EUデータ法（EU Data Act）の影響範囲と実務対応｜コネクテッド製品のデータ共有とセキュリティの要点

欧州ではEUデータ法（Data Act, (EU) 2023/2854, 以下「Data Act」）^[i]が2025年9月12日から適用開始され、一部の規定は2026年と2027年にかけて段階的に導入されます。Data Actは、EUにおいて個人データと非個人データの両方を含むコネクテッド製品（IoT機器やネットワーク接続型デバイス）および関連サービス等から生成されるデータの利活用を促進するための法律です。特にEU市場に製品を上市する製造業者や、EUの顧客にクラウド等のデータ処理サービスを提供する事業者はData Actに準拠する必要があります。

本ブログではData Actの目的・概要について、セキュリティとの関係性も踏まえて解説します。

Data Actが制定された背景・目的は？

EU はデータを経済成長・競争力・イノベーションの基盤と捉え、単一のデータ市場とデータ主権の確保を目指す「EUデータ戦略」^[ii]を策定しました。この戦略を実現するための2つの法律として、EUデータガバナンス法（Data Governance Act , (EU) 2022/868）^[iii]とData Act（2025年9月適用）が制定されました。

データガバナンス法は、データ再利用の信頼性向上に向けて、公共機関やデータ仲介者におけるデータ再利用に関わる法的枠組みを整備するために制定されました^[iv]。

一方、Data Actは、利用者のアクセス権を強化し、産業データを含むデータの公正・公平な利用を可能にするとともに、クラウドサービスの相互運用性・切替容易性の改善や、公共部門によるデータ利用を目的に制定されました^[v]。

どのようなデータを考慮対象にすべき？

Data Actへの対応においては、コネクテッド製品含む各種製品やサービスに関わる個人データおよび非個人データを網羅的に考慮する必要があります。

具体的に考慮すべきデータは下記1～6の通りです。

Data Act対応において考慮対象とすべきデータ^[vi]

どのような事業者が適用対象なの？

Data Actの適用対象者は、コネクテッド製品含む各種製品・サービスのデータ授受に関わる関係者となります。

詳細は下記1～7の通りです。

Data Actの適用対象者

どのような要件が定められているの？

Data Actでは、コネクテッド製品や関連サービスに関わる各種データの取り扱いについて、企業・利用者・公的機関等に求める要件を定めています。

主要な要件はChapterⅡ～ChapterⅦにて定められており、詳細は下記の通りです。なお、下記の要件概要は各条項の要件を要約した内容であるため、詳細はData Act原文をご参照ください。

Data Actの主要な要件概要

Data Act対応において考慮すべきセキュリティ要素は？

Data Actでは主にデータ共有に関わる要件を定めています。それらの要件を満たすためのセキュリティ対策そのものを規定しているわけではなく、データ共有・アクセス・保護義務の中にセキュリティ要素が含まれています。

ChapterⅡ～ChapterⅦにて定められている要件のうち、セキュリティ要素の概要は下記の通りです。

Data Actにおけるセキュリティ要素の概要

上記のセキュリティ要素に関する具体的な取り組みとして、下記4つのケースをご紹介します。なお、下記①～④のケースにおける取り組みは参考例であり、厳密なセキュリティ対策等は実際の運用ケースを考慮して策定する必要があります。

ケース①：利用者がコネクテッド製品のデータに直接アクセスできる場合

利用者がA社のコネクテッド製品に直接アクセスして、”セキュアに”データ共有できるようにするためには、例えば下記のようなセキュリティ対策を行う必要があります。

• コネクテッド製品に保存するデータを暗号化で保護する
• コネクテッド製品と利用者間における通信データを暗号化で保護する
• 利用者が適格な対象者であることを認証する

ケース②：データ保持者から利用者にデータ共有する場合

利用者がコネクテッド製品のデータに直接アクセスできない場合において、A社から利用者にコネクテッド製品のデータを”セキュアに”共有できるようにするためには、例えば下記のようなセキュリティ対策を行う必要があります。

