欧州議会 AI法とEUデジタル立法フレームワークの相互作用 (2025.10.30)

こんにちは、丸山満彦です。

EUのAI法はAIが普及する過程で、あらかじめ起こりそな課題を予防すべく制定されたようなところがあり、EUにおけるAIの開発や普及を阻害しているのではないかという批判的な意見もある中で、他のデジタル法制との関係も複雑となっていて、これをどうもときほぐす必要がありそうということで、現在取り組んでいるようですが、今回の欧州議会のシンクタンクからの研究報告もその一環という感じですかね...

この報告書は、AI法とGDPR、データ法、データがバンス法、デジタルサービス法、デジタルマーケット法、サイバーセキュリティ法、サイバーレジリエンス法、NIS2等との重複、欠落、不整合に関する調査をおこなっているものです...

GDPRとDSAのガイドライン、DMAとのガイドライン案がEDPBから公開されていますが、EUのデジタル法制は複雑になりすぎですかね...

 

● European Parliament - Think Tank

・2025.10.30 Interplay between the AI Act and the EU digital legislative framework

 

Interplay between the AI Act and the EU digital legislative framework

AI法とEUデジタル立法フレームワークの相互作用

This study explores how the AI Act relates to various other crucial pieces of EU digital legislation, such as the GDPR, the Data Act and the Cyber Resilience Act. It assesses overlaps and gaps between these acts, and shows that, while each of them is individually well targeted, their interplay creates significant regulatory complexity. Finally, it also provides reflections and suggestions for possible evolutions of the AI Act, and of EU digital legislation as a whole, keeping in mind the objective of ensuring that Europe can establish a competitive AI industry. This study was prepared at the request of the ITRE Committee.

本調査は、AI法がGDPR、データ法、サイバーレジリエンス法など、EUの他の重要なデジタル立法とどのように関連しているかを検証する。これらの法律間の重複と空白を評価し、それぞれが個別には的確に標的を定めているものの、相互作用によって規制の複雑さが生じていることを示す。最後に、欧州が競争力のあるAI産業を確立できることを確保するという目的を踏まえ、AI法およびEUデジタル立法全体の発展可能性に関する考察と提言も提供する。本調査はITRE委員会の要請により作成された。

 

・[PDF] Interplay between the AI Act and the EU digital legislative framework

・[DOCX][PDF] 仮訳

 

目次...

Abstract	要約
LIST OF ABBREVIATIONS	略語一覧
LIST OF FIGURES	図一覧
LIST OF TABLES	表一覧
EXECUTIVE SUMMARY	エグゼクティブサマリー
1. INTRODUCTION TO THIS STUDY	1. 本研究の概要
1.1. Background	1.1. 背景
1.2. Scope and objectives of this study	1.2. 本研究の範囲と目的
1.3. Methodology and structure of the study	1.3. 研究の方法論と構成
2. A DEEPER LOOK AT THE AI ACT	2. AI法のより深い考察
2.1. Intervention logic of the AI Act – what problem does it set out to resolve?	2.1. AI法の介入論理 – 解決しようとする問題とは？
2.2. Objectives of the AI Act – what does it set out to achieve?	2.2. AI法の目的 – 何を達成しようとするのか？
2.3. Regulatory philosophy of the AI Act – how does it aim to intervene?	2.3. AI法の規制哲学 – どのように介入を目指すのか？
2.4. Global Context and the EU position	2.4. グローバルな文脈とEUの立場
2.5. Summary of the key challenges in the interpretation and application of the AI Act	2.5. AI法の解釈と適用における主要課題の要約
3. THE AI ACT’S INTERPLAY WITH OTHER DIGITAL LEGISLATION	3. AI法と他のデジタル立法の相互作用
3.1. Introduction – a bird’s eye overview of the principal relevant EU digital legislation in the scope of this study	3.1. 序論 ― 本研究の対象となる主要なEUデジタル関連法規の概観
3.2. Analysis of EU digital legislation and the interplay with the AI Act	3.2. EUデジタル立法とAI法の相互作用に関する分析
4. EU LEVEL GOVERNANCE – THE ROLE OF THE AI OFFICE	4. EUレベルでのガバナンス – AI事務局の役割
4.1. Introduction – the AI Office in the AI Act	4.1. 序論 – AI法におけるAI事務局
4.2. Principal role and responsibilities	4.2. 主な役割と責任
4.3. Risks and opportunities for the AI Office	4.3. AI事務局にとってのリスクと機会
5. REFLECTIONS ON FUTURE AI LEGISLATION IN THE EU	5. EUにおける将来のAI立法に関する考察
5.1. Prior considerations on the role and the impact of the AI Act – what is the place of the AI Act in the EU digital legislative landscape?	5.1. AI法の役割と影響に関する事前考察 – EUのデジタル立法環境におけるAI法の位置付けは何か？
5.2. A high-level reflection on the AI Act in the current digital legislative landscape: what are the central recurring problems?	5.2. 現行デジタル立法環境におけるAI法の俯瞰的考察：中心的な反復的問題とは何か？
5.3. A thinking exercise on a future digital legislative landscape – how should ideal EU digital legislation be composed?	5.3. 将来のデジタル立法環境に関する思考実験 - 理想的なEUデジタル立法をどのように構成すべきか？
5.4. Relevance of these reflections to the recommendations in this study	5.4. 本研究の提言に対するこれらの考察の関連性
5.5. Specific recommendations on the basis of this study	5.5. 本研究に基づく具体的な提言
REFERENCES	参考文献
ANNEX - OVERVIEW OF THE AI ACT INTERPLAY WITH EU DIGITAL LEGISLATIONS	附属書 - EUデジタル法規制とAI法の相互関係概要

