【インタビュー】日本企業が取るべきEUデータ関連規制への対応

昨今、欧州連合（以下、EU）をはじめ、多くの国でデジタル関連法規を厳格化する動きが広がっています。

2018年に施行のEU一般データ保護規則（General Data Protection Regulation、以下、GDPR）と同様、EUのデータ関連規制を政策的に追従する国が増えてくるものと想定されます。日本企業はどのように規制に対峙するべきか、KPMGコンサルティングのパートナーである勝村 学に聞きました。

―デジタル関連法規の世界的な潮流について、どのように捉えていますか。また、EUのデータ関連規制は他国にどのような影響を与えるでしょうか。

勝村：各国のデジタル関連法規が達成しようとする目標には、大きく分けて4つの区分があると認識しています。

第一に、「プライバシーの尊重」です。基本的人権としてのプライバシーを保護し、また個人データを自身でコントロールする権利を保障することを目的として2018年にGDPRが施行され、これを起点に世界各国で個人データ保護法令の制定・改定が進みました。

第二に、「サイバー攻撃への対処」です。主に重要インフラ関連の産業や製品、データの保護に焦点を当てたサイバーセキュリティ規制が存在感を増しています。ただし、国や地域はまだ限られており、影響を受ける産業も現時点では限定的です。

第三に、「消費者の保護」です。オンラインでの取引やプラットフォームを通じたサービス提供の規模は増すばかりですが、それを円滑に行うための制約や適切なコンテンツの配信に関する義務を企業に課すことにより、インターネット利用の安全性を高めています。

第四に、「産業政策としてのデータ活用」です。各国の企業で事業活動を通じて生成される産業データを対象に、特定の経済圏でその活用を促進するため、企業が保有するデータへのアクセスや事業者間のデータ共有などを求める規制も今後、各国や地域において整備されることが予想されます。

これらの規制の区分は各国で大きな差異がない印象ですが、各国が標榜するデジタル政策の方向性はやや異なります。これを企業におけるリスク管理の観点で捉えるならば、単に各々の規制を遵守していくことだけでなく、政策的な背景も踏まえた継続的な情報収集と正しい解釈、計画に基づいたアクションを可能にする態勢作りが欠かせないでしょう。

経済安全保障の文脈では、大きく米中の対立軸で考えることがセオリーですが、デジタル経済の覇権争いにおいては、EUのプレゼンスが非常に高くなっています。ただ、現実的には、EUに追随してできた急速に制定された規制は、その国や地域のデジタル政策とは厳密には紐付いておらず、産業界で混乱を招いているケースも垣間見られます。

たとえば、ある国の個人情報保護規制において、初期の草案段階でGDPRに類似した条項が並んでいたものの、産業界からその国の業務慣行に合わないと多くの反対意見が聞かれ、最終的にはその地域の経済や企業の実態に見合った変更を余儀なくされたようです。しかし、このようなケースは少なくないため、日本企業としては、さまざまな草案が出てきても、可決されるまでは、過剰に慌てないことを肝に銘じる必要があると考えています。

―EUにおけるGDPR以降のデータ関連規制の動向や、産業界の状況について教えてください。

勝村：前提として、EUでは2021年に公表された「2030デジタルコンパス」に基づき、人材育成、インフラ整備、技術活用、公共サービスのデジタル化といった4つのイニシアチブに取り組んでいます。それを背景として、GDPR以降、EUでは多くの規制が、特定のデータやインフラを保護する軸と、デジタル関係の市場や産業を促進する軸の、2つの軸で制定されています。

勝村：たとえば、GDPRは個人データを保護する規制です。また、デジタル市場法（Digital Markets Act、以下、DMA）やデジタルサービス法（Digital Services Act、以下、DSA）は、ビッグテック等の大手プラットフォーマー規制による中小事業者の保護、オンラインコンテンツの適正化による市民の保護を目的としています。

また、サイバーレジリエンス法（Cyber Resilience Act、以下、CRA）やNIS2指令（NIS2 Directive）はサイバー脅威から市民を保護するため、EUに上市される製品やサービスに適切な組織的・技術的な情報セキュリティ対策の実装を求めています。一方で、EUデータ法（Data Act）やデータガバナンス法（Data Governance Act、以下、DGA）、AI規制法（AI Act）はEU市場におけるデータ流通の促進やAI導入に係る法的枠組みの整備を目的としています。

