{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
欧州データ法1が2023年11月9日、欧州議会において圧倒的賛成多数により成立しました。この法律は、EUにおけるデータの利用を促進するために策定された2020年の欧州データ戦略2の一環として、データガバナンス法とともに提案されたもので、データを通じた価値創造への投資の促進、消費者や企業によるデータ(特にIoTにより生成されるデータ)へのアクセスと利用を促進することを目的としています。そのため、IoT製品製造事業者に対し、一定の制約を課すことになります。この法律の対象製品はIoT製品などのコネクテッド製品(以下「IoT製品」)となっており、自動車、スマート家電、医療・ヘルスケア機器、産業機械など多くの分野にわたります。一方、PC、カメラなど人間のインプットを必要とする製品は対象外となっています。
この法律は、企業が自社製品のデータを利活用するにあたって制限がかかる可能性があるため、欧州でビジネスを展開する製造者または関連サービス提供者は、経営課題として取り組む必要があります。特に、利用者のデータへのアクセス、第三者との共有、サービスの切り替えなどの権利保障は、IoT製品の設計ないしデータの処理、アフターサービスなど従来のIoTビジネスモデルに変革をもたらす内容となっています。
また、この法律はデータガバナンス法3などその他のデータ関連法規制と相互に補完し合う関係となっています。そのため、個人情報を取り扱う機器などの場合には、同時にGDPRの適用対象となる可能性があるので、注意が必要です。
欧州データ法における対象製品は、データを収集、生成し、伝送するIoT機器となっており、自動車、スマート家電、医療・ヘルスケア機器、産業機械など多くの分野にわたります。一方、PC、タブレット、カメラ、スキャナーなど、コンテンツを記録し、送信する目的で設計され、コンテンツを創出するために人間のインプットを必要とする製品は対象外となっています。
対象データは、IoT製品の使用によって生じるデータのみならず、センサーによって自動生成されるデータや、ハードウェアの状態や故障などを示すアプリケーションを含む組み込みアプリケーションによって記録されるデータなど、IoT機器が生成する全てのデータになります。また、IoT機器に関する関連サービスの提供によって生成されたデータも含まれます。
欧州データ法の適用対象者は以下のとおりです。製造者は、自社製品や関連サービスによって生成されるデータの取得の有無などにより、複数の対象者に当てはまる可能性があります。
また、欧州域内に向けてIoT製品や関連サービス、データ処理サービスを提供している場合、欧州域外の組織であってもデータ法の対象者として、その適用を受けることになります。
欧州データ法は、対象製品や関連サービスを利用することで生成された対象データについて、製品利用者はデータへのアクセス、第三者との共有などの権利を有すると定めています。利用者のアクセスについて、データの保有者は以下のとおり2つのパターンで対応する必要があり、いずれも従来のIoT製品の設計またはビジネスモデルの再考を促す内容になります。
利用者のアクセスについて、アクセスに関する認証情報以上に過剰な情報を求めたり、またはUIダークパターンにより妨害したりすることは禁止となります。一方、データ保有者の営業秘密にかかわる場合、利用者と約定のうえ、営業秘密を保護する形で提供することは認められています。また、データ保有者の営業秘密を過度に侵害するような場合、拒否することの正当性を立証できる前提があれば、利用者のデータへのアクセスを拒否することができます。
利用者は、自らデータへアクセスすることのみならず、データ保有者に対して第三者とデータ共有することを要求することができます。そのため、利用者から第三者とデータ共有の要求があった場合、データ保有者は不当な遅滞なく、完全かつ無償で、構造化されたデータを一般的に使用可能、または機械読み取り可能なフォーマットで提供しなければなりません。技術的に可能な場合、継続的かつリアルタイムで提供する必要があります。
一方、第三者に対して、データの使用目的の開示、再提供の禁止、営業秘密の保持などの制限を設けることは可能です。
製造者や関連サービス提供者、レンタル事業者、リース事業者は、そのIoT製品を販売したり、リースなどの契約を締結したりする場合に、必要な情報を明確に分かりやすく伝えることが求められます。
欧州データ法における「スイッチング」とは、クラウドサービスやエッジサービスを含むデータ処理サービスの利用者が、サービスの最小限の機能を維持しながら、業務遂行に障害のない条件下においてデータ処理サービスを他社サービスに切り替えること、または1社から複数の事業者のサービスを同時に利用できるようにすることを指しています。このようなスイッチングに関して、データのスムーズな移行などを保障すべく、欧州データ法はその関連契約の条項などについて詳細な規定を設けています。
スイッチング制度は、IoT製品や関連サービスの利用者が、IoT製品関連サービス事業者を自由に切り替えることを可能にしており、独自で関連サービスを提供してきた製造者や関連サービス提供者にとっては、今までにない競争環境をもたらすことになります。
自然災害などの緊急事態が発生した場合、欧州の公的機関の要請に応じて、関連データを提供する場合があります。
データ処理プロバイダーは、EU加盟国の法に違反するようなデータアクセスおよび転送を第三国政府が行うことを防ぐため、契約上の合意を含む、適切な技術的、組織的ないし法的措置を講じる必要があります。
欧州データ法は、違反行為に対する罰則規定の制定をEU加盟各国に委ねています。一方、IoT製品が取り扱う個人情報に関しては、高額な罰則を伴うGDPRに準じています。
欧州データ法は、コネクテッドカー、スマート家電、医療機器、農機建機その他産業機器など幅広い領域におけるIoT製品の設計から運用ビジネスモデルまで、その変革を迫っています。
欧州でビジネス展開している場合、IoT製品利用者の権利に対応する設計や規程を整備し、第三者とのデータ共有やサービス切り替えに関する合意に関する同法の想定に対応する必要があります。
1 Data Act,2023/11/29閲覧,https://www.europarl.europa.eu/doceo/document/TA-9-2023-0385_EN.pdf
2 A European Strategy for data,2023/11/29閲覧,https://digital-strategy.ec.europa.eu/en/policies/strategy-data
3 PwC,信頼性を確保したデータ流通の促進── EUデータガバナンス法によるデータガバナンス,2023/11/29閲覧,https://pwc.to/3Hu1Odv