• コネクテッド製品とA社間における通信データを暗号化で保護する
• A社のサーバに対してアクセス制御を行う
• A社のサーバに保存するデータを暗号化で保護する
• A社のサーバで暗号化に利用する鍵をセキュアに管理する
• A社のサーバへのアクセスに関わる監査ログの取得
• A社と利用者間における通信データを暗号化で保護する
• 利用者が適格な対象者であることを認証する

ケース③：利用者の要請に応じて第三者にデータ共有する場合

A社が、利用者の要請に応じてコネクテッド製品のデータを第三者であるB社に”セキュアに”共有できるようにするためには、例えば下記のようなセキュリティ対策を行う必要があります。

• A社にて、利用者による要請の真正性を検証のうえ同意した証跡を記録する
• データ収集するコネクテッド製品が適格な機器であることを認証する
• コネクテッド製品とA社間における通信データを暗号化で保護する
• A社のサーバに対してアクセス制御を行う
• A社のサーバに保存するデータを暗号化で保護する
• A社のサーバで暗号化に利用する鍵をセキュアに管理する
• A社のサーバへのアクセスに関わる監査ログの取得
• A社とB社間における通信データを暗号化で保護する
• B社が適格な対象者であることを認証する

ケース④：公的機関の要請に応じてデータ共有し、当該機関でセキュアに保護する場合

A社が、公的機関の要請に応じてコネクテッド製品のデータを当該機関にセキュアに共有のうえ、受領した公的機関にて当該データをセキュアに保護できるようにするためには、例えば下記のようなセキュリティ対策を行う必要があります。

• A社のサーバに対してアクセス制御を行う
• A社のサーバに保存するデータを暗号化で保護する
• A社のサーバで暗号化に利用する鍵をセキュアに管理する
• A社のサーバへのアクセスに関わる監査ログの取得
• A社と公的機関間における通信データを暗号化で保護する
• 公的機関が適格な対象者であることを認証する

まとめ

• 2025年9月に適用されたData Actには、コネクテッド製品や関連サービス等のデータのアクセス・共有・利用に関する要件が定められています。
• EU域内においてコネクテッド製品含む各種製品・サービスのデータ授受に関わる関係者は、Data Actの要件に従った対応が求められます。また、EU域外の企業であってもEU域内にデータを提供する場合は、Data Actの適用対象になる点に留意が必要です。
• Data Act対応においては、関係者間でデータをセキュアに共有できるようにするためのセキュリティ対策も必要不可欠になります。

Appendix. 欧州IoTセキュリティ法規準拠支援サービス

Data Actの他、CRA、RED、機械規則など、欧州ではIoT製品のセキュリティ法規制が進んでいます。

弊社では、製品セキュリティライフサイクル(企画・設計・開発・製造・保守・運用・廃棄)に渡って継続的に法規に準拠するための包括的な支援が可能です。

これには、法規や関連する規格で明言されているサイバーセキュリティ対策の検討・評価だけでなく、法規に対応するためのルールや体制構築、サイバーセキュリティ教育・訓練なども含まれており、技術・プロセス両方の面からセキュリティ法規対応をサポートいたします。

欧州IoTセキュリティ法規準拠支援サービス

[i] REGULATION (EU) 2023/2854, https://eur-lex.europa.eu/eli/reg/2023/2854/oj/eng

[ii] A European strategy for data, https://digital-strategy.ec.europa.eu/en/policies/strategy-data

[iii] REGULATION (EU) 2022/868, https://eur-lex.europa.eu/eli/reg/2022/868/oj/eng

[iv] Data Governance Act explained, https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained

[v] Data Act, https://digital-strategy.ec.europa.eu/en/policies/data-act

[vi] https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act

[vii] https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng

[viii] https://eur-lex.europa.eu/eli/dir/2016/943/oj/eng