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
Background	背景
The Artificial Intelligence Act (AI Act), adopted by the European Union in June 2024, marks a pivotal milestone in global technology governance. As the first comprehensive regulatory framework for artificial intelligence, it sits at the heart of the EU’s digital legislative corpus, which has in recent years expanded to include instruments such as the General Data Protection Regulation (GDPR), the Data Act, the Digital Services Act (DSA), the Digital Markets Act (DMA), the Cyber Resilience Act (CRA), and others. While each instrument pursues legitimate and targeted policy aims, questions are increasingly being raised about their combined impact on the competitiveness, coherence, and innovation capacity of the European AI ecosystem.	欧州連合が2024年6月に採択した人工知能法（AI法）は、世界の技術ガバナンスにおける重要な節目となる。人工知能に関する初の包括的な規制フレームワークとして、EUのデジタル立法体系の中核を成す。この体系は近年、一般データ保護規則（GDPR）、データ法、デジタルサービス法（DSA）、デジタル市場法（DMA）、サイバーレジリエンス法（CRA）などの規制手段を包含するように拡大してきた。各規制は正当かつ特定の政策目標を追求しているが、欧州のAIエコシステムの競争力、整合性、革新能力に対する総合的な影響について疑問がますます提起されている。
Aim	目的
This report, commissioned by the European Parliament’s Committee on Industry, Research and Energy (ITRE), explores the interplay between the AI Act and these surrounding legislative instruments. The study assesses whether the EU’s digital legal framework operates as a coherent system or whether it instead introduces overlapping obligations, inconsistencies, or undue burdens that could fragment the internal market and undermine the development of a globally competitive European AI industry. In doing so, it offers short-, medium-, and long-term reflections aimed at reducing regulatory friction while maintaining the EU’s commitment to rights, trust, and safety.	欧州議会産業・研究・エネルギー委員会（ITRE）の委託を受けた本報告書は、AI法とこれら周辺立法措置の相互作用を検証する。本調査は、EUのデジタル法制度が整合性のあるシステムとして機能しているか、あるいは重複する義務、不整合、過度な負担をもたらし、域内市場の分断や世界的に競争力のある欧州AI産業の発展を阻害する可能性があるかを評価する。これにより、EUの権利、信頼、安全へのコミットメントを維持しつつ、規制上の摩擦を軽減するための短期的、中期的、長期的な提言を行う。
Key Findings	主な調査結果
The Regulatory Logic and Structural Challenges of the AI Act	AI法の規制論理と構造的課題
The AI Act is built upon a risk-based logic. It bans certain AI practices, imposes stringent duties on highrisk AI systems, requires transparency for specified use cases, and sets standalone obligations for general-purpose AI models (including those with systemic risk). The regulation draws substantially from the EU’s product safety legislation model (under the New Legislative Framework), while layering on novel requirements related to fundamental rights impact assessments, traceability, and oversight.	AI法はリスクベースの論理に基づいて構築されている。特定のAI実践を禁止し、高リスクAIシステムに厳格な義務を課し、特定の利用事例に対して透明性を要求し、汎用AIモデル（システミックリスクを有するものを含む）に対して独立した義務を設定する。この規制はEUの製品安全法規制モデル（新立法フレームワーク下）を大幅に踏襲しつつ、基本権影響評価、トレーサビリティ、監督に関する新たな要件を重ねている。
