EUにおけるデータ戦略

日本がデジタル技術によって経済的・社会的課題を解決する人間中心の社会Society 5.0を目指すように、欧州連合（EU）も人間中心で持続可能なデジタル社会を目指している。特に、2021年から2030年までを「デジタルの10年」と呼び、デジタル社会を実現させるための具体的指針を示す「デジタルコンパス」を公表した。持続的デジタル社会を実現させるため、現欧州委員長ライエン氏の下で、新データ戦略：欧州のデジタル未来の形成（Shaping Europe’s Digital Future）が2020年に公表された。新戦略は、EUの価値観に根差した社会・経済のDX推進、データ・通信基盤を他国に依存しないデジタル主権の確⽴と、データが⽣み出す利益をEU市⺠や中⼩企業を含む誰もが享受できる公平な社会の実現をめざすとする。この戦略を実施するため、既にデジタルサービス法、デジタル市場法、データガバナンス法が成立し、データ法が11月9日にEU議会を通過し、AI法の法案がEU議会で審議中である。これらの法律の中でも、データ法は、IoTで集めた産業データへのアクセス権を規定し、既存の著作権やトレードシークレット、データベース権との交錯が問題になるため、知財専門家の注目を集めている。アクセス権の実効を確保するため、法案はIoTで集めたデータを事実上支配する事業者（データホルダー）に大きな義務を負担させているため、産業界の反発も大きかったが、法律としての成立まで、欧州評議会の承認を待つのみとなった。

データ法案

日本でも統合イノベーション戦略2023で「共創」ということばが使われているが、共創（Co-creation）は、企業とIoTによって製品やサービス改良に積極的な役割を果たすようになった顧客（ユーザー）が共同して新たな価値を創造することを意味する。そのためには、IoTで集めたデータを広く共有してイノベーションに活用する必要があり、データ法はデータのソースであるユーザーにアクセス権を認め、その権利に基づいて、データホルダーに対しユーザーのみならず他の企業との共有を求める制度を構築する。対象となる事業者は広範で、EU域内で販売される製品の製造者やサービス提供者、当該製品やサービスのユーザー、EU域内で利用可能なデータの保持者及び利用者等、データに関するビジネスに係るあらゆる個人法人が含まれる。これら事業者は、提供する製品やサービスを利用するユーザーが容易に且つ安全に、可能であれば直接的に集めたデータをアクセス可能となるよう設計することが要求される。さらに、ユーザーの求めに応じ、第三者に対しても共有する義務を負う。但し、対象となるのは、IoTで集めた生データのみであって、AI等による分析後のデータは対象外とされる。第三者と共有する場合は、FRAND（公正、合理的、且つ非差別）条件の契約より共有したデータのライセンス料を受け取ることができる。

知的財産権との関係

法案は、ユーザーに新たに与えられる権利を、排他的性質を持つ知的財産権と区別するため、アクセス権として規定している。また、データを集めた事業者をデータホルダーと定義し、所有という言葉を避けているだけでなく、新しい権利を与えるものではないことを明記している。アクセス権の行使においては、EU法で認められる知的財産権が遵守されることが明言されている。特に営業秘密に該当するデータについては、ユーザーに対しては秘密性を保持する適当な手段をとったうえでのみアクセス権を認め、特に第三者との共有については、ユーザーと第三者が合意した使用目的の達成に必要な限りでのみ認められるとする。一方、EUデータベース指令における権利は、IoTで機械的に集めた生データには適用されないとして、アクセス権の障害とならないことを確認している。但し、EU議会を追加した法案には、生データに実質的な投資を行いデータベースが作成されたときは、データベース指令の保護の対象となることが明記された。

コメント

データ法はビッグデータを広くデータホルダー以外の事業者と共有しユーザーとの共創によるイノベーションを図ることを目的としており、知的財産の制度趣旨とも合致する。但し、データソースであるユーザーの権利を共有義務付けの根拠としているが、データの利用に興味のあるのは主に事業者で、果たしてアクセス権が積極的に活用されるか疑問視されている。EU議会に提出された当初の法案では、ユーザーによる容易且つ安全で直接的なアクセスを確保するため、IoT装置自体に内蔵された又はインターネット接続されたデータストレージで集めたデータを確認可能なように装置やサービスの設計変更を事業者に義務付けていた。議会を通過した法案では、ユーザーによるアクセス確保のため、IoT装置のCPUにおけるデータ保存義務はないことが明記され、具体的な設計変更義務の詳細は別途ＥＵ法又は加盟国の国内法によって定めるものとした。データ法成立後は、日本企業も、EU域内で製品やサービスを提供する場合には、アクセス義務を充たす装置やビジネスモデルの設計変更が強いられることになる。ユーザーのアクセス権を通じて、プラットフォーマーや大手ハイテク企業の支配するデータへのアクセスが可能になるという利点があるはずだが、生データだけではあまり役立たない可能性がある。更に、第三者である事業者が利用する際にはFRAND契約が必要とされるため、標準必須特許紛争の経験から、何がFRAND実施料かについて紛争が起こることは必至である。そのうえ、産業界からは、営業秘密の保護が不十分だという指摘がある一方、営業秘密の主張を容易に認めると、広範な秘密保持契約の合意や秘密保持技術の使用を要求されることで、ユーザーや第三者のアクセス権を制限されるという批判もあった。修正法案は、これらの批判に応え、営業秘密保護のためのモデル契約条件に加え、データの取扱いにおける行動規範と技術基準を欧州委員会が作成することとした。更に営業秘密の主張によるアクセス権の不当な制限を避けるため、ユーザーや第三者のアクセス権の拒否には、秘密保護に必要な措置を講じても営業秘密データの開示により重大な経済的損害を発生することの立証がデータホルダーに義務付けられている。このようにいろいろな問題が指摘され、事業者の義務の具体的内容も現時点で不明確なデータ法案ではあるが、欧州理事会は既に、欧州議会で妥協された修正法案に同意している。そのため、同理事会によって正式に決定される可能性は高く、欧州連合官報掲載による公布後20か月を経た2025年中旬以降に欧州規則として発効し、アクセス義務は、発効後新たに導入される製品やサービスに適用される。