個人情報保護・プライバシー 2025年の振り返りと2026年の展望 ～欧州編～

① Omnibus IV

　2025年5月21日、欧州委員会により、中小型企業（small mid-cap enterprises、以下「SMCs」といいます。）※1に対する規制の簡素化を目的とするOmnibus IVが公表されました。Omnibus IVには、GDPR30条に基づく処理記録の作成義務の免除要件を拡大する等のGDPRの簡素化にかかる提案が含まれています※2。

② Digital Omnibus

　2025年11月19日、欧州委員会により、デジタルに関する様々な法令の遵守コストの削減、規制目標を達成する確実性の向上、企業にとって競争優位性につながることを目的としたDigital Omnibusが公表されました。Digital Omnibusでは、(i)GDPR、データ法（Data Act）、ePrivacy指令等の複数の法令に関する改正提案であるDigital Omnibus Regulation Proposal（以下「オムニバス法案」といいます。）と、(ii)AI法に関する改正提案であるDigital Omnibus on AI Regulation Proposal（以下「オムニバス法案（AI）」といいます。）の2つの改正提案がなされています。

　オムニバス法案におけるGDPRの主な改正提案には、(i)個人データの定義の改正（個人データの該当性について事業者ごとに判断すべきことの明記）、(ii)特別な種類の個人データの処理にかかる例外要件の追加（AIの開発・運用の過程における処理であって、特別な種類の個人データの収集その他の処理を回避するための適切な組織的・技術的措置が講じられている場合等）、(iii)データ侵害時の報告義務の緩和（監督機関への報告が必要となる場合の限定及び時間制限の延長等）、(iv)Cookieにかかる規定の追加（自然人の端末機器における個人データの保存又はすでに保存されている個人データへのアクセスについて原則として当該自然人の同意を要する等）が含まれています※3。

③ ePrivacy規則案の撤回

　欧州委員会が2017年1月10日に公表して以来、長期間にわたって採択されずにいたePrivacy規則案が撤回された旨が、2025年10月6日にEU官報（以下、単に「官報」といいます。）に掲載されました。そのため、Cookieの利用や消費者の端末機器からの情報取得の場面等については、当面はePriavcy指令及びそれを踏まえた各EU加盟国の国内法に基づく規律が引き続き維持されることになります※4。

④ ヘルシンキ声明

　2025年7月2日、欧州データ保護会議（EDPB）は、GDPRの遵守を容易にし、幅広いステークホルダーとの対話を強化し、法の適用及び執行に関する一貫性を高め、また、新たなデジタル規制の環境における規制横断的な協力を発展させるための新たなイニシアチブに合意し、ヘルシンキ声明として公表しました。

　ヘルシンキ声明においては、GDPRの遵守容易化のための新たなツールとして、データ保護当局向けのデータ侵害通知の共通テンプレートその他のテンプレートを作成する意向が示されています。なお、2025年11月5日にEDPBが開始した有益なテンプレート案に関する意見募集（同年12月3日まで）の説明文によれば、データ保護影響評価（DPIA）及びデータ侵害通知のテンプレートについては、すでに作成に取り組んでいるとのことです。

⑤ GDPRの執行に関する追加ルールを定める規則

　2025年11月17日、EU理事会は、GDPRの執行に関する追加ルールを定める規則案を採択しました。同規則案は、越境データ保護に関する苦情処理の迅速化のために、EU域内における統一的な苦情の受理基準の策定や、調査期限の設定等を通じて、各国のデータ保護当局がGDPRを執行する際の協力体制の改善を図ることを目的とするものです。GDPRの執行に関する追加ルールを定める規則（Regulation laying down additional procedural rules relating to the enforcement of Regulation (EU) 2016/679）は、2025年12月12日に官報に掲載され、2026年1月1日に発効しており、2027年4月2日に適用が開始される予定です。