こうしたEUのデータ関連規制において、ほとんどの会社で対応が進んでいるGDPRを除くと、事業会社に対する影響が大きいのは、EUデータ法とAI規制法です。これはEU市場に対して製品やサービスを提供する際、EUで発生したデータを収集する時に規制が適用されます。

なお、EUのデータ関連規制はもう1つの特徴として制裁の罰則金が大きく、違反の際にはその悪質性次第で経営陣・役員の責任問題になる可能性があります。EUデータ法とAI規制法は施行期限が迫っている状況で、EU市場に展開する日本企業にも多くの対応が求められていることから注目が集まっています。

―こうした状況で、デジタル関連法規対応において日本企業が留意すべき点は何でしょうか。

勝村：日本企業が留意すべき点は大きく分けて3つあります。

まず、経営陣が、EUだけでなく各国のデジタル政策が事業に与える影響を理解しておくということです。規制への対応は、製品やサービスの企画から開発・設計、調達、製造、販売、そしてアフターフォローに至るバリューチェーン全体まで幅広く関連し、製品やサービスの仕様や収益モデルなどの変更を余儀なくされる可能性もあるため、事業における売上や費用に直結するからです。

製品やサービスの仕様について、EUと他のエリア向けを柔軟に変更するのは、難しい面もあります。すなわち、EUに向けてどのように規制に対応するかという意思決定は、その事業への影響範囲に関する本質的な理解がないと困難です。

例を挙げるならば、どこかの経済圏で、製品やサービスから発生するデータを共有することが規制の要求事項だったとします。それは従来行われていた、データ規格の独自化による消費者囲い込みを難しくすることを意味し、プロダクトとして新しい価値の提供で競争力を上げることを検討する必要があります。当然こうした事業への影響は経営陣のアジェンダとして、ステークホルダーに説明できる状態でなければいけません。

次に、データ関連規制対応の優先順位付けです。日本ではIT人材が絶対的に不足しており、デジタル規制に対応する専門家が少なく、リソースが極端に限られています。もちろんすべてに対応することはできないので、何らかのロジックで「やらない」ことを決める必要があります。ただし、日本企業で、そうした意思決定が円滑に行われるケースは少ない印象です。

これはあくまで1つの考え方ですが、 コンプライアンス違反の発覚や情報漏洩などインシデントの発生自体は確率論の世界です。それを念頭に、誤解を恐れずに言えば、各国当局における制裁の執行動向を参考にして蓋然性を鑑み、規制の要求事項に濃淡を付けて対応することは理論的に難しい話ではありません。いわば、違反の発覚やインシデント発生の確率が高い部分がどこか、そして発覚時や発生時にどこまで影響があるかを検討し、それに見合った投資として「どこまで対応するか」について、合意形成しておくことが現実的な解決策となると考えています。

最後に、上記の発想とも関連の深い実務対応の重要なポイントとして、規制対応のコストをいかに抑制するかという課題があります。現在はグループ全体としては各社が、社内では各部門が、バラバラに各規制への対応をしているケースが多く、規制調査から対策実施までのプロセスにおいて多くの重複が発生している状況です。

同種の規制が各国で制定されているケースが散見されますが、その制度の趣旨や傾向の大枠の違いを理解していれば、包含したルールを適用する、あるいは差分を検討しローカルルールを参考にするなど、効率的な設計で検討することができます。また、規制の性質や種類が異なる場合でも、情報セキュリティ対策を講じるという点では、ほぼ類似の要求事項が定められていることもあります。共通項があるものに関しては、それを包含したかたちで現場に指示するべきでしょう。事業部門が最も困惑する場面は、同じ要求事項が異なる管理部門から別々のタイミングやフォーマットで指示されることです。

加えて、日本企業では海外市場の獲得を目的として、ローカル企業を買収することが多いですが、統合後に同様の非効率な指示が行われることで、買収先企業の不信感や失望を招くなど、長期的なグループとしてのガバナンス構築に対して影を落としている側面が否めません。こうしたルール展開のデザインをしっかり持つことが必要になってくると考えています。

―「EUデータ法」と「AI規制法」について、EUに展開する日本企業の対応のポイントはいかがでしょうか。

勝村：EUデータ法は、各企業が生み出す膨大な産業データの活用による技術革新の促進を目的としています。データをEU全体で共有できるようにし、データ利活用の側面からEU市場を魅力あるものに強化することがその趣旨となります。要求事項としては、（1）どのようなデータを収集しているかを消費者に伝えること（2）データを一定のフォーマットで取り出せるようにすること（3）同様の製品やサービスにおいてデータ移転できるようにすること、の3点が肝要です。対象範囲に個人情報以外のデータも含んでおり、IoT機器やその関連サービスなど広い範囲での対応が求められます。

