EUデータ法が2024年1月11日に発効し、日本企業のデータ関連のビジネスに影響が及ぶことが想定されます。本稿では、EUデータ法の規律と実務上の対応について解説します。

EUデータ法の概要

1-1　EUデータ法とは
EUデータ法（EU Data Act）とは、データへの公平なアクセスおよびその利用について定めたEUの規則（注1）です（以下、「EUデータ法」または「法」といいます。）。EUデータ法が適用される場面は、①コネクティッド製品または関連サービスからデータが生成される場面、②事業者間でデータを利用可能にする場面、③公的機関の要求に応じてデータを利用可能にする場面、④データ処理サービスを提供する場面、⑤データスペース（注2）に参加する場面、⑥スマートコントラクト（注3）を利用または配備する場面が想定されています。EUデータ法は、2024年1月11日に発効し、原則として2025年9月12日に施行されます（法50条）（注4）。

1-2　EUデータ法の制定趣旨
近年、データ主導の技術は、経済に変革的な影響を及ぼしているところ、高品質で相互運用可能なデータは、競争力とイノベーションを高め、持続可能な経済成長につながると期待されます（法前文1項）。もっとも、データ共有の障壁が、社会のためにデータを最適に配分することを妨げることが懸念されます（法前文2項）。そこで、経済のニーズに対応しつつ、データ共有の障壁を取り除くためには、誰が、どのような条件で、どのような根拠に基づいて、データを利用する権利を有するかを規定するEU内において調和された枠組みを定めることが必要であるため（法前文3項）、EUデータ法が制定されました。

1-3　EUデータ法の制定背景
EUデータ法は、2020年2月19日に欧州委員会が発表した欧州データ戦略の一つとして立法されたものです。欧州データ戦略とは、データの単一市場を設立し、未利用データを解放することで、企業、研究者、行政機関の利益のために、EU域内およびセクターを越えて自由にデータを流通させることを目指すものです（注5）。EUデータ法は、欧州データ戦略の一つの柱です（注6）。
EUデータ法は、欧州データ戦略の最初の成果物であるEUデータガバナンス法（EU Data Governance Act）を補完するものとして位置づけられます（注7）。 EUデータガバナンス法が自発的なデータ共有を促進するプロセスや構造を規律するのに対し、 EUデータ法は、誰がどのような条件の下でデータから価値を創造できるかを明確化するものです（注8）。 この2つの法律が一体となることで、データへの確実で安全なアクセスが促進され、重要な経済セクターや公益領域でのデータ利用が促進されます（注9）。

EUデータ法の規律

2-1　適用範囲

(1)　適用対象
EUデータ法の対象となる「データ」とは、あらゆる行為、事実または情報のデジタル形式での記述、および当該行為、事実または情報の編集物を意味します（法2条1項）。例えば、音声、映像または視聴覚記録の形式のものを含みます（同）。同法は、個人データと非個人データのいずれにも適用されます（法1条2項）。
また、EUデータ法は、事業者間（BtoB：Business to Business）と事業者・消費者間（BtoC：Business to Consumer）のいずれにも適用されます。また、同法は、事業者・政府間（BtoG：Business to Government）にも適用される場合があります。

(2)　適用場面
EUデータ法は、以下の場面において適用されます。

①　コネクティッド製品または関連サービスからデータが生成される場面 ②　事業者間でデータを利用可能にする場面 ③　公的機関の要求に応じてデータを利用可能にする場面 ④　データ処理サービスを提供する場面 ⑤　データスペースに参加する場面 ⑥　スマートコントラクトを利用または配備する場面

上記の場面ごと、EUデータ法が適用される主体は、以下のとおりです。

①　コネクティッド製品または関連サービスからデータが生成される場面

• EU域内で上市されるコネクティッド製品の製造者および関連サービスの提供者（いずれも設立地を問いません。）（法1条3項（a）号）
• EU域内で上市されるコネクティッド製品または関連サービスの利用者（EU域内の者に限ります。）（法1条3項（b）号）