① データ法（Data Act）

　2025年9月12日、データ法（Regulation on harmonised rules on fair access to and use of data）の主要な規定の適用が開始されました※5。同法は、IoT機器の普及を踏まえて、データのポータビリティの強化やデータの提供者と受領者の関係を規律するルールの整備により、データの生み出す価値を公平に分配することを目的するものです。

　2025年11月19日に欧州委員会が公表したオムニバス法案には、データ法の改正提案も含まれています。主な改正提案としては、(i)ユーザー自身又はユーザーが指定した第三者によるデータへのアクセスの要請について、データ保有者が営業秘密の保護を理由に要請を拒否できる事由の追加※6、(ii)公的機関が企業にデータ共有を要請できる場合について、「例外的な必要性（exceptional needs）」から「公共の緊急事態（public emergencies）」への限定、(iii)顧客のニーズに応じてその機能の大半が調整されたカスタムメイドデータ処理サービス（custom-made data processing services）について、同年9月12日以前に締結された契約に基づき提供されていることを条件に、他の提供者のサービスにスイッチングできるように一定の措置を講じる義務の原則免除等が挙げられます。

　なお、欧州委員会は、2025年12月16日、ステークホルダー（特に中小企業（small and medium-sized enterprises、以下「SMEs」といいます。）※7）におけるデータ法に関する具体的な質問への回答を得られるよう支援するため、データ法リーガルヘルプデスク（Data Act Legal Helpdesk）を発足したことを公表しました※8。

② モデル契約条項及び標準契約条項の公表

　2025年11月19日、欧州委員会は、特にSMEsによるデータ法への対応を支援することを目的として、データアクセス及び利用に関するモデル契約条項（Model Contractual Terms、以下「MCTs」といいます。）、並びにクラウドコンピューティング契約に関する標準契約条項（Standard Contractual Clauses for Cloud Computing Contracts、以下「クラウドSCCs」といいます。）を公表しました。いずれも使用は任意であり、使用する当事者による修正も可能です。

　MCTsには、使用する当事者と使用される場面を踏まえて、(i)データ保有者（data holder）とユーザーとの間の契約（データ保有者がコネクテッド製品／関連サービスのユーザーによる利用により生じたデータの利用を希望する場合）、(ii)ユーザーと第三者であるデータ受領者（data recipient）との間の契約（データ法5条に基づき、ユーザーがデータ保有者に対して、第三者であるデータ受領者へのデータの提供を要請する場合）、(iii)データ保有者と事業者であるデータ受領者との間の契約（データ保有者がデータ法5条に基づき、コネクテッド製品のユーザーから要請を受け、データ受領者にデータを提供する義務を負う場合）、(iv)データ共有者（data sharer）※9とデータ受領者との間の契約（データ共有者がユーザー又は類似の当事者からの要請とは無関係に、任意でデータ受領者にデータを提供する場合）の4つの類型が存在します。

　また、クラウドSCCsについては、データ法におけるデータ処理サービス（data processing service）※10の提供者と顧客との間の権利義務関係を契約に落とし込むことを支援するものであり、(i)スイッチングに関する規定、(ii)契約終了に関する規定、(iii)スイッチング中のセキュリティ及び事業継続に関する規定、(iv)契約の非分散（non-dispersion）に関する規定※11、(v)責任に関する規定、(vi)契約の修正に関する規定、(vii)定義規定の7つのパートから構成されています。全パートをセットで使用することが推奨されていますが、一部のみ使用することも可能とされています※12。

③ 車両データに関するガイダンス

　2025年9月12日、欧州委員会は、車両データ（vehicle data）に関するガイダンスを公表しました。かかるガイダンスは、自動車セクターのステークホルダー（OEM事業者、サプライヤー、アフターマーケットサービス事業者、保険会社を含みます。）を対象に、データ法第2章におけるデータの範囲とデータアクセスに関するルールに焦点を当てて、車両データに関連するデータ法の主要な義務を説明することを目的とするものです。

