欧州データ法(Data Act)は、2025年9月に発効し、あらゆる業界における非個人データおよびユーザー生成データの使用とアクセスに影響を与えます。企業は今すぐ準備を開始し、新たな法規制の遵守を確保する必要があります。以下は、データのアクセス、共有、保護に関する要件を満たすための包括的なチェックリストと重要なポイントです。
2023年11月9日、欧州議会は「公正なデータアクセスとデータ利用のための統一ルールの確立」と題された新たな規制、いわゆるデータ法の合意文を採択しました。欧州連合理事会による正式な承認は2023年11月27日に行われました。データ法は今後数週間以内に欧州連合官報に掲載され、掲載後20日で発効します。適用は2025年9月から、つまり採択後20か月後から開始されます。以下は、データ法の効果的な導入準備をサポートするための重要な情報です。
データ法は、非個人データおよびユーザー生成データのアクセスと利用に関する法的条件を再構築することを目指し、公共および民間セクターのデータアクセス権を確立するとともに、データ保有者、製品メーカー、クラウドプロバイダーに重大な義務を課します。
この規制は業界横断的なアプローチを採用しており、経済のあらゆる業界やセクターに適用されます。データを処理するほぼすべての企業がデータ法の影響を受ける可能性がありますが、データ法のほとんどの義務は小規模企業には適用されません。
データ法は、IoTデバイス(家電、フィットネス機器、音声アシスタント、産業機械、接続車両など)および関連サービスから収集される個人データおよび非個人データの収集を規制します。これらのデータは、製品開発、機器メンテナンス、アルゴリズム訓練に価値があります。メーカーや小売業者はこれらのデータを独占的に保存できなくなります。中小企業にとって、データ法はこれらのデータへのアクセスを可能にし、新たなビジネスチャンスを生み出す機会を提供します。データ法は、EU内で活動する欧州企業および非欧州企業、またはEU内で製品や関連サービスを販売する企業に適用されます。
GDPRは個人データに焦点を当てていますが、データ法は個人データと非個人データの両方を対象とします。特に混合データセットの場合、両方の規制を併せて考慮することが重要です。
データ法はGDPRを補完するもので、既存の権利や義務を損なうものではありません。データ法の提案では、個人データを処理するデータ保有者は、GDPRに基づくデータ処理責任者として行動し、その義務を遵守する必要があると明記されています。データ法で規定された接続デバイスのデータに関する透明性要件は、GDPRに基づくデータ処理責任者の情報提供義務を無効にするものではありません。接続デバイスに関連して、データ法はデータのポータビリティ権を強化し、ユーザーが個人データおよび非個人データの両方にアクセスし、転送できるようにします。さらに、非個人データの国際的な流れに対する保護措置が導入されますが、EU外の第三者への個人データの転送に関する規則には影響を与えません。
🏢 小規模企業および新興中規模企業の免除: 小規模企業、超小規模企業、または影響を受ける製品が市場に出て1年未満の中規模企業は、データ法の適用から除外されます。データ法の第2章はこれらの企業には適用されません。
📊 ユーザーおよび第三者へのデータ提供: データ法は、消費者および企業であるユーザーに、接続製品やサービスから生成されたIoTデータにアクセスし、元の品質で第三者と共有する権利を付与します。データはリアルタイムで、無料で、機械可読形式で提供される必要があります。データ保有者は、契約締結前にデータアクセスと共有についてユーザーに通知する必要があります。ユーザーは、生成されるデータの種類と範囲、リアルタイムで継続的に生成されるかどうか、製造者のデータ使用または共有の意図、データ保有者の身元を知る権利があります。権利が侵害された場合、ユーザーは適切な当局に苦情を申し立てることができます。
データ保有者は、ユーザーと明示的にライセンス契約を結んだ場合にのみ、自身の目的でデータを使用できます。ユーザーはデータの受信者を自由に選択し、第三者にデータ使用の権利を付与するライセンス契約を締結できます。ただし、デジタル市場法で定義される「ゲートキーパー」(市場アクセスを支配し、大きな影響力を持つ企業、例:Microsoft、Google、Apple、Facebook)は、ユーザーデータのライセンス契約を締結できません。したがって、ゲートキーパーは直接的または間接的にユーザーデータを受け取ることはできません。
B2B受信者に提供されるデータは、公正、合理的、非差別的な契約条件に従う必要があります。ユーザーは第三者にライセンスを付与し、データにアクセスできる受信者を決定します。データ保有者は、データの共有に対して合理的な報酬を請求できます。
☁️ クラウド切り替え: ユーザーは、クラウドプロバイダーなどのデータ処理者との契約を30日以内に終了できます。クラウドプロバイダーは、インターフェースと相互運用性基準の遵守を通じてサービスプロバイダーの切り替えを保証し、機能的同等性とセキュリティ基準を維持する必要があります。切り替え後、すべてのデータとメタデータは削除される必要があります。データ処理サービスプロバイダーは、データ転送に対して限定的な手数料のみを請求できます。
さらに、プロバイダーは、第三国にITインフラストラクチャを保有しているかどうか、およびEU法に違反する不正な政府アクセスを防ぐ措置を講じているかどうかを開示する必要があります(データ法第27条)。
🏛️ 公共機関によるアクセス: 公共機関およびEU機関は、自然災害やパンデミックなどの公共緊急事態や、公共の利益のための任務遂行のためにデータにアクセスできます。代替のタイムリーかつ効率的な方法で同等の条件でデータを得ることができない場合、当局はデータにアクセスできますが、公共の利益のためのデータ調達は市場から優先されます。
