データを取り巻くIoTビジネスモデルの転換期

２. EUデータ法案が制定された背景

現在、EUでは「デジタル時代のヨーロッパ（A Europe fit for the digital age）^※2」という取組みが行われており、EUのデジタル主権の強化とEU独自の基準設定が目指されています。AI^※3から宇宙開発^※4まで広い分野を対象とする同取組みには、データに着目して2020年に打ち出された欧州データ戦略（European Data Strategy）^※5も含まれています。これは、EU単一市場をデータ分野にも広げ、データの単一市場を実現しようという試みです。同戦略においては、データ法のみならず、データ・ガバナンス法^※6、オープンデータ指令^※7、デジタル・サービス法、デジタル・マーケット法^※8などの新たな法枠組みが導入される見込みです。

単一市場の実現は、EUにとって最重要使命の一つであり、欧州一丸でアメリカやロシア、アジア太平洋地域に比肩する経済力を目指すものであり、単なる域内関税障壁の撤廃に留まらず、市場自体の競争力向上を狙いとしています。

情報技術の発展が目覚ましい今日、サイバー空間やデジタル分野にも単一市場を拡充し、データの自由化と市場不均衡の是正によりEUデータ市場の活性化を図る施策が、EUデータ法案であるといえます。

３. EUデータ法案の要点

EUデータ法案により新たに導入される規制のポイントは、大きく分けて以下の4点です。
 

・ユーザーなどに対するデータの「オープン化」       

IoT機器のユーザーに対して、IoT機器にて生成したデータへのアクセシビリティを付与することが求められます。
具体的には、製品・サービスの利用に関連して生成されたデータを、ユーザー自身が参照できるような機能を備え付けることや、最低でもユーザーの請求に応じてデータを取り出して提供する義務を企業に課しています。

・中小事業者とのビジネス上での公平性の担保

データの保管・共有に関する契約においては、生成データを保有するメーカー側の立場が強く、二次利用者との契約は往々にしてメーカーに有利なものになりがちです。EUデータ法案は、こうした不公平性にメスを入れ、一方的で不公平な契約を禁じる旨が規定されています。
 

・公共機関へのデータ提供（非常時）

一定の非常事態・緊急事態に際して、公共機関へデータを提供する義務が生じます。洪水や山火事などの一刻を争う大規模災害に際して、政府機関から協力を求められた場合、企業は指定されたデータを直ちに提出しなければなりません。
 

・データ・ポータビリティとデータ移転

消費者のサービス乗換えを容易にし、違法なデータ移転に対する安全措置を講じることが企業には求められます。

４. 民間企業におけるEUデータ法検討・対応のポイント
 

・製品/サービスへのデータアクセス機能の具備やデータ管理態勢の整備

各企業では、IoT機器で生成されたデータに関するユーザーからの各種請求に適切に対応できるよう、IoT機器への機能実装や開発・製造ライフサイクル全体での体制・仕組みの整備のみならず、アフターマーケットでの競争優位性の担保を目的としたビジネスモデルの再検討も必要になるかもしれません。

たとえば、従来では工場で利用されている産業用ロボットアームが故障した場合、ユーザーはメーカー公式の修理サポートに依頼するしかありませんでした。こうしたロボットは多くの場合、知能化とよばれるセンサフィードバックによる改良・カスタマイズがデバイス単位で重ねられており、その学習データはメーカーしか取り出せなかったからです。しかし、データ法の施行後は、ユーザーはより安価な修理業者に依頼すべく、ロボットアームのコマンドや蓄積された知能化データを外部修理業者に開示するようメーカーに請求できるようになるでしょう。

一方で、データ法の規定は製造事業者の開発コストにも配慮しています。データの共有に際して合理的な範囲の手数料を徴収することや、営業秘密の開示を拒否することは認められます。

・契約条項の見直しおよびそれによる自社への影響分析

データを保有する側がその有利性を利用し、以下のような不当な条件を契約相手に課した場合に当該契約条項を無効とする旨が規定されているため、各企業ではデータ共有に関する既存の契約条項の見直しが必要になるかもしれません。

■ 相手方のデータへ無制限にアクセスし利用する権限を自社に設定する

■ 契約期間中、データ受領者自身が生成したデータの利用やコピーの取得を、データ受領者に禁じる

■  告知期間が不当に短い契約解除の権限を自社に設定する

例として、IT系のスタートアップ企業が自社開発のアルゴリズムをテストすべく、IoT機器の大手メーカーのデータベースへのアクセス権を依頼してきた場合を考えてみましょう。

大手メーカーは、スタートアップの申し入れを受け入れて契約を締結する場合に、スタートアップ企業のアルゴリズムの利用に際して然るべきロイヤリティを支払うなど、適切な契約上の地位をスタートアップ企業に設定する必要があります。