Yet, several tensions are evident. Firstly, the Act stretches traditional product safety logic into less determinate domains such as human rights compliance, which may prove difficult to assess using conventional conformity mechanisms. Secondly, the regulation’s applicability to both AI system providers and deployers imposes complex chains of responsibility that may be difficult to navigate, particularly for SMEs or non-specialist users. Thirdly, the definition and classification of high-risk systems rely on Annex-based lists and subjective assessments of harm potential, thereby introducing legal ambiguity. Finally, while the Act purports to promote innovation (through regulatory sandboxes, open-source exemptions, and lighter regimes for non-systemic GPAIs), the overall framework still largely centres on mitigating harms, often through prescriptive obligations.	しかし、いくつかの不整合が明らかである。第一に、同法は従来の製品安全論理を人権遵守といった不確定な領域にまで拡大しており、従来の適合性評価メカニズムでは評価が困難となる可能性がある。第二に、AIシステム提供者と導入者の双方に適用されるため、複雑な責任の連鎖が生じ、特に中小企業や非専門ユーザーにとっては対応が困難となる恐れがある。第三に、高リスクシステムの定義と分類は附属書に基づくリストと危害可能性の主観的評価に依存しており、これにより法的曖昧性が生じている。最後に、同法は（規制サンドボックス、オープンソースの免除、非体系的GPAIに対する緩和された規制を通じて）イノベーションの促進を標榜しているものの、全体的なフレームワークは依然として、しばしば規範的義務を通じて危害の軽減に重点を置いている。
Interactions with Other EU Digital Legislation	他のEUデジタル法規制との相互関係
The AI Act does not operate in isolation. Its obligations frequently overlap with those in adjacent regulatory instruments. The report identifies a number of frictions and challenges in this interplay:	AI法は単独で機能するものではない。その義務は隣接する規制手段の義務と頻繁に重複する。本報告書は、この相互作用における数多くの摩擦と課題を特定している：
GDPR: The AI Act introduces requirements for fundamental rights impact assessments (FRIAs) in cases that often also trigger data protection impact assessments (DPIAs) under the GDPR. These instruments differ in scope, supervision, and procedural requirements, creating duplication and uncertainty. Transparency and logging obligations are also redundant across both regimes. Moreover, there is ambiguity over how controllers and providers should manage rights of access, rectification, and erasure when personal data becomes embedded in complex AI models;	GDPR：AI法は基本権影響評価（FRIA）の要件を導入しているが、これはGDPRに基づくデータ保護影響評価（DPIA）も同時に発動されるケースが多い。両制度は適用範囲、監督機関、手続き要件が異なり、重複と不確実性を生んでいる。透明性確保と記録義務も両制度で重複している。さらに、個人データが複雑なAIモデルに組み込まれた場合、管理者や提供者がアクセス権、訂正権、消去権をどう管理すべきかについて不明確な点がある。
Data Act: While the AI Act governs the design and deployment of AI systems, the Data Act ensures access to and portability of data generated by connected products and services. AI providers may be data holders under the Data Act and simultaneously subject to obligations under the AI Act. The cumulative compliance load is significant, especially in real-world testing or in contexts involving third-country data transfers;	データ法：AI法がAIシステムの設計・導入を規制する一方、データ法は接続製品・サービスが生成するデータへのアクセスとポータビリティを保証する。AI提供者はデータ法上のデータ保有者となり得ると同時に、AI法上の義務も課される。特に実環境テストや第三国データ移転を伴う状況では、累積的なコンプライアンス負担が重大である。
Cybersecurity and the CRA: High-risk AI systems must meet certain cybersecurity standards. These may overlap with those imposed by the Cyber Resilience Act, which introduces mandatory cybersecurity requirements for all digital products. While the CRA provides for presumptions of AI Act compliance where its requirements are met, the partial alignment between the two frameworks leaves room for interpretative uncertainty;	サイバーセキュリティとCRA：高リスクAIシステムは特定のサイバーセキュリティ標準を満たす必要がある。これらは全てのデジタル製品に義務的なサイバーセキュリティ要件を導入するサイバーレジリエンス法（CRA）の標準と重複する可能性がある。CRAはAI法の要件を満たす場合にその準拠を推定する規定を設けているが、両フレームワークの部分的な整合性は解釈上の不確実性を残す。
