EUデータ法 実務ガイド 第1回:概要と適用範囲
EU AI法は多くの報道や議論を集めていますが、その一方で、EUデータ法(EU Data act)の登場は比較的見過ごされてきました。しかし、本来EUデータ法は、今よりもっと注目されるべき法令です。データ法は、しばしばコネクテッドデバイスやIoTに関するルールとして捉えられがちですが、その適用範囲はそれよりはるかに広く、多様な業種にまたがるデジタルな事業活動を対象としています。つまり、データ法は、広範な影響を及ぼし得る重要な法令だということです。本連載では、データ法の適用範囲と、さまざまな提供者にとっての実務上の意味を明らかにしていきます。
1. なぜまた新たな規則なのか
EUデータ法(Regulation (EU) 2023/2854)は、データへのアクセスおよびデータ利用に関する横断的なルールを定めるものです。その背景には、欧州データ戦略における問題意識があります。すなわち、現在では世界のデータの大部分が一部の企業に集中し、そうした企業によって管理されているため、他の主体がそのデータを利用しにくい状況にある、という認識です。
データ法の主な目的は、この状況を変えることにあります。具体的には、データ共有を可能にし、ベンダーロックインを減らし、提供者の切替えを容易にすることを目指しています。また、システム間の相互運用性も促進します。こうした措置を通じて、データ主導のイノベーションを後押ししようとしているのです。
市場からの初期の反応を見る限り、データ法にはデータサイロを打破する可能性があります。ただし、現時点では、多くの企業がこれを成長機会を生む制度というより、単に新たに対応しなければならない規制の一つとして受け止めています。規制によって本当にイノベーションを促進できるのかは、今後の運用を見極める必要があります。
2. 構成
データ法は、全9章で構成されています。第I章および第IX章では、適用範囲、定義、執行可能性といった一般規定を扱っています。一方、第II章から第VIII章までは、それぞれ異なる論点を扱っており、目的も適用範囲も章ごとに異なります。
- 第II章:IoTの文脈における企業間および企業・消費者間のデータ共有
利用者に対し、データへのアクセス権、利用権、ポータビリティ権を認めています。 - 第III章:企業間のデータ共有
- 第IV章:不公正な契約条項
- 第V章:特別な必要性がある一定の場合における企業から政府へのデータ共有
- 第VI章:データ処理サービス間の切替え
- 第VII章:第三国政府による違法なデータアクセス
- 第VIII章:データスペース参加者における相互運用性
重要なのは、データ法が個人データと非個人データの両方を対象としている点です。個人データが処理される場合には、GDPRとデータ法が並行して適用されます。もっとも、この2つの法令の関係については、法的に不明確な部分があるとの指摘もあります。
3. どのような企業がデータ法の対象になるのか
データ法は、さまざまな種類の組織に適用されます。組織の類型に応じて、EU域内の事業者だけでなく、EU域外の事業者にも適用される場合があります。概要は次のとおりです。
個人/組織 | データ法の適用範囲 |
|---|---|
コネクテッド製品の製造業者 | 所在地を問わず |
コネクテッド製品関連サービスの提供者 | 所在地を問わず |
利用者 | EU域内 |
EU域内のデータ受領者にデータを提供するデータ保有者 | 所在地を問わず |
データ受領者 | EU域内 |
公共部門機関 | 所在地を問わず |
データ処理サービスの提供者 | 所在地を問わず |
データスペースの参加者 | 所在地を問わず |
スマートコントラクトを利用するアプリケーションのベンダー | 所在地を問わず |
データ法の下で課される義務は、事業者の類型ごとに異なります。そのため、自社がどの類型に該当するのかを正確に整理することが重要です。実際には、一つの企業が複数の類型に同時に該当することも少なくありません。
3.1 コネクテッド製品の製造業者
データ法の重要な対象の一つが、EU市場に投入されるコネクテッド製品の製造業者です。これに加えて、そうした製品に関連するサービスの提供者も対象に含まれます。
