株式会社TIMEWELLの濱本です。今日はテック関連のサービス紹介ではなく、少し視点を変えて、グローバルビジネスの勘所についてお話しします。テーマは欧州、つまりEU市場への製品輸出にまつわる規制です。
正直なところ、欧州の規制環境はここ数年で劇的に変わりました。私自身、クライアント企業の海外展開を支援する中で「EUの規制が多すぎて、何から手をつければいいか分からない」という声を繰り返し耳にしています。輸出管理、GDPR、サイバーセキュリティ、CEマーキング、炭素関税。名前を並べるだけで息が切れそうですが、2026年はこれらの規制が同時多発的に動く、まさに転換点の年です。
この記事では、日本企業が欧州へ製品を輸出する際に避けて通れない主要規制を、2026年2月時点の最新情報に基づいて整理しました。全体像をつかむことで、自社にとって優先度の高い領域が見えてくるはずです。
1. 輸出管理 ── リスト規制とキャッチオール規制
国際的な安全保障の維持を目的として、EUは軍事転用が可能な民生品や技術、いわゆるデュアルユース品の輸出を厳しく管理しています。日本にも外為法に基づく輸出管理制度がありますが、EU独自の規制体系を理解しておかないと、思わぬところで足をすくわれます。
デュアルユース規則と2025年の大幅改訂
EUの輸出管理の土台となるのが、デュアルユース規則(Regulation (EU) 2021/821)です。規制対象品目は附属書I(EU管理リスト)に列挙されており、ここに該当する貨物や技術を輸出するには許可が必要になります。これがいわゆるリスト規制です。
2025年11月15日に施行された最新の管理リストは、近年で最も大規模な改訂でした。量子技術、半導体製造装置、高性能集積回路といった先端技術が軒並み追加されています。
| 分野 | 追加された主な品目 |
|---|---|
| 量子技術 | 量子コンピュータ本体、極低温電子機器、パラメトリック信号増幅器、極低温冷却システムなど |
| 半導体製造 | 原子層堆積装置、先端リソグラフィ装置、EUVペリクル、走査型電子顕微鏡装置、エッチング装置 |
| 高性能電子機器 | FPLDなど特定の先端コンピューティングデバイス |
| 先端材料 | 高温コーティング、金属3Dプリンティング用の高エントロピー合金粉末や耐火金属粉末 |
| バイオ関連 | 高純度ペプチド合成装置(バイオセキュリティ上の懸念から追加) |
この改訂はワッセナー・アレンジメント2024の合意内容を反映したもので、米国や英国の規制強化とも歩調を合わせています。自社製品が新たにリストに該当しないか、分類の再確認が必要です。
キャッチオール規制の実務的インパクト
リストに載っていなければ安心、というわけではありません。キャッチオール規制は、リスト非掲載品であっても用途や需要者次第で許可を求める仕組みです。
EUのデュアルユース規則では、大きく二つのキャッチオールが定められています。一つは第4条の軍事最終用途キャッチオールで、武器禁輸対象国への輸出で軍事転用リスクがある場合に適用されます。もう一つは第5条のサイバー監視キャッチオールで、2021年の規則改正で新設されました。
第5条は、リスト非掲載のサイバー監視技術が「内乱の鎮圧」や「重大な人権侵害」に使われる恐れがある場合、輸出者自身がそのリスクを認識した時点で当局への通知義務が発生するという内容です。2024年10月に欧州委員会が公表したガイドラインでは、輸出者のデューデリジェンス責任がより具体的に示されました。顔認識技術やディープパケットインスペクション技術など、民生用途と監視用途の境界が曖昧な製品を扱う企業は、この規定を他人事と思わないほうがいいでしょう。
余談ですが、2026年1月に公表された欧州議会の調査報告書では、紛争地域へのデュアルユース品貿易に対するEUの管理体制が不十分だと指摘されています。今後、執行がさらに厳格化する可能性は高いと私は見ています。
2. サイバーセキュリティ ── 製品を売るなら避けて通れない新法
2026年のEU規制で最もインパクトが大きいのは、間違いなくサイバーセキュリティ分野です。これまでメーカーの自主努力に委ねられていた製品のセキュリティ対策が、法的義務に変わります。
サイバーレジリエンス法(CRA)
2024年12月に発効したサイバーレジリエンス法(Cyber Resilience Act)は、EU市場で販売されるデジタル要素を持つ製品の全てに、設計段階から廃棄までのサイバーセキュリティ対策を義務付ける法律です。スマート家電、産業用IoT機器、ソフトウェア、組み込み部品まで、対象は驚くほど広い。
2026年の重要日程を整理します。
| 時期 | 内容 |
|---|---|
| 2026年6月11日 | 適合性評価機関(認証機関)の通知枠組みが適用開始 |
| 2026年9月11日 | メーカーの脆弱性およびインシデント報告義務が適用開始 |
| 2026年第3四半期 | 最初の整合規格(ハーモナイズド・スタンダード)の完成見込み |
| 2026年12月11日 | 認証機関の運用開始目標 |
| 2027年12月11日 | CRAの完全適用(全製品要件の強制) |
特に注意が必要なのは、2026年9月11日から始まる報告義務です。自社製品で悪用されている脆弱性や深刻なインシデントを検知した場合、24時間以内にENISA(欧州ネットワーク情報セキュリティ機関)へ早期警告を出し、72時間以内に詳細通知、その後14日以内にフォローアップ報告を提出しなければなりません。しかもこの義務は、EU市場に既に流通しているレガシー製品にも適用されます。今すぐ対応体制を構築する必要があるということです。
違反時の制裁金は全世界売上の最大2.5%、または1,500万ユーロのいずれか高い方。GDPRに匹敵する水準であり、経営レベルで認識すべきリスクです。
NIS2指令とサプライチェーンへの波及