DSA and DMA: Intermediary services (such as online platforms and search engines) that deploy or provide AI systems and models, e.g., in recommender systems or moderation tools, face increased transparency obligations that may overlap. Very large online platforms and search engines may face simultaneous risk-assessment obligations under the AI Act and the DSA, especially where generalpurpose AI models are provided through the intermediary service. There is also a possibility of overlapping obligations related to AI-generated or manipulated content, both legal and illegal. The AI Act and DSA interplay may also impact intermediary liability and researchers’ access to data. The DMA’s provisions on data access, interoperability, and anti-self-preferencing could be relevant to AI APIs or foundation models offered by gatekeepers. However, AI systems are not yet designated as core platform services under the DMA, limiting the scope of these interactions in practice;	DSAとDMA：AIシステムやモデル（例：レコメンデーションシステムやモデレーションツール）を展開・提供する仲介サービス（オンラインプラットフォームや検索エンジンなど）は、重複する可能性のある透明性義務の強化に直面する。特に汎用AIモデルを仲介サービスを通じて提供する超大規模オンラインプラットフォームや検索エンジンは、AI法とDSAの両方に基づくリスク評価義務を同時に負う可能性がある。また、合法・違法を問わず、AI生成または操作されたコンテンツに関連する義務が重複する可能性もある。AI法とDSAの相互作用は、仲介者の責任や研究者のデータアクセスにも影響を及ぼす可能性がある。DMAのデータアクセス、相互運用性、自己優先禁止に関する規定は、ゲートキーパーが提供するAI APIや基盤モデルに関連し得る。ただし、AIシステムは現時点でDMAのコアプラットフォームサービスに指定されていないため、実務上これらの相互作用の範囲は限定される。
NIS2 Directive: Essential and important entities under NIS2 that develop or deploy AI systems must comply with both cybersecurity requirements and AI-specific risk management frameworks. The overlap is especially pronounced in incident reporting obligations and the governance of supply chain risks.	NIS2指令：NIS2に基づく重要・重要事業体でAIシステムを開発・導入する事業者は、サイバーセキュリティ要件とAI特化型リスク管理フレームワークの両方に準拠しなければならない。特にインシデント報告義務とサプライチェーンリスクのガバナンスにおいて重複が顕著である。
Governance and Institutional Complexity	ガバナンスと制度的複雑性
The AI Act introduces a novel governance architecture centred around the European AI Office (AIO). While the AIO is mandated to supervise GPAIs, support regulatory sandboxes, and coordinate enforcement, its role overlaps with that of existing regulators such as data protection authorities, market surveillance bodies, and the European Data Protection Board.	AI法は欧州AI事務局（AIO）を中心とする新たなガバナンス構造を導入する。AIOは汎用AI（GPAI）の監督、規制サンドボックスの支援、執行調整を任務とするが、その役割はデータ保護当局、市場監視機関、欧州データ保護委員会といった既存規制機関の役割と重複する。
The risk of regulatory fragmentation is non-trivial, particularly in areas where concurrent competences exist without robust coordination mechanisms. Moreover, the AIO’s institutional position within the Commission raises concerns about its operational independence and capacity to fulfil its remit without a dedicated legal personality or ring-fenced resources.	規制の断片化リスクは無視できない。特に、強力な調整メカニズムなしに並行する権限が存在する分野では顕著だ。さらに、AIOが欧州委員会内に位置する制度的立場は、専用の法人格や隔離された資源なしに、その業務上の独立性と任務遂行能力について懸念を生じさせる。
Broader Strategic Considerations	より広範な戦略的考察