②　事業者間でデータを利用可能にする場面

• EU域内のデータ受領者にデータを利用可能にするデータ保有者（設立地を問いません。）（法1条3項（c）号）
• データを利用可能になるデータ受領者（EU域内の者に限ります。）（法1条3項（d）号）

③　公的機関の要求に応じてデータを利用可能にする場面

• 公益のために行われる業務の遂行のためにデータが例外的に必要な場合であって、データ保有者に対してデータを利用可能にするよう要求する公的機関、欧州委員会、欧州中央銀行、EUの機関（法1条3項（e）号）
• 上記の要求に対してデータを提供するデータ保有者（法1条3項（e）号）

④　データ処理サービスを提供する場面

• EU内の顧客に対してデータ処理サービスを提供する提供者（設立地を問いません。）（法1条3項（f）号）

⑤　データスペースに参加する場面

• データスペースの参加者（法1条3項（g）号）

⑥　スマートコントラクトを利用または配備する場面

• スマートコントラクトを利用するアプリケーションの提供者（法1条3項（g）号）
• 契約締結に関連して他人のためにスマートコントラクトを配備する取引、事業または職業を営む者（法1条3項（g）号）

(3)　域外適用
EUデータ法は、上記の主体に該当する場合、EU域外の主体であっても、域外適用される可能性があります。特に、設立地を問わない旨が言及されている主体については、EUデータ法は、EU域外の主体にも適用する意図を明確にしています。
もっとも、上記の主体に該当する場合であっても、EUデータ法がEU域内の主体に限定している場合（「in the Union」という限定をしている場合）には、EU域外の主体に適用される可能性は低いと言えます。具体的には、EU域内で上市されるコネクティッド製品または関連サービスの利用者（法1条3項（b）号）およびデータを利用可能になるデータ受領者（法1条3項（d）号）には、そのような限定が付されているため、同法が域外適用される可能性は低いと考えられます。
なお、EUデータ法が域外適用される事業者のうち、EU域内でコネクティッド製品を販売し、またはサービスを提供している者は、いずれかのEU加盟国に法定代理人を置かなければなりません（法37条11項）。法定代理人は、当該事業者に関連するすべての問題について、当該事業者に加えて、または当該事業者に代わって、管轄当局への対応を委任されるものとされています（法37条12項）。当該事業者は、法定代理人が所在するEU加盟国の管轄下にあるとみなされますが、法定代理人を指定するまでは、すべてのEU加盟国の管轄下にあると定められています（法37条13項）。

2-2　各場面における権利および義務

(1)　コネクティッド製品または関連サービスからデータが生成される場面
「コネクティッド製品または関連サービスからデータが生成される場面」においては、①製品データ（注10）および関連サービスデータ（注11）を利用者に利用可能にする規律（法3条、4条）、②利用者の要求に応じてデータを第三者に利用可能にする規律（法5条）、③利用者の要求によってデータを受領する第三者の処理に関する規律（法6条）が定められています。
「コネクティッド製品」とは、その使用または環境に関するデータを取得、生成または収集する製品であって、電気通信サービス、物理的接続または機器上のアクセスを通じて製品データを通信することが可能であり、その主な機能が利用者以外の関係者に代わってデータを保存、処理または送信することではないものをいいます（法2条5号）。例えば、コネクティッド製品は、民間・市民・商業インフラ、自動車、健康・生活機器、船舶、航空機、住宅設備・消費財、医療・健康機器、農業・産業機械など、経済社会のあらゆる場面で見られます（法前文14項）。
「関連サービス」とは、電気通信サービス以外のデジタルサービスであって、それがない場合にはコネクティッド製品が1つまたは複数の機能を実行できなくなるような方法で、購入、レンタルまたはリースの時点で製品に接続されているもの、または、コネクティッド製品の機能を追加、更新または適合させるために製造者または第三者によって事後的に製品に接続されるものをいいます（法2条6号）。例えば、関連サービスには、コネクティッド製品の動作または挙動に影響を与えることができるコマンドをコネクティッド製品に送信するサービスが含まれます（法前文17項）。
具体的には、「コネクティッド製品または関連サービスからデータが生成される場面」において、主に以下の①～③の規律が定められています（注12）（注13）。

