はじめに
EUデジタル法制は複雑である。企業の担当者にとっては、自社にどの法令が適用されるのかを把握することが出発点であり、重要であるが、法制度が複雑であるため、この出発点からつまずいてしまうことが想定される。自社に各法令が適用されるかを判断するためには、各法令の適用範囲に関する理解とともに、自社の製品・サービスの理解も必要になる。各法令の域外適用も幅広く、複数の法令が適用されるケースも多いため、検討が複雑化する。
そこで本稿は、EUデジタル法制等への実務対応についてコンパクトに解説し、企業の担当者の対応の出発点の一助となることを目的としている。
EUデジタル法制の全体像は図表1を参照していただきたいが、本記事ではデータ法を中心にハイライトしている法令を取り上げる。
図表1 EUデジタル法制の全体像
| 法令名と適用開始時期 | 概要 |
| GDPR (2018年5月~適用開始済) |
・ EEA(欧州経済領域)域内に適用される統一的な個人情報保護法(後編で解説) |
| eプライバシー指令 (適用開始済) |
・ 電子通信サービス分野における通信の秘密や情報の処理を規律する指令であり、各国においてこれに対応した立法がされている ・ サービスのセキュリティ、情報の機密保持、データの保存・消去、Cookieその他端末内の情報へのアクセスの取り扱い、ダイレクトマーケティングの規制等がテーマ ・ eプライバシー指令に基づく各国法は、実務上、特に、クッキー等対応やダイレクトマーケティングについては、GDPRの特別法として機能することに注意 |
| データガバナンス法 (2023年9月~適用開始済) |
・ 公的部門と民間部門両方が参加するデータスペースの創設を目的としている ・ 公的部門が保有する一定の種類のデータをEU内で利用するための仕組み、データ仲介サービスの提供に関する規律等について定めている ・ 欧州データイノベーション委員会の創設について定めている |
| EUデータ法 (原則2025年9月12日適用開始) |
・ EU域内で上市されるコネクティッドデバイスの製造者および関連サービスの提供者等は、非個人データを含むデータへのアクセスを認める必要があり、製品・サービスの仕様にも影響する(後述) ・ EU域内の顧客にデータ処理サービスを提供する事業者は、サービスの切り替えを妨げてはならず、利用規約の定めやサービス切り替えのための協力が必要になる(後述) |
| データスペース |
・ EUデータ戦略では、以下の9分野において、EU内において、公的部門・民間部門の垣根を越えてデータを連携できるデータスペースを整備する構想が公表:①産業(製造)、②グリーン(環境)、③モビリティ、④ヘルスケア、⑤金融、⑥エネルギー、⑦農業、⑧行政、⑨スキル ・ 先行しているのが、European Health Data Space (EHDS) であり、2025年3月5日に、EUにおいて、2025年3月5日、European Health Data Space(EHDS)規則が公布された(原則として、2027年5月25日から適用開始予定) |
| GAIA-X (2019年立ち上げ) |
・ ドイツ・フランスが主導して立ち上げられた、データ連携基盤のプロジェクト(運営主体:非営利団体The Gaia-X European Association for Data and Cloud AISBL) ・ 大手プラットフォームに依存せず、非競争領域において、企業間で分散型のデータ連携を行なうことを目的とする ・ 特段法令で参加が義務づけられる訳ではない。メリットがあると考える企業が参加すればよい ・ BMWとベンツが立ち上げた自動車業界のデータ連携基盤であるCatena-XがIDS(International Data Spaces)が先行 ・ International Data Spaces Association(IDSA)が定める技術コンポーネントであるIDSコネクタを使い、企業間の分散型のデータ連携を行なう |
| デジタルサービス法(DSA) (2024年2月〜適用開始済) |
・ 仲介サービスによるオンラインでの違法な情報の拡散防止を目的としている(後編で解説) |
| デジタル市場法(DMA) (2023年5月〜適用開始済) |
