【2026年2月版】GDPR・AI Act改革案とデータ保護最新動向｜EU Digital Omnibus・米国州法・コンプライアンス対策を徹底解説

はじめに
EU Digital Omnibus規制提案：GDPRとAI Actの大改革
AI Act施行スケジュール：2026年8月の高リスクAIシステム規制
米国の州レベルプライバシー法の拡大
1. EDPB 2026年の執行テーマ
実践手順：2026年のコンプライアンス対策
よくある質問（FAQ）
まとめ
参考資料

はじめに

2026年のプライバシー・データ保護の世界は、かつてないほどのダイナミックな変化を迎えています。EUでは、GDPRとAI Actの大幅な改革を含む「Digital Omnibus Regulation」が提案され、AIトレーニングデータとしての個人データ利用が「正当な利益」として認められる可能性が浮上しています。一方、米国では20以上の州で新しいプライバシー法が施行され、企業のコンプライアンス負担は増大の一途をたどっています。

本記事では、EU Digital Omnibus規制提案の核心、AI Actの実施スケジュール、米国州法の最新動向、そして企業が今取るべき対策について詳しく解説します。

EU Digital Omnibus規制提案：GDPRとAI Actの大改革

2025年11月19日、欧州委員会は待望の「Digital Omnibus Regulation Proposal」と「Digital Omnibus on AI Regulation Proposal」を発表しました。IAPPはこれを「GDPRとAI Actへの重大な改革提案」と報じています。

“European Commission proposes significant reforms to GDPR, AI Act.”

この提案は、AI時代のデータ保護規制を現実に即したものに更新しようとする試みであり、ビジネスと規制のバランスを再調整する画期的な内容を含んでいます。

AIトレーニングデータの「正当な利益」認定

提案の中で最も議論を呼んでいるのが、GDPRに新たな条項（Article 88c）を追加し、AIトレーニングのための個人データ利用を「正当な利益（Legitimate Interest）」として認めるという内容です。

これは、AI開発企業にとって大きな規制緩和を意味します。従来は、個人データをAIモデルのトレーニングに使用する場合、同意の取得や他の法的根拠の確保が必要でしたが、正当な利益として認められれば、手続きが大幅に簡素化されます。

ただし、Corporate Europe Observatoryは、この提案がビッグテックのロビイングの結果であると指摘しており、市民のデジタル権利が後退するリスクを警告しています。

“Article by article, how Big Tech shaped the EU’s roll-back of digital rights.”

中小企業向け緩和措置の拡大

Digital Omnibus提案には、中小企業（SME）向けの規制緩和も含まれています。処理活動の記録（Records of Processing Activities）の免除対象が、従業員250人未満の組織から750人未満に拡大されます。また、リスク閾値も「あらゆるリスク」から「高リスク」に引き上げられ、中小企業のコンプライアンス負担が軽減されます。

AI リテラシー要件の見直し

AI Actで定められていたAIリテラシー確保の責任が、AIシステムのプロバイダーや開発者から、欧州委員会およびEU加盟国に移行される提案が含まれています。これにより、AIリテラシー教育は国家レベルの政策課題として扱われることになります。

AI Act施行スケジュール：2026年8月の高リスクAIシステム規制

Crowell & Moringによると、EU AI Actのコアフレームワークは2026年に完全施行される予定でしたが、高リスクAIシステムに関する一部の要件は延期される見通しです。

2026年8月2日のコンプライアンス期限は、標準化やサポートツールの整備の遅れにより、実質的に後ろ倒しになる可能性があります。ただし、これは規制の撤回ではなく延期であり、企業は引き続き準備を進める必要があります。

米国の州レベルプライバシー法の拡大

SecurePrivacyの分析によると、2026年には米国の20以上の州で新しいプライバシー法が施行されます。

企業は、EUの新規制、米国各州の個別法律、そしてAIガバナンス要件という「コンプライアンスの収斂」に直面しています。同意メカニズム、ベンダー監視、自動意思決定に関する協調的な執行強化が行われる見通しです。

EDPB 2026年の執行テーマ

2026年のEDPB（欧州データ保護委員会）の協調執行テーマは、「GDPR第12条〜14条に基づく透明性と情報提供義務の遵守」です。つまり、プライバシーポリシーの明確さ、データ処理の透明性、情報提供の適切さが重点的に監査されることになります。

実践手順：2026年のコンプライアンス対策

ステップ1：現状のギャップ分析

まず、自社のデータ処理活動を棚卸しし、GDPR、AI Act、および関連する各国法に対するギャップを特定します。特にAIシステムを使用している場合は、データ保護影響評価（DPIA）の実施状況を確認してください。

ステップ2：AIトレーニングデータの法的根拠の整理

AIモデルの開発・トレーニングに個人データを使用している場合、現在の法的根拠を確認します。Digital Omnibus提案が採択された場合に備え、正当な利益評価（Legitimate Interest Assessment）の準備も進めておきましょう。

ステップ3：プライバシーポリシーの見直し

EDPB 2026年の執行テーマが透明性と情報提供であることを踏まえ、プライバシーポリシーの明確さと完全性を見直します。AI による自動意思決定、データの保持期間、第三者への共有について、わかりやすい記述になっているか確認してください。

ステップ4：米国州法への対応計画

米国市場にサービスを提供している場合、対象となる州法を特定し、各州の要件をマッピングします。多くの州法が類似の要件を持っているため、共通のコンプライアンスフレームワークを構築することが効率的です。

ステップ5：定期的なモニタリング体制の構築

規制環境は流動的です。IAPPや各国のデータ保護当局のニュースを定期的にモニタリングし、新しい要件やガイダンスに迅速に対応できる体制を整えましょう。

よくある質問（FAQ）

Q: Digital Omnibus提案はいつ施行されますか？
A: 現在は提案段階であり、EU議会と理事会での審議が必要です。採択までには通常1〜2年かかるため、施行は2027年以降になる見込みです。

Q: AI Actの「高リスクAIシステム」とは何ですか？
A: 人々の安全、基本的権利、重要なサービスに影響を与えるAIシステムを指します。例えば、採用選考AI、信用スコアリングAI、法執行AI、医療診断AIなどが該当します。

Q: 日本企業もGDPRやAI Actの対象になりますか？
A: EU市民に製品・サービスを提供する場合、またはEU市民の行動をモニタリングする場合は対象になります。越境データ移転も規制の対象です。

Q: GDPRの「正当な利益」とは何ですか？
A: 個人データの処理に必要な6つの法的根拠の1つで、データ管理者の正当な利益がデータ主体の権利や利益に優越する場合に適用できます。バランステスト（利益衡量）が必要です。

まとめ

2026年のプライバシー・データ保護環境は、EU Digital Omnibus提案によるGDPR・AI Actの大幅改革、AI Actの本格施行、米国20州以上の新プライバシー法という三重の変革の渦中にあります。

特に注目すべきは、AIトレーニングデータの正当な利益認定という規制緩和の動きと、それに対する市民権利の後退への懸念というテンションです。企業は、この流動的な規制環境に対応するため、柔軟で持続可能なコンプライアンス体制の構築が求められます。透明性と説明責任を基本に置きながら、最新の規制動向を注視し、プロアクティブに対応していきましょう。