このような要求を受けた企業は、要求されたデータを直ちに提供する必要があります(データ法第18条(1))。ただし、データを持っていない場合や要求が法的要件を満たしていない場合は例外です。必要に応じて、個人データは共有前に匿名化または仮名化されるべきです。
📄 データ保有者と受信者間の公正な契約条項: データ法は、データ処理責任者またはデータ保有者と受信者間の不当な契約条項を防止することを目指しています。不当な条項とは、商業慣行から著しく逸脱し、誠実さと公正さに反するものです。例としては、故意または重大な過失による責任制限、履行不履行時の救済の排除、一方的な条件解釈の権利、他者の正当な利益を侵害するデータアクセス、データの使用妨害、データコピーの提供拒否、不当に短い契約解除通知期間が含まれます。
欧州委員会は、不当な条項を回避するための標準契約条項を導入します。データ法は、大量のデータを受け取りたい消費者との商業契約におけるデータ使用を規制しませんが、そのような商業条件を法的に準拠させる方法についてのガイダンスは現時点ではありません。企業は、データ使用契約が明確に記載され、消費者がすべてのデータ権利を一括して放棄しないようにする必要があります。
🛡️ 知的財産の保護: データ法は、企業に営業秘密の開示を義務付けません(データ法第8条(6))。データ保有者は、データ共有前に営業秘密を保護するための必要な措置を講じることができ、ユーザーまたはデータ受信者に追加のデータ保護措置を契約上義務付けることができます。例外的に、重大かつ回復不能な経済的損害が予想される場合、データ所有者はデータ共有を拒否できますが、その場合は適切な当局に通知して審査を受ける必要があります。データの使用が競合製品の開発に使用されることは厳しく禁止されています(データ法第4条(4))。
データ受信者がデータ保有者のデータを不正に取得または使用した場合、派生品とともにデータを破棄し、損害賠償を支払う必要があります(データ法第11条(2))。ただし、損害が発生していない場合や措置が不釣り合いな場合は例外です。
📊 データ範囲の特定: 製品または関連サービスの使用中に生成されるデータの種類と範囲を特定します。
🔄 データ提供プロセスの構築: 接続製品およびサービスから収集されたすべてのユーザー生成データを、製品を介してリアルタイムで、無料で、継続的に、機械可読形式で提供するプロセスを開発します。
📝 契約およびウェブサイトの調整: データ法の施行前に契約およびウェブサイトを適応させ、ユーザーからデータ使用のライセンスを取得し、データアクセスおよび第三者へのデータ転送の開始方法に関する情報を提供します(データポータビリティ)。
📋 標準契約条項の使用: データ受信者との基本的な標準契約条項を、利用可能になり次第使用します。
⚖️ 不当な契約条項の回避: 特定のデータ受信者の差別や、単一のデータ受信者への排他的な提供などの不当な契約条項を回避します。
💰 合理的な手数料の設定: 第三者へのデータ提供に対して合理的な手数料を設定し、超小規模企業が受信者の場合は、データ収集および提供に必要な費用のみをカバーする手数料を確保します。
🔒 個人データの保護: 個人データは影響を受ける個人にのみ共有されるか、GDPRに基づく法的根拠がある場合にのみ共有されるようにします。
🛡️ 営業秘密の保護: データ提供時に営業秘密を保護し、知的財産の開示に対する契約上および技術的な保護措置を講じます。
🏛️ 公共機関へのデータ提供: 例外的な場合にのみ当局にデータを共有し、可能な限り個人データを匿名化または仮名化します。
🔍 どのようなステップを踏むべきか?
接続製品の製造者および接続サービスのプロバイダーは、まず、製品または関連サービスの使用中に生成されるデータの種類と範囲を特定する必要があります。影響を受けるデータの棚卸しを行い、ユーザー生成データの解釈に必要なメタデータを含めます。ユーザー生成データの分類およびラベル付けのためのプロセスを開発します。データ提供の義務は、データ法の発効後32か月(約2026年9月)に市場に投入される接続製品およびサービスに適用されます。
🔧 製品またはサービスを変更する!
接続製品およびサービスから収集されたすべてのユーザー生成データを、製品を介してリアルタイムで、無料で、継続的に、機械可読形式で提供するプロセスを開発します。これは、接続製品の製造方法を変更することで実現できます。データは、ユーザーが製品またはサービスを介して直接アクセスできるようにする必要があります。それが不可能な場合、データ保有者はいつでもデータを提供できるようにする必要があります。
📋 データ使用のライセンスを取得する!
データ法の施行前に契約およびウェブサイトを適応させ、ユーザーからデータ使用のライセンスを取得し、自身の目的でデータを使用できるようにします。これには、ライセンスの対象となるデータの定義、ライセンスの範囲の定義、データの品質の定義(特にトレーニングデータとして使用する場合、「現状のまま」の免責事項は無効)が含まれます。
📢 契約締結前に顧客に接続製品について通知する!
ユーザーがデータ法に基づくデータアクセスおよび第三者へのデータ転送(データポータビリティ)の要求方法を理解できるように、ドキュメントを更新します。データ受信者(第三者)との基本的な標準契約条項を、利用可能になり次第使用します。
🔗 GDPRとデータ法の関係は?
GDPRは個人データに焦点を当て、データ法の提案は個人データと非個人データの両方を対象とします。混合データセットのシナリオでは、両方の規制を併せて考慮することが重要です。データ法およびGDPRの両方に基づき、要求されたデータを公開する前にユーザーまたは受信者を認証する義務があります。GDPRの意味での個人データは、GDPR第6条に基づく正当な目的がある場合にのみ共有される必要があります。