1.EUデータ法(Data Act)とは
欧州連合(EU)のデータ規制である、EUデータ法は、インターネットに接続するコネクテッド製品の製造者および関連サービスの提供者に広範な影響を及ぼします。
フィットネスバンドからスマート家電、自動車から工業生産施設に至るまで、その多くが利用状況や環境に関するデータを収集・生成・発信しています。多くの場合、これらの産業データはコネクテッド製品の製造者のためのものであり、欧州委員会によると、そのデータの80%は一度も使用されていません。しかしながら、この膨大な埋没データは、人工知能(AI)の訓練、革新的な開発、より効果的な製品メンテナンスなどに対して、大いに活用できる可能性があります。この状況を受けて、データ活用の妨げとなっている法的、経済的、技術的な障害を取り除くことも、欧州のデータ戦略においては重要な関心事項となっています。
EUデータ法(データへの公平なアクセスと利用のための調和された規則に関する規則:データ規制)は、2023年12月22日にEU官報に掲載され、原則として2025年9月12日に施行される予定です。コネクテッド製品および関連サービスの提供者は、施行までの準備期間を活用する必要があります。
2.EUデータ法における主な対応事項
EUデータ法は、コネクテッド製品を購入、レンタル、またはリースする企業および消費者に対し、その製品または関連サービスによって生成・収集されたデータへ安全にアクセスできる機会を提供します※1。これは、EU一般データ保護規則(GDPR)におけるアクセス権における複製物の提供に関する規定※2よりもさらに広範な内容となっています。また、EUデータ法の適用範囲には、個人データだけでなく非個人データも含まれます。なお、データへのアクセスについては、リアルタイム、かつ消費者やサードパーティの要求に応じて継続的に可能とするべきとされています。
なお、データへのアクセス機会の提供に関して、小規模・零細企業に対しては一部軽減措置が規定されている※3ものの、小規模・零細企業以外については原則として準拠する必要があることから、将来的に、新規のコネクテッド製品や関連サービスについては、消費者がデータに容易に、かつ直接的にアクセスできるように設計・開発する必要があると考えられます(アクセスバイデザイン)。
また、製造者は、生成されるデータの範囲や種類、ユーザーがデータにアクセスする方法、第三者が利用する方法などについて、透明性の確保および情報通知に関する義務を負います。さらに、EUデータ法は関連する契約条項の検討についても多くの要件を含んでおり、欧州委員会よりEUデータ法に対応するモデル契約条項も今後提供される見込みです。
個人データに関しては、EUデータ法はGDPRを補足する位置づけであるため、GDPRにおける個人データ保護の規定に関して影響を及ぼす内容とはなっておらず、特にデータの取扱いに関する法的根拠について新しい根拠を追加するものではありません。したがって、EUデータ法に基づいた特定のデータ提供義務の対象については、当該データが特定の個人にどの程度関連しているかに依存します。また、EUデータ法は、営業秘密の保護のための技術的・組織的・契約的保護措置の段階的な対策を規定しており、企業の営業秘密を保護するのみの目的でデータ開示を拒否することは、例外的な場合で、かつ監督機関に通知した場合に限り認められます。
さらに、EUデータ法においては、データ処理プロバイダー(特にクラウドやエッジサービス)に対する新しい技術的・組織的・契約的要件も含まれています。これは主に消費者がプロバイダーを簡単に変更できることを可能にするほか、第三国当局によるアクセスから非個人データを保護することを目的としています。
3.EUデータ法に関する今後の見通し
EUデータ法は、各国の国内法への移行を必要とすることなく、2025年9月12日からすべてのEU加盟国に直接適用される予定です※4。原則として、この要件は過去の製品およびデータベースにも適用されます。GDPRと同様に、特定の状況下では欧州以外の企業にも適用され、違反した場合、世界(グループ)の年間売上高の最大4%の罰金が課されます。
EUデータ法の施行に伴い影響を受ける企業は、非常に幅広い準備を行う必要があります。たとえば、関連するデータの正確な収集と分類、データ提供に関する技術的・組織的問題の解決、データと営業秘密の保護、セキュリティ対策、契約条項の検討や透明性確保の検討などが挙げられます。GDPRや営業秘密法など、他法律を遵守するための措置をEUデータ法への遵法根拠として用いることができる場合もありますが、施行までの期間は短くなっており、早急な対応が必要となっています。
KPMGでは、データ規制およびプライバシー保護対応の支援実績を多数有しています。
EUデータ法の詳細や対応についてのご相談は、ページ右上のフォームよりお気軽にお問い合わせください。
※1 公的機関に対するアクセスの権利も、狭い範囲内では認められるが、自然災害の場合のような例外的な状況においてのみ認められる (EUデータ法 第14条以下)。
※2 GDPR第15条第3項参照。
※3 これは、従業員数が50人未満で、年間売上高または年間貸借対照表が1000万ユーロ(ただし、当該会社が小規模もしくは零細企業と認められないパートナー会社もしくは関連会社を有する場合、または当該会社が当該製品の製造・開発もしくは当該サービスの提供を委託されている場合は、この限りでない)を超えない企業を意味する。(EUデータ法 第7条第1項、第2条第25号および第26 号、勧告2003/361/EC附属書第2条)中規模企業(従業員数250人未満、年間売上高5000万ユーロ未満、または年間貸借対照表4300万ユーロ未満)については、1年未満の中規模企業の資格基準を超えた場合、または中規模企業の関連製品が市場に出てから1年未満の場合にのみ、軽減措置が適用される(EUデータ法 第7条第1項、勧告2003/361/EC附属書第2条)。
※4 「アクセスバイデザイン」義務には例外があり、これは2026年9月12日以降に市場に投入された関連製品および関連サービスにのみ適用される(EUデータ法 第50条)。
本稿は、KPMGドイツが2024年1月に発表した「Data Act: Governance for connected products」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
全文はこちらから(英文)