NIS2指令は、エネルギー、運輸、金融、医療、デジタルインフラなど18の重要セクターに属する事業者のサイバーセキュリティ対策を強化する指令です。各加盟国は2024年10月までに国内法化する義務がありましたが、実際には多くの国で遅延が発生し、欧州委員会は2025年5月に19カ国に対して理由付き意見書を送付しました。ドイツが2025年12月にようやく国内法を採択するなど、2026年にかけて各国の法整備が進んでいる最中です。
直接の規制対象はEU域内の事業者ですが、日本企業にとっても無関係ではありません。NIS2の対象事業者は、自社のサプライチェーン全体のセキュリティを管理する義務を負います。EU企業に部品やサービスを供給している日本企業は、取引先からNIS2水準のセキュリティ対応を契約条件として求められるケースが確実に増えます。
3. GDPR ── 執行はさらに厳しくなる
GDPRについては今さら説明不要かもしれませんが、2026年の動向は押さえておくべきです。
2025年の制裁金総額は約12億ユーロに達しました。アイルランドのデータ保護委員会がTikTokに対して5億3,000万ユーロの制裁金を課した事例は記憶に新しいところです。1日あたりの平均データ侵害通知件数は443件で、前年比22%増。執行の手は緩むどころか、年々強まっています。
2026年の注目ポイントは二つあります。一つは、欧州データ保護会議(EDPB)が2026年の協調執行テーマとして「透明性」を掲げたこと。GDPR第12条から第14条が定める情報提供義務、要するにプライバシーポリシーの内容と分かりやすさが、EU全体で重点的に調査されます。形式的なプライバシーポリシーを置いているだけでは通用しない時代に入りました。
もう一つは、2026年1月1日に発効したGDPR手続規則です。監督当局間の協力手続きを効率化するもので、2027年4月から新規の越境案件に適用されます。調査のスピードが上がることで、企業が対応に使える時間は短くなると考えたほうがいいでしょう。
ところで、欧州委員会はDigital Omnibus Packageの中で、GDPRの「個人データ」の定義を明確化し、仮名化データを一定条件下で匿名データとして扱えるようにする改正を提案しています。AI開発との両立を図る動きですが、これが実現するのは早くても2027年以降になりそうです。
4. 製品安全と環境規制 ── CEマーキングから炭素関税まで
EU市場に製品を投入するための伝統的な関門であるCEマーキングや環境規制も、大きく変わりつつあります。
CEマーキングの進化
CEマークはEUの安全、健康、環境保護基準への適合を示すもので、これなしにEU市場で製品を販売することはできません。2025年11月、欧州委員会はCEマーキングの基盤となるNew Legislative Frameworkの改正に向けた意見募集を開始しました。技術の急速な進展と環境目標への対応が背景にあります。
具体的な変化として、2027年1月20日から適用される新機械規則(Regulation (EU) 2023/1230)があります。従来の機械指令を置き換えるこの規則は、AI搭載機械への対応やサイバーセキュリティリスクの評価を新たに求めています。デジタル形式の取扱説明書も認められるようになりますが、安全に関する情報は引き続き紙での提供が必要です。CRAとの連動により、2027年以降はCEマーキングがサイバーセキュリティ適合の証明としても機能することになります。
RoHS指令とREACH規則
電気電子機器中の有害物質を制限するRoHS指令と、化学物質を包括的に管理するREACH規則は、欧州輸出の基本中の基本です。
2025年のEU市場監視で、調査対象の電子製品の約半数がRoHS不適合だったという報告は衝撃的でした。サプライチェーンが複雑化する中、部品レベルでの化学物質管理が追いついていない実態が浮き彫りになっています。2026年7月1日にはRoHS指令の鉛関連免除条項が改定されるため、該当製品を扱う企業は対応が必要です。
REACH規則では、SVHC(高懸念物質)候補リストが2025年に251物質まで拡大しました。製品中のSVHC含有率が0.1重量%を超える場合、顧客への情報提供義務が生じます。サプライヤーからの正確なデータ取得と、それを検証できる体制の構築が欠かせません。
CBAM ── 事実上の炭素関税が始動
2026年で最も大きなニュースの一つが、CBAM(炭素国境調整メカニズム)の本格施行です。2026年1月1日、3年間の移行期間(報告義務のみ)が終了し、金銭的負担を伴う本格運用が始まりました。
CBAMの仕組みはシンプルです。EU域外から対象製品を輸入する際、その製造過程で排出されたCO2量に応じて、EU-ETSの炭素価格に連動したCBAM証書を購入しなければなりません。現在の対象品目は鉄鋼、アルミニウム、セメント、肥料、水素、電力の6カテゴリです。
| 項目 | 内容 |
|---|---|
| 本格施行日 | 2026年1月1日 |
| 対象品目 | 鉄鋼、アルミニウム、セメント、肥料、水素、電力 |
| 義務内容 | 内包炭素排出量の報告とCBAM証書の購入、提出 |
| デミニマス | 年間50トン以下の輸入は免除(輸入者の約90%が該当、排出量の約99%はカバー) |
| 拡大予定 | 鉄鋼やアルミ含有率の高い下流製品180品目を2028年から追加する提案あり |
欧州委員会は、産業用ロボット、家庭用洗濯機、冷蔵庫、自動車部品など180の下流製品への拡大を提案しています。これが実現すれば、製造業への影響は格段に広がります。自社の輸出品目がCBAMの対象になるかどうか、今のうちに確認しておくことを強くお勧めします。
規制の全体像を俯瞰する
ここまで個別に見てきた規制を、時系列で整理します。
| 時期 | 規制 | 内容 |
|---|---|---|
