本ページでは、日本企業・投資家がEUでの事業展開や投資を検討する際に理解しておくべき、主要なEUの規制・法制度のポイントを紹介します。
EUでは、人権・環境・デジタル分野を中心に、企業責任を強化する規制が急速に進展しています。これに伴い、日本企業にとってもEU基準への対応は不可欠となっています。こうした規制動向を正確に把握し、サプライチェーン全体でコンプライアンスを確保することは、リスク回避にとどまらず、企業の信頼性向上や国際競争力の強化にもつながります。さらに、EU規制に早期に適応することは、他地域の規制対応にも応用可能であり、グローバル展開を円滑に進める上での重要な基盤となります。
EUが制定する法制度は、主に以下の4類型に分類され、それぞれ適用方法が異なります。
規則(Regulation):すべてのEU加盟国に対して直接適用され、国内法への置き換えを必要としません。
指令(Directive): 加盟国に対して達成すべき目標を定めるものであり、各国が国内法に落とし込むことで適用されます。
決定(Decision): 特定の加盟国、企業、または個人に対して拘束力を持つ個別的な法行為です。
勧告(Recommendation):法的拘束力はなく、政策的な方向性や指針を示すものです。
■ 産業・投資政策
・外国補助金規則
■ サステナビリティ・ESG
・CSRD
・CBAM
・PPWR
・EUDR
■ デジタル・データ
・AI法
・GDPR
◆ EU Inc.(EU共通法人形態)
・発効:未定 (2026年3月に欧州委員会が提案)
・適用開始:未定
・次の重要期限:2026年内の合意目標
概要
EU全域で共通の法人形態(EU Inc.)を導入する構想です。加盟国ごとに異なる会社法制度による負担を軽減し、単一市場での事業展開を容易にすることを目的としています。企業は既存の国内制度に加えて、本制度を任意で選択可能となる見込みです。
投資環境への示唆
本構想により、EUにおけるビジネス環境には以下の改善が見込まれます。
・設立手続の迅速化・簡素化
オンラインでの企業設立が可能となり、設立コストおよび時間の削減が期待されます。
・制度の一体化による予見可能性の向上
複数の国内制度への対応負担が軽減され、クロスボーダー展開の障壁が低下します。
・デジタル化の推進
登記・報告・管理などの企業関連手続がデジタルベースで完結する方向に整備されます。
・資金調達・人材確保の柔軟化
株式制度やストックオプションの設計が柔軟化され、スタートアップや成長企業の資金調達・人材確保が容易になる可能性があります。
日本企業への実務影響
・EU域内での複数拠点展開における法人設立・管理コストの低減
・EU内統一法人を活用した拠点再編・ハブ戦略の選択肢拡大
・将来的にEU市場参入時の標準スキームとなる可能性
参考情報
・Factsheet: Proposal for an EU Inc. corporate legal framework
・EU Inc.: A new harmonised corporate legal regime
・Communication: towards a EU Inc. for EU companies
・Proposal for an EU Inc. corporate legal framework
・Impact assessment for EU Inc. corporate legal framework
・EU Startup and Scaleup Strategy - Research and innovation
◆ 産業加速法(IAA)
・発効:未定 (2026年3月に欧州委員会が提案)
・適用開始:未定
・次の重要期限:欧州議会・EU理事会での審議
EUの欧州委員会は2026年3月、戦略分野における産業競争力の強化とサプライチェーンの強靭化を目的として、新たに「産業加速法(Industrial Accelerator Act:IAA)」を発表しました。本法案は、低炭素かつ欧州製の製品・技術の需要を創出することで、クリーン産業への投資を促進する枠組みです。現時点では欧州委員会による規則案(COM(2026) 100 final)であり、今後、欧州議会およびEU理事会での審議を経て成立する必要があります。採択された場合、EU全体で直接適用される規則となる見込みです。
規制の目的と主な内容
IAAは、低炭素産業の育成とEU域内製造基盤の強化を目的に、主に以下の5つの柱で構成されています。
1. 低炭素産業製品のリードマーケット創出
公共調達や補助金制度を通じて、鉄鋼・アルミ・セメント等に低炭素要件を導入し、低炭素製品の需要を創出する。EU排出量取引制度(EU ETS)や炭素国境調整メカニズム(CBAM)の枠組みを活用し、EU製品と輸入品を同一基準で比較可能とします。
