アイスランドのAIとOSS法制を弁護士が解説

北欧の島国アイスランド共和国（以下、アイスランド）は、人口約38万人という小規模な国家でありながら、デジタル公共サービスの普及率や再生可能エネルギーの活用において世界をリードする「デジタル先進国」としての顔を持っています。冷涼な気候と安価な電力はデータセンター事業やハイテク産業の集積を促し、多くのグローバル企業が熱視線を送る市場となっています。日本企業の皆様が、アイスランドへの進出や、同国の高度な技術力を有する企業との協業を検討される際、避けて通れない法的・政策的な重要テーマが二つあります。それが「人工知能（AI）に関する規制の動向」と「オープンソースソフトウェア（OSS）の利用推進政策」です。

アイスランドは欧州連合（EU）の加盟国ではありませんが、欧州自由貿易連合（EFTA）の一員として欧州経済領域（EEA）協定に参加しており、その法制度はEUの単一市場法制と密接に連動しています。特にデジタル分野においては、EUで策定される先端的な規制が、一定のタイムラグを経て国内法化されるという特徴を持っています。とりわけ、2024年にEUで成立した世界初の包括的なAI規制法「EU AI法（EU AI Act）」は、EEA協定を通じてアイスランドの法体系に組み込まれることが確実視されており、現地のビジネス環境に決定的な影響を与えることになります。企業は、EU水準の厳格なコンプライアンス体制を構築する必要に迫られています。

その一方で、アイスランド政府は「Digital Iceland（デジタル・アイスランド）」と呼ばれる野心的なイニシアチブの下、公共部門におけるITシステム調達において、特定のベンダーに依存しないOSSの採用を原則とする独自の方針を掲げています。これは、透明性の確保とコスト効率の最適化、そして公共投資によって生み出されたコードを「公共財」として社会に還元することを目的としたものであり、従来のクローズドなソフトウェア開発を主軸とする日本企業にとっては、ビジネスモデルの転換を迫られる可能性のある重要な政策です。

本稿では、アイスランドにおけるAIおよびOSSに関連する法制度と政策について、日本の法制度や実務との比較を交えながら、文章と表を用いて詳細に解説します。AI開発におけるデータ利用の法的リスク、GDPR（一般データ保護規則）の厳格な適用と固有識別番号（ケニタラ）の取り扱い、著作権法における著作者人格権の強力な保護、そして公共入札に参加する際に求められるOSSライセンスのコンプライアンスなど、経営者や法務担当者が押さえておくべき実務的な論点を網羅しています。アイスランド市場への参入は、EU市場全体を見据えた足掛かりとなり得る一方で、複雑な法的要件への適応が求められる挑戦的なプロセスでもあります。本記事が、貴社の戦略的な意思決定の一助となれば幸いです。

アイスランドの法制度とEEA協定の構造的理解

アイスランドにおけるビジネス法務を理解する上で、最も基本的かつ重要な前提となるのが、同国がEU加盟国ではないものの、EEA協定を通じてEU単一市場に統合されているという法的な位置づけです。EEA協定は、EU加盟国とEFTA加盟国の間で、人、物、サービス、資本の「4つの自由」を保障する枠組みであり、これによりアイスランドはEUの法規制、特にデジタル市場や消費者保護、データ保護に関する規則や指令を国内法に取り込む義務を負っています。

日本法との大きな違いは、この「取り込み」のプロセスにあります。EU加盟国においては、EU規則は即座に直接的な法的効力を持ちますが、アイスランドのようなEEA EFTA諸国においては、まず「EEA合同委員会」において当該EU法をEEA協定の附属書に組み込む決定を行う必要があります。その後、アイスランドの議会（アルシング）において、国内法として制定または改正される手続きを経て、初めて国民や企業に対する法的拘束力が発生します。

このプロセスには通常、数ヶ月から数年のタイムラグが生じます。しかし、日本企業としては、このタイムラグを単なる「猶予期間」として捉えるべきではありません。アイスランド政府や規制当局は、EU法の導入を前提としたガイドラインの策定や先行的な行政指導を行う傾向があり、実質的なコンプライアンス基準はEUの水準に急速に収束していくからです。また、アイスランド企業との取引契約においては、EU法準拠を求められることが一般的であり、法的な施行日を待たずして対応を迫られる場面が多いのが実情です。

