| Digital Package |
デジタルパッケージ |
| The European Commission proposes a new Digital Package to simplify EU digital rules and boost innovation. |
欧州委員会は、EUのデジタル規則を簡素化しイノベーションを促進する新たなデジタルパッケージを提案する。 |
| General questions |
一般的な質問 |
| What is the digital package? |
デジタルパッケージとは何か? |
| The Commission’s digital package is designed to help EU businesses innovate, scale, and save on administrative costs. It includes a digital omnibus simplifying rules on data, cybersecurity, and AI, accompanied by the Data Union Strategy, and a proposal for European business wallets. These components aim to unlock high-quality data for AI and ease digital paperwork, reflecting the recommendations in the Draghi Report to boost productivity through innovation in digital, addressing barriers to regulatory compliance, boosting access to high-quality data across Europe and delivering European business wallets to simplify business operations across the EU. |
欧州委員会のデジタルパッケージは、EU企業がイノベーションを起こし、事業を拡大し、管理コストを削減することを支援するために設計されている。これには、データ、サイバーセキュリティ、AIに関する規則を簡素化するデジタルオムニバス、それに付随するデータ連合戦略、欧州ビジネスウォレットの提案が含まれる。これらの構成要素は、AI向け高品質データの活用促進とデジタル事務手続きの簡素化を目的としており、ドラギ報告書における提言を反映している。具体的には、デジタル分野のイノベーションによる生産性向上、規制遵守の障壁解消、欧州全域での高品質データへのアクセス拡大、EU域内の事業運営を簡素化する欧州ビジネスウォレットの導入が挙げられる。 |
| What are the main elements of the package? |
パッケージの主な要素は何か? |
| The main elements of the package include a digital omnibus that proposes amendments to our personal and non-personal data and cybersecurity rules and certain elements of the AI Act. It also encompasses a Communication on the Data Union Strategy, model contractual terms on data access and use, and standard contractual clauses on cloud computing contracts, as well as a Regulation for European business wallets. Additionally, the package features a public consultation on the digital fitness check. |
本パッケージの主な要素には、個人データ・非個人データおよびサイバーセキュリティ規則ならびにAI法の特定要素に対する改正を提案するデジタル包括法案が含まれる。また、データ連合戦略に関するコミュニケーション、データアクセス・利用に関するモデル契約条項、クラウドコンピューティング契約に関する標準契約条項、欧州ビジネスウォレットに関する規則も対象とする。加えて、デジタル適合性チェックに関する公開協議も実施される。 |
| Why is the Commission proposing an omnibus legislation on digital rules? |
なぜ欧州委員会はデジタル規則に関する包括法案を提案するのか? |
| The Commission aims to boost tech competitiveness and save money for EU businesses by simplifying rules, streamlining procedures, offering one-stop solutions, and removing overlaps and outdated provisions. This approach eases compliance, reflects digital sector needs, and unlocks innovation opportunities without compromising the protection of European citizens' and businesses' rights. |
欧州委員会は、規則の簡素化、手続きの効率化、ワンストップソリューションの提供、重複や時代遅れの規定の撤廃を通じて、EU企業の技術競争力を強化しコスト削減を図る。このアプローチは、欧州市民と企業の権利保護を損なうことなく、コンプライアンス負担を軽減し、デジタル分野のニーズを反映し、イノベーションの機会を創出する。 |
| How will businesses benefit? |
企業にはどのようなメリットがあるのか? |
| Top ten benefits: |
主な10のメリット: |
| 1. Small and medium-sized enterprises (SMEs) and small mid-cap companies (SMCs) will be able to save money and time thanks to specific rules in the Data Act and the Artificial Intelligence Act and voluntary trust-marks for data intermediation services instead of regulatory obligation; |
1. 中小企業(SME)および中小中堅企業(SMC)は、データ法および人工知能法における特定規則、ならびに規制義務に代わるデータ仲介サービス向け自主的認証マークにより、費用と時間を節約できる。 |
| 2. Simpler, streamlined rules on data, with targeted clarifications. We will have two laws, not five: the Data Act and the General Data Protection Regulation (GDPR); |
2. データに関する規則の簡素化・合理化と、対象を絞った明確化。5つの法律ではなく、データ法と一般データ保護規則(GDPR)の2つの法律で対応する。 |
| 3. Better protections for companies’ trade secrets against potential leakage to third countries and clarification and focusing of rules where businesses need to share data with public authorities to emergency situations in the Data Act; |
3. データ法において、企業の営業秘密が第三国へ漏洩する可能性に対する保護を強化し、企業が緊急時に公的機関とデータを共有する必要がある場合の規則を明確化し、焦点を絞る。 |
| 4. Added clarity on ‘pseudonymisation’ of personal data, showing that data protection requires diligence, but is not a barrier to innovation: with the new rules, after appropriate treatments to protect the individuals’ identity, data sets can be shared and used under clear conditions; |
4. 個人データの「仮名化」に関する明確化。データ保護には注意が必要だが、イノベーションの障壁ではないことを示す。新たな規則では、個人識別を保護する適切な処理後、明確な条件下でデータセットの共有・利用が可能となる。 |
| 5. Clearer rules on how to handle personal data when developing AI systems and models and in the context of scientific research and innovation; |
5. AIシステム・モデルの開発時、及び科学研究・イノベーションの文脈における個人データ取扱いの明確化 |
| 6. Simpler cookie requirements and ‘whitelist’ of harmless purposes for which business do not need to ask users for consent; |
6. クッキー要件の簡素化と、事業者がユーザーの同意を求めない無害な目的の「ホワイトリスト」設定 |
| 7. Support measures in the application of the AI Act, aligning obligations with availability of standards; |