①　製品データおよび関連サービスデータを利用者に利用可能にする規律

• 利用者がデータに直接アクセスできるように設計・製造・提供する義務
  製品データおよび関連サービスデータが、包括的、構造化され、一般的に利用され、機械が読み取り可能なフォーマットで、かつ、適切かつ技術的に可能な場合には、利用者が直接アクセスできるような方法で、デフォルトで、容易に、安全に、無償で、コネクティッド製品が設計および製造され、また、関連サービスが設計および提供されなければなりません（法3条1項）。
  
  
• 利用者の要求に基づいて利用者がデータにアクセスできるようにする義務
  データ保有者は、利用者がデータに直接アクセスできない場合、利用者の要求に基づいて、容易に利用可能なデータ（注14）、およびそれらのデータを解釈し利用するために必要な関連するメタデータ（注15）を、データ保有者が利用可能なものと同じ品質で、容易に、安全に、無料で、包括的に、構造化され、一般的に利用され、機械可読なフォーマットで、適切かつ技術的に可能な場合は、継続的に、かつ、リアルタイムで、利用者がアクセスできるようにしなければなりません（法4条1項）。
  
  
• コネクティッド製品および関連サービスの契約前説明義務
  コネクティッド製品の購入、レンタルまたはリース契約を締結する前に、法定の4つの事項（例えば、コネクティッド製品が生成できる製品データの種類、形式および推定量）を、関連サービスの提供に関する契約を締結する前に、法定の9つの事項（例えば、データ保有者が取得すると予想される製品データの性質、推定量および収集頻度）を、利用者に対して、明確かつ理解しやすい方法で、情報提供しなければなりません（法3条2項および3項）。

②　利用者の要求に応じてデータを第三者に利用可能にする規律

• データ保有者は、利用者または利用者の代理を務める関係者から要求があった場合、容易に利用可能なデータ、およびそれらのデータを解釈し利用するために必要な関連メタデータを、データ保有者が利用可能なものと同じ品質で、容易に、安全に、利用者に無償で、包括的に、構造化され、一般的に利用され、機械で読み取り可能な形式で、かつ、適切かつ技術的に可能な場合には、継続的に、かつ、リアルタイムで、第三者に提供するものとします（法5条1項）。

③　利用者の要求によってデータを受領する第三者の処理に関する規律

• 第三者におけるデータの処理制限
  第三者は、利用者の要求によって利用可能となったデータを、利用者と合意した目的および条件の下でのみ処理しなければならず、個人データに関する限りは、個人データの保護に関するEU法および国内法に従って処理しなければなりません（法6条1項前段）。
  
  
• 第三者におけるデータの消去義務
  第三者は、非個人データに関して利用者と別段の合意がない限り、合意された目的に必要でなくなった時点で当該データを消去しなければなりません（法6条1項後段）。

(2)　事業者間でデータを利用可能にする場面
「事業者間でデータを利用可能にする場面」においては、①法令に基づきデータ保有者がデータ受領者にデータを提供する条件に係る規律（法8条、9条、11条）、②一般的なデータへのアクセスおよびその利用に関する不公正な契約条件に係る規律（法13条）が定められています。
「データ保有者」とは、EUデータ法、適用されるEU法またはEU法に従って採択された国内法に従い、データを利用する、および利用可能にする権利または義務を有する自然人または法人をいいます（法2条13号）。例えば、データ保有者には、関連サービスの提供中に取得または生成した製品データまたは関連サービスデータを、EUデータ法に従って利用者に直接アクセスさせる義務を負う事業者が該当します。
「データ受領者」とは、データ保有者がデータを利用できるようにする、コネクティッド製品または関連サービスの利用者以外の、その者の取引、事業、技術または職業に関連する目的のために行動する自然人または法人をいいます（法2条14号）。例えば、データ受領者には、利用者がデータ保有者に要求した後、データが利用可能となる第三者が含まれます。
具体的には、「事業者間でデータを利用可能にする場面」において、主に以下の①および②の規律が定められています。

