株式会社TIMEWELLの濱本 隆太です。
2025年1月6日、Justin Trudeau 首相が辞任を表明し、カナダ議会は prorogation(議会停会) に入りました。その瞬間、Bill C-27 という法案は order paper から自動的に落ち、その中身だった AIDA(Artificial Intelligence and Data Act)も一緒に死にました。
あれから1年4か月。Innovation, Science and Industry の大臣は Evan Solomon に交代し、「light, tight, right」という新スローガンが掲げられました。けれども肝心の 後継法案は2026年5月時点で出ていません。世界中で AI 規制が動く中、カナダだけが「連邦レベルの規制空白」を続けています。
この空白をどう読むか。そしてその間に、オンタリオやケベックの州法がどう動いているか。日本企業のカナダ展開戦略を考えるうえで、避けて通れない論点を整理します。
要約
- AIDA は2025年1月のParliament prorogationで Bill C-27 と一緒に廃案。2026年5月時点で後継法案は未提出
- 新大臣 Evan Solomon は「light, tight, right」アプローチ。元の AIDA は復活させない方針
- Voluntary Code of Conduct は約40社のみ署名、拘束力なし
- 州レベル:Ontario Bill 194(公共セクターAI、2025年7月施行)と Quebec Law 25(民間プライバシー+ADM)が穴を埋める
- 日本企業の戦略は「州別パッチワーク対応 + PIPEDA」が基本。連邦法待ちは長期化
AIDA が死んだ朝 ─ Bill C-27 廃案の経緯
AIDA がどうやって死んだか。まずこの時系列を正確に追います[^1]。
| 時期 | 出来事 |
|---|---|
| 2022年6月 | Bill C-27 上程(CPPA + PIDPTA + AIDA の3点セット) |
| 2023年11月 | 政府が大幅修正案を提示(批判への応答) |
| 2024年通年 | 下院 Industry, Science and Technology 委員会で審議継続、修正と再修正の応酬 |
| 2025年1月6日 | Trudeau首相辞任、Parliament prorogation で Bill C-27 廃案 |
| 2025年6月 | Evan Solomon が新 Innovation 大臣に就任、「AIDA は元の形では戻らない」と表明 |
| 2026年5月時点 | 後継法案未提出 |
Bill C-27 は3つの法律をまとめた巨大法案でした。
- Consumer Privacy Protection Act (CPPA):PIPEDAの後継、罰則大幅強化
- Personal Information and Data Protection Tribunal Act (PIDPTA):プライバシー専門審判機関の設置
- Artificial Intelligence and Data Act (AIDA):AI規制の連邦法
3点セットだったことが、結果的に AIDA の足を引っ張りました。「プライバシー法の更新は急ぐが、AI 法には慎重に」という業界の声を、政府は一本化された法案では受け止めきれなかったのです。Schwartz Reisman Institute の分析も、AIDA の独立法案化が早期にできなかったことを、廃案の最大の遠因 だと指摘しています[^2]。
私はこの経緯を、「拙速な統合の代償」 として日本企業の AI ガバナンス担当者に紹介しています。複数の法的論点をひとつの法案にまとめると、議論が拡散し、誰も納得しないまま自然消滅する——これは AIDA 固有ではなく、規制立法の普遍的なパターンです。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
light, tight, right ─ 新スローガンが意味するもの
2025年6月、Evan Solomon が Innovation, Science and Industry 大臣に就任して以来、繰り返し使われているのが 「light, tight, right」 というスローガンです。表面的には3つの形容詞が並んだだけのキャッチコピーですが、含意を解読すると次のようになります[^3]。
- light(軽い):イノベーション阻害しない規制の軽さ
- tight(厳格):現実的なリスクには絞り込んで対応
- right(適切):カナダ経済規模に適切なサイズ
これは EU AI Act(heavy = 包括)、米国連邦(chaotic = 混乱)、中国(heavy + state-led)に対する、カナダ独自のポジション宣言です。私はこの3語の中で最も重要なのは 「right-sized」 の発想だと感じています。
カナダの GDP は約2兆ドル、人口4,000万人弱。EU の20%以下です。AIDA の元案は EU AI Act を強く意識した包括法でしたが、これは率直に言って カナダ経済の規模に合わなかった のだと、Solomon 大臣は理解しているようです。
新法案の方向性は2026年5月時点で正式公表されていませんが、複数の論者が予想しているのは次のような形です。
- 既存 PIPEDA / CPPA に AI 条項を組み込む:独立法ではなく、プライバシー法の改正で対応