・ コアプラットフォームサービスを提供する大規模なオンラインプラットフォームを「ゲートキーパー」に指定して義務を課す ・ たとえば、オンライン広告サービス提供の目的で、ゲートキーパーのコアプラットフォームサービスを利用する第三者サービスのエンドユーザーの個人データを処理することが禁止されている ・ ゲートキーパーに対する競争法的な趣旨の規制 |
| サイバーセキュリティ法 (2021年6月に適用開始済) |
・ EU全体のサイバーセキュリティ能力強化のために2019年に成立した法律で、ENISA(The European Union Agency for Cybersecurity)の役割の明確化、権限拡大、およびEUサイバーセキュリティ認証制度(法令上の義務ではなく、任意のもの)の導入等を主な内容としている ・ 2023年には、上記認証制度を将来的にインシデント対応やセキュリティ監査等の分野をカバーするマネージドセキュリティサービス(MSS)に拡張することを可能にする改正案が提案されている。なお、同改正案については、2024年3月に理事会の議長国と欧州議会の交渉担当者の間で暫定合意が成立しているが、理事会の承認を得られておらず成立に至っていない |
| NIS2指令 (適用開始済。2024年10月までに各国で立法をする義務) |
・ 一定の重要分野におけるリスク対策やインシデントの報告義務等を定める(後編で解説) |
| サイバーレジリエンス法(CRA) (原則2027年12月11日適用開始) |
・ デジタル製品について、設計・開発・上市・販売後までのライフサイクルを通じたサイバーセキュリティ要件を定める(後編で解説) |
| AI法 (原則2026年8月適用開始) |
・ EU統一の厳格なAI規制 ・ 許容できないリスクのAIを禁止し、ハイリスクAIに多くの義務を課し、特定のAIシステムに透明性義務を課し、汎用目的AIモデルに特別の義務を課す(後編で解説) |
EUデータ法
EUデータ法の概要
EUデータ法(以下、「データ法」という)は、データの公正なアクセスと共有を促進し、コネクティットデバイスの製造者および関連サービスの提供者等やクラウドサービスの提供事業者によるデータの独占を防ぎながら、データ流通を円滑にすることを目的とした規則である。特に、ユーザーの権利強化、データホルダーの義務明確化、不公正な契約条項の禁止、クラウドの相互運用性確保などが主要なポイントとなる。
データ法は、原則として、2025年9月12日から適用開始となるが、コネクティットデバイスの設計・製造や関連サービスの設計・提供に関する3条1項の義務については、2026年9月12日以降に上市されるコネクテッドデバイスおよびそれらに関連するサービスに適用される。
違反時の制裁は、各加盟国が決めることになっており(40条1項)、EU統一の制裁がある訳ではないが、GDPRを意識したような高額な制裁金が設定されることが想定される。
適用範囲
データ法は以下に適用される(1条3項)。なお、零細企業・小規模企業の適用除外がある(7条1項。2条(26):Article 2(3) of the Annex to Recommendation 2003/361/ECで定義)。
① 製造業者の所在地や提供者の所在地に関わらず、EU市場に上市されるコネクティットデバイスの製造業者および関連サービスの提供者
② ①に記載されるコネクティットデバイスまたは関連サービスのEU域内のユーザー
③ 所在地に関わらず、EU域内のデータ受領者にデータを提供するデータ保有者
④ データが提供されるEU域内のデータ受領者
⑤ 公益のために実施される特定の業務の遂行にそのデータの例外的な必要性が ある場合にデータ保有者にデータの提供を要請する公的機関、欧州委員会、欧州中央銀行およびEU機関、ならびにそのような要請に応じてデータを提供するデータ保有者
⑥ 所在地に関わらず、EU域内の顧客にデータ処理サービスを提供する事業者
⑦ データスペースの参加者、スマートコントラクトを使用するアプリケーションのベンダー、および契約履行の過程で他者のためにスマートコントラクトの展開に関わる取引、事業または職業に従事する者
上記に登場するデータ法の基本概念の意味は、以下図表2のとおりである。
図表2 データ法の基本概念
| 概念 | 説明 |
| データ(Data) (2条(1)) |
音声、映像、音声映像による記録の形態を含む、行為、事実もしくは情報のデジタル表現、またはそれらの行為、事実もしくは情報の編集物 |
| コネクティットデバイス(connected device) (2条(5)) |
