はじめに
本稿は、EUデジタル法制等への実務対応についてコンパクトに解説し、企業の担当者の対応の出発点の一助となることを目的としている。
前回の前編ではEUデジタル法制の全体像とデータ法の実務対応のポイントについて取り上げたが、後編の今回はそれ以外のデジタル法制の中からGDPR、サイバーレジリエンス法、NIS2指令、AI法、デジタルサービス法、さらに製品安全性に関する規制の概要と対応のTo Doを取り上げるとともに、プロジェクトの進行方法(実務上よくある悩みへの対応ポイントを含む)について解説する。
各法令の概要と対応のTo Doリスト
GDPR
GDPRは、EEA(欧州経済領域)域内に適用される統一的な個人情報保護法であり、2018年5月25日から適用開始されている。違反時の制裁金は、最大で2,000万ユーロ、または、事業者の場合には前会計年度の全世界年間売上高の4%のいずれか高いほうであり、ほかにも、違反時には、当局から処理の禁止や所定の作為・不作為の命令等がある。GDPR違反は、データ主体(本人)からの民事訴訟の対象にもなる。
GDPR対応のTo Doリストは以下のとおりである。
GDPR対応のTo Doリスト
● 処理行為記録の作成
● データ保存期間の見直し
● データ主体に対する情報通知/プライバシーポリシー等の作成
● 移転規制への対応(SCC(標準契約条項)の作成等)
● データ処理契約の作成
● 共同管理者の場合、共同管理者間の取り決め
● 個人データ処理に関する内部規程の作成
● データ侵害時マニュアルの作成
● データ主体による権利行使への対応マニュアルの作成
● EU代理人・DPO(データ保護責任者)の選任について検討し、必要な場合、選任
● DPIA(データ保護影響評価)の実施の要否について検討し、必要な場合、実施
● データセキュリティ対策についての検討・実施
● 社内研修
● 子供の個人情報についての対応検討
● クッキー等についての対応検討(eプライバシー指令に基づく各国法対応)
● ダイレクトマーケティングについての対応検討(eプライバシー指令に基づく各国法対応)
サイバーレジリエンス法
サイバーレジリエンス法は、欧州内で販売されるIoT製品を含むデジタル製品に対して包括的なサイバーセキュリティ要件を遵守することを義務づけ、また、デジタル製品の脆弱性への対応やユーザーへのセキュリティアップデートの提供等について規定し、サイバーセキュリティリスクから、欧州内のデジタル製品のユーザーを保護することを目的とした法律である。
サイバーレジリエンス法は、2024年12月10日に発効され、2027年12月11日以降に市場に出された製品に適用開始される予定である(同日より前に市場に出された製品であっても実質的改変が加えられた場合は適用となる)(69条2項)。報告義務に関する規定は、同日より前に市場に出された製品についても、2026年9月11日に適用になる(69条3項)。
同法においては、違反類型ごとに制裁が定められている。附属書Iにおける義務、製造業者の各義務(13条)および報告義務(14条)に違反した場合には、最大1,500万ユーロまたは全世界の年間売上高の最大2.5%のいずれか高い金額の制裁金が課せられる(64条2項)。その他の義務(19条および20条を含む)に違反した場合には、最大1,000万ユーロまたは全世界の年間売上高の最大2%のいずれか高い金額の制裁金が課せられる(64条3項)。
サイバーレジリエンス法対応のTo Doリストは以下のとおりである。
サイバーレジリエンス法対応のTo Doリスト
● 製品ライフサイクル全体のセキュリティ確保のための組織・プロセス整備(脆弱性管理プロセスの確立を含む)
● 製品に含まれる脆弱性とコンポーネントの特定(ソフトウェア部品表(SBOM)を含む)および文書化
● 脆弱性開示ポリシーの策定
● ユーザーへの情報提供
● ユーザー対応窓口設置
● ユーザーへの適時・自動的なセキュリティアップデート提供の継続
● 技術文書の作成と保管
● 必須サイバーセキュリティ要件への適合性評価
● EU適合宣言書の作成およびCEマーキング
● 脆弱性または重大なインシデントに関する報告義務対応の体制整備
● サイバーセキュリティに関する研修の実施