データ法上、「コネクテッド製品」とは、その使用状況や使用環境に関するデータを取得、生成、または収集し、電子通信サービス、物理的接続、またはデバイス上のアクセスを通じて製品データを伝達できる物を指します。ただし、その主たる機能が、誰かのためにデータを保存、処理、または伝送することにある場合は除かれます。(第2条5項)
この定義は非常に広く、何らかのデータを生成し、それを何らかの手段で共有できるデバイスであれば広く含まれ得ます。たとえば、ウェアラブル端末、通信機器、健康・ライフスタイル機器、車両、スマートホーム製品のように私たちの日常生活に密接に関わるものから、商業・産業プロセスの中核を担う製品まで、対象となり得ます。
もっとも、この定義には重要な例外があります。第三者のためにデータを保存または処理することを主たる目的とする製品は、コネクテッド製品には当たりません。こうした製品は、製品データから何らかの洞察を得るためのものではなく、純粋に外部委託されたITインフラとして機能するためです。そのため、サーバー、クラウドインフラ、これに類する製品は対象外となります。
コネクテッド製品の製造業者は、その設立地にかかわらず、当該製品をEU市場に投入する限り、データ法の適用対象になります。
3.2 コネクテッド製品関連サービスの提供者
あるサービスがコネクテッド製品に「関連するサービス」といえるためには、そのサービスが当該製品の動作や挙動に影響を及ぼす必要があります。つまり、そのサービスを通じて製品の動作を制御できなければなりません。そのためには、単に製品からデータを読み出すだけでは足りず、製品に対してデータや命令を送る双方向の通信が必要です。
たとえば、デバイスが収集したデータに基づいて治療内容を調整する医療機器、照明・温度・入退室を制御するスマートホーム機能、センサーデータに基づいて製造ロボットの保守を行うサービスなどが、関連サービスに該当します。
また、関連サービスの一例として、バーチャルアシスタントも明示的に挙げられています。利用者がバーチャルアシスタントを通じてコネクテッド製品とやり取りする中で生成されるデータも、データ法の対象になります。なお、関連サービスの提供者は、コネクテッド製品の製造業者と同一であることも少なくありません。
3.3 利用者
「利用者」とは、EU域内に所在し、当該製品を所有している者、または契約に基づいて一時的に利用する権利を有する者をいいます。たとえば、製品を賃借またはリースしている者も含まれます。つまり、データ法は、企業間取引(B2B)だけでなく、企業対消費者取引(B2C)にも適用されます。
利用者には、データ法の下でさまざまな権利が認められています。主なものは次のとおりです。
- 生成されたデータへのアクセス
- 第三者とのデータ共有、すなわちデータポータビリティ
- 製造業者や関連サービスに対するアカウント削除およびデータ消去
- データへのアクセス、利用、共有の停止
- 紛争解決手続へのアクセス
- 不公正な契約条項やロックインに対する保護
- データ処理サービス間の切替え
これらの権利は、所管当局に苦情を申し立てる権利や、裁判所に救済を求める権利によって支えられています。
また、利用者がGDPR上のデータ主体にも当たる場合には、これらの権利はデータ主体の権利を補完する関係に立ちます。その際には、データ保護およびプライバシーに関する権利が優先されます。
3.4 データ保有者
データ保有者とは、データを利用する権利を有し、そのデータを利用者に提供する義務を負う組織をいいます。通常、データ保有者は、製品の製造業者または関連サービスの提供者です。
ここで重要なのは、GDPR上のデータ処理者、すなわちデータ管理者のためにのみデータを処理する者は、データ保有者には当たらないという点です。データ保有者とは、データへのアクセスを支配している組織であり、そのため、コネクテッド製品または関連サービスによって生成されたデータへのアクセス、利用、共有を規律する契約を、利用者との間で有していなければなりません。
なお、公共部門機関はデータ保有者には該当しませんが、公企業は該当し得ます。
3.5 データ受領者
データ受領者とは、利用者以外の主体であって、データ保有者からデータの提供を受ける者をいいます。たとえば、第5条の下では、利用者は自らのデータを第三者に移転するようデータ保有者に指示できます。この場合、データへのアクセスを認められる第三者がデータ受領者に当たります。データ法は、データ受領者がEU域内に所在する場合に適用されます。