①　法令に基づきデータ保有者がデータ受領者にデータを提供する条件に係る規律（注16）

• データを利用可能とする合意を締結する義務
  データ保有者はデータ受領者との間で、データを利用できるようにするための取決めについて、公正、合理的かつ非差別的な条件および透明性のある方法で合意しなければなりません（法8条1項）。
  
  
• 同等のデータ受領者間の差別禁止およびその説明義務
  データ保有者は、同等のデータ受領者の間で、データを利用可能にするための取決めに関して差別的であってはならず、データ受領者の合理的な要求があれば、差別がなかったことを示す情報をデータ受領者に提供しなければなりません（法8条3項）。
  
  
• データを利用可能とするために合意された報酬の条件
  データを利用可能にするためにデータ保有者とデータ受領者の間で合意された報酬は、差別的でなく、妥当なものでなければなりませんが、利ざやを含んでいてもよいとされています（法9条1項）。
  
  
• データ保有者による技術的保護措置の適用
  データ保有者は、データへの不正アクセスを防止し、EUデータ法、および合意されたデータ利用可能化に関する契約条件の遵守を確保するために、適切な技術的保護手段を適用することができます（法11条1項）。

②　一般的なデータへのアクセスおよびその利用に関する不公正な契約条件に係る規律

• データへのアクセスおよびその利用、またはデータ関連義務の違反もしくは終了に対する責任および救済措置に関する契約条項で、ある事業者が他の事業者に一方的に課したものは、それが不当である場合、当該他の事業者を拘束しないものとします（法13条1項）。
  
  
• 具体的には、①故意または重過失の責任の一方的な除外または制限、②債務不履行の救済措置または契約違反の責任の一方的な除外、③データの契約適合性などを専決的に判断する権利の付与は、「不当」とされます（法13条4項）。
  
  
• また、①債務不履行の救済措置または契約違反の責任の不適切な制限または一方的な拡大、②正当な利益を著しく害する方法でデータへのアクセスおよびその利用を一方的に認めること、③データの利用を一方的に妨げるなどすること、④合理的な期間内の解除を一方的に妨げること、⑤データの複製物の取得を一方的に妨げること、⑥不当に短い予告期間で契約の解除を一方的にできるようにすること、⑦実質的な条件の大幅な変更を一方的にできるようにすることは、「不当」であると推定されます（法13条5項）。

(3)　公的機関の要求に応じてデータを利用可能にする場面
公的機関、欧州委員会、欧州中央銀行またはEUの機関が、公益のためにその法定義務を遂行するために、特定のデータ（それらのデータを解釈し利用するために必要な関連メタデータを含みます。）を利用する例外的な必要性を証明する場合、公的機関以外の法人であって、それらのデータを保有するデータ保有者は、正当な理由のある要求があれば、それらのデータを利用できるようにしなければなりません（法14条）。

(4)　データ処理サービスを提供する場面
「データ処理サービスを提供する場面」においては、①データ処理サービスの効果的な切替えの障害の除去に関する規律（法23条）、②データ処理サービスの切替えの契約条件に係る規律（法25条）、③顧客への情報提供に係る規律（法26条、28条）、④データ処理サービスの切替料金の段階的廃止に係る規律（法29条）、⑤切替後に機能的同等性を確保するための措置に係る規律（法30条）、⑥国際的な政府によるデータへのアクセスおよびその移転に係る規律（法32条）が定められています（注17）。
「データ処理サービス」とは、最小限の管理労力またはサービス提供者の相互作用で迅速に利用開始および利用解除が可能な、集中型、分散型、または高度に分散した性質の、設定変更可能で拡張可能かつ弾力的なコンピューティング資源の共有プールへ、どこでもかつ必要な時に要求に応じてネットワークにアクセスできることを可能にする、顧客に提供されるデジタルサービスをいいます（法2条8号）。例えば、データ処理サービスとしては、クラウドサービス（注18）とエッジサービス（注19）が想定されています（法前文78項、102項）。これらのデータ処理サービスの提供のモデルは、IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）、SaaS（Software as a Service）のいずれかまたは複数に分類されます（法前文81項）。
具体的には、「データ処理サービスを提供する場面」において、主に以下の①～⑥の規律が定められています。