- セクター別ガイダンス:金融、医療、雇用などのセクター別に Office of the Privacy Commissioner が指針を出す
- 国際標準への参照:ISO/IEC 42001 や NIST AI RMF へのリンクを法律で明示
英国の Regulating for Growth Bill とよく似た、「既存規制機関の調整+セクター指針」 モデルになる可能性が高い、というのが私の見立てです。これは 英国DUA Act 第80条とAI Growth Lab でも触れた、英米法系コモンロー国家に共通する規制スタイルです。
Ontario Bill 194 ─ 公共セクター AI に絞った先行モデル
連邦が動かない間、州レベルでは動きが続いています。最も注目すべきは Ontario Bill 194(Strengthening Cyber Security and Building Trust in the Public Sector Act, 2024)です[^4]。
2024年11月にRoyal Assent、2025年7月1日に必須PIA(プライバシー影響評価)とデータ漏洩通知義務が施行。この法律は公共セクターのみ を対象にした点が特徴です。州政府機関、教育機関、医療機関——これら州管轄の公的組織が対象で、民間企業は対象外。
中核は2層構造です。
- FIPPA(Freedom of Information and Protection of Privacy Act)改正:必須PIA、漏洩通知、「real risk of significant harm」基準(PIPEDA 由来)の導入
- Enhancing Digital Security and Trust Act 2024(新設):サイバーセキュリティとAI利用の規律
AI 関連の規定は新法のほうに集約されています。公共セクター機関がAIシステムを利用する場合、
- 透明性報告(AI利用の公開)
- リスクアセスメント
- 監督担当者の指名
- 監査記録の保持
を義務化。Ontario Information and Privacy Commissioner(IPC)がこれを「先進的だが、民間に広げる勇気が足りない」と評価しているのは興味深い点です[^5]。同じカナダ国内で、公共セクター AI には先進的なルール、民間 AI には Voluntary Code of Conduct のみ、という非対称が生じています。
日本企業の視点から見ると、オンタリオ州政府機関・公的医療機関・教育機関への AI ソリューション販売を計画している場合、Bill 194 対応が必須です。とくに PIA テンプレート の準備と、漏洩72時間通知体制 の整備は、契約交渉の早い段階で求められます。
Quebec Law 25 ─ 自動意思決定への通知義務
ケベック州の Law 25(2021年成立、2022〜2024年段階施行)は、カナダで唯一の GDPR的な包括的プライバシー法 です。AI 規制という看板は掲げていませんが、自動意思決定技術(ADM)への通知義務 を含んでいる点で、実質的な AI 規制として機能しています。
Law 25 が ADM について課す義務は次の3点です。
- AIによる自動意思決定が行われる場合、事前通知 が必要
- 個人情報の利用、決定の主要な要因について 説明義務
- データ主体は 人間レビュー を請求できる
これは英国 DUA Act 第80条の Articles 22A-D とほぼ同じ構造です。英国が2026年2月に施行したばかりのルールを、ケベックは 2024年から段階的に施行している ことになります。
罰則は厳しく、違反企業に対して 2,500万カナダドル または前年度全世界売上高の4% のいずれか高い方が課されます[^6]。これは GDPR の制裁体系を踏襲したもので、カナダ国内では飛び抜けて厳しい数字です。
日本企業がケベック市場で AI サービスを展開する場合、Law 25 対応は当然の前提です。特に注意すべきは、ケベック州民の個人情報を扱う以上、本社が他州・他国にあっても適用される という域外適用条項。Toronto やバンクーバーに拠点を置いていても、モントリオールのユーザーに AI サービスを提供すれば Law 25 が及びます。
Voluntary Code of Conduct の限界と日本企業の戦略
連邦の規制空白を埋めるはずの Voluntary Code of Conduct on the Responsible Development and Management of Advanced Generative AI Systems は、2023年9月に François-Philippe Champagne 前大臣が公表したものです[^7]。署名企業は2026年5月時点で 約40社——Cohere、OpenText、BlackBerry など、カナダ系AI企業を中心に並んでいます。
率直に言って、このCode は機能していません。理由は3つです。
- 拘束力ゼロ:違反しても法的制裁なし
- テスト・監査責任が開発者・運用者に偏る:第三者監査の規定なし
- ユーザー教育の規定なし:エンドユーザーが何を判断材料にすべきか不明
Schwartz Reisman Institute が指摘するように、Voluntary Code は 「AIDA 待ち」の暫定措置として設計された ものです[^8]。本命の AIDA が死んだ今、暫定措置だけが残ってしまった、というのが正確な現状認識です。