① AI法（AI Act）

　AI法（Regulation laying down harmonised rules on artificial intelligence）は、生成AIを含むAIに関する包括的な規制法であり、AIシステムを(i)許容できないリスク、(ii)ハイリスク、(iii)特定の透明性が必要なリスク、(iv)最小リスクの4つのカテゴリーに分類し、リスクがより高いAIシステムについて、より厳格な要件を定めています。

　2025年2月2日に、禁止されるAIプラクティス（分類(i)）に関する規制及びAIリテラシーの確保義務※13の適用が開始され、また、同年8月2日に、生成AIを典型とする汎用目的（general-purpose）AIモデルに関する規制等の適用が開始されました。残りの規定のうち、AI法附属書Iに該当するハイリスクAIシステム※14に関する規制については2027年8月2日に適用開始の予定であり、それ以外の規定（同法附属書IIIに該当するハイリスクAIシステム※15に関する規制や特定のAIシステムに関する透明性義務を含みます。）については2026年8月2日から適用開始の予定となっています。

　もっとも、オムニバス法案（AI）では、これらの規定の適用開始時期を延期することが提案されています。具体的には、ハイリスクAIシステムに関する規律（AI法第3章第1節から第３節）について、(i)AI法6条2項及び附属書IIIのハイリスクAIシステムとの関係では、欧州委員会が遵守を支援するための適切な措置が利用可能であることを確認する決定を採択してから6か月後、又は遅くとも2027年12月2日を適用開始時期とし、また、(ii)同法6条1項及び附属書IのハイリスクAIシステムとの関係では、欧州委員会が遵守を支援するための適切な措置が利用可能であることを確認する決定を採択してから12か月後、又は遅くとも2028年8月2日を適用開始時期とすることが提案されています。また、(iii)合成の音声、画像、動画、又はテキストコンテンツを生成するAIシステム（汎用目的AIシステムを含みます。）が2026年8月2日までにEU市場に上市された場合※16、当該AIシステムの提供者によるAI法50条2項に定める透明性義務（アウトプットにAIによる生成物である旨をマーキング等する義務）の適用時期を2027年2月2日とすることも提案されています。

　その他、オムニバス法案（AI）におけるAI法の主な改正提案としては、(i)AIリテラシーの確保義務の削除、(ii)SMCsも対象となるよう、SMEs向けの簡素化規定の適用対象の拡大、(iii)AIシステムのバイアス検知・修正目的のために必要な場合における特別な種類の個人データの処理に関する規定の適用対象の拡大※17等が挙げられます。

　なお、2025年10月8日、欧州委員会は、AI法の円滑かつ効果的な施行を支援し、信頼性の高いAIの拡大と欧州全体でのイノベーションの促進に必要な法的確実性を提供するため、AI法サービスデスク（AI Act Service Desk）及び統合情報プラットフォーム（Single Information Platform）を設置した旨を公表しました。また、同年11月24日、欧州委員会は、AI法違反に関する不正告発ツールの運用を開始した旨を公表しました。さらに、同年12月2日、AI法における規制のサンドボックス制度にかかる実施法案について、2026年1月13日までを期限として、意見募集を実施しました。

② 禁止されるAIプラクティスに関するガイドライン及びAIシステムの定義に関するガイドライン

　2025年2月4日、欧州委員会は、AI法に基づき禁止されるAIプラクティスに関するガイドラインを公表しました。このガイドラインは、AI法5条に基づき禁止されるAIプラクティスの内容等について、より詳細な説明や具体例を示すものです※18。

　また、2025年2月6日、欧州委員会は、AIシステムの定義に関するガイドラインを公表しました。このガイドラインは、AI法において広範な形で定義されている「AIシステム」の理解を促進する観点から、定義を構成する各要素を明確化しようとするものです。

