【2026年2月版】EU GDPR改正案・AI Act施行延期・デジタルオムニバス規制の全容と対策

はじめに
デジタルオムニバス規制案の概要
1. 提案の背景と目的
2. Max Schremsの批判
GDPR改正の主要ポイント
AI Act改正の主要ポイント
グローバルプライバシー動向：2026年の全体像
実践手順：企業のコンプライアンス対策
FAQ（よくある質問）
まとめ
参考資料

はじめに

2026年2月、EUのデータ保護とAI規制の世界で歴史的な転換点が訪れています。欧州委員会が2025年11月に発表した「デジタルオムニバス規制案」は、GDPRとAI Actの両方に大幅な改正を提案しており、賛否両論の激しい議論を巻き起こしています。プライバシー活動家のMax Schrems（NOYB）が「ヨーロッパ人のデジタル権利に対する最大の攻撃」と批判する一方、産業界はイノベーション促進の観点から歓迎しています。

本記事では、IAPP（International Association of Privacy Professionals）などの英語情報源をもとに、デジタルオムニバス規制案の全容と実務への影響を詳しく解説します。

デジタルオムニバス規制案の概要

提案の背景と目的

2025年11月19日、欧州委員会は2つの主要な規制パッケージを発表しました。IAPPの報道によると、これは「デジタルルールの簡素化を目的としたもので、データ、AI、サイバーセキュリティ、プラットフォームに関するフレームワークを含み、セーフガードを低下させることなく欧州のデジタル規制体系を簡素化する」ものです。

具体的には、以下の2つの規制案が提示されました。Digital Omnibus Regulation Proposal（デジタルオムニバス規制案）はGDPRやData Actなどの既存データ保護法制の改正を含みます。Digital Omnibus on AI Regulation Proposal（AIオムニバス規制案）はAI Actの実施スケジュールと要件の修正を含みます。

Max Schremsの批判

NOYBのMax Schremsは、この提案を「ヨーロッパ人のためのデジタル権利に対する史上最大の攻撃」と厳しく批判し、保護が「大幅に低下する」と主張しています。

一方で、CCIA（Computer & Communications Industry Association）などの産業団体は、競争力向上のために「より大胆な行動」が必要だと支持を表明しています。元コミッショナーのThierry Bretonは、オムニバス法案を通じて「これらの法律を解体する」ことへの警告を発しています。

GDPR改正の主要ポイント

AI訓練のための正当な利益の明確化

最も議論を呼んでいるのが、GDPRに新設される第88c条です。欧州委員会は「AI関連の目的で個人データを処理するために正当な利益に依拠することが可能であり、既存のGDPRセーフガードに完全に準拠する限りにおいて」許可されると提案しています。

これは、AI企業がユーザーの明示的な同意なしに個人データをAIモデルの訓練に使用できる法的根拠を提供するものです。GDPR第6条の正当な利益（legitimate interests）の概念を拡大し、AI開発を促進する狙いがあります。

Cookieバナーの改革

広告テクノロジーに関する大幅な改革も提案されています。ユーザーが「ワンクリックでCookieを承認または拒否」でき、組織は6ヶ月間その選択を尊重する義務を負います。これにより、毎回のWebサイト訪問でCookieバナーに悩まされる現状が改善される可能性があります。

データ侵害通知の統合

データ侵害の報告義務について、GDPR、NIS（ネットワークおよび情報セキュリティ指令）、DORA（デジタルオペレーショナルレジリエンス法）に散在する義務を統合する統一報告ポータルの設立が提案されています。企業にとっては、複数の規制に基づく重複した報告義務が簡素化される朗報です。

AI Act改正の主要ポイント

高リスクAI処理の期限延長

当初2026年8月に予定されていた高リスクAI処理のコンプライアンス義務について、「基準が確認され準備が整った時点から6ヶ月」という猶予期間が設けられ、2027年12月が期限の上限として設定されました。実施基準の策定が遅れている現実を反映した現実的な対応です。

