DMAとGDPRの法的関係性について

2025年10月09日、欧州委員会と欧州データ保護会議(EDPB)は、デジタル市場法(DMA)と個人データ処理・移動に関する自然人保護規則(一般データ保護規則GDPR)の関係性に関するガイドライン案を公表し、意見募集を開始しました。このガイドラインは、両規則の交差点における企業の遵守方法を明確化することを目的としています。

背景

■　欧州連合(EU)では、デジタル市場法(DMA)と個人データ処理・移動に関する自然人保護規則(一般データ保護規則GDPR)の双方が、デジタル経済における公正な競争と個人データの保護を担う重要な法制度として機能しています。

■　DMAは巨大プラットフォーム事業者(ゲートキーパー)に対し、利用者データの結合やアプリ配布に関する行為を制限するなど、公正な市場環境を確保するための義務を課しています。

■　一方、GDPRは個人データの処理全般を対象とし、利用者の同意・透明性・目的制限などを定めています。これら二つの規則は一部で重なり合う領域を持ち、特に利用者データの結合やポータビリティ(データ移転性)の扱い、アプリストアの代替的提供などの場面では、両規則の同時適用が求められます。

■　そのため、法的解釈や実務上の判断に混乱が生じるおそれがあると考えられ、企業にとっての法的確実性が課題となっていました。こうした状況を受け、欧州委員会と欧州データ保護会議(EDPB)は2024年09月から共同で検討を開始し、両制度の効果的な運用と整合性確保を目指す取り組みを進めてきました。

概要

■　今回公表されたガイドライン案は、DMAとGDPRの交差点における実務的な指針を提供するもので、企業が両規則に適合するための理解と運用を支援することを目的とするものです。

■　具体的には、DMAが規定する「利用者データの結合」や「データポータビリティ」に関する条項において、個人データの処理を伴う場合にはGDPRへの完全な適合が求められる点を明確にしています。

■　また、DMAが想定する「代替的なアプリストアや配信経路」の導入に際して、ゲートキーパーが設定できる措置(セキュリティや機能保護など(は「厳密に必要かつ比例的なもの」に限られ、同時にGDPR上の合法性やデータ最小化原則に適合しなければならないとしています。

■　これにより、企業は競争法的な義務とデータ保護法的な義務を整合的に履行する体制を整える必要があります。とくにゲートキーパー事業者は、両規則の要求を同時に満たす技術的・組織的措置を検討し、社内コンプライアンス体制を見直すことが想定されます。

■　今回の意見募集は2025年12月4日まで受け付けられ、収集された意見を踏まえて最終的なガイドラインは2026年に採択される予定です。意見募集終了後、すべての提出意見はDMAの公式ウェブサイト上で公開され、そのリンクが欧州データ保護会議(EDPB)のサイトにも掲載される予定です。

参考情報

欧州委員会と欧州データ保護会議(EDPB)は、デジタル市場法(DMA)と個人データ処理・移動に関する自然人保護規則(一般データ保護規則GDPR)の関係性に関するガイドライン案について意見を募集するため、パブリックコンサルテーション(公開協議)を開始