③ 汎用目的AIモデルに関する行動規範（Code of Practice）及びガイドライン

　2025年7月10日、欧州委員会は、AI法に基づく汎用目的AIモデルに関する行動規範の最終版を公表しました。この行動規範の遵守は任意ですが、この行動規範においては、汎用目的AIモデルを提供する事業者及びシステムリスクを有する汎用目的AIモデルを提供する事業者に対するAI法のルールが詳細に規定されており、これに従うことで、AI法への準拠を証明しやすくなるという意味で法的確実性を享受することができます。

　さらに、2025年7月18日、欧州委員会は、汎用目的AIモデルの提供者の義務の範囲に関するガイドラインを公表しました。このガイドラインでは、AI法の適用対象となる汎用目的AIモデルの範囲の明確化や、汎用目的AIモデルの修正を行う者がAI法上どのような場合に汎用目的AIモデルの提供者に該当するかの明確化等がなされています※19。また、同月24日、欧州委員会は、学習コンテンツの公表用サマリーの説明文書及びそのテンプレートを公表しました。AI法上、汎用目的AIモデルの提供者は、かかるテンプレートに沿って、学習に使用されたコンテンツのサマリーを作成し公表することが求められています。この他にも、欧州委員会によって、2025年9月9日に汎用目的AIモデルに関して一連のQ&Aの公表、システミックリスクを有する汎用目的AIモデルの提供者の重大なインシデントについてAIオフィス※20に報告するテンプレートの公表が行われています※21。

④ AI生成コンテンツのマーキング及びラベリングに関する行動規範案

　2025年12月17日、欧州委員会は、AI生成コンテンツのマーキング及びラベリング義務に関する行動規範の第1次ドラフトを公表しました。この行動規範は、生成AIシステムの提供者及びディプロイヤーがAI法50条2項及び4項に基づく義務の遵守を示すための任意のツールとして機能するとされています。

⑤ AI責任指令案の撤回

　契約外の民事責任に関するルールをAIに適用することを目的するAI責任指令案は、2022年9月に欧州委員会により提出され、2023年12月には、欧州議会とEU理事会との間で非公式に文言の合意が形成されていましたが、同指令案が撤回された旨が、2025年10月6日に官報に掲載されました。

⑥ 職場におけるアルゴリズム管理に関する立法要請

　2025年12月17日、欧州議会は、立法イニシアチブレポートを採択し、欧州委員会に対し、職場における自動監視・意思決定システムの透明性、公正性、安全性を確保するための新たなルールの提案を行うよう要請した旨を公表しました。欧州議会の雇用社会問題委員会は、同年6月26日に公表した報告書において、職場におけるアルゴリズム管理（AM）システムの透明性、公平性、安全性を確保するためのEU法案の必要性を唱えていました。欧州議会における立法イニシアチブレポートの採択を受け、欧州委員会は3か月以内に、立法提案を行うか、又は提案を行わない理由をEU議会に回答する義務があります。

① サイバーレジリエンス法（Cyber Resilience Act）

　サイバーレジリエンス法（Regulation on horizontal cybersecurity requirements for products with digital elements）は、デジタル要素を含むソフトウェアやハードウェア製品を購入する消費者や企業を保護することを目的として、デジタル要素を含む製品についてセキュリティ要件の実装、脆弱性の管理、インシデント報告、サプライチェーンにおけるデューデリジェンスの実施等を求めるものです。2026年9月11日から脆弱性／インシデントの報告義務に関する部分の適用が開始され、2027年12月11日から全面的に適用されます。

　サイバーレジリエンス法は、デジタル要素を含む製品を通常の製品、重要な（important）製品、及びクリティカルな（critical）製品の3つに区分し、カテゴリーが上がるごとに厳格な要求事項を定めているところ、2025年11月28日、同法に基づく重要な製品及びクリティカルな製品のカテゴリーについて詳細な技術的説明を提供する実施規則が採択されました。同実施規則は、同年12月21日に発効しています。