2. 「Made in Europe」要件の導入
バッテリー、太陽光、風力、ヒートポンプ等のネットゼロ技術や自動車分野において、EU域内生産比率の要件を設定しています。これらの要件は段階的に強化され、EU域内の製造能力維持とサプライチェーンの強靭化を図るものであり、ネットゼロ産業法(NZIA:Net Zero Industry Act)を補完する位置づけとなります。
3. 戦略分野への外国直接投資(FDI)への条件付け
バッテリー、電気自動車(EV)、太陽光、重要原材料等の分野において、1億ユーロ超の外国直接投資(FDI)に対し通知・審査制度を導入します。特定の第三国が当該分野で世界の製造能力の40%以上を占める場合、投資は事前承認を要することになる予定です。審査では、EU域内での付加価値創出や供給安全保障への貢献が重視されることになります。
4. 許認可手続きの簡素化・迅速化
産業プロジェクトにおける許認可手続きをデジタル化し、ワンストップ窓口を導入することで、手続きの効率化と透明性向上を図り、脱炭素投資や製造プロジェクトの迅速な実施を促進します。
5. 産業加速地域(Industrial Acceleration Areas)の創設
加盟国が特定地域を「産業加速地域」として指定し、インフラ整備や許認可の迅速化を進めることで、産業集積とクラスター形成を促進し、EUの製造能力の強化を図ります。
IAAにつきましてはこちらのページもご覧ください。
参考資料
・Industrial Accelerator Act - Internal Market, Industry, Entrepreneurship and SMEs
・Press corner | European Commission
・Questions and answers on the Industrial Accelerator Act
◆ CSRD(企業持続可能性報告指令)
・発効:2023年1月
・適用開始:段階適用中
・次の重要期限:2028年(域外企業への適用開始)
CSRD(Directive (EU) 2022/2464)は、2023年1月に発効した指令で、大企業および上場企業に対し、社会・環境分野に関する情報開示を義務付けています。
対象企業は、
・自社が直面する社会・環境リスク
・事業活動が人権や環境に与える影響を定期的に開示
・欧州サステナビリティ報告基準(ESRS)に基づく報告が必要
目的は、投資家・市民社会・消費者といったステークホルダーが、企業のサステナビリティへの取り組みを比較・評価可能にすることです。CSRDは、欧州グリーン・ディールの一環として、透明性を通じた企業行動の変化を促す制度と位置づけられます。
■ 日本企業への実務影響
・EU子会社を有する場合、当該子会社がCSRD対象となる可能性があり、グループ全体でのデータ収集・報告体制の構築が必要
・EU企業との取引において、サプライチェーン上の情報提供要求が増加
・ESG情報の整備状況が、投資判断・取引条件・資金調達コストに直接影響
■ 最新動向:オムニバス簡素化(CSRD)
EUでは、規制負担軽減を目的とした簡素化が進められています。2025年12月に欧州議会・EU加盟国間で政治的合意がなされたオムニバスI簡素化パッケージでは、以下の点が盛り込まれました。
・適用対象企業の見直し(従業員1,000人以上、かつ売上高4億5,000万ユーロ以上に緩和)
・開示義務の一部簡素化
・適用時期(域外企業)は変更なし
→ 2028年1月以降開始の会計年度から適用、2029年に初回報告
◆ CSDDD(企業持続可能性デューディリジェンス指令)
・発効:2024年7月
・適用開始:段階適用(延期あり)
・次の重要期限:2029年7月(域外企業への適用開始)
CSDDD(Directive (EU) 2024/1760)は、2024年7月に発効した指令で、企業に対し人権・環境デューデリジェンスの実施義務を課す制度です。
主なポイント
・対象:EU域内外の一定規模以上の大企業(約7,000社が対象見込み)
・対象範囲:自社、子会社、取引先を含むグローバル・バリューチェーン全体
企業に求められる対応:
・人権侵害・環境破壊の特定
・予防・軽減・是正措置の実施
・デューデリジェンス体制の構築・運用
CSDDDは、単なる情報開示にとどまらず、企業行動そのものの変革を求める制度です。
■ 日本企業への実務影響
・EU企業との取引において、デューデリジェンス対応および情報提供が求められるケースが増加
・サプライヤーとしての監査対応やリスク管理体制の整備が必要