日本企業のカナダ進出戦略として私が推奨しているのは、「Voluntary Code に署名するかどうかは経営判断、ただしそれを compliance の中核に置かない」 という整理です。Voluntary Code への署名はマーケティング上の意味(カナダ系顧客への信頼アピール)はありますが、法的なコンプライアンス基盤は PIPEDA と州法に置く べきです。
カナダ進出時の AI ガバナンス設計 ─ WARP SECURITYの活用
カナダ向けの AI ガバナンス設計は、「3つの非対称」 を読み解く作業です。第一に 連邦と州の非対称:連邦は空白、州は前進中。第二に 公共と民間の非対称:オンタリオの公共セクターには Bill 194、民間には Voluntary Code のみ。第三に 州ごとの非対称:ケベックは GDPR 的、オンタリオは公共セクター集中、他州は実質ノールール。
TIMEWELLの WARP SECURITY では、この3つの非対称を 「進出シナリオ別の優先順位マップ」 として、日本企業のカナダ展開チームと一緒に設計するワークショップを用意しています。
たとえば医療AI企業が「トロント中央病院(公共)とモントリオールのプライベートクリニック(民間)の両方に売る」シナリオを持ち込んだ場合、Bill 194 のPIA テンプレートと、Law 25 の ADM 通知テンプレートを、同じ製品の 別バージョン として整備する必要があります。製品自体は同じでも、契約書とコンプラ書類は2セット必要——この事実を経営層が早期に把握しているかどうかで、商機の取りこぼし方が大きく変わります。
カナダのフラグメンテーションは、米国の50州パッチワークほど派手ではありませんが、「カナダだから一律でいける」と思っていると確実につまずく 程度には複雑です。WARP SECURITY のワークショップでは、進出予定の州別に「対応必要なレギュレーション」「準備すべき書類」「タイムライン」を1枚のマトリクスに落とし、経営層が判断できる粒度にまで整理します。
連邦法待ちで足踏みする選択肢もありますが、私はそれを推奨しません。新法案は早くて2026年後半、現実的には2027年以降。それまでに州別の整備を進めた企業のほうが、連邦法成立時の対応もスムーズになります。
まとめ
- AIDA は2025年1月のparliament prorogationで死亡。後継法案は2026年5月時点で未提出
- 新大臣 Solomon の「light, tight, right」は、EU・米国・中国のいずれとも異なる位置取り
- 連邦の空白を、Ontario Bill 194(公共セクター)と Quebec Law 25(民間ADM)が部分的に埋める
- Voluntary Code of Conduct は拘束力なし、約40社のみ署名で機能不全
- 日本企業の戦略は「州別パッチワーク対応 + PIPEDA」で当面進めるべき
カナダの規制空白は、政治的な事故(Trudeau辞任)と経済合理性(カナダ経済規模に合わない大規模法案)が重なった結果です。「光、厳格、適切」というスローガンは響きが良いですが、スローガンと法案は別物 という当たり前の現実を、日本企業のカナダ進出担当者は冷静に見ておく必要があります。
私が興味深く観察しているのは、AIDA の失敗から英国の Regulating for Growth Bill が学んだように見えること。「包括法を一気に作らない、既存法を改正して継ぎ足す」という方向に、英米法系国家のAI規制が収斂しつつあります。カナダの新法案も、おそらくこの系譜に並ぶでしょう。
合わせて読みたい:英国DUA Act 第80条とAI Growth Lab、米国連邦AI政策2026、EU AI Act と Digital Omnibus。
参考文献
[^1]: The Demise of AIDA: 5 Key Lessons - McInnes Cooper [^2]: What's Next After AIDA? - Schwartz Reisman Institute [^3]: 'We cannot be left behind:' How Canada is balancing AI regulation, innovation - IAPP [^4]: New Ontario Bill 194 to Regulate Public-Sector Use of Artificial Intelligence Systems - Blakes [^5]: Bill 194: Ontario's missed opportunity to lead on AI - Information and Privacy Commissioner of Ontario [^6]: Global AI Governance Law and Policy: Canada - IAPP [^7]: Voluntary Code of Conduct on the Responsible Development and Management of Advanced Generative AI Systems - ISED Canada [^8]: Uncovering gaps in Canada's Voluntary Code of Conduct for generative AI - Schwartz Reisman Institute