② サイバー連帯法（Cyber Solidarity Act）

　サイバー連帯法（Regulation laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cyber threats and incidents）が、2025年1月15日に官報に掲載され、同年2月4日に発効しました。同法は、EU全域のサイバーセキュリティを強化するために、各国、政府機関、主要組織の間で、法的に裏付けられた集団防衛、協力、リソース共有の枠組みを提供することを主な目的とするものです。

③ 2019年サイバーセキュリティ法（Cybersecurity Act of 2019）の改正法

　2019年サイバーセキュリティ法の改正法（Amendment to the Cybersecurity Act on Managed Security Services）が、2025年1月15日に官報に掲載され、同年2月4日に発効しました。同改正法は、2019年サイバーセキュリティ法で既にカバーされている情報技術（ICT）製品、ICTサービス、及びICTプロセスに加えて、いわゆるマネージドセキュリティサービス（managed security service）※22を対象とした欧州認証スキームの採用を可能とすることを目的とするものです。

④ デジタルオペレーショナルレジリエンス法（Digital Operational Resilience Act）

　2025年1月17日、デジタルオペレーショナルレジリエンス法（Regulation on digital operational resilience for the financial sector）（以下「DORA」といいます。）の適用が開始されました。同法は、金融機関向けのサイバーセキュリティ法であり、金融機関のITセキュリティ及びオペレーショナル・レジリエンスを強化し、深刻な業務中断が発生した場合においてもEUの金融セクターがレジリエンスを維持できるようにすることを目的としています。

⑤ 改正ネットワーク及び情報システム指令

　2023年1月16日に発効した改正ネットワーク及び情報システム指令（Directive on measures for a high common level of cybersecurity across the Union）（以下「NIS2指令」といいます。）により、EU加盟国は、これに対応する国内法を2024年10月17日までに制定する必要があるとされていました。なお、NIS2指令は、サイバーセキュリティリスクの対策に関する措置及び報告義務のベースラインを定める指令です。

　しかし、上記の期限までに国内法の整備が進んでいない国が多く、2025年5月7日、欧州委員会は完全な移行を完了していない19の加盟国（ドイツ、フランス、アイルランド、スペインを含みます。）に対して理由付意見書（reasoned opinion）を送付し、2か月以内に対応しなければ欧州司法裁判所（CJEU）への付託を検討すると警告しました※23。

　オムニバス法案では、NIS2指令を改正し、欧州ネットワーク情報セキュリティ機関（ENISA）がEU法におけるインシデント報告義務をサポートする単一窓口を設置することの提案がなされるとともに、単一窓口の設置後は、事業者はGDPR、NIS2指令、DORA等の報告を当該窓口にすれば足りるとする旨の提案がなされています。

① 欧州ヘルスデータスペース（European Health Data Space）に関する規則

　2025年3月5日に、欧州ヘルスデータスペースに関する規則（Regulation on the European Health Data Space）（以下「EHDS規則」といいます。）が官報に掲載され、同月25日に発効しました※24。EHDS規則は、個人の電子健康データへのアクセスと管理を改善することを目的としており、同時に、欧州の患者の利益のために、特定のデータを研究やイノベーションの目的で再利用できるようにすることを目指しています。同規則は、段階的な施行が予定されています。主要部分は2029年3月26日に適用が開始される予定であり、電子ヘルスデータの二次利用も同日から可能となります。ただし、臨床試験データや遺伝子データなど一部のデータカテゴリーについては、2031年3月26日から二次利用が可能となります。

② バイオテック法案（Biotech Act）

　2025年12月16日、欧州委員会は、バイオテック法案を公表しました。同法案は、最高水準の医薬品を市場に届け、世界的な競争力格差を縮小し、EUがバイオテクノロジー及びバイオ製造における世界的リーダーシップを維持することを目指すものであり、特に健康バイオテクノロジーに焦点を当てています。