データ受領者は、利用者と合意した目的および条件の範囲内で、かつEUのデータ保護法に従ってのみデータを処理しなければなりません。
3.6データスペースの参加者
Common European data spaces は、現時点では業界別に整備が進められている取組みであり、データの集積、アクセス、共有のための共通インフラを提供するものです。データスペースには多様な利害関係者が参加でき、ガバナンスの枠組みについて合意形成を図る場にもなります。その目的は、さまざまなデータスペースを段階的に相互接続し、単一のデータ市場を形成していくことにあります。現在では、農業、エネルギー、ヘルス、観光など、14のデータスペースが存在します。(一覧)
データスペースの重要な目的は、相互運用性を確保することにあります。つまり、データ、データ共有の仕組み、サービスが、異なる分野や目的をまたいでも円滑に連携できるようにすることです。そのためには、データの明確な記述、標準化された形式の利用、データへの容易なアクセス、スマートコントラクトのような自動化手段の実装などが求められます。
そして、データスペースに参加することで、その参加組織にはデータ法が適用されます。
3.7 スマートコントラクトを利用するアプリケーションのベンダー
スマートコントラクトとは、通常はブロックチェーン上で動作するソフトウェアプログラムであり、契約内容を自動的に実行するよう設計されたものです。あらかじめ定められた事象が発生すると、取引などの自動化された処理が実行されます。スマートコントラクトは、データ共有契約を自動的に履行するための手段として位置づけられているため、その適合性を確保する観点から、データ法上の義務はスマートコントラクトのベンダーにも及びます。
4. 例外
データ法には、法全体の適用範囲、また場合によってはデータ共有義務そのものを制限する重要な例外がいくつか設けられています。なかでも特に重要なのは、次の点です。
4.1 小規模企業に関する例外
実務上もっとも影響が大きいのは、中小企業に関する例外でしょう。一定の小規模事業者については、コネクテッド製品のデータ共有義務が免除されます。第7条第1項は、小規模企業および零細企業の双方をデータ共有義務の対象外としています。この例外は、従業員数が50人未満で、かつ年間売上高または年間貸借対照表総額が1,000万ユーロを超えない企業に適用されます。もっとも、その企業がこれらの基準を超える企業グループに属している場合や、より大きな企業の下請として機能している場合には、一定の場合に再び義務が適用され得ます。
また、中規模企業、すなわち従業員数が250人未満で、年間売上高が5,000万ユーロ以下、または年間貸借対照表総額が4,300万ユーロ以下の企業については、第7条第1項に基づき一定の経過措置があります。中規模企業は、その区分に該当してから1年未満である場合にはデータ開示義務を免れ、さらに、その製品についても市場投入後1年間は免除が認められます。
4.2 その他の例外
データ保有者は、当該データの安全性を確保するための措置について合意がない場合、または第三者が営業秘密を保護するために合意された措置を実施していない場合には、データの提供を拒むことができます。さらに例外的な場合には、営業秘密を開示することで重大な経済的損害が生じるとき、データの提供を差し控えることも認められます。
また、前文15は、データ法が対象とするのはRawデータと、それを理解・利用しやすくするために処理したデータであると説明しています。他方で、複雑なアルゴリズムや独自アルゴリズムによって処理されたデータは対象外です。したがって、たとえばRawデータから導かれたインサイトや予測結果まで共有する義務は、原則として課されません。
さらに、他の多くのEU法と同様に、データ法にも公的機関に関する一定の例外があり、特に刑事訴追や公共の安全に関する場面で特則が設けられています。
最後に、製品データを初期設定の段階から利用者に提供可能な状態にしておく義務は、2026年9月12日以降に市場投入される製品にのみ適用されます。この点は、企業規模にかかわらず共通です。
EUデータ法に基づく義務への対応について支援が必要な場合は、ぜひ無料相談をご予約ください。Prighterがどのようにサポートできるかをご案内します。