①データ処理サービスの効果的な切替えの障害の除去に関する規律
データ処理サービスの提供者は、顧客が法定の5つの事項（例えば、最長の予告期間および切替手続が完了した後に、データ処理サービスの契約を解除すること）を　　行うことを阻害するような商用化前、商業上、技術上、契約上および組織上の障害を課してはならず、また、当該事項を除去しなければなりません（法23条）。

②データ処理サービスの切替えの契約条件に係る規律
データ処理サービスの提供者間の切替え、または、該当する場合はオンプレミスの ICT インフラストラクチャへの切替えに関する権利および義務は、少なくとも法定の9つの事項（例えば、最長の経過期間である30暦日を超えない範囲で切替えを開始できるようにすること）を含む書面による契約で明確に定めるものとし、データ処理サービスの提供者は、契約締結前に当該契約書を顧客に提供しなければなりません（法25条1項および2項）。

③顧客への情報提供義務

• 顧客への個別の情報提供義務
  データ処理サービスの提供者は、顧客に以下の情報を提供しなければなりません。
  • データ処理サービスへの切替えおよび移植のための利用可能な手続に関する情報（法26条(a)号）
  • データ処理サービスの提供者が運営する最新のオンライン登録簿への参照情報（法26条(b)号）
  • 顧客への公表による情報提供義務
    
    
• データ処理サービスの提供者は、以下の情報をウェブサイト上で公開し、常に最新の状態に保たなければなりません。
  • 個別のサービスのデータ処理のために導入されたICTインフラストラクチャが属する法域（法28条1項(a)号）
  • 国際的な政府による個人データへのアクセスまたは移転がEU法またはEU加盟国法に抵触する場合、そのようなアクセスまたは移転を防止するためにデータ処理サービスの提供者が採用する技術的、組織的および契約上の措置の一般的な説明（法28条1項(b)号）

④　データ処理サービスの切替料金の段階的廃止に係る規律

• 2027年1月12日以降、データ処理サービスの提供者は、切替えプロセスにおいて、顧客に切替手数料を課してはなりません（法29条1項）。
  
  
• 2024年1月11日から2027年1月12日まで、データ処理サービスの提供者は、顧客に対し、切替えプロセスのための割引された切替手数料を課すことができます（法29条2項）。

⑤　切替え後に機能的同等性を確保するための措置に係る規律

• インフラの運用に必要なコンピューティング資源のみを提供する場合の技術的措置
  データ処理サービスの提供者が、インフラストラクチャ要素に限定されたコンピューティング資源を伴うものの、オペレーティングサービス、ソフトウェアおよびアプリケーションへのアクセスを提供しない場合、当該提供者は、顧客が同一のサービス類型に含まれるサービスへの切替後、切替先のデータ処理サービスの利用において機能的同等性を達成することを容易にするために、その権限においてあらゆる合理的な措置を講じなければなりません（法30条1項）。
  
  
• インフラの運用のために必要なコンピューティング資源以外を提供する場合の技術的措置
  
  • オープンインターフェースの提供義務
    データ処理サービスの提供者がインフラの運用のために必要なコンピューティング資源以外を提供する場合、当該提供者は、切替えプロセスを容易にするために、すべての顧客および関係する切替先のデータ処理サービスの提供者が等しく利用できるオープンインターフェースを無償で提供しなければなりません（法30条2項）。
  • 相互運用性のための共通仕様または整合規格との互換性の確保
    データ処理サービスの提供者がインフラの運用のために必要なコンピューティング資源以外を提供する場合、当該提供者は、データ処理サービスの相互運用性のための共通仕様または整合規格への参照情報が中央EU規格リポジトリで公表されてから少なくとも12ヶ月以内に、共通仕様または整合規格との互換性を確保しなければなりません（法30条3項）。