　バイオテック法案には、臨床試験（clinical trial）における個人データの処理に関する規定が含まれています。例えば、臨床試験のスポンサー及び治験責任医師（investigator）は、臨床試験において一定の個人データの処理を行うことが求められると規定しており、これにより、バイオテック法案に列挙された処理活動について、GDPR6条1項(c)及び9条2項(i)※25を根拠とし得ることが明確化されたといえます。また、バイオテック法案に規定する臨床試験申請の認可等に至る処理については、スポンサー及び治験責任医師はいずれもGDPR上の管理者に該当する旨が明確化されています※26。

③ 決済サービス規則案及び第3次決済サービス指令案

　2025年11月27日、欧州議会は、EU理事会との間で、決済サービス規則案（Payment Service Regulation）及び第3次決済サービス指令案（Payment Service Directive 3）について合意に達した旨を公表しました。本規則案は、EU全域で決済サービスを調和させ、詐欺防止を強化することを目的とするものであり、また、本指令案は、認可及び監督権限に対処することで決済サービスプロバイダー（PSP）間の公正な競争を確保し、特に遠隔地における現金へのアクセスを改善することを目指すものです。これらは、第2次決済サービス指令において導入されたオープンバンキング※27の枠組みを強化・拡充するものであり、例えば、(i)顧客に決済口座を提供・維持する決済口座サービス提供者（Account Servicing Payment Service Provider、以下「ASPSP」といいます。）※28に対して、顧客がどのサードパーティー・サービスプロバイダー（Third Party Service Provider、以下「TPP」といいます。）に口座アクセスを許可しているかを一元管理できるダッシュボードの提供を義務づける規定や、(ii)ASPSPがオープンバンキングサービスを提供するTPPに対して一定の障壁を課すことを禁止する規定等が含まれています※29。

① Data (Use and Access) Act 2025

　2025年6月19日、Data (Use and Access) Act 2025（以下「DUAA」といいます。）が成立しました※30。同法は、UK General Data Protection Regulation（UK GDPR）で定められている適法化根拠の追加的な適法化根拠の明文化や、自動化された意思決定を活用するための条件の追加、Cookie規制に関する本人同意が不要な場面の拡大と制裁金の高額化などの内容を含み、UK GDPR、Data Protection Act 2018、及びPrivacy and Electronic Communications Regulations 2003（PECR）を改正する事項を含むものです。同法は、2026年6月までに段階的に施行されることが予定されています。

② EU・英国間の十分性認定の更新

　2025年12月19日、欧州委員会は、英国に対する十分性認定の更新を発表しました。これにより、引き続きEUと英国の間で十分性認定に依拠して個人データを移転できることが確認されました。当該十分性認定には2031年12月27日までの6年間の期間が設定されているほか、欧州委員会は、EDPBと連携して4年後に中間レビューを行うことが予定されています。

① デジタル市場、競争及び消費者法（Digital Markets, Competition and Consumers Act）

　2025年1月から、競争・市場庁の権限強化やサブスクリプション契約に関する消費者保護等を定める、デジタル市場、競争及び消費者法（Digital Markets, Competition and Consumers Act）（2024年5月24日に成立）が段階的に施行されています。そのうち、サブスクリプション契約に関する規定は2026年秋に施行が予定されています。

② オンライン安全法（Online Safety Act 2023）

　SNS等を運営する対象事業者に対して、違法コンテンツの削除や子どもが有害ないし不適切なコンテンツにアクセスすることを防止する義務等を負わせる、オンライン安全法（Online Safety Act 2023）（2023年10月26日に成立）が段階的に施行されています。2025年の主な施行内容としては、2025年1月17日に成人向けコンテンツに関する年齢確認義務が施行され、同年12月11日に一定の収益を有する事業者に対する執行機関（Ofcom）の運用のための費用負担義務が施行されました。