● サードパーティーから調達したコンポネントについてのデューデリジェンス(そのためのサードパーティーとの契約での手当を含む)
NIS2指令
NIS2指令は、重要インフラのサプライチェーンにおいて不可欠なエンティティにフォーカスしており、幅広い分野の事業者を対象にサイバーセキュリティリスクに関する義務を課している。同指令については、各加盟国において2024年10月17日までにNIS2指令に則った国内法が整備され、2024年10月18日からはNIS指令に代わりNIS2指令が適用されることが予定されていたが、現状、多くの加盟国において国内法の整備が依然として進行中である。
制裁は、必須エンティティにおいては1,000万ユーロ、または全世界年間総売上高の2%のいずれか高い方、重要エンティティにおいては700万ユーロ、または全世界年間総売上高の1.4%のいずれか高い方の額が上限とされている(34条4項、5項)。
NIS2指令の適用の考え方は複雑であり、必須エンティティと重要エンティティという概念が存在し、企業規模やリスクに応じてどちらのエンティティとして指令が適用されるかが異なる。典型例としては、大企業に分類され、高度にクリティカルなセクター(付属書I)に属する企業等が必須エンティティに該当し、中企業で高度にクリティカルなセクターまたはその他のクリティカルなセクター(付属書II)に属する企業等が重要エンティティに該当する。
図表1 企業規模の定義(Article 2 of the Annex to Recommendation 2003/361/EC)
| 企業規模 | 定義 |
| 大企業 |
従業員が250人以上、または、売上高が5,000万ユーロ超もしくは総資産が4,300万ユーロ超である場合 |
| 中企業 |
従業員が50人以上249人以下、かつ、年間売上高が5,000万ユーロ以下もしくは総資産が4,300万ユーロ以下である場合 |
| 小企業 |
従業員が50人未満であり、かつ、年間売上高または総資産が1,000万ユーロ以下である場合 |
| 零細企業 |
従業員が10人未満であり、かつ、年間売上高または総資産が200万ユーロ以下である場合 |
図表2 NIS2指令におけるセクター分類
| セクター分類 | 定義 |
| 高度にクリティカルなセクター (付属書I) |
エネルギー(電力、地域冷暖房、石油、ガス、水素)、交通(空路、鉄道、水路、道路)、銀行業務、金融市場インフラ、健康、飲料水、廃水、デジタルインフラ、行政機関、宇宙、ICTサービスマネジメント(マネージドサービスプロバイダー(MSP)およびマネージドセキュリティ・サービスプロバイダー(MSSP)) |
| その他のクリティカルなセクター (付属書II) |
郵便・宅配サービス、廃棄物処理、化学産業、食品(生産・加工・流通)、製造、デジタルプロバイダー、研究(研究機関) |
いずれのエンティティにおいても同一のセキュリティ対策が必要だが、必須エンティティは32条により、重要エンティティ(33条)よりも厳格な当局の監督に服することになる。原則として、当該事業者の拠点がある加盟国の法令の適用を受けるとされており、域外適用はないものとされている(26条1項本文)が、たとえば、マネージドサービスプロバイダー、マネージドセキュリティサービスプロバイダーには域外適用があるものとされており、欧州の外部企業やグループ企業からIT・セキュリティ関係のサービスを受託している場合には、日本企業にも域外適用がありうることに留意が必要である。
適用事例
日本企業の大企業であるA社は、欧州に子会社B社を有しており、欧州における顧客向け製品・サービスの販売はすべて欧州子会社B社に任せており、自らは欧州市場向けの製品・サービスの販売自体には一切関与していない。欧州子会社B社は自前でITやセキュリティに関するサービスの運用・保守を行う能力はなく、これをA社に委託している。この場合、A社はNIS2指令に基づく各国法を遵守する必要があるのか。
→A社は、高度にクリティカルなセクターであるICTサービスマネジメントセクターに属する大企業であるとして、必須エンティティとしてNIS2指令に基づく各国法の域外適用を受けると解釈される可能性が高い。
NIS2指令対応のTo Doリストは以下のとおりである。
NIS2指令対応のTo Doリスト
● サイバーセキュリティリスクマネジメントのための組織・体制の整備