7. AI法の適用における支援措置。義務と標準の可用性を整合させる |
| 8. Innovation opportunities in developing trustworthy AI, with EU-sandboxes and real-life testing facilities; |
8. 信頼性の高いAI開発におけるイノベーション機会。EUサンドボックス及び実環境試験施設の提供。 |
| 9. European business wallets to identify, authenticate and exchange data in a secure and user-friendly way with public sector bodies. ease forms, compliance interactions with authorities; |
9. 欧州ビジネスウォレットの導入。公共機関との間で、安全かつユーザーフレンドリーな方法でデータの識別・認証・交換を可能とする。当局とのコンプライアンス対応や書類手続きを簡素化する。 |
| 10. Streamlining the reporting obligations in case of cyber incidents through a single-entry point. |
10. サイバーインシデント発生時の報告義務を、単一窓口を通じて合理化する。 |
| How will consumers benefit? |
消費者はどう恩恵を受けるのか? |
| Top five benefits: |
主な5つの利点: |
| 1. Citizens remain in control: they decide when their devices can be accessed for placing cookies |
1. 市民が主導権を保持:クッキー設置のための端末アクセス許可を自ら決定 |
| 2. Simpler online navigation: no more clicking five times in a maze of forms just to keep a shopping cart updated while shopping online. Revamped, user-friendly design for cookie choices, with one-click consent; |
2. オンライン操作の簡素化:オンラインショッピング中にカートを更新するためだけに、複雑なフォームを5回もクリックする必要がなくなる。クッキー選択のユーザーフレンドリーなデザイン刷新とワンクリック同意機能 |
| 3. Better enforcement for consumers’ rights: rules on access to terminal equipment when personal data is processed are moved from the ePrivacy Directive to the GDPR. This means fines for up to 4% of annual turnover of a company that trespasses consumer’s device without agreement; |
3. 消費者権利の強化:個人データ処理時の端末機器アクセス規則がeプライバシー指令からGDPRへ移行。同意なしに消費者端末に侵入した企業には年間売上高の最大4%の罰金が科される |
| 4. Clearer protections when consumers’ personal data is used for training AI: clarifications of what is expected from companies when using personal data in their AI training to safeguard citizens’ interests; |
4. AI訓練における個人データ保護の明確化:AI訓練で個人データを使用する際の企業義務を明示し、市民の利益を保護 |
| 5. More effective enforcement of the rules that protect and empower citizens online: with the AI Office taking over the supervision of the AI systems and models used by very large platforms and search engines under the AI Act, the Commission can align enforcement priorities and ensure a more coherent and impactful supervisory strategy across both the AI Act and the Digital Services Act. |
5. オンライン上での市民防御・権限強化規則の効果的執行:AI法に基づき超大規模プラットフォームや検索エンジンが使用するAIシステム・モデルの監督をAI局が担当することで、欧州委員会は執行優先事項を調整し、AI法とデジタルサービス法の両方においてより一貫性のある効果的な監督戦略を確保できる。 |
| How will companies benefit from the proposals today in concrete numbers? |
本日の提案により、企業は具体的にどの程度の利益を得られるのか? |
| Both large and small companies across the EU will benefit from the simplifications in the omnibus, as well as European business wallets. |
EU全域の大企業・中小企業双方が、オムニバス法案による簡素化と欧州ビジネスウォレットの恩恵を受ける。 |
| If all companies take up European business wallets, we estimate that EU businesses could see savings of up to €150 billion annually. Meanwhile, simplification measures proposed in our data, AI and cyber legislation are predicted to bring additional one-off savings of up to €5 billion between now and 2029. |
全企業が欧州ビジネスウォレットを導入すれば、EU企業は年間最大1500億ユーロの節約が可能と試算される。一方、データ・AI・サイバー関連法規の簡素化措置により、2029年までに最大50億ユーロの一時的な追加節約が見込まれる。 |
| These measures will not only put more money in the pockets of businesses but will also open up opportunities for innovation and growth, and reduce regulatory burdens. |
これらの措置は企業の資金増加をもたらすだけでなく、イノベーションと成長の機会を創出し、規制負担を軽減する。 |
| For example, by presenting one unique business identity and a single channel of correspondence with governments across the EU, European business wallets reduce the hassle of complying with 27 different regimes. |
例えば欧州ビジネスウォレットは、EU全域の政府機関とのやり取りに単一のビジネスIDと連絡窓口を提供する。これにより27の異なる規制体制への対応負担が軽減される。 |
| Meanwhile, proposals to update our rules on data and AI and the introduction of a Data Union Strategy will unlock access to high-quality and fresh datasets for AI for innovation potential of businesses across the EU. |
同時に、データ・AI関連規則の改正案と「データ連合戦略」の導入により、EU全域の企業がAI向けの高品質で最新のデータセットにアクセスできるようになる。これは企業のイノベーション可能性を解き放つ。 |
| 1. Digital Omnibus - Data rules |
1. デジタルオムニバス - データ規則 |
| What are the main changes this omnibus is bringing when it comes to the EU’s data laws? |
このオムニバスがEUのデータ法にもたらす主な変更点は何か? |
| Today’s digital omnibus simplifies the EU’s data laws, turning regulatory compliance into a competitive advantage, not a costly burden for EU’s businesses. |
今回のデジタルオムニバスはEUのデータ法を簡素化し、規制遵守をEU企業にとって高コストな負担ではなく競争優位性へと転換する。 |
| It consolidates all data rules into only two major laws: the Data Act, and the General Data Protection Regulation, which remains central. It also proposes targeted amendments to help businesses overcome practical obstacles to boost access to data, as a key resource to fuel innovation, continuing to promote the highest level of protections for the rights and interests of citizens, and of privacy and trade secrets. |