AI規制法は、人間に与える影響が大きいと想定されるAIを組み込んだ製品やサービスに関して、継続的にそのリスクを管理する仕組みを備えることを求めています。企業で活用するAIシステムは広範囲にわたるため、自社グループのどこでAIが使われており、EUに提供されているかの観点から、AI規制法への対応の必要性を判断しなくてはいけません。ただし、規制対応の内容が、現在は「品質管理システムの整備」など抽象的であるため、どこまで対応すれば規制の要求事項を満たすかが問題になってきます。

―複数のEUデータ関連規制を考慮すべき事例があれば教えてください。

勝村：EUデータ関連規制において、特にIoT、AIに関連した製品については、GDPR、EUデータ法、AI規制法、CRAなど複数の規制への対応が必要となるケースがあります。たとえば、AIシステムを搭載したドローンを、自社のオンラインプラットフォームに、クラウド上でデータを収集してサービスを提供するといったケースです。

事業遂行におけるサプライチェーンを鑑みると、ドローンを操作するユーザーから個人データを収集するためGDPRに、ドローンに備え付けられたセンサーのデータ収集でIoTを活用するためEUデータ法に、ドローンがAIによって制御されているためAI規制法に、さらにドローン自体のサイバーセキュリティ要件を規定するためCRAに対応するなど、複合的な規制の遵守が必要となります。

勝村：こうした複雑なケースで日本企業においては通常、どの部門が対応をリードするのかといった議論で膠着してしまう状態になるケースが後を絶ちません。まずは状況整理の方向性として、サプライチェーンを横軸、法令・規制を縦軸として捉え、また対応のカテゴリーごとに「誰に対して何をしなければいけないか」を検討し、全社横断のプロジェクトとして集約して進めることで、要求事項の抜け漏れを防ぎながら、効率的な複数の規制への対応が可能となります。加えて、関係部門を代表する責任者を集めて役割分担をコミットさせるようコミュニケーションを誘導していくことが望ましいでしょう。

今後はEUだけでなく、世界の他の地域でもこうした動きになることが予想されます。最終的には、各国の規制にそれぞれ対応するのではなく、企業グループとして可能な限り統一化されたルールで対応することを見据えてロードマップを描いていくべきと考えます。どのような将来像を目指してやっていくかを決めるのは経営マターであり、 経営陣が事業部のトップとともに決める事案ではないでしょうか。

―EUのデータ関連規制にかかわる日本企業に対し、KPMGではどのような支援をしているのでしょうか。

勝村：製品やサービスを軸としてどのような規制がどういった局面で適用されるかを整理してプロジェクトを組成しています。各規制のテーマを起点に縦割りで対応するのではなく、事業ドリブンで各規制の要求事項の重複を排除しながら包括的に実施内容を整理し、グループ全体としてなるべく負荷を抑えて対応を推進することに特徴があります。そのなかでも事業の観点、特に大きく規制の影響を受ける、言い換えれば事業へのインパクトが大きい製品やサービスの保護に経営資源を集中的に投下する発想です。限られたリソースで、効率的に対応していくための有効な手段だと考えています。
　
KPMGの強みは主に2つあると考えています。

まず、日本企業としてEU市場の重要性を鑑みた際に、事業のインパクトから逆算して、規制への対応にどのようなメリットやリスクがあるかの議論を入念に行ってコンセプトが固めるとともに、どのようなコストとスケジュールで実施するのが妥当か判断できる点です。このような構想を、関与者を交えて丁寧かつ冷静に議論をしてプロジェクトの基本方針を明確にしていきます。

もう1つは、規制対応においてルールを策定する管理部門と、ビジネスの推進に責任を持つ事業部門の意思や思惑を充分に理解したうえで、綿密なコミュニケーションを通じて橋渡しすることに重きを置いているところです。管理部門では慎重にルールを作る必要がありますが、事業部門としてはスピード感が優先されるケースが多分にあります。

こうした規制対応のプロジェクトは関与者が多岐にわたり、海外拠点も含むグループ全体での取組みになるので、それを前提に、グローバルの実務経験が豊富なコンサルタントを配置し、必要に応じてKPMG内の各セクターからのメンバー参画や、海外メンバーファームにも協力を要請することで、安定的にプロジェクトを推進しています。こうしたクロスファンクションでのチーム組成で、クライアントに対して価値を提供することができるのがKPMGの最大の特徴と考えています。