● セキュリティポリシーの策定
● サイバーセキュリティリスクマネジメントの実装(評価と対策の実行)
-リスク分析の実施(事業継続性/サプライチェーンのセキュリティリスクを含む)
-脆弱性への対処および開示
-リスクマネジメントの有効性を評価するためのプロセスの実装(監査等)
-その他の対策(ウィルス対策の実施、暗号化手法の利用と暗号化のポリシーおよび手順、アクセス制御ポリシーおよび資産管理、多要素認証と安全な通信システムの利用)
● インシデント発生時の報告体制整備
● 経営層・従業員向けのサイバーセキュリティに関する認識向上(研修やサイバーセキュリティ訓練の実施を含む)
● EU代理人の選任
AI法
AI法は世界的にみても厳格なEU統一のAI規制である。AI法の特徴の一つとしては、リスクベースドアプローチを採用したことが挙げられる。AIのリスクを四つのカテゴリー、すなわち、「許容できないリスク」「ハイリスク」「透明性のリスク」「最小リスク」に分類し、許容できないリスクがあるAIシステムは禁止され、ハイリスクのあるAIシステムには多くの義務がかけられ、透明性のリスクがある特定AIシステムについては、透明性に関する義務がかけられ、最小リスクのAIには義務がかかっていない。なお、AI法においては、汎用目的AIモデルに関する規制も含まれている。
図表3 AI法の規制全体像(リスクベースドアプローチ)
| 類型 |
規制の概略 |
| 許容できないリスクのあるAIシステム |
禁止(5条) |
|
ハイリスクのあるAIシステム |
(要求事項:第3編第2章) ・ リスクマネジメントシステムの構築(9条) ・ データガバナンス(10条) ・ 技術的内容に関する情報の記述(11条) ・ 記録保持(トレーサビリティ)(12条) ・ ユーザに対する情報提供、透明性の確保(13条) ・ 人間によるAIの監視(14条) ・ Alの正確性、堅牢性、サイバーセキュリティの確保(15条) (プロバイダーの主な義務:第3編第3章) ・ 品質管理システムの導入(17条) ・ 適合性審査の実施(16条、43条) ・ 自動的に出力されたログの保存(19条) ・ 要件を充足しない場合の是正措置(20条) ・ EU適合宣言(47条) ・ CEマークをハイリスクAlシステムに貼付(48条) ・ EUデータベースへのハイリスクAlの登録(49条) ・ 上市後の監視(72条) ・ 重大事故報告(73条) ※ 販売業者、輸入業者、ユーザにも別途義務あり |
| 透明性リスクのある特定のAIシステム |
透明性確保義務(50条) |
| 汎用目的AIモデル |
特別の義務(51条~56条) |
AI法の適用開始日は以下のとおりである。
図表4 AI法の適用開始日
| 適用開始日 |
適用開始となる規制 |
| 2025年2月2日 |
許容できないリスクのあるAIシステムの禁止の規制が適用開始 |
| 2025年8月2日 |
General-Purpose AI Models(汎用目的AIモデル)に関する規制が適用開始 |
| 2026年8月2日 |
原則的適用開始日。AIシステムに関するAI法の適用開始(Annex IIIで定められたハイリスクのAIシステムを含むが、Annex Iで定められたハイリスクのAIシステムは除く) |
| 2027年8月2日 |
AI法の全面適用開始(Annex Iで定められたハイリスクのAIシステムを含む) |
AI法違反の制裁金は以下のとおりである。
図表5 AI法違反の制裁金
| 類型 |
制裁金 |
| 「許容できないリスク」のあるAIシステムの禁止に対する違反 |
前会計年度における世界全体における売上総額の7%か、3,500万ユーロのいずれか高い金額が上限 |
| その他の所定の義務に対する違反 |
前会計年度における世界全体における売上総額の3%か、1,500万ユーロのいずれか高い金額が上限 |
| 監督機関の要請に対する、不正確、不完全または誤解を招く情報の提供 |
前会計年度における世界全体における売上総額の1%か、750万ユーロのいずれか高い金額が上限 |
AI法対応のTo Doリスト(汎用目的AIモデル以外)は以下のとおりである。
AI法対応のTo Doリスト(汎用目的AIモデル以外)
● AIについて所管する組織の整備