・未対応の場合、取引停止や契約条件の見直しといったリスクが生じ得る
■ 最新動向:オムニバス簡素化(CSDDD)
EUでは、規制負担軽減を目的とした簡素化が進められています。2025年12月に欧州議会・EU加盟国間で政治的合意がなされたオムニバスI簡素化パッケージでは、以下の点が盛り込まれました。
・適用対象企業の縮小
・義務内容の簡素化 (従業員5,000人以上、売上高15億ユーロ以上に緩和)
・適用開始時期の延期
→ EU域外企業への適用は2029年7月以降
◆ 炭素国境調整メカニズム(CBAM)
・発効:2023年10月
・適用開始:2026年1月(本格適用)
炭素国境調整メカニズム(CBAM:Carbon Border Adjustment Mechanism)は、EU域内と域外の製品間で炭素コストの扱いに差が生じないよう、EU域外から輸入される特定製品に対し、生産時の炭素排出量を考慮した調整を行うEUの制度です。
CBAMはEUの制度ですが、EU向けに製品を供給する日本企業や、EU企業のサプライチェーンに関与する企業にも影響が及びます。日本企業には、製品や原材料に含まれる温室効果ガス排出量の把握・算定、ならびにその情報提供が求められます。2026年以降は、排出量に応じたCBAM証書の購入が必要となり、コストや価格交渉、調達先の選定に影響を与えます。今後の対象範囲拡大も見据え、排出量の可視化や脱炭素対応力が、EU市場で事業を継続・拡大するための重要な条件となりつつあります。
制度の目的
・EU域内産業と輸入品の間で炭素コストの公平性を確保
・炭素リーケージ(高炭素産業の域外移転)を防止
・EU域外におけるよりクリーンな産業生産を促進
CBAMは、EU排出量取引制度(EU ETS)における無償排出枠の段階的廃止と整合的に設計されており、EUの脱炭素政策を構成する重要な制度の一つと位置づけられています。
CBAMの適用スケジュール
CBAMは、段階的導入が採用されており、2023年10月1日から移行期間として適用が開始されました。
・EU輸入者に課される義務:対象製品に関する内包排出量の報告
・この期間中は:CBAM証書の購入・提出義務はなし
位置づけ:本格適用に向けた試行・学習期間・排出量データの収集・算定方法の精緻化
EU内外の企業および関係当局が、制度運用に慣れるための準備期間とされています。
本格適用(2026年以降)
CBAMの本格適用は、2026年1月1日に開始されました。
本格適用後の主な義務
・対象製品を輸入するEU輸入者、または間接通関代理人は、「認可CBAM申告者(authorised CBAM declarant)」として登録が必要
・輸入品に内包される排出量に相当するCBAM証書の購入および年次提出が義務化
CBAM証書の価格設定
・基準:EU ETS排出枠のオークション価格
・価格算定方法:
2026年:四半期平均価格
2027年以降:週次平均価格
CBAMの対象品目(現行)
CBAMは当初、炭素リーケージのリスクが特に高い分野を中心に適用されます。
現行の対象分野: セメント・鉄鋼・アルミニウム・肥料・電力・水素
これらの製品に加え、一部の前駆物質も対象に含まれます。
対象範囲拡大の動き(改正案)
2025年12月に欧州委員会が発表した改正案では、CBAM対象製品を原材料として使用する川下製品を、新たに2028年以降制度対象に含める方針が示されています。
追加対象の特徴
・主に産業用サプライチェーンに位置づけられる、鉄鋼・アルミニウムを基盤とする加工度の高い製品
→重機部品を固定する金属製金具・産業用放熱器・鋳造機械
また、産業用途に限らず、一部の家庭用製品についても、制度対象に含めることが提案されています。
◆ PPWR(包装・包装廃棄物規則)
・発効:2025年2月
・適用開始:2026年8月頃(発効後18か月)
EUでは、欧州市場に流通するすべての包装および包装廃棄物について、材料や用途(商業用、家庭用、産業用など)を問わず、共通の規制が適用されています。この分野の規制は、従来の包装・包装廃棄物指令(PPWD)に代わり、包装・包装廃棄物規則(PPWR:Regulation (EU) 2025/40)として整理・強化されました。PPWRは2025年2月11日に発効しており、18か月後から本格適用される予定です。
規制の目的
PPWRは、包装廃棄物の発生を抑制し、資源利用の効率化を通じて、循環型で持続可能かつ競争力のある経済への移行を促進することを目的としています。
主な目標は以下のとおりです。
・2030年までに、EU市場のすべての包装を経済的にリサイクル可能にする
・包装における再生プラスチックの使用を安全に拡大
・バージン原材料の使用を削減し、2050年までの気候中立に貢献