さらに、アイスランドの法制度の頂点にある憲法は、AIやデータの取り扱いに関して重要な解釈指針となります。憲法第71条はプライバシー権を、第65条は平等権を規定しており、これらは欧州人権条約の影響を強く受けています。AI技術による監視やプロファイリング、あるいはアルゴリズムによる差別の問題は、単なる法令違反にとどまらず、憲法上の権利侵害として厳しく問われるリスクがあることを念頭に置く必要があります。

アイスランド人工知能（AI）規制の現在地とEU AI法の影響

2025年の現時点において、アイスランドには「AI規制法」という名称の単独の法律は存在しません。AIの開発や利用は、既存のデータ保護法、著作権法、製造物責任法などの一般法によって規律されています。しかし、この状況は過渡的なものであり、EUで2024年に成立した「EU AI法」が、EEA協定を通じてアイスランドに導入されるプロセスが進行中です。日本企業は、2026年から2027年にかけて、アイスランドにおいてもEU AI法と同等の規制環境が完全に整うことを前提に事業計画を策定する必要があります。

EU AI法は、AIシステムをリスクの度合いに応じて4つのカテゴリーに分類し、それぞれに異なる義務を課すリスクベースのアプローチを採用しています。以下の表に、各リスクカテゴリーと主な義務の内容を整理しました。

また、法的規制の導入に先立ち、アイスランド政府は国家AI戦略およびアクションプランを策定し、AIを社会福祉とイノベーションの柱と位置づけています。特に注目すべきは、「アイスランド語のデジタル化」への注力です。人口の少ない言語であるアイスランド語がデジタル時代に存続できるよう、政府はOpenAI社と提携してGPT-4のアイスランド語能力向上を図るなど、言語技術への投資を惜しみません。日本企業がアイスランド向けにAIサービスを提供する際、高度なアイスランド語対応は事実上の市場参入資格となると言えるでしょう。

日本のAIガバナンスがガイドラインベースの「ソフトロー」中心であるのに対し、アイスランド（およびEU）は罰則を伴う「ハードロー」のアプローチを採用しています。例えば、日本ではAI学習のためのデータ利用が著作権法で広く認められていますが、アイスランドでは後述するように制約が厳しく、日本と同じ感覚で事業を行うと重大なコンプライアンス違反を招く恐れがあります。

アイスランドにおけるデータ保護法制の深層と実務への影響

AIビジネスにおいてデータは燃料であり、その取り扱いは極めて重要です。アイスランドにおけるデータ保護法制の中核は、2018年に制定された「個人データの保護および処理に関する法律（Act No. 90/2018）」です。この法律はEUの一般データ保護規則（GDPR）を国内法として完全に実装したものであり、実質的な内容はGDPRと同一です。日本の個人情報保護法と比較すると、多くの面でより厳格な対応が求められます。

以下の表は、アイスランドのデータ保護法制（GDPR準拠）と日本の個人情報保護法の主な違いをまとめたものです。

特にAIビジネスにおいて注意が必要なのが、データ保護法第22条に基づく「自動化された意思決定」への規制です。ローン審査や採用の合否など、個人に重大な影響を与える決定をAIのみで行うことは原則として禁止されており、「人間が最終判断に関与するプロセス（Human-in-the-loop）」の構築が必須となります。

また、アイスランド特有の論点として、国民識別番号「ケニタラ（Kennitala）」の取り扱いがあります。ケニタラは日本のマイナンバー以上に社会生活のあらゆる場面で利用されていますが、データ保護法上はその利用目的が厳格に制限されています。データを分析する際、安易にケニタラをキーとして異なるデータベースを結合（名寄せ）する行為は、データ保護局（Persónuvernd）からプライバシー侵害として摘発されるリスクが高いため、事前の影響評価（DPIA）などが不可欠です。

アイスランドの著作権法とAI開発における法的課題

アイスランドの著作権法（Höfundalög）は、国際条約およびEU指令に準拠しており、コンピュータ・プログラムも文学的著作物として保護されます。しかし、生成AIの開発に関連して、日本企業が特に留意すべき重大なリスクが存在します。