① サイバーセキュリティ及びレジリエンス法案（Cyber Security and Resilience Bill）

　2025年11月12日、サイバーセキュリティ及びレジリエンス法案（Cyber Security and Resilience Bill）が議会に提出されました。同法案は、現行のNIS規則（Network and Information Systems (NIS) Regulations 2018）をアップデートするもので、規制対象となる事業者の拡大、サイバーインシデントの政府・顧客への報告義務、重要サプライヤーの指定、売上ベースの制裁金などの内容を含み、サイバー攻撃からの防御を強化するものです。

② ランサムウェアに関する立法提案

　2025年1月に、ランサムウェアに関する立法提案が公表され、同年4月まで当該提案に関する意見募集が行われました。同提案は、(i)重要国家インフラ及び公共セクターによる身代金支払の禁止、(ii)身代金支払前の通知義務（支払防止制度の確立）、(iii)ランサムウェア事案の報告義務という3つの内容を柱とし、身代金支払の防止と報告義務の強化を目的とするものです。現時点では、法案は議会に提出されていません。

① Digital Omnibusの動向

　Digital Omnibusは、欧州委員会による提案であり、法律として成立するためには、EU理事会・欧州議会・欧州委員会の各代表による「三者対話（trilogue）」を経るなどしてEU理事会と欧州議会による共同採択を経る必要があります。特に、オムニバス法案（AI）については、AI法における附属書IIIに該当するハイリスクAIシステムに関する規制等の適用開始が2026年8月2日であることを踏まえ、関係機関は同日までに法案の最終合意に達することを目指すと予想されますので、法案の動向については引き続き注目する必要があります。なお、ハイリスクAIシステムに該当する場合、適用される義務の数や複雑さにかんがみ、対応には相当程度の時間を要すると考えられるため、ハイリスクAIシステムに該当するか否かの判断及び該当する場合の対応事項の整理等については、なるべく早めに進めることが望ましいと思われます。

　また、2025年11月19日、欧州委員会は、2026年3月11日を期限として、Digital Omnibusに続くEUのデジタル規制を簡素化するための計画の第二段階であるデジタルフィットネスチェックのためのエビデンス募集及び意見募集を開始しました。Digital Omnibusにおいて、デジタルフィットネスチェックで実施する分析は、デジタル規制のさらなる調整の必要性の検討に用いることが明記されており、2026年以降もデジタル規制の見直しに関する提案がなされる可能性があります※42。

② 新たな製造物責任指令に基づく国内法

　2024年12月8日に発効した新たな製造物責任指令（EU Directive on Liability for Defective Products）は、デジタル時代の製品とその関連リスクの性質を反映した責任規定に更新すること等を目的として従前の製造物責任指令を改正するものであり、アプリケーション、オペレーティングシステム（OS）、AIシステムを含むあらゆる種類のソフトウェアが新指令の適用対象となることが明確化されています。EU加盟国は2026年12月9日までに同指令を国内法に組み込む必要があり、同指令は同日以降にEU市場に上市された製品に適用されることになります。

③ デジタル公正法（Digital Fairness Act）

　2026年の欧州委員会作業計画において、同年の第4四半期にデジタル公正法に関する立法イニシアチブを行うことが公表されています。この立法イニシアチブは、ダークパターン、ソーシャルメディアインフルエンサーによるマーケティング、デジタル製品の中毒性のあるデザイン、不公正なパーソナライゼーション手法（特に消費者の脆弱性が商業目的で悪用される場合）など、消費者がオンラインで直面する問題に取り組むことが期待されています。

④ その他の法案

　英国では、DUAAの段階的な施行、並びにデジタル市場、競争及び消費者法のうちサブスクリプション契約に関する規定の施行が予定されています。また、サイバーセキュリティ関連では、サイバーセキュリティ及びレジリエンス法案の審議が進むと考えられ、ランサムウェアに関する法案が議会に提出される可能性もあるものと思われます。