規制の主な内容
PPWRは、製品設計から廃棄処理まで、包装のライフサイクル全体を対象とし、主な措置には以下が含まれます。
・個包装の調味料・ソースなど、特定の使い捨てプラスチック包装の制限
・テイクアウト事業者に対し、利用者が自前容器を持ち込める選択肢を無償で提供する義務
・有害物質の使用制限(一定の閾値超過時)
・すべての包装に対し、製造方法・材料構成・再使用性・回収可能性に関する必須要件を適用
なお、PPWRの適用開始後、従来のPPWDは廃止されますが、一部の規定は一定期間引き続き適用されます。
PPWRは再利用目標を一律に課す制度ではなく、製品特性を踏まえた例外も設けていますその一つとして、ブドウ以外の果物・野菜由来のワイン類似製品や各種発酵飲料が挙げられており、日本酒はこれらの免除対象に該当します。
◆ AI法
・発効:2024年8月
・適用開始:段階適用
・次の重要期限:
2025年: GPAI規定適用
2027年(見込み):高リスクAI規定
EUのAI法(Regulation (EU) 2024/1689)は、AIを安全かつ信頼性の高い形で利用するためのEU全域で統一された規則です。2024年8月に発効しました。本法では、推論能力や自律性といった要素を含むAIの定義が明確に規定され、用途やリスクの度合いに応じて義務の重さが変わる仕組みが採用されています。
なお、
・科学研究目的のAI
・軍事・防衛関連のAI
は適用除外とされ、GDPRなど既存のEU法は引き続き並行適用されます。
規制対象と責任主体
AI法では、以下の双方が規制対象となります。
・AIシステム
・汎用目的AI(GPAI:General Purpose AI)モデル
特にAIシステムについては、リスクに応じた4段階の分類が導入されています。
また、AIのライフサイクルに関わる主体(提供者、利用者〈ディプロイヤー〉、輸入業者、販売業者など)の立場に応じて、適用される義務が異なる設計となっています。
AIシステムの4つのリスクカテゴリー
① 最小リスク(Minimal Risk)
・スパムフィルターなどの一般的なAI
・特段の義務なし
② 透明性リスク(Specific Transparency Risk)
・チャットボット、AI生成コンテンツなど
・AIであることの明示、生成物へのラベル付けが必要
③ 高リスク(High-Risk)
・医療AI、採用AI、重要インフラ関連AIなど
・リスク管理、高品質データ、人による監督、技術文書整備等の厳格な要件
④ 許容されないリスク(Unacceptable Risk)
・社会スコアリングなど、基本的権利を侵害するAI
・使用が全面的に禁止
段階的な適用スケジュール
AI法は一括適用ではなく、内容ごとに段階的に適用されます。
2025年2月〜
・第1〜5条が適用開始
・AIの定義、AIリテラシー、「許容されないリスク」に該当する利用ケースなど
2025年8月〜
最新動向
欧州委員会は2025年11月19日、高リスクAIに関する条項の適用開始を後ろ倒しする意向を示しました。
・最長で16カ月延期
・2027年12月まで遅れる可能性
背景には、
・標準化や監督体制の準備遅れ
・企業・行政双方の過度な負担
・特にSME・SMCにおける実務的課題があります。
デジタル・オムニバス改正案(簡素化措置)
同時に、規制負担を軽減しつつイノベーションを促進するため、AI法の一部簡素化を目的とした「オムニバス法案」が発表されました。
主な内容
① SME向け簡素化措置の拡大
・中小企業(SME)向け措置を中堅企業(SMC)にも拡大
・技術文書要件の緩和
・年間約2億2,500万ユーロのコスト削減効果を見込む
② 実証実験(サンドボックス)の拡充
・本番に近い環境でAIを安全に試験可能
・2028年にEU全体で利用可能な実証枠を創設
・自動車など主要産業での実環境テストを拡大
③ AIオフィスの権限強化
・GPAIモデルを基盤とするAIシステムの監督を欧州委員会内のAIオフィスに一本化
・監督の一貫性・明確性を強化
今後の見通し
AI法の適用時期見直しおよびオムニバス改正案は、今後、EU加盟国(閣僚理事会)および欧州議会での審議を経て、正式に採択される見通しです。
日本企業への影響
・EU域外企業も対象になり得る: AIの「出力」がEUで利用される場合、日本企業も適用対象となる可能性があります。
・AIの定義が広い: 推論・自律的処理を行うシステムは幅広くAIに該当し、日本企業の製品・サービスも対象となり得ます。
・高リスクAIには追加義務: 特定のEU法に該当する製品にAIを組み込む場合、高リスクAIとして厳格な要件への対応が求められます。
◆ EUDR(森林破壊デューデリジェンス規則)