全てのデータ規則を「データ法」と中核的な「一般データ保護規則(GDPR)」の2つの主要法に統合する。また、イノベーションを推進する重要な資源であるデータへのアクセス拡大に向け、企業が実務上の障壁を克服できるよう的を絞った改正を提案する。市民の権利・利益、プライバシー及び営業秘密に対する最高水準の保護を継続して促進する。 |
| For the Data Act, the Omnibus proposes to: |
データ法に関して、オムニバス法案は以下の提案を行う: |
| ・Target exemptions to cloud-switching rules for SMEs and SMCs and for providers of custom-made data processing services; |
・中小企業(SME)および零細企業(SMC)、ならびにカスタムデータ処理サービスプロバイダに対するクラウド移行規則の免除対象を限定する |
| ・Remove mandatory registration and label for data intermediation service providers, fostering growth by lowering entry barriers to the market of data intermediation services; |
・データ仲介サービスプロバイダに対する登録義務と表示義務を撤廃し、データ仲介サービス市場への参入障壁を下げ、成長を促進する |
| ・Reduce complexity of the data altruism framework to make sharing data for the public good easier; |
・公共の利益のためのデータ共有を容易にするため、データ無償提供枠組みの複雑さを軽減する |
| ・Consolidate rules on data held by the public sector, to support EU data-driven innovation; |
・公共部門が保有するデータに関する規則を統合し、EUのデータ駆動型イノベーションを支援する; |
| ・Limit and clarify the scope of the business to government sharing provisions to ensure that governments can have sufficient data in emergency situations (e.g. in cases of massive floodings or a pandemic) while not putting extra burdens on companies to share their data for situations that are not related to emergencies. The Commission expects to bring annual savings of around €20 million for companies and reduce legal uncertainty and compliance costs. |
・政府へのデータ提供に関する規定の範囲を限定・明確化し、緊急事態(大規模洪水やパンデミックなど)において政府が十分なデータを入手できることを確保すると同時に、緊急事態に関係しない状況でのデータ提供について企業に追加負担を課さないようにする。欧州委員会は、企業に年間約2000万ユーロの節約をもたらし、法的な不確実性とコンプライアンスコストを削減すると見込んでいる。 |
| For the GDPR, the Omnibus proposes to: |
GDPRに関しては、オムニバス規則案は以下の提案を行う: |
| ・Modernise ‘cookies rules’: Users remain in control of who can access their device, with a one-click consent and central settings of preferences for how they want their data to be shared and processed. Updates to the ‘cookies rules’ will alleviate cookie banner fatigue with a simpler design that allows users to make real choices, and will generate more than €800 million in savings for businesses annually; |
・クッキー規則の近代化:ユーザーはワンクリック同意と設定の一元化により、自身のデータがどのように共有・処理されるかを制御し続けられる。クッキー規則の更新により、ユーザーが真の選択を行えるシンプルなデザインでクッキーバナーの煩わしさを軽減し、企業に年間8億ユーロ以上の節約をもたらす。 |
| ・Provide legal clarity and reduce the compliance burden for businesses, creating new opportunities to create value on top of personal data while keeping intact the core principles of the GDPR. For example, the amendments frame the legitimate use of personal data for training AI models, making sure users’ interests are thoroughly considered and protected. They also codify recent case law on how personal data sets can be safely turned into data that can be shared with third parties without disclosing the identity of the data subjects. The measures are accompanied with strong safeguards to ensure that personal data of citizens remain protected at the highest level. |
・法的明確性を提供し、企業のコンプライアンス負担を軽減することで、GDPRの中核原則を維持しつつ、個人データ上に新たな価値創造の機会を創出する。例えば、改正案はAIモデル訓練における個人データの正当な利用を規定し、ユーザーの利益が十分に考慮・保護されることを確保する。また、データ対象者の身元を開示せずに個人データセットをサードパーティと安全に共有可能なデータへ変換する方法に関する最近の判例法を明文化する。これらの措置には、市民の個人データが最高水準で保護され続けることを保証する強力な安全策が伴う。 |
| What are the changes to the scope of cloud-switching obligations? |
クラウド切り替え義務の範囲変更とは何か? |
| The proposal would clarify the temporal scope of the Data Act’s provisions to facilitate switching cloud providers. This targeted exemption would be limited to cloud services that are ‘custom-made’ or are provided by small and medium enterprises or small-mid caps (companies with less than 749 employees) and based on contracts signed before the Data Act’s entry into application. |
提案では、クラウドプロバイダの切り替えを容易にするため、データ法の規定の時間的適用範囲を明確化する。この特例免除は、「特注」のクラウドサービス、あるいは中小企業・中小中堅企業(従業員749人未満)が提供するクラウドサービスに限定され、データ法施行前に締結された契約に基づくものに限られる。 |
| This is expected to result in around €1.5 billion in one-off savings for eligible cloud providers that would avoid costly and complex contract re-negotiations to bring them into compliance with the provisions on cloud switching. |
これにより、対象となるクラウドプロバイダは、クラウド切り替え規定への準拠のために必要となる高コストで複雑な契約再交渉を回避でき、約15億ユーロの一時的な節約が見込まれる。 |
| How are we addressing cookie banner fatigue? |
クッキーバナーの煩わしさにはどう対処するのか? |
| Currently, citizens are faced with countless cookie pop-up banners asking for consent when they visit a website. They find it difficult to understand what they are being asked to consent to and what happens to their data. As a result of this complexity and the sheer amount of pop-up banners, users often click on any button, just to be able to access the visited site. This is not a real choice made by citizens to protect their phones or computers and to choose what happens to their data. |
