デジタルオムニバスとは?EUのGDPR・AI Act簡素化パッケージを日本企業向けに解説【2026年時点】
デジタルオムニバスは、欧州委員会が2025年11月19日に公表した、EUのデジタル関連法を横断でスリム化する提案パッケージです。対象はGDPR・EU AI Act・データ法・NIS2指令など5つの主要法令に及び、2つの法案(規則本体とAI向け)で構成されます。本稿では、何がどこまで変わる案なのか、AI法案とGDPR案で進み方がどう違うのか、そして日本企業や受託開発の現場が2026年7月時点で押さえるべき実務対応を、一次情報に基づいて整理します。市場調査の「オムニバス調査」とは無関係の、EU規制の再設計を指す用語です。
目次
まとめ:デジタルオムニバスは横断簡素化の提案で確定度に濃淡がある
デジタルオムニバスは、既存法の廃止ではなく、GDPR・AI Act・データ法・NIS2などを一括で見直す「簡素化パッケージ」の提案です。狙いは、規制の重複や報告義務の分散を整理し、EU域内の事業者が抱えるコンプライアンス負担を軽くすること。2024年のドラギ報告書が指摘した競争力低下への危機感が、後押しになっています。
読み解く際の要点は、確定度の差です。AI Actを改める法案は2026年6月16日に欧州議会が合意内容を承認し、高リスクAI義務の適用開始日である2026年8月2日より前の正式採択が見込まれています。一方、GDPRやデータ法を改める規則本体は、まだ政治合意に至っていません。「AI法案は固まりつつある/データ保護部分は流動的」という温度差を前提に、日本企業は確定済みの延期スケジュールから逆算して備えるのが現実的です。
デジタルオムニバスの全体像とEUが2つの法案で狙う規制簡素化
まず、パッケージの構造と背景を押さえます。デジタルオムニバスは単一の新法ではなく、複数の既存法をまとめて改正する「オムニバス(一括)方式」の立法提案です。
デジタルオムニバスの定義と2025年11月に欧州委員会が示した狙い
デジタルオムニバスとは、EUのデジタル分野の複数法令を1つの提案でまとめて改正する立法パッケージを指します。欧州委員会が2025年11月19日に公表しました。目的は、施行時期の異なる法が積み重なって生じた重複と手続きの煩雑さを解きほぐし、事業者の遵守コストを下げることにあります。欧州委は「ルールの累積が競争力に負の影響を与えてきた」という問題意識を提案の出発点に据えました。ここでの簡素化は、保護水準そのものを引き下げるというより、義務の重なりと報告窓口の分散を整理する再設計として位置づけられています。
規則本体とAI向けの2本立て構成が対象とする5つの主要な法令
パッケージは2つの法案に分かれます。1つ目のデジタルオムニバス規則(Digital Omnibus Regulation)が対象とするのは、GDPR・ePrivacy指令・NIS2指令・データ法(Data Act)の4本です。2つ目のAIに関するデジタルオムニバス(Digital Omnibus on AI)は、EU AI Actを対象にします。データ保護・電子通信のプライバシー・サイバーセキュリティのインシデント報告・データ共有・AIという、性格の異なる5領域を1つの束で扱う点が特徴です。個別のAI規制そのものの全体像はEU AI Actとは?リスク分類・域外適用と日本企業の対応で整理しています。本稿はそれを「後から改正する」提案の解説にあたります。
欧州の競争力低下への危機感が規制簡素化の提案を後押しした背景
背景には、EUのデジタル法が短期間に相次いで成立し、企業側で解釈と対応の負担が膨らんだ経緯があります。2024年に公表されたドラギ報告書は、欧州の生産性と競争力の停滞を指摘し、規制の合理化を提言しました。デジタルオムニバスは、この提言を具体化する取り組みの1つです。ねらいは規制緩和一辺倒ではなく、重複した定義や複数の報告先を一本化して、同じ保護目的をより少ない手数で達成する構造への組み替えにあります。