・発効:2023年6月
・適用開始:
- 大企業:2026年12月30日
- 中小企業:2027年6月30日
EUは、EU市場で流通・消費される製品が、世界の森林破壊や森林劣化に寄与しないことを確保するため、森林破壊デューディリジェンス規則(Regulation (EU) 2023/1115)を導入しました。本規則は、温室効果ガス排出削減および生物多様性保全を目的とするEUの環境・サステナビリティ政策の一環です。
規則の概要
・対象コモディティ(牛、木材、カカオ、大豆、パーム油、コーヒー、ゴム等)およびその派生製品について、森林破壊や森林劣化に由来しないことの証明を義務付け
・EU市場への上市、またはEUからの輸出を行う事業者・取引業者が対象
対象となるコモディティについては、森林破壊または森林劣化に関与する形で生産されるリスクの水準に基づき、生産国が以下の3区分に分類されています。
・低リスク国:1%(EU当局による遵守チェック割合)
・標準リスク国:3%(EU当局による遵守チェック割合)
・高リスク国:9%(EU当局による遵守チェック割合)
日本は、現時点で「低リスク国」に分類されています。これにより、日本国内で生産されたEU森林破壊防止規則(EUDR)対象コモディティをEU市場に供給する場合、EU当局による遵守チェックの割合は最も低い水準に設定されています。
目的
・EUの消費が森林破壊・森林劣化に与える影響の防止
・年間少なくとも3,200万トンのCO₂排出削減
・農地拡大に起因する森林破壊・劣化への包括的対応
適用時期と簡素化措置
本規則は当初、2025年末からの適用が予定されていましたが、規則の目的を維持しつつ行政負担を軽減するため、適用開始時期の延期および簡素化措置の導入が合意されました。これにより、適用開始時期は以下のとおりとなっています。
・大企業・中堅企業:2025年12月30日
・零細企業・中小企業:2026年6月30日
また、簡素化措置として、以下が盛り込まれています。
・必要なデューデリジェンス声明の提出義務および責任は、製品を最初にEU市場に上市するオペレーターのみに帰属
・サプライチェーン上では、最初の下流オペレーターのみが、当初のデューデリジェンス声明の参照番号を収集・保管すればよく、それ以降の事業者に引き継ぐ必要はなし
・零細企業および小規模の一次オペレーターについては、一度限りの簡素化申告を提出すれば足り、付与される申告識別子によりトレーサビリティが確保される
・行政負担軽減の観点から、書籍、新聞、印刷された画像などの一部の印刷製品は、森林破壊リスクが限定的であることを踏まえ、規則の適用範囲から除外
本暫定合意は、発効に先立ち、欧州議会とEU理事会両機関による承認および正式採択を経る必要があり、その後、現行のEUDRに代わって効力を有することとなります。
◆ 投資スクリーニング制度
・発効:2019年
・適用開始:2020年10月
・次の重要期限:改正案の採択(時期未定)
EUの投資審査制度(Regulation (EU) 2019/452)は、EU域内の安全保障および公共秩序を保護することを目的として、外国からの直接投資(FDI)に関する情報をEU加盟国と 欧州委員会が共有・協力する枠組みとして導入されました。本制度は2019年に決定され、2020年10月から完全に運用されています。
制度の主な特徴
本制度は、EUが投資を一律に審査する制度ではなく、加盟国間および欧州委員会による協力・情報共有メカニズムとして設計されています。
・加盟国と欧州委員会が、投資案件に関する情報を相互に共有
・投資がEU全体の安全保障や戦略的プロジェクトに影響を及ぼす場合、欧州委員会が意見(non-binding opinion)を提出可能
・投資審査に関する国際的な経験・ベストプラクティスの共有を促進
加盟国の国内投資審査制度に求められる要件
国内レベルで投資審査制度を持つ加盟国には、以下の原則が求められています。
・透明性
・非差別
・機密情報の保護
・不服申立ての可能性
・迂回防止措置
・迅速な審査手続き
これにより、投資家にとっての予見可能性と、EU全体としての安全保障上の整合性の両立が図られています。
最新動向:制度強化に向けた改正案(2024年)と主なポイント
2024年1月、欧州委員会は本制度の強化を目的とした改正案を提示しました。現在、加盟国間で協議が進められています。
・すべての加盟国に投資審査制度の整備を義務付け
・審査が必須となる最低限のセクターをEU全体で共通化
・最終的な実質的支配者が非EUの個人・企業であるEU投資家による投資も審査対象に含める
これに加え、2026年3月に欧州委員会が発表した産業加速法(IAA)では、産業政策の観点から、戦略分野における外国直接投資に条件を課す新たな枠組みが提案されています。