⑥　国際的な政府によるデータへのアクセスおよびその移転に係る規律
データ処理サービスの提供者は、EU域内に保有される非個人データへの国際的および第三国政府によるアクセスおよび移転が、EU法またはEU加盟国法に抵触するような場合には、これを防止するために、あらゆる適切な技術的、組織的および法的措置を講じなければなりません（法32条）。

(5)　データスペースに参加する場面
データスペースの参加者のうち、データまたはデータサービスを他の参加者に提供する者は、データ、データ共有メカニズムおよびサービス、ならびに欧州共通のデータスペースの相互運用性を促進するために、法定の4つの必須要件（例えば、データセットの内容、利用制限、ライセンス、データ収集方法、データの質、不確実性について十分に説明しなければならないこと）に準拠しなければなりません（法33条1項）（注20）。

(6)　スマートコントラクトを利用または配備する場面
スマートコントラクトを利用するアプリケーションの提供者、または、当該提供者がいない場合、契約締結に関連して他人のためにスマートコントラクトを配備する取引、事業または職業を営む者は、当該スマートコントラクトが法定の5つの必須要件（例えば、堅牢性とアクセス制御）に準拠していることを確保しなければなりません（法36条1項）（注21）。

EUデータ法の実務上の対応

3-1　実務対応の考え方
EUデータ法は、上記2-1(3)の「域外適用」で述べたとおり、EU域外の事業者にも適用されるため、対象となる日本企業においても定められた義務に対応することが求められます。
特に、EUデータ法の第II章、第III章および第V章に規定された義務の違反に対しては、2,000 万ユーロ以下または直前の会計年度における世界全体における売上総額の4％以下の金額のいずれか高額のものを限度とする制裁金を課すことができるため（EUデータ法40条4項、GDPR（注22）83条5項）、その制裁の厳格さに鑑みれば、適用を受ける日本企業において、EUデータ法対応は優先的に対応すべき法務的な課題であると位置づけられるべきです。
EUデータ法への実務上の対応は、以下のとおり、①適用場面の画定、②実装の段階に分けて進めることが考えられます。

3-2　適用場面の画定
EUデータ法が適用される場面は、①コネクティッド製品または関連サービスからデータが生成される場面、②事業者間でデータを利用可能にする場面、③公的機関の要求に応じてデータを利用可能にする場面、④データ処理サービスを提供する場面、⑤データスペースに参加する場面、⑥スマートコントラクトを利用または配備する場面が想定されています。
EUデータ法に対応する日本企業としては、上記①～⑥に該当する場面の有無を自社において情報収集（例えば、関係部署への質問票の送付、担当者のヒアリング）を行い、その情報に基づいて当該場面への該当の有無について評価（例えば、所管部署または外部の法律事務所による評価）を行い、その適用場面を画定することが求められます。

3-3　実装
EUデータ法の適用場面を画定した後は、各場面に応じて、その規律を遵守するために必要な措置を実装することになります。本稿においては、実務上問題となりやすい「コネクティッド製品または関連サービスからデータが生成される場面」、「事業者間でデータを利用可能にする場面」および「データ処理サービスを提供する場面」を取り上げて、以下の表のとおり、実装すべき事項を紹介します。

