欧州ではEUデータ法(Data Act, (EU) 2023/2854, 以下「Data Act」)[i]が2025年9月12日から適用開始され、一部の規定は2026年と2027年にかけて段階的に導入されます。Data Actは、EUにおいて個人データと非個人データの両方を含むコネクテッド製品(IoT機器やネットワーク接続型デバイス)および関連サービス等から生成されるデータの利活用を促進するための法律です。特にEU市場に製品を上市する製造業者や、EUの顧客にクラウド等のデータ処理サービスを提供する事業者はData Actに準拠する必要があります。
本ブログではData Actの目的・概要について、セキュリティとの関係性も踏まえて解説します。
EU はデータを経済成長・競争力・イノベーションの基盤と捉え、単一のデータ市場とデータ主権の確保を目指す「EUデータ戦略」[ii]を策定しました。この戦略を実現するための2つの法律として、EUデータガバナンス法(Data Governance Act , (EU) 2022/868)[iii]とData Act(2025年9月適用)が制定されました。
データガバナンス法は、データ再利用の信頼性向上に向けて、公共機関やデータ仲介者におけるデータ再利用に関わる法的枠組みを整備するために制定されました[iv]。
一方、Data Actは、利用者のアクセス権を強化し、産業データを含むデータの公正・公平な利用を可能にするとともに、クラウドサービスの相互運用性・切替容易性の改善や、公共部門によるデータ利用を目的に制定されました[v]。
Data Actへの対応においては、コネクテッド製品含む各種製品やサービスに関わる個人データおよび非個人データを網羅的に考慮する必要があります。
具体的に考慮すべきデータは下記1~6の通りです。
|
考慮対象のデータ |
||
|
# |
概要 |
詳細 |
|
1 |
製品データ |
コネクテッド製品によって取得/生成/収集される、製品の性能・使用状況・環境情報を表すデジタル情報 |
|
2 |
関連サービス データ |
関連サービス(クラウドサービス等)の利用中に、利用者の操作またはそれに付随して発生したイベントの記録 |
|
3 |
容易に入手可能なデータ |
データ保持者が過大な負担なく抽出・提供できる製品/関連サービスデータ |
|
4 |
生データおよび 前処理データ |
メタデータを含む生データおよび前処理データ (例:センサーから収集された温度や圧力等のデータ)
※複雑なアルゴリズムなどで高度に加工されたデータや知的財産権の対象になるコンテンツ(テキスト、音声等)は除く |
|
5 |
個人データと 非個人データ |
コネクテッド製品または関連サービスによって生成された個人データと非個人データ
※個人データの取り扱いについては、EU一般データ保護規則(GDPR)[vii]に準拠する |
|
6 |
営業秘密 |
EU営業秘密指令(Directive (EU) 2016/943)[viii]で定義された、商業的価値を有する秘密。 無条件に共有すべきデータではない(必要十分な保護措置が講じられない場合は拒否可能) |
Data Actの適用対象者は、コネクテッド製品含む各種製品・サービスのデータ授受に関わる関係者となります。
詳細は下記1~7の通りです。
|
適用対象者 |
||
|
# |
対象者 |
詳細 |
|
1 |
製造業者 関連サービス提供者 |
EU域内で販売されるコネクテッド製品の製造業者および関連サービスの提供者 (製造業者および関連サービス提供者の所在地は問わない) |
|
2 |
利用者 |
EU域内における、コネクテッド製品または関連サービスを使用する個人または法人 |
|
3 |
データ保持者 |
EU域内でデータを受け取る利用者またはデータ受領者に対して提供義務を負う個人または法人 (データ保持者の事業所の所在地は問わない) |
|
4 |
データ受領者 |
EU域内においてデータ保持者からデータを受領して利用できる、個人または法人(コネクテッド製品または関連サービスの利用者以外) |
|
5 |
公的機関 |
データ保持者に対して、公共の利益のために例外的にデータ提供を要請する公的機関、委員会、欧州中央銀行およびEU機関 |
|
6 |
データ処理サービス 提供者 |
EU域内の顧客にデータ処理サービスを提供する事業者 (事業所の所在地は問わない) |
|
7 |
スマートコントラクトサービス提供者 |
データ空間の参加者、スマートコントラクトを使用するアプリケーションのベンダー、および他者の契約履行のためにスマートコントラクトを職業または事業として展開する者 |
Data Actでは、コネクテッド製品や関連サービスに関わる各種データの取り扱いについて、企業・利用者・公的機関等に求める要件を定めています。
主要な要件はChapterⅡ~ChapterⅦにて定められており、詳細は下記の通りです。なお、下記の要件概要は各条項の要件を要約した内容であるため、詳細はData Act原文をご参照ください。
|
Chapter |
タイトル |
該当Article |
要件概要 |
|
Ⅱ |
B2CとB2Bのデータ共有 |
3~7 |
利用者にコネクテッド製品や関連サービスのデータを共有できるようにする。 また、データ保持者は利用者からの要請に応じてコネクテッド製品や関連サービスのデータを第三者に提供できるようにする。 |
|
Ⅲ |