GDPR・データ法の改正案が個人データ定義と漏えい通知に及ぼす変更
規則本体のうち、日本企業の実務に直結しやすいのがGDPR部分です。ここは提案段階で、今後の交渉で変わりうる前提で読む必要があります。
個人データの定義を「識別可能性」の基準で絞り込む改正案の中身
改正案は、個人データの定義に「識別可能性」の視点を持ち込みます。ある情報が個人データにあたるのは、現にそのデータを保有する主体が、合理的に利用可能な手段で本人を特定できる場合に限る、という整理です。従来のGDPRは「誰かが理論上識別できれば個人データ」と広く解釈されがちでした。改正案はこの範囲を、保有者ごとの実際の識別能力に即して絞り込みます。仮名化データの一部が、扱う主体によっては個人データにあたらないと判断される余地が広がる案です。ただし解釈の線引きは今後の審議で詰められる段階にあります。
漏えい通知を高リスク時に限定し期限を72時間から96時間へ延ばす案
データ侵害の当局通知についても見直し案が示されています。現行GDPRは、個人の権利利益へのリスクがある侵害を原則として発生から72時間以内に監督機関へ通知する義務を課しています。改正案は、通知の対象を「高リスク」の侵害に絞り、期限を96時間へ延ばす方向です。あわせて、侵害やインシデントの報告先を1つにまとめる単一窓口(single entry point)の導入も検討されています。GDPR・NIS2・データ法などで別々だった報告経路を集約し、同じ事象を何度も別窓口へ届ける手間を減らす狙いです。日本の制度動向とあわせて把握したい場合は個人情報保護法改正とは?2026年成立の令和8年改正も参照してください。
NIS2やデータ法を含む規則本体が抱える論点と反対意見の存在
規則本体はデータ保護団体や一部の議員から慎重論も出ています。個人データ定義の縮小や通知義務の緩和が、保護水準の後退につながるという懸念です。NIS2指令やデータ法の該当部分も、報告義務や事業者間のデータ共有ルールに触れるため、産業界と市民団体で評価が分かれます。サイバーセキュリティ規制の全体像は、EUのサイバーレジリエンス法とも地続きです。製品セキュリティの義務と適用時期はサイバーレジリエンス法(CRA)とは?対象製品・義務・罰則で扱っています。規則本体は、これらの利害調整が残るぶん、後述のとおりAI法案より確定が遅れています。
EU AI Actの簡素化で高リスクAI義務の適用時期が受ける延期
2つ目のAI法案は、パッケージの中で最も交渉が進んだ部分です。適用スケジュールの延期と、義務の明確化が柱になっています。
高リスクAI義務の適用開始を2027年12月と2028年8月へ延ばす合意
三者協議で合意された案では、高リスクAIシステムの主要義務の適用開始が後ろ倒しになります。付属書IIIに列挙される単独型の高リスクシステムは2027年12月2日へ、付属書Iの規制対象製品に組み込まれるAIは2028年8月2日へ、それぞれ適用が延期される見込みです。当初は2026年8月2日から高リスク義務が本格適用される予定だったため、事業者には設計・適合性評価の準備に約1年半の追加期間が生まれます。適合性評価の手続き自体も、重複を減らす方向で整理される案です。
AI Act第5条に加わる非同意の親密画像とCSAM生成の新たな禁止
簡素化と同時に、禁止行為の追加も盛り込まれました。EU AI Actの禁止規定であるAI Act第5条に、同意のない親密な画像(いわゆるヌーディファイア)や児童性的虐待素材を生成するAIの提供・利用を禁じる規定が加わります。理事会が一般アプローチの段階で求めた項目で、規制を緩める側面と、守るべき一線を強める側面が同じ法案に同居する形です。緩和と厳格化を一括で扱うのは、オムニバス方式ならではの構成です。
非高リスクAIがバイアス是正のため機微な個人データを扱える新規定
