2023年7月14日に開催されたMyDataJapan Conference 2023での、Track A-7「EUにおけるデータ関連法制の現状」に関するセッションのレポートです。なお、本レポートはMyDataJapan 2023大会事務局が作成したものです。
講演 | |
生貝 直人 | 一橋大学大学院法学研究科 教授 |
生貝 直人 氏(講演)
講演資料:
本日のテーマは、EUにおけるデータ関連法制の現状についてである。近年、EUのデータ関連法制は急速に増加しており、GDPR、eプライバシー、サイバーセキュリティに関する指令など、多岐にわたる法律が存在している。フォン・デア・ライエン政権下での新たな法制、例えばデジタルサービス法、デジタル市場法、データガバナンス法などが加わってきた。これらの法律は、ほとんどが個人データや非個人データに関するもので、その影響は日本の個人情報保護法の制定にも及んでいる。生貝氏よりEUの法制の動向に加え、EUの動向が日本のデータ保護制度に及ぼす影響について、以下のように説明された:
- デジタルサービス法は、EUのデジタルサービスの基盤法として、20年以上ぶりに電子商取引指令を全面的に更新するものである。この法律の主目的は、SNSや各種プラットフォーム事業者によるコンテンツのモデレーションに関する透明性を確保し、利用者への救済措置を提供することである。特に、EU域内で大規模なアクティブユーザーを持つ「超巨大オンラインプラットフォーム(VLOP)」や「超巨大オンライン検索エンジン(VLOSE)」には追加的な規制がある。これは、これらのプラットフォームが社会全体に及ぼすリスクを低減するためである。デジタルサービス法は、サービスの種類や提供規模に応じて異なる規制の軽重を設けている。主な要点としては、コンテンツモデレーションの透明性と救済、違法コンテンツへの対応のプロセスの明確化、VLOP/VLOSEに対するシステミックリスクへの着目とモニタリング、ダークパターンや個人データの保護に関する規定がある。特に、個人データ関連の条項には、PF上のターゲティング広告やレコメンダーシステムのパラメータの明示、そしてGDPR特別カテゴリーの個人データのプロファイリング広告利用の禁止などが含まれている。また、超巨大プラットフォーム検索エンジンに関するシステミック・リスクにも注目する必要がある。
- デジタル市場法は2020年に提案され、昨年成立した法案である。従来の競争法が事後規制を主体としていたのに対し、この法案はゲートキーパー企業に対する事前規制を導入するものである。これはインターネット法制の中でも特に影響が大きいとされ、「インターネットのルール変更」とも評される。
- AI規則は共同規制の概念の理解が前提となる。共同規制は自主規制と法的規制の組み合わせを指す。AI規則案はAIシステムをリスクに応じて4段階に分類し、ハイリスクカテゴリは共同規制の下で運用される。具体的なハイリスクAIの用途には、インフラ管理・運用、教育・職業訓練における評価、雇用・労働管理、重要な民間公共サービスなどが含まれる。2021年に提案されたAI規則案では、ChatGPTなどの生成AIは考慮されていなかったが、2023年6月の欧州議会総会で生成AIに特化したカテゴリーの修正案が採択された。整合規格のプロセスは今後注視すべきであると指摘されている。
- サイバーセキュリティ法制に関して、ヨーロッパは最近、IoTを中心に大規模な法律を制定した。このサイバーレジリエンス法案は、IoTやその他のデジタル要素を含む製品全般のセキュリティ要件を明確にし、第三者認証の必要性を設けるものである。この法案は日本の製造業にも大きな影響を与える可能性がある。さらに、IoTのセキュリティに関する法令として、レッド指令という無線機器指令も存在する。この指令は2014年に導入されたが、具体的なルールは昨年まで明確化されていなかった。2024年8月から適用される新たな法令は、無線機器における個人データ及びプライバシーの保護を強化するものである。
- データ法案について、この法案は従来の個人データ保護法や知的財産権法とは異なり、データの活用促進に特化している。特にB2BやB2Gのデータ取引、IoTデータの活用などが重点的に取り扱われている。この法案はデータポータビリティの強化やマイデータ推進のための法制として注目されている。
- データガバナンス法制において、情報銀行のような第三者データ仲介者の認定制度を設けることで、個人データの管理や活用を円滑にすることを目的としている。これに加えて、各分野ごとのデータ法制も検討されており、ヘルスデータ、自動車データ、金融データなどの分野別法制が進行中である。
総括として、EUはデータ関連の法制を積極的に整備しており、その焦点はデータ保護からリアルデータへの拡大、新たな「データ活用法制」の創設、個人データと非個人データの相対的な扱い、当局あるいは法分野のコーディネーションなども考慮していかなければならないと締め括った。
以上(文責・MyDataJapan2023 大会事務局)