対象は、バッテリー、電気自動車(EV)、太陽光、重要原材料などの分野であり、投資額が1億ユーロを超え、かつ投資元の第三国が当該分野で世界シェア40%以上を占める場合、事前承認が必要となります。
承認にあたっては、EU企業との合弁、技術移転、域内での研究開発投資、雇用確保、域内調達の促進などの条件のうち、一定数を満たすことが求められます。審査は加盟国当局が実施し、欧州委員会も関与します。
また、投資後も条件の継続的遵守が求められ、違反した場合には制裁金が科される可能性があります。
IAAにつきましては、こちらのページもご参照ください。
◆ EU一般データ保護規則(GDPR)
・採択:2016年
・適用開始:2018年5月
・次の重要動向:改正検討中(デジタル・オムニバス法案)
概要
EU一般データ保護規則(GDPR)は、個人データ保護に関する包括的な規制であり、企業に対して厳格なデータ管理義務を課すとともに、個人の権利を強化する枠組みです。EU域内のみならず、EU域外企業にも適用され、グローバルなデータ規制の基準となっています。
日EU間のデータ移転(十分性認定)
EUと日本の間では、個人データの円滑な移転を可能とする枠組みが構築されています。
・2019年にEUの執行機関である欧州委員会は日本に対し十分性認定(Adequacy Decision)を付与
・GDPR第45条に基づき、
→EUから日本への個人データ移転は追加的措置なしで原則可能に
これは、EUによる第三国への初の相互認証型の十分性認定であり、 日本にとっても双方向のデータ流通が制度的に確保された初のケースです。企業にとってデータ移転コストや法的リスクが相対的に低い環境が整備されています。
最新動向:デジタル・オムニバス法案(2025年11月提案)
2025年11月、欧州委員会はデジタル分野の規制簡素化パッケージ(Digital Omnibus)を提案しました。この中にはGDPRに関連する見直しも含まれています。今後は、欧州議会およびEU理事会における審議が進められる予定であり、最終的な制度設計は現時点では未確定です。その動向を注視する必要があります。
① サイバーインシデント報告の一本化
オムニバスでは、企業が複数の制度に基づいて行っているインシデント報告について、単一の窓口(single-entry point)を導入することが提案されています。
現在、企業は以下のような複数の法制度に基づき報告義務を負っています:
・NIS2指令
・GDPR
・DORA(デジタル・オペレーショナル・レジリエンス法)
この単一窓口は、高度なセキュリティ保護措置のもとで構築され、信頼性と有効性を確保するための包括的なテストが実施される予定です。
② イノベーション志向のプライバシー枠組み
GDPRについては、対象を限定した改正により、ルールの調和・明確化・簡素化が図られる予定です。これにより、イノベーションの促進 ・企業によるコンプライアンス対応の円滑化 が期待されています。なお、こうした見直しは、GDPRの中核(高水準の個人データ保護)を維持したまま行われるとされています。
日本企業への実務影響
・規制対応
GDPRは引き続きグローバル標準規制であり、EU向けビジネスにおいては対応が不可欠です。
・日EU関係のメリット
日本は十分性認定国であるため、データ移転に関する追加的な法的措置が不要であり、実務上の優位性があります。
・今後の変化
規制の方向性は「強化」から「最適化」へとシフトしつつあり、特に報告義務などの手続面での簡素化が進む見込みです。ただし、規制の本質的枠組みは維持されます。
◆ サイバー・レジリエンス法(Cyber Resilience Act)
・発効:2024年12月10日
・適用開始:2027年12月11日(主要義務)
・報告義務:2026年9月11日〜
概要
Cyber Resilience Act(CRA)は、デジタル要素を含む製品(ハードウェアおよびソフトウェア)のサイバーセキュリティを確保するEU規則です。製品の設計から上市後の維持管理まで、ライフサイクル全体にわたりセキュリティ要件を課し、不十分なセキュリティ水準やアップデート不足といった課題に対応します。
適用対象
CRAの対象となるデジタル要素を含む製品とは、2027年12月11日以降に欧州市場で販売されるコネクテッド製品です。対象には、スマートフォンやアプリ等の最終製品に加え、チップやOSなどの構成要素も含まれます。
製造者の主な義務
① 上市前
・リスク評価の実施
・サイバーセキュリティ要件への適合設計
・技術文書の作成および適合性評価
② 上市時
・CEマーキングおよび適合宣言の付与