まず、テキスト＆データマイニング（TDM）に関する例外規定の状況です。日本では著作権法第30条の4により、AI学習のための著作物利用が広範に認められていますが、アイスランドではEUの「デジタル単一市場における著作権指令（DSM指令）」の国内法化が遅れています。現時点ではTDMに関する明確な例外規定が存在しないため、権利者の許諾なくAI学習のために著作物を複製する行為は、著作権侵害となる可能性が極めて高い状態にあります。法的な安全性を確保するためには、AIの学習プロセスはアイスランド以外の法的にクリアな地域で行い、学習済みモデルのみを持ち込むという戦略が推奨されます。

次に、著作者人格権の強力な保護です。アイスランドを含む欧州大陸法系の国々では、著作者の「氏名表示権」と「同一性保持権」が非常に手厚く保護されており、契約による「放棄」が制限されています。日本の実務で一般的な「著作者人格権を行使しない」という包括的な特約は、アイスランドでは無効とされる可能性があります。したがって、ソフトウェア開発やAIによる生成物の利用においては、「アップデートやバグ修正に必要な改変については同意する」といった具体的かつ限定的な許諾条項を契約書に盛り込む必要があります。

アイスランド公共部門におけるオープンソースソフトウェア（OSS）政策

アイスランド政府は「Digital Iceland」の旗印の下、公共サービスのデジタル化において「OSSファースト」の方針を明確に打ち出しています。これは、公共調達においてOSSを優先的に採用し、新たに開発されるソフトウェアも原則としてオープンソースとして公開するというものです。

この政策の背景には、特定の巨大ITベンダーへの依存（ベンダーロックイン）を回避し、税金で開発されたコードを「公共財」として社会全体で再利用可能にするという狙いがあります。また、ソースコードを公開することで行政システムの透明性を高め、国民の信頼を獲得することも目的の一つです。

日本企業がアイスランドの公共調達市場に参入する場合、このOSS政策への適応が必須要件となります。具体的には、納品するソフトウェアに対して、以下の表のようなライセンス適用が求められることが一般的です。

従来の「著作権をベンダーが保持したままライセンス料を得る」というビジネスモデルは、アイスランドの公共案件では通用しにくくなっています。日本企業としては、自社のコア技術（知財）とオープンにする領域を戦略的に切り分け、OSSを活用したインテグレーションや保守サポート、あるいは付加価値サービスで収益を上げるモデルへの転換が求められます。

アイスランドに進出する日本企業のビジネス環境とインセンティブ

厳しい規制の一方で、アイスランドはイノベーションを促進するための魅力的なインセンティブ制度も整備しています。特に、研究開発（R&D）や環境負荷の低い「グリーン投資」に対しては、手厚い税制優遇措置が用意されています。

これらの制度を活用することで、規制対応コストを相殺しつつ、競争力のある開発拠点を構築することが可能です。特に、豊富な再生可能エネルギーと冷涼な気候は、AIの計算リソースにかかる電力コストと環境負荷を大幅に低減できるため、サステナブルなAI開発を目指す企業にとって大きなアドバンテージとなります。

まとめ

アイスランドにおけるAIとOSSを取り巻く法環境は、「EU法との調和による高度な規制」と「デジタル主権確保のためのオープン戦略」という二つの大きな潮流の中にあります。AIに関しては、世界で最も厳しい水準となる「EU AI法」の適用が確実視されており、データ保護法制（GDPR）と相まって、極めて高度なコンプライアンス体制が求められます。特に、著作権法におけるAI学習（TDM）の例外規定が未整備である現状は、日本企業にとって見過ごせないリスクであり、学習プロセスの場所選定やデータセットの権利処理には細心の注意が必要です。

一方で、OSSに関しては、政府が戦略的に採用を推進しており、クローズドな技術よりもオープンな技術が選好される市場環境が形成されています。これは、従来のプロプライエタリなビジネスモデルにとっては逆風ですが、高い技術力を持ち、OSSエコシステムに適応できる日本のITベンダーにとっては、公平で透明性の高い参入機会が提供されていることを意味します。

アイスランドでのビジネス展開においては、単に「法規制を守る」という受動的な姿勢にとどまらず、倫理、透明性、そして言語文化の尊重という現地の価値観を深く理解し、それに共鳴する事業戦略を構築することが成功の鍵となります。モノリス法律事務所では、複雑化するEU・EEA法規制の調査、GDPRおよび現地データ保護法への対応、OSSライセンスに関するリーガルチェック、そして現地の最新の法改正情報の提供など、貴社のアイスランドビジネスを成功に導くための法的サポートを包括的に提供いたします。