欧州データ法の概要と企業に求められること

2023年11月、EUにおいて「欧州データ法（Data Act：以下、データ法）」が正式に成立しました。個人情報保護を主眼とするGDPR（General Data Protection Regulation：欧州データ保護規則）とは異なり、データ法は非個人情報を含む全てのデータを対象に、IoT（Internet of Things）製品やコネクテッド機器を取り扱う企業に新たな義務を課しています。2025年9月の適用開始を控え、EU市場でビジネスを手掛ける日本企業にも早急な対応が求められます。ここではデータ法の概要と、コネクテッド製品を提供する企業が実務上取り組むべき具体的対応策について解説します。

登壇者

PwCコンサルティング合同会社
マネージャー
藤田 和也

制定背景から読み解く欧州データ法の目的

最初にデータ法の成立背景を説明します。

データ法は、EUが掲げる「デジタルデータ戦略」に基づいて制定されました。同戦略の狙いは、産業データの取り扱いに対する主導権を欧州自らが確立することです。現在、産業データの多くは米国を中心とする一部の大規模企業に集中しており、欧州域内で十分に活用されていないという課題があります。このままでは競争力や技術革新で不利な立場に置かれる懸念があるため、データ法ではこうした状況を是正し、欧州域内でのデータ利活用を拡大することを目指しています。

特に注目すべきは、IoT製品などから生成される非個人データの活用です。

GDPRは、個人データのみを規制対象としており、主にB2C領域での対応が求められています。一方、データ法では個人に紐付かない非個人データも規制対象になります。これにより、これまでGDPRの規制対象外だったB2B企業にも、データの提供義務や管理責任といった新たな対応が求められるようになります。

データ法のもう1つの大きな特徴は、「データの自由な流通とポータビリティの推進」です。

ユーザーは、自らに関連するデータを容易に他のサービスプロバイダーへ移行できるようになります。特にIoT製品を利用したサービスでは、異なる事業者間でスムーズなデータ移転を実現できるよう、企業は体制と技術基盤を整備する必要があります。

2025年9月の適用開始に向け、企業はユーザーからのデータ提供・削除要求に迅速かつ適切に対応できる体制を構築するとともに、利用しやすいフォーマットでのデータ提供やリアルタイムアクセスへの対応も求められます。

IoT製品・サービスが直面する新たな規制とは

次に、データ法の適用範囲と対象となるデータのスコープを説明します。同法の適用範囲は非常に広く、以下の4軸で整理されています。

• 対象製品
  自動車、スマート家電、ヘルスケア機器などのIoT製品および関連サービスが対象。ただし、PCやサーバ、タブレットなどの個人向けデバイスは適用除外。
• データ範囲
  対象製品やサービスを通じて生成される全てのデータが対象、データ種別に限定はなく、アプリケーションで記録される組み合わせ型データも包含される。
• データ保持者
  データを管理・提供する能力を持つ主体。製造者はもとより関連サービス事業者も包含される。
• ユーザー
  対象製品やサービスの所有者、利用者、またはそれに関連する事業者。

データ法はGDPRと比較し、対象となる製品・サービスや企業の範囲が大きく拡大しているのが特徴です。対象はEU市場に提供される製品やサービスに加え、それらに関わる提供者・利用者だけでなく、二次利用可能なデータを保有する事業者や、データを受領する側まで広がっています。

また、クラウドサービスやエッジコンピューティングサービスなどのデータ処理業者も、規制対象となります。こうした状況からもEU域内で事業を展開する日本企業は、該当する製品・サービスを提供している場合、十分な準備と法令順守体制の構築が不可欠なのです。

ユーザーデータへのアクセス権と提供義務

ここからは、ユーザーデータへのアクセス権について説明します。

データ法の中核的な要件の1つは、ユーザーに対するデータアクセスの権利です。前述のとおり、IoT製品や関連サービスのユーザーは、製品から生成されるデータへのリアルタイムアクセスを請求できるようになります。これに対応するため、製造業者やサービス提供者は、以下の条件を満たした形でデータを提供しなければなりません。