EUデータ法の適用場面	実装すべき事項
すべての場面	（組織上の実装事項） ・EUの法定代理人の設置
コネクティッド製品または関連サービスからデータが生成される場面	（技術上の実装事項） ・コネクティッド製品または関連サービスの利用者がデータに直接アクセスできるように設計・製造・提供 ・容易に利用可能なデータおよびメタデータを利用者の要求に基づいて利用者がデータにアクセスでき、また、第三者において利用可能となるように設計・製造・提供 （契約上の実装事項） ・契約前説明義務に対応するための文書の準備 （運用上の実装事項） ・利用者からの要求によってデータを受領した第三者においては、データ処理に係る規律を遵守できる体制の構築
事業者間でデータを利用可能にする場面	（技術上の実装事項） ・データの不正アクセスを防止する技術的措置の導入 （契約上の実装事項） ・データ保有者・データ受領者間の契約その他の事業者間のデータへのアクセスおよびその利用に係る契約の雛形の見直しおよび個別の契約修正 （運用上の実装事項） ・同等のデータ受領者間の差別禁止およびその説明義務を実施できる体制の整備 ・データを利用可能とするために合意された報酬の条件を適法なものとする体制の整備
データ処理サービスを提供する場面	（技術上の実装事項） ・インフラの運用に必要なコンピューティング資源のみを提供する場合、切替え後に機能的同等性を確保するための技術的措置の導入 ・インフラの運用のために必要なコンピューティング資源以外を提供する場合、オープンインターフェースの設定・構築・提供と、相互運用性のための共通仕様または整合規格との互換性の確保 ・国際的な政府によるデータへのアクセスおよびその移転を防ぐための技術的な措置の導入 （契約上の実装事項） ・データ処理サービスの切替えの契約条件に係る規律を踏まえた契約の雛形の見直しおよび個別の契約修正 ・顧客への個別の情報提供をするための文書の準備 ・顧客への公表による情報提供をするための文書のウェブサイトでの公開 ・国際的な政府によるデータへのアクセスおよびその移転を防ぐための契約の雛形の見直しおよび個別の契約修正 （運用上の実装事項） ・データ処理サービスの効果的な切替えの障害の除去を遂行できる体制の構築 ・データ処理サービスの切替料金の段階的廃止のルールを遵守できる価格設定の方針の策定 ・国際的な政府によるデータへのアクセスおよびその移転を防ぐための法的措置の検討フローの構築

※本記事は、野呂悠登弁護士（個人情報保護委員会事務局への出向経験者。また、英国の大手法律事務所に出向して、EU・英国の企業に対するデータ保護法の助言を経験）を中心に、山本麻記子弁護士（欧州プラクティスグループ）、芹澤杏子弁護士（データプロテクション・サイバーセキュリティプラクティスグループ）及びマリア・ゴンカルベス弁護士（ポルトガル弁護士）にて執筆したものです。

