＜目次＞
1. 影響を受ける事業者（域外適用の有無）
2．コネクテッド製品の製造業者／関連サービスの提供事業者に関連する規律
(1) 設計、製造等に関する義務
(2) 契約時の情報提供に関する義務
3．データ保有者に関連する規律
(1) ユーザによるデータへのアクセスに関する義務
(2) データの利用等に関する規律
(3) データ受領者への提供に関する規律
(4) その他の規律
4．データ処理サービスの提供事業者に対する規律
5．罰則等の制裁

2024年1月11日、EUにおいて、コネクテッド製品やこれに関連するサービスの利用を通じて生成されたデータを保有する事業者に対して、EU域内のユーザによるアクセスやユーザが選択した第三者への共有などを義務づけるRegulation (EU) 2023/2854 on harmonised rules on fair access to and use of data（「データ法」）が発効しました。データ法は、クラウドサービス事業者によるEU域内のユーザの囲い込みについても規制対象としています。
データ法は、欧州委員会が2020年2月に公表した欧州データ戦略「A European strategy for data」を踏まえたものであり、公的機関が保有するデータの再利用の促進やデータ仲介サービスに対する信頼性の向上などを定めたデータガバナンス法（Regulation (EU) 2022/868 on European data governance／2023年9月24日に施行済み）に続くものと位置付けられます。
データ法が施行されるのは2025年9月12日からですが、EU域内でコネクテッド製品を製造・販売し、またクラウドサービスを提供する事業者には影響があり得るものですので、以下で概要を解説します。

1. 影響を受ける事業者（域外適用の有無）

以下の事業者が主たる適用対象とされています（1条3項）。

• EU域内で上市されるコネクテッド製品の製造業者及び関連サービスの提供事業者
• EU域内のデータ受領者によるデータ利用を可能とするデータ保有者
• データ処理サービスをEU域内の顧客に提供する者

いずれも、その拠点（Establishment）がEU域内にあるか否かを問わないとされていますので、日本の事業者であっても域外適用を受ける可能性があります。

2．コネクテッド製品の製造業者／関連サービスの提供事業者に関連する規律

(1) 設計、製造等に関する義務

コネクテッド製品の製造業者やコネクテッド製品に関連するサービス（「関連サービス」）を提供する事業者は、ユーザが、これらを利用することに伴って生成されたデータ（「製品データ」又は「関連サービスデータ」。これらのメタデータも含まれます。）に、デフォルトかつ容易に、無料でアクセスすることができるようにコネクテッド製品を設計・製造し、また関連サービスを設計・提供することが求められます（3条1項）。製品やサービスの設計段階から見直すという大きなインパクトを伴う規律であるため、本規律は、2026年9月12日以降に上市されるコネクテッド製品・関連サービスに適用されることとされています（50条）。

(2) 契約時の情報提供に関する義務

コネクテッド製品を販売等する者（製造業者も含まれ得ます。）は、コネクテッド製品の販売、レンタル、リースに係る契約を締結する前に、ユーザに対して、コネクテッド製品が生成できるデータの種類、形式、及び推定量等の情報を、明確かつ理解しやすい方法で提供する必要があります（3条2項）。
また、関連サービスの提供事業者も、サービス提供に係る契約を締結する前に、ユーザに対して、サービスの利用に伴って生成されることが見込まれるデータの性質及び推定量等の情報を、分かりやすく提供する必要があります（3条3項）。

3．データ保有者に関連する規律

(1) ユーザによるデータへのアクセスに関する義務

「データ保有者」とは、関連サービスの提供中に取得又は生成されたデータを使用し、利用可能にする権利又は義務を有する者をいうと定義されています（2条13号）。コネクテッド製品の製造・販売等を行う事業者や関連サービスの提供事業者も含まれ得ます。
ユーザがコネクテッド製品や関連サービスから直接製品データや関連サービスデータにアクセスすることができない場合、データ保有者は、原則として、データ保有者が合法的かつ容易に入手できる製品データや関連サービスデータ（「容易に入手可能なデータ（＝readily available data）」と定義されています。）について、これらのメタデータとともに、データ保有者が入手可能なものと同じ品質で、無償で、技術的に可能な場合には継続的かつリアルタイムに、ユーザがアクセスできるようにしなければなりません（4条1項）。ただし、それによってコネクテッド製品のセキュリティが損なわれる場合や営業秘密の保護に支障がある場合等は、この限りではないとされています（4条2項、6項）。