現在、市民はウェブサイト訪問時に同意を求める無数のクッキーポップアップバナーに直面している。何が同意を求めているのか、データがどう扱われるのかを理解するのは困難だ。この複雑さと膨大な数のポップアップバナーの結果、ユーザーは訪問サイトにアクセスするためだけに、よく適当なボタンをクリックしてしまう。これは市民が自らの携帯電話やコンピューターを防御し、データがどう扱われるかを選択するための真の意思決定ではない。 |
| Today’s proposal modernises the ‘cookies rules’, with the same strong protections for devices, allowing citizens to decide what cookies are placed on their connected devices (e.g. phones or computers) and what happens to their data. The new rules give real choices to users, with simplified design and effective design requirements for asking for consent or for allowing users to refuse it. They also prepare the ground for technological solutions that will bring further simplification and central controls for users. |
今回の提案は「クッキー規則」を現代化し、デバイスに対する強力な防御を維持しつつ、市民が接続デバイス(例:携帯電話やコンピューター)に設置されるクッキーやデータ処理方法を決定できるようにする。新ルールは、同意を求める際や拒否を可能にする際の設計を簡素化し効果的にすることで、ユーザーに真の選択肢を提供する。さらに、ユーザーにとってさらなる簡素化と集中管理をもたらす技術的解決策の基盤を整えるものだ。 |
| The proposal also simplifies the rules for businesses and media services, proposing a ‘whitelist’ of situations benign for users’ privacy but valuable for the provision of services, such as statistics and aggregated audience measurements. |
本提案は企業やメディアサービス向けのルールも簡素化し、統計や集計された視聴者測定など、ユーザーのプライバシーには無害だがサービス提供に価値のある状況の「ホワイトリスト」を提案している。 |
| The proposal absorbs the rules under the GDPR and its strong protection framework. Any infringement to users’ rights can now lead to a fine of up to 4% of the global turnover of the company. |
本提案はGDPRの規則と強力な保護枠組みを継承する。ユーザーの権利侵害には、企業の世界売上高の最大4%に相当する罰金が科される可能性がある。 |
| How will the proposed reform on cookies benefit users and citizens? |
クッキーに関する改革案はユーザーと市民にどのような利益をもたらすのか? |
| The proposed reform package puts citizens back in control of their online choices: |
提案された改革パッケージは、市民がオンライン上の選択を再び制御できるようにする: |
| ・Users have the control: Access to terminal equipment based on users' consent |
・ユーザーが制御する:ユーザーの同意に基づく端末機器へのアクセス |
| ・One click to say yes or no – and make it count: Citizens can refuse all cookies with a ‘single-click'. Cookie banners will need to make this possible by including a 'single-click' button. Websites must respect citizens choices for at least six months. |
・ワンクリックで承諾または拒否が可能:市民は「ワンクリック」で全てのクッキーを拒否できる。クッキーバナーには「ワンクリック」ボタンを設置する必要がある。ウェブサイトは市民の選択を少なくとも6か月間尊重しなければならない。 |
| ・Simple, central control: People can set their privacy preferences centrally – for example via the browser - and websites must respect them. This will drastically simplify users’ online experience. |
・簡素化された一元管理:ユーザーはブラウザなどを通じてプライバシー設定を一元管理でき、ウェブサイトはこれを尊重しなければならない。これによりユーザーのオンライン体験が大幅に簡素化される。 |
| ・Stronger enforcement, stronger rights: The GDPR framework will apply to cookie rules, ensuring harmonised enforcement and meaningful sanctions against violations. |
・強化された執行力と権利:クッキー規則にもGDPR枠組みが適用され、執行の統一化と違反に対する実効性のある制裁が確保される。 |
| ・No banners for harmless uses: Cookies used only for non-risk purposes - like counting website visits - will no longer trigger consent pop-ups. Less annoyance, more trust. |
・無害な用途にはバナー不要:ウェブサイト訪問回数の計測などリスクのない目的のみに使用されるクッキーは、同意ポップアップを表示しなくなる。煩わしさが減り、信頼性が向上する。 |
| ・Better user experience, same strong protection: The reform cuts meaningless clicks without weakening safeguards. Citizens gain genuine control, backed by the GDPR’s robust protections. |
・ユーザー体験の向上と強固な保護の維持:改革により、保護措置を弱めることなく無意味なクリックを削減する。市民はGDPRの堅牢な保護に支えられた真の管理権限を得る。 |
| What changes are proposed to the General Data Protection Regulation? |
一般データ保護規則(GDPR)にはどのような変更が提案されているのか? |
| The Commission is proposing amendments to provide legal clarity and reduce the compliance burden for businesses when it comes to the GDPR. |
欧州委員会は、GDPRに関する法的明確性を提供し、企業のコンプライアンス負担を軽減するための改正を提案している。 |
| Among other things, the proposal will: |
主な提案内容は以下の通り: |
| ・Clarify the definition of personal data while keeping the highest level of protection of personal data; |
・個人データの定義を明確化しつつ、最高水準の個人データ保護を維持する |
| ・Encourage the development and use of responsible AI solutions by giving legal clarity on the use of personal data for AI; |
・AIにおける個人データ利用の法的明確化により、責任あるAIソリューションの開発・利用を促進する |
| ・Simplify certain obligations for businesses and organisations, for instance by clarifying when they must conduct data protection impact assessments and when and how to notify data breaches to supervisory authorities. |
・データ保護影響評価の実施時期や監督当局へのデータ侵害通知のタイミング・方法の明確化など、企業・組織の特定義務を簡素化する |
| The protection standards for citizens and their personal data will be fully upheld. All measures are accompanied by strong safeguards. |