もう1つの実務上の変更が、バイアス対策のためのデータ取り扱いです。改正案は、高リスクに分類されないAIの提供者や利用者が、差別的な偏りを検知・是正する目的に限って、人種や信条などの機微な個人データを扱える規定を新設します。従来は機微データの処理制限が、公平性検証の障害になるという指摘がありました。AIの公平性やリスク管理を設計に織り込みたい場合は、AIのガバナンス設計とリスク管理を含むAIセキュリティ対策の相談を早い段階で挟むと、要件の後戻りを抑えられます。
立法プロセスの現在地とAI法案とGDPR法案で異なる確定度合い
同じパッケージでも、2つの法案は別々のスピードで進んでいます。ここを取り違えると、確定していない案に基づいて過剰に動くことになります。
AI法案が2026年6月に議会承認へ至るまでの立法プロセスの経緯
AI法案は所定の手続きを順に通過しました。EU理事会が2026年3月13日に一般アプローチで合意し、欧州議会も同月の本会議で交渉ポジションを採択。両者と欧州委員会の三者協議が2026年5月7日に政治合意へ達し、欧州議会は2026年6月16日にその内容を承認しました。残るのは正式採択と官報掲載で、高リスク義務の当初適用日である2026年8月2日より前の成立が見込まれています。採択後はEU官報に掲載され、延期後の日程がそのまま正式な適用日です。各国のAI規制の枠組みの違いはAI規制とは?EU・日本・米国・中国の違いと企業対応で比較しています。
GDPRを含む規則本体が政治合意前にとどまる理由と今後の交渉
これに対し、GDPR・ePrivacy・NIS2・データ法を扱う規則本体は、まだ政治合意に達していません。データ保護の後退を巡る論点が残り、欧州議会と理事会の間で交渉が続く段階です。つまり、個人データ定義の見直しや漏えい通知の緩和は、まだ「決まった変更」ではありません。あくまで「審議中の提案」にとどまります。実務では、これらを既定路線として社内規程を書き換えるのは時期尚早で、現行GDPRを守りつつ改正の方向性を監視する構えが妥当です。
提案段階と確定した内容を切り分けて情報を追うための実務的な視点
情報を追う際は、出典が「提案(proposal)」か「合意(agreement)」かを毎回確かめる姿勢が有効です。欧州委員会の公表文、欧州議会の採決記録、EU官報の掲載は、それぞれ確定度が違います。AI法案の延期日程のように三者協議を経た内容は、実務の前提に組み込めます。ただしGDPR案の数値は交渉で動く見込みです。社内共有では「確定・見込み・提案」の3段階でラベルを付けると、誤って先走る判断を防げます。
日本企業と受託開発が2026年時点で構えるべき実務対応の分岐点
ここからは立場を明確にします。デジタルオムニバスへの向き合い方は、EUと接点があるかどうかで大きく分かれます。すべての日本企業が今すぐ動く話ではありません。
EU市場と接点のある企業が優先すべき高リスクAIの棚卸しと猶予期間の確保
EU域内に顧客・拠点・利用者を持ち、AI機能や個人データ処理を含むサービスを提供する企業は、対応を前倒しする価値があります。まず着手すべきは、自社のAIシステムが付属書IIIの高リスクに該当するかの棚卸しです。該当するなら、延期後の2027年12月または2028年8月という新しい適用日から逆算し、適合性評価とドキュメント整備の計画を引き直します。延びた期間を「対応不要の猶予」と捉えるのは危うい判断で、評価体制の構築や第三者監査の予約には数か月単位のリードタイムが必要です。猶予は準備の前倒しに充てるのが実務上の正解です。
EUと接点の薄い国内向け企業が過剰対応を避けるべき見送りの条件
一方で、EU市場と接点がなく、国内利用者だけを対象にする企業が、デジタルオムニバスに合わせて社内規程を今すぐ書き換えるのは過剰です。EU AI ActもGDPRも域外適用の要件を持ちますが、EUの個人やサービス提供と実質的な接点がなければ、直接の適用対象にはなりにくいと考えられます。この層は、日本の個人情報保護法の令和8年改正など国内制度の対応を優先し、デジタルオムニバスは「EU展開を検討し始めた時点で改めて確認する項目」として保留するのが妥当です。海外の提案段階の規制に社内リソースを先取りで割くのは、費用対効果が見合いません。見送る条件は明確で、EUとの実接点がなく、当面の海外展開計画もないことです。