The cumulative effect of the EU’s digital legislation, although rooted in legitimate policy goals, risks burdening European AI innovators disproportionately. This is particularly concerning given the relative underperformance of the EU in AI investment and innovation metrics. While the AI Act sets out a vision for human-centric, trustworthy AI, its intersection with other digital laws is not always calibrated for agility, scalability, or global competitiveness.	EUのデジタル関連法規の累積的効果は、正当な政策目標に基づくものの、欧州のAIイノベーターに不均衡な負担を強いるリスクがある。これは、AI投資やイノベーション指標においてEUが相対的に遅れを取っている現状を踏まえると特に懸念される。AI法は人間中心で信頼できるAIのビジョンを掲げるが、他のデジタル法規との交錯は、俊敏性、拡張性、あるいは国際競争力に必ずしも配慮されていない。
The report notes that many of the obligations arising from this regulatory ensemble can be reasonably justified in isolation. However, their simultaneous application to the same actors and use cases often produces duplicative, inconsistent or unclear requirements that deter uptake, delay time to market, and introduce compliance asymmetries across Member States. These burdens may affect domestic SMEs and start-ups more acutely than multinational firms, many of which are headquartered outside the Union and better equipped to absorb compliance costs.	本報告書は、この規制体系から生じる多くの義務は個別に合理的に正当化できると指摘する。しかし、同一の主体やユースケースに対して同時に適用されることで、重複した、不整合した、あるいは不明確な要件が生じ、導入を阻害し、市場投入までの時間を遅らせ、加盟国間でコンプライアンスの不均衡をもたらすことが多い。こうした負担は、多国籍企業（その多くはEU域外に本社を置き、コンプライアンスコストを吸収する能力が高い）よりも、国内の中小企業やスタートアップに深刻な影響を与える可能性がある。
Recommendations	提言
In light of the identified frictions, the study advances several reflections for future legislative and policy development:	特定された摩擦を踏まえ、本調査は将来の立法・政策策定に向けた以下の考察を提示する：
Short-term: Encourage joint guidance and coordinated enforcement practices among supervisory bodies. Promote mutual recognition of assessments (e.g. DPIAs and FRIAs) and harmonised sandbox procedures across Member States;	短期：監督機関間の共同ガイダンスと協調的な執行慣行を促進する。加盟国間で評価（例：DPIAやFRIA）の相互承認と調和されたサンドボックス手続きを推進する。
Medium-term: Consider light-touch legislative amendments to clarify role definitions, streamline overlapping obligations (particularly in fundamental rights and cybersecurity domains), and enhance the executability of rights in AI contexts;	中期：役割定義の明確化、重複する義務（特に基本権とサイバーセキュリティ分野）の合理化、AI環境における権利の行使可能性向上を目的とした、軽微な立法改正を検討すること。
Long-term: Re-examine the EU’s digital regulatory architecture with a view to consolidation, simplification, and strategic coherence. Foster an integrated approach that enables agile compliance for innovators without compromising the Union’s fundamental rights and safety values.	長期的：EUのデジタル規制構造を統合・簡素化・戦略的整合性の観点から再検討する。連合の基本的権利と安全保障の価値を損なうことなく、革新者による機敏なコンプライアンスを可能とする統合的アプローチを促進する。
By refining the interplay between digital legislative instruments, the EU can ensure that its regulatory model not only safeguards its constitutional values but also enables the emergence of a globally competitive and sovereign AI industry.	デジタル立法手段間の相互作用を洗練させることで、EUは自らの規制モデルが憲法上の価値を保護するだけでなく、世界的に競争力のある主権的なAI産業の出現を可能にすることを保証できる。

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.10.14 欧州委員会 EDPB DMAとGPDRの相互作用に関する共同ガイドライン案

・2025.09.16 EDPB DSAとGDPRの相互関係に関するガイドライン (2025.09.12)