市民とその個人データに対する保護標準は完全に維持される。全ての措置には強力な安全装置が伴う。 |
| How will personal data be redefined in this revision? |
今回の改正で個人データはどのように再定義されるのか? |
| The Digital Omnibus proposal codifies a recent judgement of the Court of Justice. With the new rules, datasets can be shared and used, provided that the third party receiving the datasets does not have the ability to reidentify the individual. The data controllers who pseudonymised the dataset continues to bear all the obligations under the GDPR. |
デジタルオムニバス提案は欧州司法裁判所の最近の判決を法典化したものである。新規則では、データセットを受領するサードパーティが個人を再識別する能力を持たない場合に限り、データセットの共有と利用が可能となる。データセットを仮名化したデータ管理者は、GDPRに基づく全ての義務を引き続き負う。 |
| Further, given the rapid pace of technological evolutions, but also the variety of capabilities that companies may have to pseudonymise or to reverse the pseudonymisation of data, the Commission will be able to issue implementing acts to reflect this evolution. This should bring further legal certainty for businesses, and ensure up to date, robust protections for citizens’ rights. |
さらに、技術進化の急速なペースに加え、企業がデータの仮名化や仮名化解除を行う能力の多様性を考慮し、欧州委員会はこの進化を反映した実施規則を発行できるようになる。これにより企業にとっての法的確実性がさらに高まり、市民の権利に対する最新かつ強固な保護が確保される。 |
| What do the new rules say on the use of personal data for AI? |
AIにおける個人データの利用について、新ルールは何を定めているか? |
| Under the GDPR, the entity responsible for the processing of personal data may lawfully process personal data for “legitimate interest”. The proposal clarifies how this applies to AI systems. |
GDPRの下では、パーソナルデータの処理責任者は「正当な利益」のために個人データを合法的に処理できる。本提案は、これがAIシステムにどのように適用されるかを明確化する。 |
| In line with the EDPB Opinion, personal data can be processed for AI models as long as any use in a specific situation does not break any EU or national law, and that the processing complies with all requirements of the GDPR. |
EDPB意見に沿い、特定の状況での利用がEU法または国内法を違反せず、かつ処理がGDPRの全要件を満たす限り、AIモデルのための個人データ処理は可能である。 |
| The proposal submits this processing to strong safeguards and ensures that data subjects have the unconditional right to object to the processing of their personal data. |
提案では、この処理に強力な保護措置を課し、データ対象者が自身の個人データの処理に無条件で異議を申し立てる権利を保証している。 |
| How will I be informed of the use of my personal data? |
個人データの使用について、どのように通知されるのか? |
| Under the GDPR, controllers do not have to provide information to individuals on how they’re using their personal data again, if the individual already received this information. The proposal would extend this exemption when there are reasonable grounds to assume that the individual already has this information. |
GDPRでは、データ管理者は個人に対し、既に情報を受け取っている場合、個人データの使用方法について再度情報を提供する必要はない。提案では、個人が既にこの情報を持っていると合理的に推測できる場合に、この免除を拡大する。 |
| This change will benefit small operators, such as crafts persons that use personal data to contact their clients or sport clubs informing their members of upcoming activities. |
この変更は、顧客連絡に個人データを利用する職人や、会員に今後の活動を通達するスポーツクラブなど、小規模事業者に利益をもたらす。 |
| Individuals continue to have the right to request information on the processing of their personal data. |
個人は引き続き、自身の個人データの処理に関する情報を請求する権利を有する。 |
| 2. Digital Omnibus - Cybersecurity rules |
2. デジタルオムニバス - サイバーセキュリティ規則 |
| Why is the Commission simplifying cybersecurity incident reporting? |
なぜ欧州委員会はサイバーセキュリティインシデント報告を簡素化するのか? |
| So far, the obligations to report cybersecurity incidents have created significant burden on organisations across the EU. Entities in the midst of responding to cyber incidents are currently obliged to submit obligatory reports under multiple legal acts, such as the Network and Information Security Directive (NIS), General Data Protection Regulation (GDPR), the Digital Operational Resilience Act and others. This may discourage timely or comprehensive reporting. |
これまで、サイバーセキュリティインシデントの報告義務はEU全域の組織に大きな負担を生んできた。サイバーインシデントへの対応中の事業体は現在、ネットワーク・情報セキュリティ指令(NIS)、一般データ保護規則(GDPR)、デジタル運用レジリエンス法など複数の法令に基づく報告を義務付けられている。これはタイムリーかつ包括的な報告を妨げる可能性がある。 |
| Hence, we are introducing a single-entry point through which entities can submit a report to simultaneously cover all their incident reporting obligations. This will not only cut the burden on entities but also boost cybersecurity by speeding up and streamlining the reporting process. For a large majority of organisations, this new single-entry point will cut the reporting effort in half. |
そこで、単一の窓口を導入する。これにより、事業体は一つの報告で全てのインシデント報告義務を同時に満たせるようになる。これは事業体の負担を軽減するだけでなく、報告プロセスの迅速化と効率化を通じてサイバーセキュリティを強化する。大多数の組織にとって、この新たな単一窓口により報告作業は半減する。 |
| What is the single-entry point and how will it be managed? |
単一窓口とは何か、またどのように管理されるのか? |
| The single-entry point will allow to submit notifications via a single interface and ensure that a single piece of information can simultaneously contribute towards fulfilling an entity’s reporting obligations under multiple Union legal acts, where these require the notification of comparable and often overlapping information. |
