第4回：EUデータ法で浮き彫りになる営業秘密の重要性 ―いま企業が取り組むべきデータ管理の課題

欧州データ法（Data Act）における営業秘密の重要性

営業秘密は企業の競争優位性を支える重要な資産であり、経営層には、これをリスク管理の一環として重視し、戦略的に対応することが求められます。本稿では、EUで施行される欧州データ法（以下、データ法）と営業秘密を関連付け、企業が扱うデータの棚卸しと営業秘密として管理することの重要性を解説します。

Section1：データ法の制定背景と概要

データ法は、欧州の国際競争力とデータ主権を確保する単一データ市場の創設を目指してEUが掲げた「欧州データ戦略（A European strategy for data: 2020年）^※1」に基づいて制定されました。現在、欧州域内では、生成されるデータの多くが米国を中心とする一部の大規模企業に集中しており、域内でのデータの利活用が十分に進んでいないのではないかという懸念が指摘されています。そこでデータ法では、このような状況を是正し、欧州域内でのデータ利活用を拡大することを目指しています。

^{※1 欧州データ戦略「A European strategy for data」
https://digital-strategy.ec.europa.eu/en/policies/strategy-data}

具体的には、個人データのみを規制対象とするEU一般データ保護規則（以下、GDPR）とは異なり、データ法では個人に紐付かない非個人データも規制対象としており、主にIoT（Internet of Things）製品やそれらを用いたサービスが生成したデータの活用を促進させるための内容が定められています。
これにより、個人データを扱っていない製品やサービスを欧州域内で上市しているB2B企業も、データ法を遵守しなければいけません。
そして、データ法はEU規則（Regulation）であるため、NIS2指令（Directive）などのように各国での国内法化を待たずして、EU全域に直接適用されます。3年間にわたり、段階的に適用される予定ですが、データ法の主な要件は2025年9月12日から適用が開始されるため、企業としての対応は急務であり、EU域内でIoT製品やサービスを提供している企業は注意が必要です。

Section2：データ法の要求内容と想定されるリスク

欧州域内でのデータ利活用促進に向けて、データ法では2つの主要な義務が記載されています。

1. データ提供義務
2. スイッチング義務

1.データ提供義務

データ提供義務は、ユーザーの要求に基づいて、データ保持者である企業がユーザーもしくは第三者へデータ法の対象となるデータを提供しなければならないという内容です。この義務は、ユーザーが利用することで生成されたデータは、ユーザーのものであるという考え方が根底にあります。そのため、単にデータを引き渡すだけではなく、以下の原則を満たす形でスムーズかつ安全に提供しなければなりません。

• 無料であること
• 安全かつ適切な形式で提供すること
• 利用者が容易に読み取れるフォーマットであること

また、提供手段についても言及されており、2026年9月12日以降は、「アクセスバイデザイン（Access by design）」の考え方にもとづき、技術的に可能である場合は、原則として製品やサービスからユーザーが直接データを取得できるよう設計することが求められます。
さらに、データ法の遵守のためには、上記のような手段と条件でデータを提供するだけでは不足しており、製品やサービスに関する契約の締結前に事前にデータに関する以下のような情報も告知しておく必要があります。

• 製品、サービスが生成するデータの種類、形式、量
• 該当データが継続的に生成されるか
• データの利用目的や第三者への提供の有無

2.スイッチング義務

スイッチング義務とは、ユーザーが利用しているクラウドサービスやエッジサービスを他の事業者に切り替えたいと希望した場合に、サービス提供者が無償かつ可能な限り迅速に対応する義務です。この内容には、切り替えの事業者が提供していたサービスをユーザーがそのまま利用できるようにすることが求められます。そのため、切り替え元から切り替え先の事業者に対して、そのサービスを提供するために必要なデータだけでなく、そのデータを取得することができるオープンインターフェースも提供の対象になります。
また、スイッチングの対応は2027年9月12日以前だと有償対応とすることが可能ですが、それ以降は無償で対応しなければなりません。そのため、運用方針を整備する必要があります。

データ法の施行によって、ユーザーは、自らに関連するデータを容易に活用できたり、他のサービスプロバイダーへ移行できたりする恩恵を受けられるようになります。一方で製造者・サービス提供者としては、データ提供義務やスイッチング義務によって、データそのものやデータベースからデータ取得を可能にするオープンインターフェース（当該データを取得するためのソフトウェアなど）を提供しなければなりません。そのため、重要な技術情報や顧客データを流出させてしまうリスクを抱えることになります。

Section3：データ法における営業秘密の重要性

Section2で説明したデータ法の主要な義務はいずれもIoT製品やクラウドサービスを展開している企業にとって重要な情報が流出・奪取されるリスクになります。ただし、製品・サービスに関連する全てのデータが常に提供の対象となるわけではありません。そして、データ提供義務に関し、データ提供を拒否することができる、もしくはデータ提供時に制限を付与できるケースの1つとして、「営業秘密である場合」が挙げられます。これを「営業秘密ハンドブレーキ」と呼びます。具体的には、営業秘密であれば、データ提供時にNDAの締結や暗号化、データ提供先における提供データの組織的取り扱いルールなどの条件を付けることが可能になります。これにより、データ提供先からのデータ流出リスクを低減することが可能です。さらに、データ提供により自社が深刻な経済的損失を被ることを証明できる場合には、管轄当局に通知することで、データ提供を拒否することが可能です。また、スイッチング義務に関しても、営業秘密であれば、ユーザーによる他のサービスプロバイダーへの移行を可能にする必要はありません。
なお、EU域内での営業秘密は営業秘密指令（2016/943）において「公然と知られておらず、商業的価値があり、合理的な秘密管理措置が取られている情報」と定義されており、この定義に合致するデータが上記営業秘密ハンドブレーキなどの対象となります。
そのため、欧州で製品やサービスを展開している企業は、事前に製品・サービスが生成・処理している各データを棚卸ししたうえで、営業秘密かどうかも含めてデータ法の対象該非を区分し、取り扱いを明確にしておくことで、重要な情報の流出・奪取されるリスクを低減、もしくは根本的になくすことが可能です。

まとめ

データ法が施行されると、企業の競争優位性を支える重要な情報が漏えいする可能性が高まります。また、データ法を悪用し特定企業の競争優位性を損なおうとする悪意ある主体が現れることも懸念されます。こうした状況を踏まえると、特にEU域内でIoT製品やサービスを提供する企業にとっては、営業秘密に該当するか否かの判断を含め、自社の製品・サービスが生成・処理するデータの区分を再度見直し、それらを戦略的に管理していくことが不可欠です。特にデータ提供義務への対応においては、営業秘密が漏えいした場合の経済的損失を客観的に説明できることも極めて重要になります。
現状では、営業秘密の定義や区分を厳密に理解し、その管理ルールを明確に整備している日本企業は少数です。実際には技術情報、サプライチェーン情報、事業戦略なども営業秘密に該当しますが、「営業秘密」という言葉が先行するあまり、顧客情報のみが対象と誤解されるケースも少なくありません。こうした現状を踏まえると、企業が自社の扱うデータを改めて整理し、営業秘密としての適切な管理体制を構築することが求められます。これは、デジタル化が急速に進む昨今において、企業の競争優位性を維持・強化するための重要な基盤となるはずです。
PwCでは、企業が直面する多様なリスクに対応するためのコンサルティングサービスを提供しています。データ法への対応および営業秘密保護についてお悩みの際は、ぜひお気軽にご相談ください。

PwC支援実績

• データ法の要求概要整理
• IoT製品の取り扱いデータにおけるデータ法対象該非判断および必要な対応項目整理

執筆者