● EU AI法に沿った、AIに関するポリシー・ルールの策定
● AIのリスク判定・影響評価のためのプロセスの確立(サードパーティーAI導入時のリスク判定を含む)
● AIの利用に関する記録の保持
● 禁止AIの利用の確実な禁止
● 透明性の確保
● 従業員研修
● EU代理人の選任
● 基盤モデルを利用する場合:基盤モデル提供者との連携(必要な技術文書・リスク評価等の情報提供を受けるための条項を含む)/基盤モデルの利用規約・ポリシーの遵守
● ハイリスクAIの場合の追加対応
-AIのライフサイクルにわたるリスク管理システムの構築(上市前の慎重なテスト、上市後の継続監視を含む)
-データガバナンスの構築
-正確性、堅牢性、サイバーセキュリティの確保
-技術文書の作成
-人間によるAI監視
-適合性評価(自己/第三者)と認証
-EU適合宣言書とCEマーキング
-データベースへの登録
-重大事故報告の体制整備
-ログの確実な保存
デジタルサービス法
デジタルサービス法は、オンラインでの違法情報の拡散防止のために、以下のとおり、幅広いデジタルサービスを規制する。
仲介サービスには、単なる導管、キャッシング、ホスティングサービスが含まれ、単なる導管、キャッシングの場合には規律が軽い(連絡窓口設置、EU代理人設置、利用規約についての規律(例:コンテンツモデレーション等に関する定めをおく等)、透明性報告義務)。
ホスティングサービス提供者の義務として追加されるものは、違法コンテンツ通知の仕組みの構築、違法コンテンツ削除・アカウント停止等の際の説明義務、犯罪の疑いがある場合の当局通報義務である。
ホスティングサービスの中に、オンラインプラットフォームとオンライン検索エンジンが含まれ、より重い義務を負う。更に、超大規模オンラインプラットフォームと超大規模オンライン検索エンジンはより重い義務を負う。
典型的には、コミュニケーションやコンテンツ投稿機能があるサービス等に仲介サービス(ホスティングサービス)として、適用されることに留意が必要である。
違反時の制裁金については、加盟国は、全世界の全事業年度の年間売上の6%を上限として定めることができるとされている(52条1項・3項)。
デジタルサービス法対応のTo Doリスト(オンラインプラットフォームと検索エンジン以外)は以下のとおりである。
デジタルサービス法対応のTo Doリスト(オンラインプラットフォームと検索エンジン以外)
<共通>
・ 連絡先窓口設定
・ EU代理人選任
・ 利用規約改訂(コンテンツモデレーション関係)
・ コンテンツモデレーションに関する報告(年1回以上)
<ホスティングサービス提供者の場合の追加対応>
・ 違法コンテンツの通知メカニズムの設置
・ コンテンツ削除、利用停止等の場合の理由の説明プロセスの確立
・ 犯罪発生の可能性がある場合の加盟国当局通知プロセスの確立
製品安全性に関する規制(参考)
EUデジタル法制とは離れるが、EU市場において、コネクティットデバイスやデジタル製品を上市するにあたっては、以下の製品安全性に関する規制にも留意しておく必要がある。
図表6 製品安全性に関する規制
| 法令名と適用開始時期 |
概要 |
| EU製品安全性についての各法令 (適用開始済) |
・ EUには、各指令・規則と対応する整合規格が存在し、それでカバーされないものは、一般製品安全規則(2024年12月13日適用開始)で製品安全性について定めている |
| 改正製造物責任指令 (製造物責任指令は、従来から適用されている。改正製造物責任指令は、2026年12月までに各国で立法義務がある) |
・ 製造物責任指令に基づく各国法は製造物責任について定める従来からの法令である ・ 改正製造物責任指令では、製造物にソフトウェア(AIを含む)が含まれることが明確化されるとともに、証拠開示制度と欠陥や因果関係の推定規定が導入されている |
| AI責任指令案 (未成立のまま撤回) |
・ AI法と連動しつつ、不法行為責任について定める法案であったが、未成立のまま撤回されている |
プロジェクトの進行方法(実務上よくある悩みへの対応のポイントを含む)
以上のようなEUデジタル法制への対応にあたっては、まず、自社製品・サービスへの各法令の適用の有無と範囲の整理が必要である。自社ビジネスの全体像を洗い出し、各法令の適用の有無を確認することになるが、これは一苦労であり、法務・コンプライアンス部門の担当者のみで対応することは現実的ではない。