単一窓口は、単一のインターフェースを通じて通知を提出することを可能にし、複数のEU法令に基づく事業体の報告義務の履行に、単一の情報が同時に寄与することを保証する。 |
| The Digital Omnibus proposes that reporting under the single-entry point is mandated under the Network and Information Security Directive 2 (NIS2 Directive), GDPR, the Digital Operational Resilience Act Regulation, the Critical Entities Resilience Directive and the EU Digital Identity Regulation. In a second stage, other sector-specific rules in the energy or aviation sector would also be brought under the single-entry point. |
デジタルオムニバス指令は、ネットワーク・情報セキュリティ指令2(NIS2指令)、GDPR、デジタル運用レジリエンス法規則、重要事業体レジリエンス指令、EUデジタルID規則に基づく報告を、単一窓口での提出を義務付けることを提案している。第二段階では、エネルギーや航空分野などの他のセクター固有の規則も単一窓口の対象となる予定だ。 |
| The European Union Agency for Cybersecurity, ENISA, will be tasked to establish and maintain the single-entry point for reporting, which will build on the ENISA’s experience gained from the single reporting platform under the Cyber Resilience Act. The introduction of the single-entry point will not modify existing reporting obligations or the authorities designated as recipients of such reports. ENISA or the Commission will not have access to the reported information, unless provided so by the respective legislation. |
欧州連合サイバーセキュリティ庁(ENISA)は、サイバーレジリエンス法に基づく単一報告プラットフォームで得た経験を基に、報告のための単一窓口の設立と維持を担当する。単一窓口の導入は、既存の報告義務や報告先として指定された取得者を変更しない。ENISAや欧州委員会は、関連法令で定められた場合を除き、報告された情報にアクセスできない。 |
| 3. Digital Omnibus - AI Act |
3. デジタルオムニバス - AI法 |
| Why is the Commission proposing to amend the AI Act? |
欧州委員会がAI法の改正を提案する理由は何か? |
| The AI Act entered into force on 1 August 2024. It follows a staggered entry into application, with some parts already applicable such as certain prohibitions, AI literacy, and rules for general-purpose AI models. Other parts of the Act are set to apply on 2 August 2026 and 2 August 2027. |
AI法は2024年8月1日に発効した。段階的な適用開始を経ており、特定の禁止事項、AIリテラシー、汎用AIモデルに関する規則など一部は既に適用されている。同法の他の部分は2026年8月2日および2027年8月2日に適用される予定だ。 |
| This progressive roll-out allows us to build on the experience gathered in applying the first part of the rules. The Commission is committed to continuously learn and stepping up its efforts. This is particularly important in the context of a fast-evolving technology like AI. |
この段階的導入により、規則の第一段階適用で得られた経験を基に構築できる。欧州委員会は継続的な学習と取り組み強化に尽力している。AIのような急速に進化する技術においては、これが特に重要だ。 |
| Stakeholder consultations throughout 2025 revealed implementation challenges that need to be addressed so that the AI Act can be successfully rolled-out. This proposal puts forwards legislative amendments to that effect and complements ongoing efforts to facilitate compliance with the AI Act, like the launch of an AI Act Service Desk. |
2025年を通じて実施された関係者協議では、AI法の円滑な導入のために解決すべき実施上の課題が明らかになった。本提案は、この目的のための法改正を提示するとともに、AI法サービスデスクの立ち上げなど、AI法への順守を促進する継続的な取り組みを補完するものである。 |
| What are the main changes proposed to the AI Act? |
AI法に提案されている主な変更点は何ですか? |
| The Commission is committed to a clear, simple and innovation friendly implementation of the AI Act, as set out in the AI Continent Action Plan and the Apply AI Strategy. Today’s proposal brings the AI Act in line with this approach by: |
欧州委員会は、AI大陸行動計画およびAI活用戦略に示されている通り、明確で簡素かつ革新に友好的なAI法の実施に取り組んでいる。本日の提案は、以下の点によりAI法をこのアプローチに整合させるものである: |
| Linking when rules apply to the availability of support |
規則適用時期と支援手段の可用性を連動させる |
| ・Linking the application of the rules for high-risk AI to the availability of support tools like standards. The Commission is adjusting the timeline for the application of high-risk rules to a maximum of 16 months. |
・高リスクAIの規則適用を、標準規格などの支援ツールの可用性と連動させる。委員会は高リスク規則の適用時期を最大16ヶ月に調整する。 |
| Introducing simplification: |
簡素化を導入する |
| ・Extending certain simplified modalities of fulfilling the legal obligations from SMEs to small mid cap companies (SMCs), such as simplified technical documentation; |
・簡素化された技術文書作成など、法的義務履行の簡素化された手続き対象を中小企業から中小中堅企業(SMC)に拡大する |
| ・Requiring the Commission and Member States to foster AI literacy, and ensure continuous support to companies by building on existing efforts (such as the AI Office’s repository of AI literacy practices) instead of enforcing unspecified obligations on operators, while keeping training obligations for high-risk deployers in place remain. |
・委員会と加盟国に対し、AIリテラシーの促進と企業への継続的支援を求め、既存の取り組み(例:AI事務局のAIリテラシー実践リポジトリ)を基盤とするよう指示。事業者への不特定の義務を課す代わりに、高リスク展開事業者への研修義務は維持する。 |
| ・Removing the prescription of a harmonised post-market monitoring plan, giving businesses more flexibility; |
・統一された市販後監視計画の規定を撤廃し、企業に柔軟性を与える。 |