その使用または環境に関するデータを取得、生成、もしくは収集し、電子通信サービス、物理的接続またはデバイス上のアクセスを介して製品データを通信することができ、かつ、主たる機能がユーザー以外の者のためにデータの保存、処理または伝送を行うことではないもの →幅広いIoT機器が含まれることになる。なお、上記の下線部については、他人のためにデータの保存・処理・伝送を行うサーバやクラウドを除外するものである(前文(16)) |
| 関連サービス(related service) (2条(6)) |
電子通信サービス以外のデジタルサービスであって、ソフトウェアを含み、購入、賃借または貸借時に製品と接続されており、そのサービスがないとコネクティットデバイスが一つまたは複数の機能を実行できなくなるような方法で接続されているもの、またはコネクティットデバイスの機能を追加、更新もしくは適応させるために、製造業者または第三者によって後に製品に接続されるもの →Iot機器のために提供されるSaaS・アプリ等のサービスが含まれることになる |
| データ処理サービス(data processing service) (2条(8)) |
顧客に提供されるデジタルサービスであって、最小限の管理作業またはサービスプロバイダーとの相互作用で迅速にプロビジョニングおよび解放が可能な、集中型、分散型または高度に分散された性質を持つ、設定可能、スケーラブルかつ弾力的なコンピューティングリソースの共有プールへの、ユビキタスかつオンデマンドのネットワークアクセスを可能にするものをいう →クラウドサービス(IaaS, PaaS, SaaS)を提供する事業者が典型例 |
| ユーザー(User) (2条(12)) |
「ユーザー」とは、コネクティットデバイスを所有する、または当該コネクティットデバイスを使用する一時的な権利を契約により移転された、もしくは関連サービスを受ける自然人または法人をいう →コネクティットデバイスの所有者、賃借人や関連サービスの提供を受ける者がこれにあたる |
| データ保有者(data holder) (2条(13)) |
データ法、適用されるEU法または EU法に従って採択された国内法に基づき、データを使用し提供する権利または義務を有する自然人または法人をいい、契約で合意された場合には、関連サービスの提供中に取得または生成した製品データまたは関連サービスデータを含む →機器のメーカーでデータの管理を行う者が典型例 |
| データ受領者(data recipient) (2条(7)) |
コネクティットデバイスまたは関連サービスのユーザー以外の、その者の取引、事業、工芸または職業に関連する目的で行動する自然人または法人であって、データ保有者がデータを提供する相手方をいい、ユーザーからデータ保有者への要請に従う第三者、またはEU法もしくはEU法に従って採択された国内法に基づく法的義務に従う第三者を含む →典型的には、たとえばコネクティットデバイスのメンテナンスを行う外部事業者であり、データをデータ保有者 |
典型的な適用事例は以下のとおりとなる。
適用事例① コネクティットデバイス関係
日本企業(欧州に拠点はない)A社は、スマート工場向けのコネクティッド工業用機器の製造者であり、欧州市場向けに製品を販売しており、自社で機器のデータ管理も行っており、データは日本のデータセンターで保存している。B社(ドイツ企業)は、A社から機器を購入した機器所有者である。B社は、インドにある工場に同機器を設置し、設置した機器のメンテナンスをA社とは関係のない外部のメンテナンス事業者C社に委託した。B社は、A社に対して、機器のメンテナンスのために必要なデータへのアクセスをC社に認めるように求めている。
→A社・B社・C社はデータ法の適用を受ける。なお、データ法に関するFAQの9によりEU市場に上市された製品がEU域外で使用されたとしても適用を免れる訳ではない。A社は、機器の製造業者・関連サービス提供者であり、データ保有者である。B社はユーザーであり、C社は、データ受領者である。A社は、B社の要求に応じて、C社へのデータアクセスを認める必要がある。
適用事例② SaaS関係
日本企業(欧州に拠点はない)A社は、ドイツ法人であるB社に対して人事領域のDXを進めるためのSaaSサービスを提供している。
→A社には、データ処理サービス提供者としてデータ法が適用される。
実務対応のポイントとTo Doリスト
データ法については、以下がポイントである。