会社全体として、どの部署が対応プロジェクトを主導するのかを検討することが必要であり、一つの部署ですべてを対応することは難しい場合が多い。品質保証部門・EU事業を行う事業部門・セキュリティ/情報管理部門等の協力が不可欠であり、プロジェクトチームを組むことが想定される。特に、EUにおいては上記Ⅱ6.のとおり、従前から製品安全性の規制が存在しており、サイバーレジリエンス法やAI法においてもこれらの規制が参照されている。したがって、製品安全性規制対応のためのCEマーキング等の対応の経験がデジタル法制対応にも活かされることになるため、これらの規制対応を所管している部門の関与が不可欠となる。更に、日本本社と欧州拠点の役割分担も検討しておく必要がある。
実務上は、現場が協力してくれないので事実調査が進まないケースがあり、現場事業部門をどう巻き込むのかが課題になるが、現場事業部門としても多忙な中で協力する必要性が理解できないと協力に消極的になるため、対応の必要性を理解してもらう取り組みが必要になる。たとえば、現場向けに説明会を開いて理解を得るような工夫をすることも考えられる。また、大前提として、プロジェクト予算の確保や社内体制を充実させるために、トップマネジメントに対応の必要性を理解してもらう必要性もある。
企業としては、適用範囲の分析ができれば、To Doのリストアップをして、現状の対応との差分の洗い出しを行い、未実行となっているTo Doを実行することになる。この場合に、法令の解釈が固まっていない、指令の場合に加盟国法が制定されていない、ガイドラインや実務で使うひな形等が固まっていない等、固まっていないことだらけではあるが、すべてが固まるまで待ち、法令の適用範囲の分析やTo Doのリストアップと現状の対応との差分の洗い出しも後回しにしてしまうのは得策ではない。不明確な点が残る中でも進められるところまでは対応を進めておくことが重要である。最終的には、法令の適用が開始されても、解釈が明確にならない部分が残ることも想定しつつ、長期的な計画を立て、適宜修正しながら対応プロジェクトを遂行していくべきである。たとえば、データ法対応においては、どこまでが法令上の義務の対象となるデータなのかや営業秘密の解釈等は不明確な点が残る。もっとも、事実調査(データマッピング)を行う段階では、自社のコネクティットデバイスに関するデータについてできるだけ幅広く情報を得ておき、いざアクセスを求められた際に、自社としてどうしても出したくないデータがあるのか、また、出すことはできるが機密保持のための措置を講じたいデータがあるのかといった現場の要望も洗い出しておくことはできるはずである。このような現場の要望を法解釈上裏付けることができるのかは後で検討することも可能であり、法解釈が固まっていないので調査をすること自体が不可能であるとか、意味がないということにはならない。
田中 浩之
森・濱田松本法律事務所外国法共同事業 パートナー弁護士・ニューヨーク州弁護士
慶應義塾大学大学院法学研究科特任教授(非常勤)
04年慶應義塾大学法学部法律学科卒業。06年慶應義塾大学大学院法務研究科修了。07年弁護士登録(第二東京弁護士会所属)。13年ニューヨーク大学ロースクール修了、同年Clayton Utz法律事務所で執務。14年ニューヨーク州弁護士登録。データ・プライバシー、AI、知的財産、デジタル法制、ITに関する業務を手がける。「日経企業法務税務・弁護士調査」の2024年に活躍した弁護士ランキングで、AI・テック・データ分野で企業が選ぶ弁護士第3位に選出。著作として、『グローバルデータ保護法対応Q&A100』(共著、中央経済社、2024年)、『改訂版 ビジネス法体系 知的財産法』(共著、第一法規、2025年)、『生成AIと知財・個人情報Q&A』(共著、商事法務、2024年)、『ゼロからわかる生成AI法律入門 対話型から画像生成まで、分野別・利用場面別の課題と対策』(共著、朝日新聞出版、2023年)、『ChatGPTの法律』(共著、中央経済社、2023年)、『60分でわかる!改正個人情報保護法 超入門』(共著、技術評論社、2022年)等がある。
森・濱田松本法律事務所外国法共同事業のプロフィールページはこちら