• 技術的に利用可能な形でのリアルタイム提供
• 無料かつ安全な提供
• 必要かつ適切な形式での提供
• 一般的な読み取り可能フォーマットの使用

これらの要件は、GDPRのデータポータビリティ規定に類似しており、ユーザーの権利を一層強化することを目的としています。ただし、全てのアクセス要求に無条件で応じる必要はありません。人的安全に重大な影響を及ぼす場合や、営業秘密が関係する場合など、例外的にアクセスを拒否できるケースも認められています。

また、製品やサービスの提供者には、契約締結前にデータ取り扱いに関する情報をユーザーに明示する義務も課されています。具体的には、契約書、マニュアル、仕様書などに、以下の事項を記載し、事前に提示する必要があります。

• 製品が生成するデータの種類・形式・量
• データの生成が継続的か否か
• データの利用目的や第三者提供の有無

現時点でこれらの情報提供が不十分な場合には、既存文書の見直しや改訂が必要となります。

さらに、IoT製品では複数のサービス事業者が関与することが多いため、データ法はこうした関連事業者にも通知義務を課しています。サービス提供者は、ユーザーに対して以下の事項を明確に説明しなければなりません。

• 利用するデータの性質とアクセス方法
• データの使用目的（自己利用か第三者利用か）
• データの保持期間や取り扱い方法

なお、複数の事業者が関与する場合でも、各主体が責任を持って情報提供を行う体制を整備しておくことが求められています。

データ提供義務の3原則 は「無料」「安全」「利便性」

次に、データ法が規定するデータ提供義務とスイッチング義務について、企業が実務上対応すべきポイントを整理します。

データ提供義務

データ保持者には、ユーザーの要請に基づき、データを第三者へ提供する義務が課されています。この場合、単にデータを引き渡すだけではなく、以下の原則を満たす形でスムーズかつ安全に提供しなければなりません。

• 無料で提供すること
• 安全かつ適切な形式で提供すること
• 利用者が容易に読み取れるフォーマットで提供すること

例外として、開発中のテスト製品に関するデータや、営業秘密に該当する情報は提供義務の対象外となります。ただし、営業秘密に関しては、単に該当するからと言って無条件に提供義務が免除されるわけではありません。データ保持者は、合理的な範囲で以下の措置を講じた上で、対応することが求められます。

• 営業秘密部分を特定し、開示範囲を限定すること
• 提供先との間で秘密保持契約（NDA）を締結すること
• アクセス制御や暗号化など、技術的・組織的な安全対策を実施すること

また、データを受領した第三者には、ユーザーとの合意目的の範囲内でのみデータを利用させ、再提供を禁止する義務が課せられます。こうした条件は、あらかじめ契約書に明記しておくことが重要です。

さらに、データ提供に関する契約整備も不可欠です。契約書には、以下の3つの要素を盛り込む必要があります。

• 提供条件の明記（データの内容、提供範囲など）
• 不正利用や漏洩防止策の明文化（セキュリティ対策やアクセス管理）
• 緊急時対応策（自然災害や安全保障上の例外規定）

これらの要素を明確に契約文書に定め、適宜見直し・更新することは実務上不可欠です。

スイッチング義務

データ法は「スイッチング義務」も規定しています。これは、ユーザーが利用中のクラウドサービスやエッジサービスを他の事業者へ切り替えたいと希望した場合に、サービス提供者が無償かつ迅速に対応しなければならないという義務です。

GDPRにもデータポータビリティの規定はありますが、個人データ保護を主眼とするものであり、スイッチング義務までは明示されていません。これに対し、データ法はクラウドやエッジサービスを含むデータインフラ市場の競争促進を強く意識しており、より実務に直結する形で企業に対応を求める内容となっています。

GDPRとの違いを踏まえた実務対応策

データ法は、GDPRと同様にEUが制定した包括的なデータ規制ですが、その目的、対象データ、求められる対応には大きな違いがあります。ここでは両制度の主な相違点と共通点を整理し、対応上のポイントを解説します。

まず対象データの違いについてです。GDPRは個人を特定できる情報を対象とし、その保護を目的としています。一方、データ法は非個人情報を主たる対象とし、特にIoT製品から生成される産業データ全般を適用範囲に含みます。このため、これまでGDPRの規制対象外だったB2B企業や、製造業・物流業なども新たな対応が求められることになります。なお、個人情報と非個人情報が混在する場合には、両制度それぞれに準拠した対応が必要となる点にも注意が必要です。