つまり、類似のアルゴリズムを自社で開発し、短期間で契約を打ち切ってスタートアップ企業には十分なテスト期間を与えず、相手方のアルゴリズムを模倣した自社プログラムには十分な学習期間を設定して生成データを独占するようなことは禁止されます。

データ法の施行後、欧州委員会はモデル契約条項を発表する予定です。データのアクセス・利用に関する契約は、モデル契約条項をすべて含んだ内容にする必要があります。欧州委員会の続報をお待ち下さい。

・非常時におけるデータ提供のための体制構築

小規模事業者にはデータ提供義務が免除されるものの、以下のようなケースにおいて公共機関から要請された場合に、企業はデータを提供する必要があります。

■  緊急事態対応のために当該データが必要とされる場合

■  緊急事態の予防または復旧のために、一時的かつ限定的な範囲で、当該データが必要とされる場合

■  公共機関における公益目的の特定の任務の遂行のために当該データが必要であって、公共機関自身では当該データを取得できない場合

IoT機器のメーカーなど、製品・サービスに関連して生成されるデータを取り扱う事業者は、当該生成データをいつでも取り出して提出できる機能・プロセスを実装する必要があります。大規模災害時のCSR施策の一環として、データの提供シナリオを想定し、製品・サービス関連データのアクセシビリティ向上のみならず、データの取り出しと提供のための手続き・プロセス・人員を整備しておく必要があります。

・相互運用性のあるサービスの構築

以下の要件が規定されており、例えば、クラウドサービスプロバイダには、ユーザーが容易に他クラウドサービスに乗り換え可能な設計が求められます。クラウドサービスでは、従来、自社プラットフォーム独自のインターフェースを実装し、他サービスへの乗換えに係る労力やコストをユーザーに課す設計になっていることが多いですが、こうした設計はデータ法では禁じられます。

ワンクリックで必要なデータを同種サービスに転送できるようなサービス設計が求められます。また、ユーザーが求めた場合、ユーザーを介さず、データを直接他社サービスに送信する義務が発生します。この際、データが他に漏洩しないよう、安全な転送メカニズムを整備しておくことまでが、事業者の責務となります。

■  データセットの内容、利用制限、ライセンス、データ収集方法、データのクオリティおよび不確実性について、データ受領者が容易に特定、アクセス、利用可能な程度に説明されていること

■  データ構造、フォーマット、言語、分類スキーム、コードリストが公開されていること

■ アプリケーション・プログラムのインターフェースなど、データへのアクセス方法とその利用条件、サービスの質が、データの自動アクセスおよび移転を可能にする程度に説明されていること（リアルタイムかつマシンリーダブルなフォーマットであることを含む）

サービスおよび活動の中でスマート契約の相互運用性を担保する手段が準備されていること

5.   民間企業に求められるこれからの対応

まずは、法案段階というステータスに鑑み、当該法規制の検討・推進に係る動向を継続的に注視することが必要です。そのうえで、自社にどのような影響があるか多面的に評価することが望ましいでしょう。

一方、手戻りや無駄などの非効率が生じないよう、実際に対応を開始するタイミングについては組織全体で合意形成をし、経営層などの意思決定者による方針決定を経て進めることが肝要です。

≪参考文献≫

※1: EUデータ法（Data Act）
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2022%3A68%3AFIN

※2: デジタル時代のヨーロッパ（A Europe fit for the digital age）
https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age_en

※3: EUとAI
https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/excellence-and-trust-artificial-intelligence_en

※4: EUと宇宙開発
https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/space-eu-initiatives-satellite-based-connectivity-system-and-eu-approach-management-space-traffic_en

※5: 欧州データ戦略（European Data Strategy）
https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en

※6: 欧州データ・ガバナンス法
https://digital-strategy.ec.europa.eu/en/policies/data-governance-act

※7: オープンデータ指令
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32019L1024

※8: デジタル・サービス法、デジタル・マーケット法
https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package

≪関連サービス≫

サードパーティー・リスク 管理（TPRM: Third-party Risk Management)

執筆者

北町 任／Takashi Kitamachi
デロイト トーマツ サイバー合同会社

デロイト トーマツ サイバー合同会社所属。会計系の大手コンサルティング会社を経て現職。製造業を中心に、取引先を含めたサプライチェーン全体のサイバーセキュリティー戦略や製品セキュリティー戦略の策定などに従事。

矢ヶ崎 悠／Yu Yagasaki
デロイト トーマツ サイバー合同会社

サイバー・プライバシーおよび個人データ保護を中心に、サイバー・ストラテジーチームにてアドバイザリー業務に従事。GDPR・CPRA・個人情報保護法に関するリスク分析と改善提案について豊富な経験を有する。他、IT監査やサイバー攻撃訓練の立案・実施にも関与。

※所属などの情報は執筆当時のものです。