| ・Reducing the registration burden for AI systems used in high-risk areas for tasks that are not considered high-risk. |
・高リスク領域で使用されるAIシステムについて、高リスクとみなされないタスクの登録負担を軽減する。 |
| Improving the effectiveness of the AI Act’s governance: |
AI法のガバナンス効果の向上: |
| ・Centralising the oversight of AI systems built on general-purpose AI models with the AI Office, to reduce governance fragmentation for developers of these models and systems; |
・汎用AIモデルに基づくAIシステムの監督をAI事務局に集中させ、これらのモデル・システム開発者に対するガバナンスの分断を軽減する。 |
| ・Concentrating the oversight of AI embedded in very large online platforms and search engines at Commission level by assigning this oversight to the AI Office. |
・超大規模オンラインプラットフォームや検索エンジンに組み込まれたAIの監督を、AI事務局に委ねることで欧州委員会レベルに集中させる。 |
| Extending measures in support compliance: |
コンプライアンス支援措置の拡大: |
| ・Allowing providers and deployers to process special categories of personal data for ensuring bias detection and correction, subject to appropriate safeguards; |
・バイアス検知・修正を目的とした個人データの特別カテゴリー処理を、適切な保護措置を条件にプロバイダ・展開者に許可する。 |
| ・Broadening the use of AI regulatory sandboxes and real-world testing so more innovators can benefit from these tools. This includes setting up an EU-level regulatory sandbox from 2028 to support real-world testing. |
・AI規制サンドボックスと実世界テストの利用範囲を拡大し、より多くの革新者がこれらのツールを活用できるようにする。これには2028年からのEUレベルでの規制サンドボックス設置による実世界テスト支援が含まれる。 |
| Improving the AI Act’s procedures and operation: |
AI法の運用手続きの改善: |
| ・Clarifying the interplay between the AI Act and other EU laws. Simplifying procedures to foster the timely availability of conformity assessment bodies. |
・AI法と他のEU法との相互関係を明確化する。適合性評価団体の適時な利用促進のため手続きを簡素化する。 |
| How will these proposals benefit businesses? |
これらの提案は企業にどのような利益をもたらすのか? |
| According to the Commission’s first estimations, the proposed measures on AI are expected to reduce compliance costs for businesses throughout the EU. |
欧州委員会の初期試算によれば、提案されたAI関連措置はEU全域の企業のコンプライアンスコスト削減に寄与すると見込まれる。 |
| At the same time, by extending benefits granted to SMEs to include SMCs, the Commission is making implementation easier for an additional 8,250 companies in Europe. |
同時に、中小企業(SME)に付与されていた優遇措置を小規模企業(SMC)にも拡大することで、欧州の追加8,250社における実施を容易にする。 |
| Overall, the proposals presented today will help businesses meet their obligations. They also open up more opportunities to innovate in the EU, further facilitating the roll-out of the regulatory framework that is designed to create a single market for trustworthy AI. |
全体として、本日提示された提案は企業が義務を果たすのを支援する。またEU域内でのイノベーション機会を拡大し、信頼できるAIの単一市場構築を目指す規制枠組みの展開をさらに促進する。 |
| What are the new timelines proposed? |
新たなスケジュール案は何か? |
| The proposal acknowledges the challenge that the delay of standards and other support tools cause for the implementation of the AI Act. |
本提案は、標準や支援ツールの遅延がAI法の実施に与える課題を認識している。 |
| The timeline for the high-risk AI rules is aligned to the availability of standards and other support tools. Once the Commission confirms these are sufficiently available, the rules will start to apply after a transition period. |
高リスクAI規則のスケジュールは、標準や支援ツールの利用可能性に連動する。欧州委員会がこれらのツールが十分に利用可能であると確認次第、移行期間を経て規則の適用が開始される。 |
| This flexibility has an end date: the rules for high-risk AI in sensitive areas like employment and law enforcement (Annex III) will in any case apply maximum 16 months later than originally envisaged, the rules for high-risk AI embedded in products like medical devices (Annex I) will apply a maximum 12 months later. |
この柔軟性には期限がある:雇用や法執行(附属書III)などの敏感な分野における高リスクAIの規則は、いずれにせよ当初想定より最大16か月遅れて適用される。医療機器(附属書I)などの製品に組み込まれた高リスクAIの規則は、最大12か月遅れて適用される。 |
| The proposal also suggests a transition period of 6 months for providers who need to retroactively include technical solutions into their generative AI systems to make them detectable. For AI systems that are newly placed on the market, the 6 months of application of the rules is a grace period during which no penalties can be imposed. |
また本提案では、生成的AIシステムに検知機能を遡及的に組み込む必要があるプロバイダに対し、6ヶ月の移行期間を設けることを示唆している。新規に上市されるAIシステムについては、規則適用開始後6ヶ月間は猶予期間とし、この期間中は罰則を科さない。 |
| 4. The Data Union Strategy |
4. データ連合戦略 |
| What is the Data Union Strategy? |
データ連合戦略とは何か? |
| The Strategy proposes measures that unlock data for AI across Europe, ensuring that the businesses in the EU have access to high-quality data to compete in the global markets and drive innovation. This will, in particular, help optimise healthcare, improve energy systems and sustain our industrial leadership. |
本戦略は、欧州全域でAI向けデータ活用を促進する施策を提案する。EU域内の企業がグローバル市場で競争し、イノベーションを推進するために高品質データへアクセスできることを保証する。特に、医療の最適化、エネルギーシステムの改善、産業リーダーシップの維持に寄与する。 |
| It is centred around three areas of action to turn rules into results: |
規則を成果へ転換するため、以下の3つの重点分野を中核とする: |