(1) EU域内で上市されるコネクティッドデバイスの製造者および関連サービスの提供者等
EU域内で上市されるコネクティッドデバイスの製造者および関連サービスの提供者等は、非個人データを含むデータへのユーザーおよびユーザーが求める第三者へのアクセスを認める必要がある(3条〜5条)。3条1項は、コネクティットデバイスや関連サービスの設計等(データアクセス・バイデザイン)に関する義務を定めている。具体的には、3条1項は、関連があり、かつ技術的に実現可能な場合には、ユーザにデータへの直接アクセスを認めることを義務づけている。ユーザへのデータへの直接アクセスを常に認める義務を定めている訳ではなく、コネクティットデバイスの製造業者等にはユーザのデータへの直接アクセスを認めるかについて一定の裁量がある。4条1項は、ユーザにデータへの直接アクセスを認めない場合に、間接的にデータへのアクセスを認める義務を定めている(たとえば、ユーザがポータルサイトなどでデータアクセスの申請をして、これに応じて、データ保有者がデータをユーザに開示する場合が間接的なデータアクセスを認める手法の典型例である)。5条1項は、データ保有者がユーザが指定した第三者にデータを利用可能にする義務を定めている。このようにデータ法には、ユーザへのデータの直接アクセスを認めるか、それとも間接的にアクセスを認める方法を用意するかを含めてコネクテイットデバイスの製品設計や関連サービスのサービス設計に影響するため留意が必要である。
また、ユーザーに対する所定の説明が必要であり、GDPR対応における情報通知(プライバシーノーティス)のデータ法版のような説明文書の準備が必要となる(3条2項、3項)。
データ保有者は、ユーザーのデータはユーザーと契約しなければ使えなくなる(4条13項)ため、契約締結がマストである。データ法対応のためには、データ法に対応するための契約を関係者間で締結することになる。2024年末の欧州委員会のウェビナー注1では、配布資料として、①データ保有者とユーザー、②データ保有者とデータ受領者、③ユーザーとデータ受領者、④任意のデータ共有に関するモデル条項(Model Contractual Terms (MCTs))が配布されたが、本記事執筆時点においては、正式な案として欧州委員会からはMCTsは、公開されていない。
データ法で対象となるデータは、生データと前処理されたデータであり、そこから推論(infer)・導出(derive)されたデータは対象外である(前文(15))。また、コンテンツは対象外である(前文(16))。たとえば、写真やビデオを記録、送信、または表示できるデジタルカメラのデータ保有者は、使用パターン、バッテリー充電レベル、タイムスタンプ、位置情報、光レベル、イベントログなどの容易に入手可能なデータをユーザーに共有する必要があるが、原則として、視聴覚コンテンツ(撮影した写真・映像)自体を共有する義務はないとされている。なお、データに営業秘密が含まれる場合も、データ保有者は、原則として開示拒否ができる訳ではなく、営業秘密保護のための措置を開示先と合意することになる。例外的な場合は、開示拒否ができるが、その場合には、当局への通知が必要となるためハードルが高い(4条6項~9項、5条9項~12項)。
(2) データ処理サービス提供事業者
EU域内の顧客にデータ処理サービス(SaaS等のクラウドサービス等)を提供する事業者は、サービスの切り替えを妨げてはならず、利用規約の定めやサービス切り替えのための協力が必要になる。上記の欧州委員会のウェビナーでは資料として、データ処理サービスについての標準契約条項(Standard Contractual Clauses (SCCs))が配布されたが、本記事執筆時点においては、正式な案として欧州委員会からはSCCsは公開されていない。
(3) データ法対応のTo Doリスト
データ法対応のTo Doリストは以下のとおりである。リストは、コネクティットデバイス関係とデータ処理サービス関係で分けて作成した。
データ法対応のTo Doリスト(コネクティットデバイス関係)
● データアクセスの方法の検討と実装(ユーザに直接データアクセスを可能にするのであれば、製品設計の検討。間接的に行うのであれば本人確認を含めたプロセスの検討)
● ユーザーへの情報提供文書の作成
● 契約整備・見直し(データ保有者とユーザ/データ保有者とデータ受領者/ユーザーとデータ受領者)→MCTを参照して新たな契約を整備、既存契約を含めて不公正な契約条項がないかのチェック)