・サポート期間および使用情報の提示
③ 上市後
・脆弱性管理および修正対応
・重大インシデントおよび悪用された脆弱性の報告
サイバーセキュリティ要件
CRAは「security by design」「security by default」を原則とし、以下を求めます:
・アクセス制御および暗号技術の適切な実装
・安全な初期設定
・自動アップデート機能
・想定使用期間中の継続的な保守
適合性評価・執行
一部製品については第三者評価が必要となります。製品はCEマーキングにより適合を示し、加盟国当局が市場監視を行います。
標準化(Standardisation)
CRAの実施にあたり、技術標準は重要な役割を果たします。整合規格(harmonised standards)に適合する製品は、CRAの必須要件に適合していると推定されます。これらの規格は、サイバーセキュリティ要件を具体的な技術仕様に落とし込むものです。欧州委員会は標準化要請(M/606)を採択しており、横断的(horizontal)および製品(vertical)規格を通じて、製造者による適合対応を支援します。
報告義務(Reporting obligations)
2026年9月11日以降、製造者は、製品のセキュリティに影響を与える重大インシデントおよび悪用された脆弱性を報告する義務を負います。
主な要件は以下のとおりです:
・認識から24時間以内に初期報告
・72時間以内に詳細報告
・是正措置後14日以内(または重大インシデントの場合は1か月以内)に最終報告
報告は単一報告プラットフォーム(CRA Single Reporting Platform)を通じて行われ、各国CSIRTおよびENISAに共有されます。
適合性評価(Conformity assessment)
多くの製品は製造者による自己評価が可能ですが、サイバーセキュリティ上重要な製品については、第三者機関(notified body)による評価が求められる場合があります。
製品は以下のカテゴリーに分類されます:
・通常製品(Default category of products):自己評価
・重要製品(Important products):条件により第三者評価
・重要度の高い製品(Critical products ):第三者評価が必須
適合性評価機関は加盟国により指定・監督され、認定された機関は欧州委員会のNANDOデータベースに掲載されます。
企業への影響
CRAの適用により、デジタル要素を含む製品を欧州市場で取り扱う企業においては、製品の開発・供給・運用に関する体制の見直しが求められる可能性があります。本規則への適合は市場投入の前提条件となるため、各企業においては適用開始時期を見据えた準備が重要となります。特に、開発期間の長い製品については、設計段階から要件への対応を検討していく必要があります。
また、製品の構成要素や供給網に関する情報管理や、関係事業者との連携のあり方についても、一定の影響が想定されます。さらに、製品の運用段階においては、脆弱性対応やインシデント報告への対応を含め、関係部門間での連携体制の整備が求められる場面も想定されます。
日本企業への留意点
CRAの具体的な運用については、今後の制度整備の進展に伴い明確化されていく事項も含まれています。特に、報告義務の運用方法や関連する仕組みについては、引き続き動向を注視していくことが重要と考えられます。
また、サイバーセキュリティやデジタル分野に関連する他のEU法令との関係についても、今後の制度間の調整や整合が進む可能性があります。こうした状況を踏まえ、各企業においては、現時点で公表されている情報や規則の内容を基に、組織体制、業務プロセス、技術的対応といった複数の観点から、自社の状況に応じた対応の方向性を検討していくことが一つの参考となります。
関連リンク:
◆ 外国補助金規則(Foreign Subsidies Regulation)
・発効:2023年1月
・適用開始:2023年7月
概要
Foreign Subsidies Regulation(FSR)は、EU域外の政府による補助金がEU単一市場に与える歪みを是正するための規則です。
近年、第三国からの補助金が、企業買収や公共調達への参加において受給企業に競争上の優位性を与え、公正な競争環境に影響を及ぼす可能性が指摘されてきました。FSRは、こうした状況に対応するための新たな枠組みを導入し、従来十分に規制されてこなかった外国補助金に対して、EUとして対応する手段を整備するものです。これにより、EUは開放性を維持しつつ、単一市場における公平な競争条件の確保を図ることを目的としています。
執行体制
FSRの執行は欧州委員会が一元的に担います。具体的には、以下の総局がそれぞれの分野を所管しています:
