本ニュースレターでは、欧州委員会が公表したDigital Omnibusの改正案のうち、AI法（AI Act）、データ法（Data Act）の改正提案事項を概説します。前回のニュースレターでは、一般データ保護規則（General Data Protection Regulation）の改正提案事項を概説しているため、併せてご参照ください。

AI法は、2024年8月1日に発効していますが、下表のとおり、その規制に応じて段階的に適用開始時期（施行時期）が定められています。
 

具体的に、①付属書Ⅲに該当するハイリスクAIシステムとは、採用や人事における意思決定等、特定分野でのユースケースで利用されるAIシステム、②付属書Ⅰに該当するハイリスクAIシステムとは、自動車やその部品等、特定のEU製品法で規制される製品又はその安全コンポーネントとして使用されるAIシステムであって第三者適合性評価を受ける必要があるものを指します。これらのハイリスクAIシステムについては、一定のシステム要件の遵守、適合性評価、登録義務等の厳格な規制が適用されます。

改正案は、整合規格やガイドライン等の整備が遅れていることも踏まえ、これらのハイリスクAIシステムに対する規制の適用開始時期を延期することを提案しています。具体的に、①付属書Ⅲに該当するハイリスクAIシステムについては、欧州委員会が、規制遵守支援のための適切な措置が整備されたことを確認する決定を採択してから6か月後、②付属書Ⅰに該当するハイリスクAIシステムについては、同決定の採択から12か月後から、規制を適用することを提案しています。ただし、これらの決定が適時に採択されない事態も見据え、遅くとも、①については2027年12月2日、②については2028年8月2日から規制の適用を開始するとされています。

加えて、透明性義務の一つとして、テキストや画像等を生成するAIシステムのプロバイダー（提供者）は、その出力コンテンツにAI生成物である旨をマーキングする義務を負うところ（AI法50条2項）、改正案は、同規制についても適用開始を延期することを提案しています。具体的には、2026年8月2日以前に市場に投入されたAIシステムについては、2027年2月2日まで義務の適用を延期するとしています。

AI法の下、ハイリスクAIシステムについては、学習用データセットが一定の品質要件を満たしていることが求められていますが、その一つとして、基本的権利に悪影響を与え、又はEU法の下で禁止される差別に繋がるようなバイアスについては、これをデータセットから検出して是正することが要求されています。

この点、GDPRにおいて、特別カテゴリーデータ（人種、宗教、健康等に関するデータ）を処理することは原則禁止されていますが（GDPR9条）、AI法は、ハイリスクAIシステムのプロバイダーについては、一定の条件の下で、バイアス対策を目的に特別カテゴリーデータを処理することを許容しています（AI法10条5項）。すなわち、ハイリスクAIシステムのプロバイダーは、データ主体の同意等の例外に依拠することなく、AI法の下でのバイアス対策を根拠として、特別カテゴリーデータを処理することが可能になっています（GDPR9条2項h）。

改正案は、かかるバイアス対策は、全てのAIシステム及びAIモデルの提供・実装において重要になるとして、ハイリスクAIシステムのプロバイダーのみならず、全てのAIシステム及びAIモデルのプロバイダー及びディプロイヤー（実装者）について、バイアス対策を目的に特別カテゴリーデータを処理することを許容すべきと提案しています。ただし、現行のAI法10条5項と同様、匿名化データではバイアス対策に不十分である、最先端の保護措置を適用している、バイアス是正後にデータを削除する等の厳格な条件を遵守することが求められます。

AI法の下、付属書Ⅲに該当するハイリスクAIシステムについて、プロバイダー（提供者）は、その市場投入前に、同AIシステムをEUデータベースに登録することが義務付けられています（AI法49条1項）。

この点、付属書Ⅲ記載のユースケースに該当するもの、手続的・準備的タスクを目的とするのみであるもの等、所定の例外に該当するAIシステムについては、ハイリスクではないとみなされて、ハイリスクAIシステムに対する規制から免除されます（AI法6条3項）。しかし、かかる例外に該当するAIシステムについても、プロバイダーは、これをEUデータベースに登録することが義務付けられています（AI法49条2項）。

改正案は、かかる例外に該当するAIシステムについてまでデータベースへの登録を義務付けることは過剰であるとして、データベースへの登録を不要とすることを提案しています。ただし、改正案の下でも、プロバイダーは、現行のAI法と同様、例外に該当すると判断したその評価を書面化し、規制当局の要求があればこれを提出することが必要になります。

AI法において、AIシステムのプロバイダー及びディプロイヤーは、AIシステムを取り扱う役職員等について、十分な水準のAIリテラシーを確保するためのトレーニング等の措置を講ずる義務を負っています（AI法4条）。上表のとおり、AIリテラシーに関する義務は、2025年2月2日から施行されています。

改正案は、このAIリテラシー義務について、事業者に一律に画一的な義務を課すことに適さず、また事業者に相応の負担も課すことになるとして、削除を提案しています。代わりに、欧州委員会及び加盟国が、AIシステムのプロバイダー及びディプロイヤーに対して、リテラシー確保のための措置を講ずることを推奨する義務を負うとして、欧州委員会等が法的拘束力を伴わない形で事業者にAIリテラシーの確保に向けた働きかけを行うことを提案しています。

