【2026年2月最新】EU Digital Omnibus完全解説|GDPR・AI Act大改革がもたらすデータ保護の転換点
はじめに
2025年11月19日に欧州委員会が発表した「Digital Omnibus」パッケージは、GDPR、AI Act、Data Actの大幅改正を提案し、EU全体のデジタル規制環境に大きな波紋を広げています。2026年、この提案をめぐる議論が本格化し、企業のコンプライアンス戦略に影響を与えています。
本記事では、Digital Omnibusの詳細と、企業が今から準備すべきことを解説します。
Digital Omnibusの概要
背景と目的
欧州委員会のQ4 2025デジタルパッケージ提案は、GDPR施行以来初の重要な改革イニシアチブです:
“The main drivers behind this initiative were the need to simplify overlapping regulations, reduce compliance burdens for businesses, and ensure greater legal clarity across the European Union.”
(「このイニシアチブの主な推進力は、重複する規制の簡素化、企業のコンプライアンス負担の軽減、EU全体でのより大きな法的明確性の確保の必要性だった」)
GDPR改正案の詳細
AI訓練のための正当な利益
最も注目される変更の一つは、AI開発目的のデータ処理に関する明確化です:
“A new provision would explicitly recognize such processing as a legitimate interest under the GDPR.”
(「新しい条項は、そのような処理をGDPRに基づく正当な利益として明示的に認めることになる」)
新しい第88c条がGDPRに導入され、AI訓練のための個人データ使用が正当な利益として認められます。
中小企業向け緩和措置
処理活動記録(ROPA)の免除対象が拡大:
- 従来:従業員250人未満の組織
- 改正案:従業員750人未満の組織
- リスク閾値:「あらゆるリスク」から「高リスク」に引き上げ
データ侵害通知の変更
- 通知閾値:「高リスク」インシデントに引き上げ
- 報告期限:72時間から96時間に延長
- 統一窓口:NIS2、GDPR、DORA、eIDAS、CER横断の単一エントリーポイント
Cookie規制の統合
ePrivacy規制がGDPRに統合され、ユーザーは同意拒否後、少なくとも6ヶ月間再質問されない権利を得ます。
AI Act改正案の詳細
適用時期の変更
高リスクAIシステムに関する要件の適用が、固定日から整合規格の利用可能性にリンクされます:
- 最終期限:2027年12月または2028年8月
- 猶予期間:規格と「サポートツール」確認後6ヶ月
AIリテラシー義務の廃止
2025年2月2日から有効となっていたAIリテラシー教育義務が廃止されます。代わりに、EU委員会と加盟国が全体的な政策の一部としてこの責任を負います。
バイアス検出のためのデータ処理
特別カテゴリーの個人データ処理の「法的根拠」が、高リスク分類だけでなく、すべてのAIシステムに適用されるようになります。
AIサンドボックスの拡大
AI OfficeがEUレベルのサンドボックスを管理し、実世界でのテストがより広く可能になります。
反応と議論
プライバシー擁護派の批判
NOYBのMax Schrems氏は提案を強く批判:
“A gift to U.S. Big Tech as they open up many loopholes for the law departments to exploit.”
(「法務部門が悪用できる多くの抜け穴を開くため、米国ビッグテックへの贈り物だ」)
業界の反応
Computer & Communications Industry Associationは、パッケージを「複雑なEU規制環境を簡素化するための歓迎すべきステップ」としつつも、「より大胆な行動がまだ必要」と述べています。
2026年の規制執行動向
EDPB協調行動
2025年の「削除権」に続き、2026年の協調行動は第12条〜14条に定める透明性と情報提供義務のコンプライアンスに焦点を当てます。
累積罰金額
2018年5月以降のGDPR累積罰金:
- 総額:58.8億ユーロ
- 件数:2,245件
- 最多執行国:スペイン(932件)
- 最高額執行国:アイルランド(35億ユーロ)
グローバルプライバシー動向2026
各地域の新規制
| 地域 | 規制動向 |
|---|---|
| 米国 | ケンタッキー、ロードアイランド、インディアナ州法施行 |
| EU | AI Act完全施行、GDPR透明性協調執行 |
| 英国 | Data Use and Access Act運用開始 |
| インド | DPDP Phase 2・3展開 |
| オーストラリア | Privacy Act ADM透明性改正 |
実践:コンプライアンス準備
現行規制の継続遵守
Digital Omnibusは提案段階であり、現行GDPR・AI Act要件は引き続き有効です。
# コンプライアンスチェックリスト
gdpr:
- 処理活動記録の維持
- データ侵害通知プロセスの確認
- 透明性情報の提供(第12-14条)
ai_act:
- AIリテラシー教育の継続(廃止提案だが現時点で有効)
- 高リスクAIシステムの評価
- AIインベントリの作成
変更への準備
# 準備事項
documentation:
- AI開発における正当な利益の文書化
- データ処理目的の明確化
- バイアス検出プロセスの記録
process_update:
- データ侵害対応手順の見直し(72→96時間)
- Cookie同意メカニズムの評価
- 統一通知システムへの対応準備
FAQ:よくある質問
Q1: Digital Omnibusはいつ発効する?
現時点では提案段階で、発効時期は未定です。欧州議会とEU理事会との三者協議が完了するまで少なくとも数ヶ月かかります。
Q2: 日本企業への影響は?
EUに製品・サービスを提供する、またはEU居住者のデータを処理する日本企業は影響を受けます。GDPRの域外適用は引き続き有効です。
Q3: AI開発でのデータ処理は本当に容易になる?
提案が成立すれば、「正当な利益」としてAI開発目的のデータ処理が明示的に認められます。ただし、適切なセーフガードの実施は引き続き必要です。
Q4: AIリテラシー義務はまだ有効?
はい。2025年2月2日から有効であり、廃止提案が採択されるまで義務は継続します。
Q5: パブリックコンサルテーションに参加できる?
2026年3月11日まで開放されています。欧州委員会のウェブサイトから意見を提出できます。
まとめ
Digital Omnibusは、EUデジタル規制の方向性に大きな変化をもたらす可能性があります。
主要ポイント:
- GDPR改正:AI訓練の正当な利益、SME緩和、通知期限延長
- AI Act改正:適用時期の柔軟化、リテラシー義務廃止案
- 統一通知システム:複数規制横断の単一窓口
- 議論の二極化:プライバシー擁護派vs業界の見解対立
- 現行規制の継続:提案採択まで現行要件は有効
企業は現行規制を遵守しながら、提案の動向を注視し、柔軟なコンプライアンス体制を構築することが重要です。
参考資料
- European Commission proposes significant reforms to GDPR, AI Act (IAPP)
- EU AI Act, GDPR, and Digital Laws Changes Proposed (Crowell & Moring)
- Complete GDPR Compliance Guide 2026-Ready
- Privacy Laws 2026: Global Updates & Compliance Guide
- New Privacy, Data Protection and AI Laws in 2026
- EU Set the Global Standard on Privacy and AI. Now It’s Pulling Back
コメント