● 営業秘密が含まれる場合の対応の検討
● データ受領者へのデータ共有の対価の検討
● データ共有時のセキュリティ対策のチェック
● EU代理人の選任
データ法対応のTo Doリスト(データ処理サービス関係)
● 顧客への情報提供・ウェブサイト公開の準備
● 契約条項の見直し
● 技術的対策導入(IaaSサービスプロバイダーは:機能的同等性を達成できるような合理的措置。PaaS/SaaSサービスプロバイダー:オープンインターフェースを 無料で同等に利用可能に。標準規格・共通仕様への対応)
● 切り替え料金の段階的廃止計画
● EU代理人の設置
● ガバメントアクセス(外国政府によるアクセス)への対応検討
データ法とその他のEUデジタル法制が複合的に適用される事例
ほかの法令の適用基準の解説は本記事では省略するが、たとえば、以下のような事例で複数の法令が複合的に適用される。
複合事例① コネクティットデバイス関係
日本企業A社は、コネクティット・トイを製造しており、欧州市場の消費者向けに販売している。このコネクティット・トイは欧州の玩具安全指令に基づく加盟国法の適用を受ける製品であり、AIがその安全コンポネントとして用いられており、欧州の玩具安全指令に基づく加盟国法上、自己評価ではなく、第三者の適合性評価が必要となっている。A社はコネクティット・トイから収集したデータ(おもちゃで遊ぶ子供の個人データを含む)を自社で収集して、管理している。
→A社に適用される法令
① EU域内の個人をターゲットとして販売された製品から取得される個人データを処理しており、GDPRが適用される。
② EU市場にコネクティットデバイス/デジタル製品を上市しており、データ法・サイバーレジリエンス法が適用される。
③ ハイリスクAIシステムを搭載するものとして、AI法が適用される。
複合事例② SaaS関係
日本企業のA社は、欧州企業と欧州にいる個人向けに人材募集ポータルサイトを運営している。このポータルサイトにおいては、募集企業が求人情報を掲載し、就職希望者がこれに興味を持った場合には、応募が可能であり、募集企業と就職希望者の直接のコミュニケーションが可能になる。募集企業は過去の応募に関する情報をSaaS上で管理ができる。また、オプションにより、募集企業はAIを使った応募者について、フィルタリングや一次評価を行うこともできる
→A社に適用される法令
① EUをターゲットとしたサービスを提供して、EUに所在する個人の個人データを処理しており、GDPRが適用される。
② EU市場にデータ処理サービスを提供しており、データ法が適用される。
③ 人事関係のハイリスクAI(次回解説)システムを提供するものとして、AI法が適用される。
④ サービスにコミュニケーション機能があることにより、ホスティングサービスの提供者としてデジタルサービス法(次回解説)が適用される。
以上、今回はEUデジタル法制の全体像とデータ法について取り上げた。
次回は、NIS2指令、サイバーレジリエンス法、AI法、デジタルサービス法、GDPR等の概要・TO DOリストと対応プロジェクトの進め方についてを解説する。
田中 浩之
森・濱田松本法律事務所外国法共同事業 パートナー弁護士・ニューヨーク州弁護士
慶應義塾大学大学院法学研究科特任教授(非常勤)
04年慶應義塾大学法学部法律学科卒業。06年慶應義塾大学大学院法務研究科修了。07年弁護士登録(第二東京弁護士会所属)。13年ニューヨーク大学ロースクール修了、同年Clayton Utz法律事務所で執務。14年ニューヨーク州弁護士登録。データ・プライバシー、AI、知的財産、デジタル法制、ITに関する業務を手がける。「日経企業法務税務・弁護士調査」の2024年に活躍した弁護士ランキングで、AI・テック・データ分野で企業が選ぶ弁護士第3位に選出。著作として、『グローバルデータ保護法対応Q&A100』(共著、中央経済社、2024年)、『改訂版 ビジネス法体系 知的財産法』(共著、第一法規、2025年)、『生成AIと知財・個人情報Q&A』(共著、商事法務、2024年)、『ゼロからわかる生成AI法律入門 対話型から画像生成まで、分野別・利用場面別の課題と対策』(共著、朝日新聞出版、2023年)、『ChatGPTの法律』(共著、中央経済社、2023年)、『60分でわかる!改正個人情報保護法 超入門』(共著、技術評論社、2022年)等がある。
森・濱田松本法律事務所外国法共同事業のプロフィールページはこちら