上記の他、改正案は、以下のような改正事項を提案しています。
 

• 同一のAIシステムが、付属書Ⅰ及びⅢの双方に該当してハイリスクAIシステムとなる場合、付属書Ⅲではなく、付属書Ⅰの適合性評価手続（既存のEU製品法に基づく適合性評価プロセス）に従えば足りることを明確化。
• 現行法の下、中小企業（SME：micro, small and medium-sized enterprise　従業員数250人未満等の要件を満たすもの）に付与されている優遇措置を、スモール・ミッドキャップ企業（SMC：small mid-cap enterprise　従業員数750人未満等の要件を満たすもの）に拡張。
• 現行法の下では、各加盟国がAI規制サンドボックスを設置可能であったところ、AIオフィスもAI規制サンドボックスを設置可能として、EUレベルでのAI規制サンドボックスの設置を提案。
• 現行法は、付属書Ⅲに該当するハイリスクAIシステムについてのみ、AI規制サンドボックス外での実環境テストを許容しているところ、付属書Ⅰに該当するハイリスクAIシステムも実環境テストを許容。
• 同一のプロバイダーが開発したGPAIモデルに基づくAIシステム（付属書Ⅰに該当するものを除く）について、AIオフィスに排他的な監督・執行権限を付与する等、AIオフィスの役割を拡張。

データ法において、データ保有者は、コネクティッド製品及び関連サービスから生成されるデータについて、その利用者及び利用者が指定する第三者に提供することが義務付けられています（データ法4条、5条）。ただし、データ保有者は、かかるデータが営業秘密に該当する場合、営業秘密の開示によって重大な経済的損害を被る高度の蓋然性があることを立証すれば、規制当局にその旨を通知することによって、データへのアクセスを拒否することが可能です（データ法4条8項、5条11項）。

改正案は、データ保有者に対して、新たに営業秘密の開示拒否事由を付与することを提案しています。具体的には、データ保有者は、営業秘密の開示によって、EUレベルでの営業秘密保護制度を整備していない外国に所在する第三者、又はかかる第三者の直接又は間接の支配下にあるEU域内の第三者によって、営業秘密が不当に取得・利用される高いリスクがあることを立証すれば、規制当局にその旨を通知することで、データへのアクセスを拒否することができることとなります。これは、営業秘密保護のための適切な制度を整備していない第三国の事業者にデータが移転することを防止するための拒否事由で、立証にあたっては、第三国における営業秘密保護のための執行可能性等を考慮することができるとされています。

データ法において、データ処理サービス（SaaS等のクラウドサービス等）の提供者は、その顧客が、他の提供者のサービスに効果的に切り替え（スイッチング）できるよう、一定の措置を講ずることが義務付けられています（データ法23条～32条）。これは、ベンダーロックイン（特定のITベンダーに依存して他社への切り替えが困難な状態）を防止することを目的とするもので、具体的には、顧客との契約に所定の条項（スイッチングにあたってのデータ移行等）を追加すること、顧客にスイッチングのために利用可能な手続に関する情報提供を行うこと等が求められ、また、顧客にスイッチングにあたっての切替手数料を課すことが禁止されます（ただし2027年1月12日までは割引された切替手数料を課すことが可能です）。

ただし、この例外として、個別顧客のニーズに応じてその機能の大半がカスタムに構築（built）されたデータ処理サービス（custom-built data processing services）については、切替手数料の禁止等の一部の規制の適用が除外されています（データ法31条1項）。

改正案は、これに追加して、個別顧客のニーズに応じてその機能の大半がカスタムに調整（adapted）されたデータ処理サービス（custom-made data processing services）について、それが2025年9月12日以前に締結された契約に基づき提供されていることを条件として、原則として、上記のスイッチングのための規制の適用を免除することを提案しています。これによれば、提供者は、既に締結している契約に基づくカスタムメイドのデータ処理サービスについては、その契約失効までは契約を改訂・再交渉することが不要となります（ただし、切替手数料の禁止義務の適用は受けるため、これに反する条項は無効となります）。

加えて、改正案は、中小企業（SME）及びスモール・ミッドキャップ企業（SMC）については、カスタムメイド以外のデータ処理サービスについても、2025年9月12日以前に締結された契約に基づくことを条件として、上記と同様の規制適用免除を提案しています。

さらに、改正案は、一定の期間（最低利用期間）を定めた契約に基づくデータ処理サービスについて、提供者は、それがスイッチングの障壁にならない限り、適切な範囲において早期解約金を課すことができる旨を明確化しています。

上記の他、改正案は、以下のような改正事項を提案しています。
 

• 公的部門が保有するデータの再利用ルールを簡素化するため、非個人データの自由な流通規則、データガバナンス法及びオープンデータ指令をデータ法の枠組みに統合して、重複や矛盾を解消。
• 現行法において、公的機関は「例外的ニーズ（exceptional needs）」を示せば、データ保有者に対してデータ提供を要請できるところ、改正案は、「公的緊急事態（public emergencies）」であることを示してはじめてデータ提供を要請できるとして、公的機関がデータにアクセスできる場合を限定。