デジタル技術の発展により、現代のヒトやモノが生み出すデータは膨大な量となっており、業界を問わずデータの利活用が企業の競争力に直結する時代となっています。また、この傾向はAIの台頭やIoT機器の普及により今後さらに加速することが予想されます。
この状況を受けて、各国・地域の規制当局はデータ関連法規制の整備を急ピッチで進めています。その目的は個人の基本的権利の確保、データ流通促進による経済の発展、安全保障への寄与など多岐にわたっており、結果としてデータに関する法規制が各地で多様化する傾向にあります。
現代における「データ」とは、AIシステムが生成するデータ、IoT機器が発信するデータ、そして顧客・従業員の個人データなど、その内容は非常に広範であることから、グローバルビジネスを展開するほとんどの日本企業において、多様化するデータ関連法規制への対応を迫られることになります。
本シリーズではグローバルビジネスを展開する企業が把握すべき、世界のデータ関連法規制の最新動向について解説します。
1.概況
欧州連合(EU)はデータ関連法規制の整備に最も積極的な地域の1つであり、2018年には一般データ保護規則(GDPR)が施行され、多くの日本企業が対応に追われました。また、直近では2024年5月にAIに対する規制(AI Act)を成立させました。AI ActはAIに対する包括的な規制であることから注目されており、GDPR施行を契機として他国・地域の規制当局が個人データ保護法の整備を進めた過去と同様に、これに追随してAIに関する規制が他国・地域において施行されることも想定されます。
第1回である本稿では、データ関連法規制の整備において先進的地域とも言うべき、EUの動向を紹介します。
2.EUのデータ戦略
EUのデータ関連法規制の背景には欧州委員会が2020年2月に公表した「欧州データ戦略」があります。本戦略は、データの持つ重要性が高まる社会において、EUがその主導的な役割を担うべく、競争力強化に向けたデジタル市場の形成を目標に掲げています。
また、その形成にあたっては、個人の基本的権利を確保し、人間中心である社会の維持を目指すと同時に、域内での積極的なデータ流通を促進し、イノベーションを創出することも目指しています。
本戦略では特に以下の8つが課題として挙げられており、その対応にあたって後述のような複数のデータ関連法規制が施行されている状況です。
【図表1:欧州データ戦略で掲げられた主な課題】
| 1.データの可用性の向上 | 5.データに関するインフラの強化 |
| 2.デジタル市場の不均衡の是正 | 6.個人の権利行使強化 |
| 3.データ共有の促進 | 7.個人のスキル向上 |
| 4.データガバナンスの強化 | 8.サイバーセキュリティの強化 |
3.EUにおける主要なデータ関連法規制
個人の基本的権利の確保とデータ流通の促進を両立させる仕組みを法的枠組みとして構築するため、EUはさまざまな側面からデータ関連法規制を施行しています。現時点において、その代表的な分類と主要な法規制は以下のように整理することができます。
【図表2:EUの主要なデータ関連法規制の分類】
出所:KPMG作成
これらの法規制を時系列で整理すると、EUはその政策を個人の権利確保や脅威への対応などの「保護」を目的とした方針から、データ流通の促進やテクノロジー導入に係る枠組み整備などの「利活用」を目的とした方針へ徐々に転換させていると捉えることもできます。そのため、EU市場への製品・サービスの展開にあたっては、セキュリティ対策などの保護措置のみではなく、利活用の枠組みに適合するような規格や対策を検討する必要があります。
【図表3:施行スケジュール】
出所:KPMG作成
各分類における、主要な法規制の概要については、下表のとおりです。
【図表4:EUの主要なデータ関連法規制の概要】
| 分類 | 法規制名 | 発効/施行(予定含む) | 概要 | 制裁金(最大) |
|---|---|---|---|---|
| 個人データ保護 | General Data Protection Regulation (GDPR) | 2016年発効 2018年施行 | EU域内の個人データを取り扱う事業者に適用され、データ主体の基本的権利の確保を目的として、データ処理に関する情報通知や、域外への個人データ移転に関する制限などを規定 | 2,000万ユーロまたは前年度における全世界総売上高の4%のいずれか高い方 |
| 製品セキュリティ | Cyber Resilience Act(CRA) | 2024年発効 2026年より順次施行 | EU域内にデジタル要素を含む製品を製造する事業者に適用され、サイバー攻撃への脆弱性を是正し、利用者の安全を確保することを目的として、当該製品に対するセキュリティ保証などの義務を規定 | 1,500万ユーロまたは前年度における全世界総売上高の2.5%のいずれか高い方 |
| データシェアリング | Data Act | 2024年発効 2025年より順次施行 | EU域内にIoT製品などのコネクテッド製品を提供する事業者やクラウドサービスを提供する事業者に適用され、産業データ活用を目的として、利用者への情報通知や企業間のデータ共有ルールを規定 | GDPRに準じる |
| テクノロジー対応 | AI Act | 2024年発効 2025年より順次施行 | EU域内にAIシステムを提供する事業者や、AIシステム搭載製品を製造する事業者に適用され、個人の権利確保とAI導入のバランスを取ることを目的として、AIシステムのリスクに応じた実施義務を規定 | 3,500万ユーロまたは前年度における全世界総売上高の7%のいずれか高い方 |
| デジタルマーケティング | Digital Services Act(DSA) | 2022年発効 2024年施行 | EU域内にサービスを提供するオンライン仲介事業者に適用され、有害なコンテンツや偽情報の拡散を防止し、利用者の安全を確保することを目的として、適切な情報通知や子どもの保護などの実施義務を規定 | 前年度における全世界総売上高の6% |
| サイバーセキュリティ | NIS2 Directive | 2023年発効 ※Directiveであるため、今後加盟国の国内法が改正予定 | 重要インフラなど特定分野における事業者に適用され、サイバー攻撃の脅威への対応水準の引き上げを目的として、セキュリティ対策の実装やインシデント発生時の報告など実施義務を規定 | 最大で1,000万ユーロまたは前年度における全世界総売上高の2% |
4.まとめ
EUにおけるデータ関連法規制の大きな特徴として、デジタル市場の形成に向けたデータの「保護」と「利活用」を両立させるべく、非常に広範な側面から多数の法規制が施行されていることが挙げられます。したがって、EU市場への展開にあたっては、対象となる製品・サービスに複数の法規制が適用されるケースがあるため、注意が必要となります。
また、各法規制における違反時の制裁金が非常に高額であることも特徴の1つです。経済的なインパクトの大きさはもちろんのこと、違反に伴うEU域内外の報道等によって、レピュテーションの低下も懸念されます。そのため、EU市場を目指す企業においては、対象となる製品・サービスについて、主要なデータ関連法規制への該当性を確認し、法規制遵守にあたっての具体的対策を講じる必要があります。
さらに、今後もさまざまなデータ関連法規制が厳格化・新設されることが予想されるため、製品・サービス上市に向けた単発的な施策だけで終わらせず、法規制の動向をモニタリングし、対策を継続的に更新する体制整備も必要となります。
このような複数の法規制への対応は労力を要しますが、前述のとおりEUに追随して他国・地域の規制当局が類似した法規制を整備する可能性も想定されることから、EU市場対策で確立した手法を他地域にも転用できることは1つの利点として考えられます。
KPMGでは豊富な知見をもとに、EUをはじめ世界各国・地域のデータ関連法規制に関するサービスを提供しています。詳細は以下「関連サービス」をご参照ください。
執筆者
KPMGコンサルティング
シニアコンサルタント 二原 経太
関連リンク
各国・地域のデータ関連法規制に関する記事・サービスを紹介します。ぜひあわせてご覧ください。