提案段階の規制変更を織り込んだシステム設計と外部相談の使いどころ
両者の中間に、EU展開を検討中で確定を待てない企業がいます。この層には、確定した延期日程を設計の前提に組み込みつつ、流動的なGDPR案は「変わりうる」前提で疎結合に作る方針が現実的です。個人データの取り扱いや同意管理を、法改正で差し替えやすいモジュールとして分離しておけば、規則本体の内容が固まった段階での改修コストを抑えられます。要件が動くテーマだからこそ、初期のガバナンス設計とリスク管理の見立てを外部の知見と突き合わせておくと、後戻りの少ない実装につながります。市場調査手法の「オムニバス調査」とは無関係の規制テーマである点も、社内共有では取り違えのないよう明記しておくと安全です。
よくある質問
デジタルオムニバスに関して、日本企業の担当者から寄せられやすい質問に答えます。いずれも2026年7月時点の一次情報に基づく回答です。
デジタルオムニバスはいつから適用されますか?
パッケージ全体で一律の適用日はありません。AI Actを改正するAI法案は2026年8月2日より前の正式採択が見込まれ、高リスクAI義務は付属書IIIが2027年12月2日、付属書Iの製品組込型が2028年8月2日へ延期される案です。GDPRやデータ法を改める規則本体は、まだ政治合意前で適用日は確定していません。法案ごとに時期が違う点に注意してください。
市場調査でいう「オムニバス調査」と同じ意味ですか?
別物です。市場調査のオムニバス調査は、複数企業の設問を1つの調査に相乗りさせる手法を指します。本稿のデジタルオムニバスは、EUがGDPRやAI Actなど複数のデジタル法を1つの提案でまとめて改正する立法パッケージを指す語です。同じ「オムニバス(一括)」でも領域がまったく異なるため、社内資料では取り違えのないよう区別してください。
GDPRの規制は緩くなるのですか?
提案段階では、個人データ定義の絞り込みや漏えい通知の対象限定など、遵守負担を減らす方向の案が含まれます。ただし規則本体はまだ政治合意に至っておらず、内容は交渉で変わりえます。現時点で「GDPRが緩和された」と断定するのは早計です。実務では現行GDPRを守りつつ、確定情報を待つ姿勢が無難です。
日本企業も対象になりますか?
EU域内の個人や市場と実質的な接点があれば、EU AI ActやGDPRは域外適用の対象になりえます。EU向けにAIサービスや個人データ処理を提供する日本企業は、影響を確認する価値があります。逆に、EUとの接点がなく国内利用者のみを対象にする企業は、直接の適用対象になりにくいため、優先度を下げて差し支えありません。
今すぐ社内で着手すべきことは何ですか?
EUと接点のある企業は、自社AIが高リスクに該当するかの棚卸しと、延期後の適用日から逆算した準備計画の見直しが起点になります。接点のない企業は、日本の個人情報保護法改正など国内制度への対応を優先し、EU展開を検討する段階で改めて確認すれば十分です。いずれも、情報を「確定・見込み・提案」に切り分けて追うことが出発点です。
関連記事
- EU AI Actとは?リスク分類・域外適用と日本企業の対応:本稿が改正の対象とするAI Act本体の仕組みを解説しています。
- AI規制とは?EU・日本・米国・中国の違いと企業対応:各国のAI規制の枠組みを比較し、EUの位置づけを俯瞰できます。
- サイバーレジリエンス法(CRA)とは?対象製品・義務・罰則:規則本体が触れる製品セキュリティ規制の全体像を扱っています。
- 個人情報保護法改正とは?2026年成立の令和8年改正:日本のデータ保護制度の最新動向をあわせて確認できます。