AI リテラシー義務の変更

AIシステムを使用する人々にAIリテラシーを教育する義務が、プロバイダーやデプロイヤーから欧州委員会と加盟国に移管されることになりました。企業の負担軽減を図る変更ですが、AIリテラシー教育の実効性への懸念も指摘されています。

中小企業（SME）支援

中小企業向けの簡素化措置として、技術文書要件の軽減や、テスト用の規制サンドボックスの提供が提案されています。また、ガバナンスの集中化により、「汎用AIモデル上に構築されたAIシステムの監視を一元化し、ガバナンスの断片化を減少させる」ことが目指されています。

グローバルプライバシー動向：2026年の全体像

米国の動向

2026年、米国ではケンタッキー州、ロードアイランド州、インディアナ州でプライバシー法が施行され、カリフォルニア州では既存の法律の修正が行われています。連邦レベルのプライバシー法はまだ成立していませんが、州レベルでの規制が急速に拡大しています。

英国のData Use and Access Act

英国では、Data Use and Access Act（DUAA）が運用開始となり、EU GDPRとは異なる独自のデータ保護フレームワークが本格稼働しています。

インドのDPDP法

インドでは、デジタル個人データ保護法（DPDP）のフェーズ2およびフェーズ3のロールアウトが進行中で、世界最大級の個人データ保護フレームワークが構築されつつあります。

EDPB 2026年協調行動

欧州データ保護委員会（EDPB）は、2026年の協調行動のテーマとして「GDPR第12条〜14条に規定される透明性および情報提供義務への準拠」を選定しました。企業のプライバシーポリシーやデータ収集通知の実態が重点的に調査されることになります。

実践手順：企業のコンプライアンス対策

Step 1：現状のギャップ分析

デジタルオムニバス規制案が成立した場合の影響を評価します。特にAI関連のデータ処理を行っている場合は、正当な利益に基づく処理の可能性と条件を確認しましょう。

Step 2：Cookie管理の見直し

ワンクリック承認/拒否への対応準備を始めます。CMP（Consent Management Platform）の更新計画を策定し、6ヶ月間のユーザー選択保持メカニズムを実装しましょう。

Step 3：データ侵害対応プランの更新

統一報告ポータルの設立に備え、現在の複数規制にまたがるインシデント報告プロセスを統合・効率化します。

Step 4：AI Act対応のタイムライン見直し

高リスクAIシステムのコンプライアンス期限が延長される可能性を考慮しつつ、2027年12月を最終期限として対応計画を策定します。

FAQ（よくある質問）

Q1：デジタルオムニバス規制案はいつ成立しますか？

現在トリローグ（欧州議会・理事会・委員会の三者協議）に入っており、最終化までに少なくとも数ヶ月を要する見込みです。2026年後半から2027年初頭の成立が予想されています。

Q2：日本企業への影響はありますか？

EUに居住する個人のデータを処理する日本企業には、GDPRが引き続き適用されます。AI Actについても、EUマーケットにAIシステムを提供する場合は対象となります。

Q3：GDPRは弱体化するのですか？

欧州委員会は「ターゲットを絞った修正」であり「GDPRの再開放ではない」と強調していますが、プライバシー活動家は保護の実質的な低下を懸念しています。最終的な内容はトリローグの結果次第です。

Q4：AI訓練目的のデータ利用は自由になるのですか？

いいえ。正当な利益に基づく処理が可能になる提案ですが、「既存のGDPRセーフガードに完全に準拠する」条件が付されています。データ主体の権利（異議申立権など）は引き続き保護されます。

まとめ

2026年2月のプライバシー・データ保護分野は、EUのデジタルオムニバス規制案を中心に、世界中で規制環境が大きく変動しています。GDPRとAI Actの両方に影響する今回の改正案は、イノベーション促進とプライバシー保護のバランスという永遠のテーマに新たな解答を提示しようとしています。

企業にとっては、トリローグの動向を注視しつつ、早期のコンプライアンス対策が求められます。特に日本企業は、EU規制の域外適用に引き続き対応する必要があり、最新動向のキャッチアップが不可欠です。