EU AI法適用が延期 手続き負担でスタートアップや中小が成長できない：CIO Dive

EU AI法の施行を16カ月延期する方針が示された。欧州の企業に対するAIやデータ、サイバーセキュリティの規則が簡素化される見通しだ。

[Makenzie Holland，CIO Dive]

「CIO Dive」について

「CIO Dive」は米国のビジネスパーソン向けWebメディア「Industry Dive」の一媒体です。「CIO Dive」が発信する情報からITmedia エンタープライズの専門記者が厳選した記事を「Industry Dive」の許可を得て翻訳・転載しています。

　欧州委員会は2025年11月19日（現地時間、以下同）の発表で（注1）、AIおよびサイバーセキュリティ、データに関するEUの規則を簡素化するための一連の変更を明らかにした。変更内容を説明するプレスリリースにおいて、当局の担当者は「現行の規制は企業への負担が大きい」と述べた。

規制緩和の狙い

　一部の措置はEU AI法（EU AI Act）を対象としており、高いリスクを備えたシステムにルールを適用する時期を16カ月延期する内容が含まれている。プレスリリースによると、これらの簡素化により、事務手続きに関する企業のコストは2029年までに最大50億ユーロ（57億6000万ドル）削減されるという。

　欧州委員会で技術主権および安全保障、民主主義の領域を担当するヘンナ・ヴィルックネン氏（執行副委員長）はプレスリリースで次のように述べた。

　「EUには成功のために必要な要素が全てそろっている。しかし、融通の効かない規則の重なりによってスタートアップ企業や中小企業が成長できなくなっているケースが多い」

　欧州の規制当局は、コンプライアンス上の課題や事務手続きの負担が政策の簡素化を進める要因になっていると指摘した。今回の動きは、多くの大手テクノロジー企業が本拠を置く米国において（注2）、規制緩和を進めてきたトランプ政権の取り組みを想起させるものだ。

　非営利のデータプライバシー団体であるIAPP（International Association of Privacy Professionals）が2025年10月に公表した報告書によると、ビジネス関係者の約4分の1は「EUで増え続けるデジタル規制に適切に対応できる自信がない」と答えていた（注3）。同報告書では、EUにはすでに100を超える規制が存在し、さらに少なくとも20の規制が策定および検討段階にあるとされている。

　2025年11月19日に発表されたデジタルオムニバスの提案において、欧州委員会はAIおよびデータ、サイバーセキュリティに関する規則の簡素化に重点を置いた。中にはEU AI法の措置の一部見直しも含まれており（注4）、同法の大半は2026年8月に施行される予定となっている。欧州委員会は、高いリスクを備えたAIシステムに対するAI法のルールについて、施行時期を2026年8月から2027年12月へと16カ月延長することを望んでいるようだ。

　また、欧州委員会は高いリスクを備えたAIシステムに関する規則について、企業が対応に必要な支援ツールや基準が整ってから適用されるよう、施行時期を調整する案を示した。あわせて技術文書の作成要件を簡素化するなど、中小企業に認められている規制緩和をより幅広く適用できるようAI法を改正する方針だ。

　当局の担当者たちは汎用AIモデルを基盤とするAIシステムの監督を欧州AIオフィスに集約する計画や、規制サンドボックスの活用をより広く認めるためにコンプライアンス措置を拡充する方針についても説明した。　

　ブリュッセルに本部を置く国際的な権利擁護団体のEDRiは、欧州委員会の提案について「EUのデジタル政策における大規模な規制緩和の動きだ」と指摘した。同団体は、この動きによってEUのテクノロジー政策そのものが形骸化しかねないと懸念を示している（注5）。

　一方、国際的な法律事務所であるHogan Lovellsでプライバシーおよびサイバーセキュリティ部門の共同責任者を務めるエドゥアルド・ウスタラン氏は「AI法のような規制は今後も存続していく」と述べた。

　ウスタラン氏はCIO Diveに向けた電子メールで次のように語る。

　「これは全く新しく、内容も複雑な法律であり、理解して順守できるようになるまでには時間がかかることを認識する必要がある。そのため欧州委員会は、施行に合わせて法律がより実効性を持ち、影響力のあるものになるよう介入しているのだ」

　サイバーセキュリティに関する報告のあり方も変更される見通しだ。

　現在、企業はNIS2指令や一般データ保護規則（GDPR）、デジタル・オペレーショナル・レジリエンス法（DORA）など複数の法律に基づき（注6）、サイバーセキュリティインシデントを報告する義務を負っている。プレスリリースによると、今回の提案により、企業がサイバーインシデントに関する報告義務を果たすための単一の窓口が設けられるという。

　この度の提案には、企業がGDPRを順守しやすくするための改正も含まれている。ワンクリックで同意できる仕組みを導入することで、Webサイト上に表示されるクッキーバナーの回数を減らす内容も盛り込まれている。

　この提案は、EUデータ法（EU Data Act）を順守するための新たなガイダンスを示し、データ関連のルールを分かりやすくすることも目的としている。あわせて、一部の企業についてクラウドサービスを切り替える際の規制を一部免除し、欧州のAI企業がより多くのデータセットにアクセスできるようにする内容も盛り込まれている。

　ウスタラン氏によると、EUはこれまで長年にわたりデジタル関連法規の厳格な執行者であり続けてきたという。今回の簡素化措置を欧州のデジタル規制枠組みの中核を成す原則や権利、ルールが放棄される内容と取り違えないよう、企業は慎重に対応する必要がある。

　「責任あるイノベーションを実現する上で、実務においてより効果的なものとなるよう、枠組みを研ぎ澄まそうとする試みだ」（ウスタラン氏）

　欧州委員会のデジタルオムニバス提案は、承認を得るために欧州議会および理事会に提出される予定だ。

（注1）Simpler EU digital rules and new digital wallets to save billions for businesses and boost innovation（EU）
（注2）6 months of AI (de)regulation in the US（CIO Dive）
（注3）Businesses grapple with patchwork of digital laws in EU（CIO Dive）
（注4）How CIOs can prepare for EU AI Act enforcement（CIO Dive）
（注5）Press Release: Commission’s Digital Omnibus is a major rollback of EU digital protections（EDRi）
（注6）What CIOs should know as DORA regulations kick in（CIO Dive）

原文へのリンク