データを利用可能にする義務を法的に負ったデータ保持者の義務 |
8~12 |
データ保持者とデータ受領者は、データ提供に関して契約(合理的な報酬の合意等)で取り決める。 |
|
Ⅳ |
企業間のデータのアクセスおよび使用にかかわる不公正な取引条件 |
13 |
企業間における不公正な契約条項は無効とする。 |
|
Ⅴ |
例外的な必要性に基づく、公共部門機関、欧州委員会、欧州中央銀行、連合機関に対するデータ提供 |
14~22 |
データ保持者は公的機関等からの正当な要請に応じて該当するデータを提供する。 公的機関等は定められた目的に限りデータ保持者から受領したデータを第三者に共有できる。 公的機関等は他のEU加盟国のデータ保持者にデータ提供を要請する場合、その加盟国の当局に事前に通知する。 |
|
Ⅵ |
データ処理サービスの乗り換え |
23~31 |
データ処理サービス提供者は顧客が他の同種別のサービスに乗り換えることを妨げてはならず、以降の支援を行う。 |
|
Ⅶ |
国際政府による非個人データへの不正なアクセスおよび移転 |
32 |
データ処理サービス提供者はEU域内で保有されている非個人データへの国際的および第三国政府によるアクセスおよび転送を防止するために、契約を含む技術的・組織的・法的措置を講じる。 |
Data Actでは主にデータ共有に関わる要件を定めています。それらの要件を満たすためのセキュリティ対策そのものを規定しているわけではなく、データ共有・アクセス・保護義務の中にセキュリティ要素が含まれています。
ChapterⅡ~ChapterⅦにて定められている要件のうち、セキュリティ要素の概要は下記の通りです。
|
Chapter |
該当Article |
セキュリティ要素 |
|
Ⅱ |
3 |
利用者がコネクテッド製品や関連サービスのデータに直接、セキュアにアクセスできるようにする。 |
|
4 |
利用者がコネクテッド製品や関連サービスのデータに直接アクセスできない場合、データ保持者は要請に応じて利用者にデータをセキュアに提供できるようにする。 |
|
|
5 |
データ保持者は、利用者からの要請に応じてコネクテッド製品や関連サービスのデータを第三者にセキュアに提供できるようにする。 |
|
|
Ⅲ |
11 |
データ保持者は、スマートコントラクトや暗号化等の技術的保護措置により、データへの不正アクセスを防止する。 |
|
Ⅴ |
19 |
公的機関は、データ保持者から受領したデータの機密性・完全性およびデータ転送時のセキュリティを維持できるよう、技術的・組織的措置を講じる。 |
上記のセキュリティ要素に関する具体的な取り組みとして、下記4つのケースをご紹介します。なお、下記①~④のケースにおける取り組みは参考例であり、厳密なセキュリティ対策等は実際の運用ケースを考慮して策定する必要があります。
利用者がA社のコネクテッド製品に直接アクセスして、”セキュアに”データ共有できるようにするためには、例えば下記のようなセキュリティ対策を行う必要があります。
利用者がコネクテッド製品のデータに直接アクセスできない場合において、A社から利用者にコネクテッド製品のデータを”セキュアに”共有できるようにするためには、例えば下記のようなセキュリティ対策を行う必要があります。
A社が、利用者の要請に応じてコネクテッド製品のデータを第三者であるB社に”セキュアに”共有できるようにするためには、例えば下記のようなセキュリティ対策を行う必要があります。
A社が、公的機関の要請に応じてコネクテッド製品のデータを当該機関にセキュアに共有のうえ、受領した公的機関にて当該データをセキュアに保護できるようにするためには、例えば下記のようなセキュリティ対策を行う必要があります。
Data Actの他、CRA、RED、機械規則など、欧州ではIoT製品のセキュリティ法規制が進んでいます。
弊社では、製品セキュリティライフサイクル(企画・設計・開発・製造・保守・運用・廃棄)に渡って継続的に法規に準拠するための包括的な支援が可能です。
これには、法規や関連する規格で明言されているサイバーセキュリティ対策の検討・評価だけでなく、法規に対応するためのルールや体制構築、サイバーセキュリティ教育・訓練なども含まれており、技術・プロセス両方の面からセキュリティ法規対応をサポートいたします。
[i] REGULATION (EU) 2023/2854, https://eur-lex.europa.eu/eli/reg/2023/2854/oj/eng
[ii] A European strategy for data, https://digital-strategy.ec.europa.eu/en/policies/strategy-data
[iii] REGULATION (EU) 2022/868, https://eur-lex.europa.eu/eli/reg/2022/868/oj/eng
[iv] Data Governance Act explained, https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained
[v] Data Act, https://digital-strategy.ec.europa.eu/en/policies/data-act
[vi] https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act