(2) データの利用等に関する規律

データ保有者は、ユーザとの契約に基づいてのみ、非個人データである「容易に入手可能なデータ」を利用することができるとされています。また、データ保有者が、ユーザや第三者の経済状況、資産、生産方法を洞察するなど、その商業的地位を損なう可能性のある方法で当該データを利用することは許されません（4条13項、5条6項）。
データ保有者は、ユーザとの契約の履行以外の商業的／非商業的な目的で、非個人データである製品データを第三者に提供することができません（4条14項）。データ保有者が容易に入手可能なデータを第三者（「データ受領者」）に提供することができるのは、ユーザから要求があった場合のみです（5条1項）。

(3) データ受領者への提供に関する規律

データ保有者がユーザの要求やEU法上の義務に基づいてEU域内の第三者（「データ受領者」）にデータを提供する場合、データ受領者との間で公正かつ合理的で差別的でない条件で、かつ透明性のある方法により、データへのアクセス及び利用等に関する契約（「データ共有契約」）を締結する必要があります（8条1項）。主としてEU域内の新興企業や中小規模企業がデータ保有者からデータ提供を受ける際に不公正な契約条件を強要されないようにすることを意図した規制であり、データ受領者は、データ共有契約の条項が不公正なものである場合は当該契約条件に拘束されないことになります（13条1項）。なお、欧州委員会は、2025年9月12日までに、データ共有契約のモデル条項を公表する予定です（41条）。

(4) その他の規律

その他にも、データ保有者は、欧州委員会等の公的機関が公共の緊急事態に対応するために必要とするなどの例外的な場合には、公的機関によるデータへのアクセス等を確保することが求められます（14条～22条）。

4．データ処理サービスの提供事業者に対する規律

いわゆるクラウドサービス（「データ処理サービス」）を提供している事業者は、ユーザによる、異なるデータ処理サービスやオンプレミスICTインフラへの切り替え、サービス上のデータやデジタル資産の移行（「スイッチング」）を妨げてはならないとともに、データ法で定められた各種の措置を講じなければならないとされています（23条）。具体的には、データ処理サービスの提供事業者は、ユーザが求めた場合には不当な遅滞なく切り替えやスイッチングを可能とし、これに必要な支援を行う義務があること等を、書面による契約（※）で明確に定めておく必要があります（25条）。また、データ処理サービスの提供事業者は、データ処理サービスのために導入したICTインフラに適用される法的管轄や、EU域内にある非個人データに対するEU法に抵触するガバメントアクセスや域外移転を防止するための技術的、組織的及び契約上の措置に関する説明をウェブサイト上で公開するとともに、これらの情報を常に最新の状態に保つことが求められます（28条）。

（※）この契約の標準契約条項（SCC）も、欧州委員会によって2025年9月12日までに公表されることが予定されています（41条）。

5．罰則等の制裁

罰則は、データ法そのものには規定されておらず、各加盟国が2025年9月12日までに定めた上で、欧州委員会に通知するものとされています（40条1項、2項）。他方で、EU各国の監督当局は、コネクテッド製品の製造業者や関連サービスの提供事業者を含むデータ保有者にデータ法の第2章（3条～7条）、第3章（8条～12条）、及び第5章（第14条～22条）についての義務違反があった場合、その権限の範囲内において、GDPRの83条に従って制裁金（2000万ユーロ、又は直前の会計年度における世界全体における売上総額の4％以下の金額のいずれか高い方）を課すことができるとされています（40条4項）。もっとも、当該制裁金が、個人データについての義務違反のみを対象としているのか、非個人データについての義務違反も対象にしているかは、データ法の文言からは明らかではありません。

ニューズレターのメール配信はこちら