・競争総局(Directorate General for Competition: DG COMP)
→企業結合(M&A)や、公共調達以外の分野における外国補助金の影響に関する調査・執行を担当
・成長総局(European Commission Directorate-General for Internal Market, Industry, Entrepreneurship and SMEs: DG GROW)
→公共調達における外国補助金の影響に関する審査・執行を担当
両総局による手続はそれぞれ独立して実施されます。
ポイント
・外国補助金による市場歪曲への対応を目的とした新たな規制枠組み
・企業結合および公共調達を中心に審査・介入が可能
・EU域内企業に適用される国家補助規制とのギャップを補完
日本企業への示唆
EU域内での公共調達への参加や企業結合を検討する日本企業においては、FSRへの対応の観点から、EU域外から受領した資金的貢献に関する情報の整理・把握が重要となります。具体的には、当該資金の提供主体、金額、条件、受領主体(グループ内のどの法人か)、および対象事業との関係性等について整理しておくことが考えられます。これらの情報は、当該取引や入札がEU市場に与える影響の評価に用いられる可能性があり、案件ごとに提出や説明が求められる場面も想定されます。また、FSRの枠組みにおいては、一定期間遡った資金的支援も評価対象となり得るため、過去の受領分を含めた情報の把握が必要となる場合があります。
ガイドラインの公表(2026年1月)
2026年1月、欧州委員会は、企業のビジネス活動にとっての予見可能性の向上および透明性の確保を目的として、外国補助金規則(FSR)のガイドラインを公表しました。EU域内での投資や公共調達への参加を検討する日本企業にとっては、外国補助金がどのように評価されるかに関する具体的な枠組みが示された点で、制度理解の参考となる内容が含まれています。
■ 競争歪曲の評価(第4条)
欧州委員会は、外国補助金の受領が確認された場合、当該補助金が企業の競争上の地位を強化しているかを検討した上で、それが市場における競争や事業者の行動にどのような影響を及ぼすかを段階的に評価します。EU域外向けの補助金についても、EU域内事業への影響(いわゆるクロス補助)の可能性が考慮されます。
■ 公共調達における評価(第27条)
公共調達への参加において、外国補助金が入札条件に影響している可能性がある場合、入札内容が他の入札や発注者の見積りと比較して過度に有利であるかが検討されます。その上で、当該優位性が外国補助金に起因するものか、その他の要因によるものかが分析されます。
■ バランシングテスト(第6条)
外国補助金による競争への負の影響と、当該補助金によって生じ得る正の効果とが比較衡量されます。正の効果が負の影響を上回る場合には介入が行われない一方、そうでない場合には是正措置やコミットメントの受入れが検討されます。
■ コールイン制度の運用(第21条・第29条)
一定の条件の下で、通常は届出対象とならない企業結合や公共調達案件についても、欧州委員会が事前通知を求めることが可能とされています。特に、過去数年間における外国補助金の付与状況や、競争への影響の可能性等が考慮されます。
関連リンク:
Foreign Subsidies Regulation (Regulation (EU) 2022/2560, 欧州議会およびEU理事会により採択されたEU規則)
◆ デジタル市場法(Digital Markets Act)
・発効:2022年11月
・適用開始:2023年5月
※詳細は近日更新予定
◆ データ法(Data Act)
・発効:2024年1月
・適用開始:2025年9月
※詳細は近日更新予定
◆ データ・ガバナンス法(DGA)
・発効:2022年
・適用開始:2023年9月
※詳細は近日更新予定
免責事項
日欧産業協力センターは、本ウェブページで紹介されている募集や提案には一切関与しておらず、これらに関連して提出された質問や申し出の受付・処理も行っておりません。
本ウェブページの内容は、一般的な情報提供および非商業的な目的のみに限り利用可能です。また、その内容について、網羅性や最新性を保証するものではなく、法的またはその他の助言を提供することを目的としたものではありません。本ウェブページの内容に基づいて行動される場合には、必ず適切な資格を有する専門家の助言を受けていただくようお願いいたします。
なお、本ウェブページに掲載されている募集や提案以外の「欧州投資ハブ」に関するお問い合わせにつきましては、以下の担当メールアドレスまでご連絡ください。