、すべての市販前経路にわたるラベリング要件が拡大され、トレーニングデータとモデル成果物まで安全設計義務が拡張された。2025年12月のRWEガイダンスは、市販後監視での匿名化データソースの使用可能性を拡大している。
EU市場向けでは、AI搭載医療機器がMDR/IVDRとEU AI Act双方への準拠が必要となり、2025年のMDCG/AIB合同FAQで確認されている。King & Spalding法律事務所の2025年6月レポートは、MDCG 2025-6とAIB 2025-1によるEU AI Act-MDR/IVDR相互作用のギャップ評価実施を推奨している。
デジタル・アイデンティティ・ウォレットが社会基盤に
Substackの分析によると、規則(EU)2024/1183(eIDAS 2.0)が2024年5月20日に施行され、すべてのEU加盟国が2026年12月までに市民と居住者に少なくとも1つの認定デジタル・アイデンティティ・ウォレットを提供することが義務化された。2027年11月までに、銀行、信用機関、決済サービスプロバイダー、通信、輸送事業者、エネルギー供給業者、医療システム、そしてAmazon、Meta、Google、Booking.com、LinkedInなどの大規模オンラインプラットフォームが、これを有効な身元確認手段として受け入れなければならない。
オーストリアは既に先行しており、同国のウォレット「Valera」が積極的な展開段階にある。EUの目標は2030年までに市民の80%がデジタル・アイデンティティ・ウォレットを携帯することだ。この展開は、Adam Smith(アダム・スミス)の「道徳感情論」(1759年、第6版1790年)や「国富論」(1776年)で論じられた社会的信頼の基盤概念を現代的に再構築する試みともいえる。
デジタル・ネットワーク法で衛星通信を統一規制
SpaceNewsの報告によると、2026年1月21日に欧州委員会が正式発表したデジタル・ネットワーク法(DNA)提案は、既存の欧州電子通信コード、BEREC規則、無線スペクトラム政策プログラムを廃止・統合し、EU全域での衛星接続に関する統一規制フレームワーク確立を目指している。
重要な衛星事業者に指定された場合、緊急時におけるサービス継続義務、優先トラフィック要件、容量配分義務などが課される可能性がある。これは従来の特定顧客との契約上のコミットメントから、より包括的な義務への転換を意味する。マルチユース・コンステレーション運用事業者は特に、容量計画、SLA交渉、収益モデルにおいて緊急時要件を考慮する必要が生じる。
実際には、EU統一モデルにより、衛星事業者がEU全域でサービス提供を希望する場合、27の認可プロセスに従う必要がなくなり、27セットの認可条件を遵守したり、全加盟国で個別にスペクトラム権利を取得したりする必要がなくなる。ただし、この実現範囲は効果的な実装と、EU レベルの統一化と既存の国家規制責任のバランスにかかっている。
ESG報告基準の大幅引き上げと企業への影響
Consultancy.euの分析では、オムニバス規則によりCSRD(企業持続可能性報告指令)報告基準が大幅に引き上げられた。EU事業体については、従業員1000人以上かつ純売上高4億5000万ユーロを超える企業が対象となり、これは事業体レベルとEU親事業体の連結ベースの両方で評価される。
EU域外事業体でEUでの重要な存在を持つ場合は、第三国親会社が連続2年間で少なくとも4億5000万ユーロのEU売上高を創出し、かつ少なくとも1つのEU子会社または支店が個別に2億ユーロの売上高を超える場合に適用される。
CSDDD(企業持続可能性デューデリジェンス指令)については、基準値が従業員5000人以上、売上高15億ユーロ以上に引き上げられ、明らかに超大規模グループを対象としている。オムニバス規則では2つの重要な免除も導入された。グループ構成変更の場合、合併・買収・売却により大幅な変更があった親事業体は、事象とその影響・リスク・機会(IROs)への影響を開示すれば、特定の情報を省略できる。金融持株事業体では、相互独立したビジネスモデルと事業を持つ子会社を有し、投資保有のみを目的とする場合、報告を選択しないことが可能だ。