| 1. Scaling up access to data for AI, with initiatives such as data labs, a strengthened focus on the development of Common European Data Spaces, including on defence, and developing synthetic data in areas where real-world data is scarce. |
1. AI向けデータアクセスの拡大。データラボの設置、防衛分野を含む共通欧州データ空間(CEDS)の強化、実世界のデータが不足する分野での合成データ開発などの取り組み。 |
| 2. Streamlining data rules, making sharing data easier while protecting rights. Complementing the simplification proposals in the omnibus the Commission will produce further guidance and templates to help companies comply with data rules and introduce a Data Act legal helpdesk. |
2. データ規則の合理化。権利防御を保ちつつデータ共有を容易にする。オムニバス法案の簡素化提案を補完し、企業がデータ規則を順守できるようガイダンスやテンプレートを追加作成。データ法ヘルプデスクを導入。 |
| 3. Strengthening the EU’s global position on international data flows, to ensure fair cross-border data flows while maintaining safeguards for EU sensitive non-personal data and boosting the EU’s voice in global data governance. This will complement the long-lasting EU approach to safe personal data flows developed through the EU data protection acquis. |
3. 国際的なデータ流通におけるEUのグローバルな立場の強化。EUの機微な非個人データに対する保護措置を維持しつつ、公正な越境データ流通を確保し、グローバルなデータガバナンスにおけるEUの発言力を高める。これはEUデータ保護アキ(EUの法的枠組み)を通じて構築された、安全な個人データ流通に関するEUの長年のアプローチを補完するものである。 |
| Data labs are specialised facilities designed to give companies, including small and medium enterprises (SMEs) and researchers access to diverse datasets for AI. They will provide hands-on services to help organisations share and use data safely. |
データラボは、中小企業(SME)や研究者を含む企業がAI向けに多様なデータセットにアクセスできるよう設計された専門施設である。組織が安全にデータを共有・利用できるよう実践的なサービスを提供する。 |
| For example, if a company wants to develop an AI system for a particular area, but struggles to get enough high-quality data, data labs integrated into AI factories will help them overcome this barrier. |
例えば、企業が特定分野のAIシステム開発を望んでも高品質データが不足する場合、AIファクトリーに統合されたデータラボがこの障壁の克服を支援する。 |
| Through a data lab, the company would be able to access trusted datasets from the relevant data space, public operators and participating companies – bridging the gap between data spaces and the AI ecosystem so SMEs can train robust AI models while companies’ confidentiality is safeguarded. |
データラボを通じて、企業は関連データ空間、公共事業者、参加企業から信頼できるデータセットにアクセスできるようになる。これによりデータ空間とAIエコシステムの間のギャップが埋まり、中小企業の堅牢なAIモデル訓練が可能となる一方で、企業の機密性は保護される。 |
| 5. The EU Business Wallets |
5. EUビジネスウォレット |
| What are the Business Wallets? |
ビジネスウォレットとは何か? |
| The European Business Wallets are digital tools that will make it easier for companies of all sizes to interact and communicate securely with public authorities and other businesses anywhere in the EU. |
欧州ビジネスウォレットは、あらゆる規模の企業がEU域内の公的機関や他企業と安全にやり取り・通信することを容易にするデジタルツールだ。 |
| The tool reduces administrative burden by allowing businesses to prove their identity, sign and send official documents, or share licences and certificates digitally, with full legal value. The use of business wallets will transform potential obstacles into opportunities for growth and competitiveness. This flagship single market initiative represents a big shift for businesses. |
このツールは、企業が身元証明、公式文書の署名・送付、ライセンスや証明書のデジタル共有を法的効力を保持したまま行えるようにすることで、行政負担を軽減する。ビジネスウォレットの利用は、潜在的な障害を成長と競争力の機会へと変える。この旗艦的な単一市場イニシアチブは、企業にとって大きな転換点となる。 |
| When will the Business Wallets be available? |
ビジネスウォレットはいつ利用可能になるのか? |
| According to the Commission’s proposal, all levels of public administration across the EU, including EU institutions, bodies and agencies, will have two years to implement the use of the business wallets with transitory measures for leveraging existing similar systems at Member State level. |
欧州委員会の提案によれば、EU機構・団体・庁を含むEU全域の行政機関は、加盟国レベルで既存の類似システムを活用するための移行措置を講じつつ、2年以内にビジネスウォレットの利用を実装する。 |
| In parallel, the Commission will work closely with Member States and the private sector to define the technical standards and requirements for European business wallets through ongoing efforts under the European Digital Identity Framework and in large-scale pilot projects funded under the Digital Europe Programme such as the WeBuild consortium. |
並行して欧州委員会は、欧州デジタルID枠組みに基づく継続的取り組みや、デジタル・ヨーロッパ計画で資金提供される大規模パイロットプロジェクト(WeBuildコンソーシアムなど)を通じ、加盟国・民間セクターと緊密に連携し、欧州ビジネスウォレットの技術標準・要件を定義する。 |
| Will companies and public bodies be obliged to use them? |
企業や公的団体は使用を義務付けられるのか? |
| Companies will not be obliged to use the European business wallets. The Regulation places obligations solely on public sector bodies to accept its core functions, while companies remain free to decide whether to adopt the wallets for their commercial operations or interactions with public authorities. |
企業は欧州ビジネスウォレットの使用を義務付けられない。本規則は公的団体に対してのみ、その中核機能を受け入れる義務を課す。企業は商業活動や公的機関とのやり取りにおいてウォレットを採用するか否かを自由に決定できる。 |
Recent Comments