| 2025年11月 | デュアルユース管理リスト | 改訂版施行。量子、半導体等の先端技術を追加 |
| 2026年1月 | CBAM | 本格施行。CBAM証書の購入義務開始 |
| 2026年1月 | GDPR手続規則 | 発効(適用は2027年4月) |
| 2026年7月 | RoHS指令 | 鉛関連免除条項の改定発効 |
| 2026年9月 | CRA | 脆弱性およびインシデント報告義務の適用開始 |
| 2027年1月 | 新機械規則 | 強制適用開始。AI、サイバーセキュリティ対応を含む |
| 2027年12月 | CRA | 完全適用。全製品要件の強制 |
これらの規制は独立して存在しているわけではなく、互いに連動しています。CRAのセキュリティ要件は新機械規則のCEマーキング条件と重なり、CBAMの炭素排出データは企業のサステナビリティ報告(CSRD)とも接続していきます。
個々の規制に場当たり的に対応するのではなく、設計や開発の段階からコンプライアンスを組み込む発想が求められている。コストはかかりますが、EUの高い基準をクリアした製品は、他の市場でも信頼を得やすい。規制対応を競争力に転換できるかどうかが、欧州ビジネスの成否を分けると私は考えています。
EX-CHECKで輸出管理の負荷を軽減する
EU向けの輸出管理、とりわけデュアルユース品の該非判定やキャッチオール規制への対応は、人手で対応し続けるには限界があります。私たちTIMEWELLが開発したZEROCK EX-CHECKは、AIエージェントが取引先の懸念度を5秒で可視化し、マルチLLM合議によるクロスチェックで精度95%以上を実現しています。
各社独自のファイル形式にもAIが柔軟に対応するため、既存の業務フローを変えずに導入可能です。EU規制への対応を効率化したい方は、無料デモから始めてみてください。
参考文献
- Cooley. (2025, December 5). EU Issues 2025 Update to Dual-Use Control List. https://www.cooley.com/news/insight/2025/2025-12-05-eu--issues-2025-update-to-dual-use-control-list
- SIPRI. (2024, October 18). Making the most of the EU catch-all control on cyber-surveillance exports. https://www.sipri.org/commentary/topical-backgrounder/2024/making-most-eu-catch-all-control-cyber-surveillance-exports
- Hogan Lovells. (2026, January 20). EU Cyber Resilience Act: Key 2026 milestones toward CRA compliance. https://www.hoganlovells.com/en/publications/eu-cyber-resilience-act-getting-ready-for-cra-compliance-in-2026
- Inside Privacy / Covington. (2026, January 27). What to Watch in 2026: Key EU Privacy & Cybersecurity Developments. https://www.insideprivacy.com/european-union-2/what-to-watch-in-2026-key-eu-privacy-cybersecurity-developments/
- DLA Piper. (2026, January 21). DLA Piper GDPR Fines and Data Breach Survey: January 2026. https://www.dlapiper.com/en/insights/publications/2026/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2026
- PEMA. (2025, December 16). Review of Machinery Regulation EU 2023/1230. https://www.pema.org/wp-content/uploads/2025/12/PEMA-IP32-Review-of-Machinery-Regulation-EU-20231230.pdf
- Certivo. (2025, November 15). RoHS and REACH Compliance: Lessons from 2025 and Action Steps for 2026. https://www.certivo.com/blog-details/rohs-and-reach-compliance-lessons-from-2025-and-action-steps-for-2026
- Akin. (2025, December 22). EU Carbon Border Adjustment Mechanism: Financial Obligations Commence Amid Proposed Scope Expansion. https://www.akingump.com/en/insights/alerts/eu-carbon-border-adjustment-mechanism-financial-obligations-commence-amid-proposed-scope-expansion-to-include-new-downstream-products