スイッチング義務についても両制度には違いがあります。データ法では、ユーザーが利用中のクラウドサービスやエッジサービスを他の事業者へ切り替えたいと希望した場合、サービス提供者が無償かつ迅速に対応することが義務付けられています。GDPRにもデータポータビリティの規定は存在しますが、個人情報保護の観点から部分的に認められているにとどまります。これに対してデータ法は、データインフラ市場における競争促進を強く意識しており、より実務に直結する要求が加えられています。

GDPRが主に企業と個人の関係に焦点を当てているのに対し、データ法では製品提供者、サービス事業者、データ保持者、第三者提供先など多様な主体が規制対象となります。特にIoT製品のサプライチェーンでは、複数事業者間でのデータ移転が発生するため、各主体の責任と役割の明確化が必要です。

このため、契約実務にも新たな対応が必要です。第三者に提供されるデータはユーザーとの合意目的の範囲内でのみ利用できることや、再提供を禁止することなどを契約上明確に規定する必要があります。これらはGDPRにも一部共通する考え方ですが、データ法では対象範囲がより広く、実務への影響も大きいため、契約書や関連ドキュメントの見直し・整備がより重要となります。

なお、データ法とGDPRは相互補完的な関係にあり、いずれか一方にだけ対応すれば良いというわけではありません。企業は取り扱うデータの種類に応じて、両制度それぞれへの対応を適切に行う必要があります。実務上は、以下の4点を中心に体系的な対応が求められます。

• 自社が取り扱うデータの種類（個人情報／非個人情報）の明確な分類と把握
• 各種データの保有主体、受領者、提供先の洗い出しと関係性の整理
• ステークホルダーごとの契約内容や通知義務の包括的な見直し
• データのスイッチングやポータビリティに関する具体的な対応フローの確立

両制度への対応の鍵は「データの可視化」と「責任主体の明確化」です。これらの取り組みは法令遵守だけでなく、データを経営資産として戦略的に活用し、企業競争力を強化するための基盤にもなるのです。

日本企業に求められる行動指針とは

EU域内で製品やサービスを展開する日本企業も、データ法への対応が不可欠です。特にIoT製品や関連サービスを提供する企業は実務への影響が大きく、早急な対応が求められます。ここでは優先して取り組むべき対応を、3つの観点から整理します。

1. 契約文書の整備――通知義務・スイッチング・第三者提供の明文化

対応の第一歩は、必要事項を正確に反映した契約文書の整備です。製品マニュアル、利用規約、サービス契約、データ処理契約などに、生成されるデータの種類・形式・量、各当事者の責任範囲などの情報を正確に盛り込むことが求められます。また、ユーザーからのデータ提供請求への対応方針、第三者提供の制限事項、スイッチング要求時の手続きも明文化してください。これらは法的義務の履行と将来の紛争防止に直結します。

2. 運用体制の構築――社内連携と実行プロセスの明確化

実務に即した社内体制の構築も不可欠です。ユーザーからのアクセス要求に対応するフローを整備し、データ提供・削除・スイッチングの技術的手順を確認する必要があります。法務、開発、営業、カスタマーサポートなど部門横断の連携を強化し、営業資料や仕様書も契約前告知に対応できるよう更新体制を整えます。特にIoT製品は複数レイヤーにまたがるため、全社的に一貫した対応が重要です。

3. 当局・ユーザー対応体制の整備――リスクへの備えと透明性確保

データ法違反には、EU加盟国当局による制裁や是正命令が科される可能性があります。海外企業であっても規制対象となるため、当局からの調査・問い合わせ対応フローを事前に策定し、ユーザーからの苦情や開示請求への対応方針も整備する必要があります。さらに、自然災害や安全保障事由に伴う例外対応、越境データ移転に対する慎重な対応、地政学リスクを踏まえた備えも不可欠です。

データ法対応は規制順守だけでなく、自社のデータ活用基盤強化の機会でもあります。まず自社製品・サービスがデータ法の対象に該当するか確認し、取り扱うデータの種類・保持者・共有先を整理しましょう。通知義務・スイッチング義務・契約条件の現状確認とギャップ分析を行い、社内の法務、IT、営業、カスタマー部門との連携体制を整えることが重要です。グローバル市場での競争力確保のためにも、早期の準備が不可欠です。