_____________________________________________

 （注1）EU法の「規則」という法形式は、EU加盟国の国内法の定めの有無にかかわらず、規則の全体が拘束力を持ち、すべての加盟国に直接適用されます（EUの機能に関する条約288条）。
（注2）「データスペース」とは、特に、新しい製品やサービスの開発、科学研究、市民社会への働きかけのために、データの共有または共同処理をするための共通の基準および慣行に関する、目的別または分野別、あるいは分野横断的な相互運用可能な枠組みをいいます（法33条1項）。以下、同様とします。
（注3）「スマートコントラクト」とは、一連の電子データ記録を利用し、その完全性と時系列順序の正確性を確保した、契約またはその一部の自動的な締結に利用されるコンピュータプログラムをいいます（法2条39号）。以下、同様とします。
（注4）ただし、EUデータ法3条1項に係る義務（製品データおよび関連サービスデータに利用者がアクセスできるようにする義務）は、2026年9月12日以降に上市されるコネクティッド製品およびその関連サービスに適用されます。
（注5）European Commission, “Shaping Europe's digital future: Commission presents strategies for data and Artificial Intelligence” (19 February 2020) < https://ec.europa.eu/commission/presscorner/detail/en/ip_20_273> accessed 10 March 2024
（注6）European Commission, “Shaping Europe’s digital future: A European strategy for data” (4 March 2024) < https://digital-strategy.ec.europa.eu/en/policies/strategy-data> accessed 10 March 2024
（注7）European Commission, “Shaping Europe’s digital future: Data Act” (27 February 2024) < https://digital-strategy.ec.europa.eu/en/policies/data-act> accessed 10 March 2024
（注8）Ibid.
（注9）Ibid.
（注10）「製品データ」とは、コネクティッド製品の使用によって生成されたデータであって、製造者が、電気通信サービス、物理的接続、または機器上のアクセスを通じて、利用者、データ保有者、または、該当する場合には、第三者が検索できるように設計したものをいいます（法2条15号）。以下、同様とします。
（注11）「関連サービス」とは、提供者による関連サービスの提供中に、利用者によって意図的に記録された、または利用者の行動の副産物として生成された、コネクティッド製品に関連する利用者の行動またはイベントをデジタル化したものを表すデータをいいます（法2条16号）以下、同様とします。
（注12）「コネクティッド製品または関連サービスからデータが生成される場面」の義務は、一定のパートナー企業等を持たない零細・小規模事業者には適用されません（法7条1項）。「零細・小規模事業者」とは、従業員50人未満で、かつ年間の売上高または年度末の貸借対照表の総資産が1,000万ユーロを超えない事業者をいいます（法2条25号および26号、Articles 2(2) and (3) of the Annex to Recommendation 2003/361/EC）。また、中規模事業者には、1年間適用を除外する経過措置があります（法7条1項） 。「中規模事業者」とは、「零細・小規模事業者」以外の事業者であって、従業員数が250人未満で、かつ年間の売上高が5,000万ユーロを超えない、または年度末の貸借対照表の総資産が4,300万ユーロを超えない事業者をいいます（Articles 2 (1)-(3) of the Annex to Recommendation 2003/361/EC））。
（注13）データベース指令が定める特別な権利（sui generis right）は、EUデータ法の範囲内にあるコネクティッド製品または関連サービスからデータが取得される場合、または同法の範囲内にあるコネクティッド製品または関連サービスによってデータが生成される場合は適用されません（法43条）。
（注14）「容易に利用可能なデータ」とは、データ保有者が、コネクティッド製品または関連サービスから、簡単な操作を超えて不相応な努力をすることなく、合法的に入手する、または合法的に入手できる製品データおよび関連サービスデータをいいます（法2条17号）。以下、同様とします。
（注15）「メタデータ」とは、データの探索または利用を容易にする、データの内容または利用に関する構造化された記述をいいます（法2条1号）。以下、同様とします。
（注16）この規律は、事業者間の関係において、データ保有者がEU法またはEU法に従って採択された国内法に基づいて、データ受領者がデータを利用できるようにする義務を負う場合にのみ適用されます（法12条）。例えば、EUデータ法5条に基づき、データ保有者が利用者の要求に応じてデータを第三者に利用可能にする義務を負う場合が挙げられます。
（注17）EUデータ法23条(d)号、29条、30条1項および3項に定める義務は、主要な機能の大部分が個々の顧客の特定のニーズに対応するために特注されたデータ処理サービス、またはすべてのコンポーネントが個々の顧客の目的のために開発されたデータ処理サービスであって、それらのデータ処理サービスがそのサービスカタログを通じて広範な商業規模で提供されていないものには適用されません（法31条）。
（注18）本稿において「クラウドサービス」は、サーバを集約して集中的に情報処理を実行する環境を提供するサービスをいいます。
（注19）本稿において「エッジサービス」は、ネットワーク上の機器で情報を処理したり、ネットワークにサーバを分散配置して情報処理を実行したりする環境を提供するサービスをいいます。
（注20）EUデータ法は、データスペースの内部または相互間における相互運用性を確保する趣旨で、データスペースの参加者の必須要件を定めています（EUデータ法前文103項）。
（注21）EUデータ法は、データ共有契約の自動実行のためのツールの相互運用性を促進する趣旨で、スマートコントラクトの必須要件を定めています（EUデータ法前文104項）。
（注22）Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)