「EUデータ法」が施行

IoT製品やクラウドサービスから得られるデータは、特定の大企業に集中している。一方で、中小企業は、大企業と競争するために必要なデータを手に入れにくく、欧州域内でのイノベーションや産業発展を阻害する状態となっている。

そこで本法では、欧州域内で提供される製品及びサービスの使用中に自動的に生成されるデータ（機器が発するログ情報や稼働情報など）の取り扱いルールを定め、契約条件によるデータ共有や移転の制限、事業者間の乗り換えや相互運用性の低さ、欧州域内での産業データ活用の遅れによる新産業の創出の遅れ等の問題を解消することを狙った。対象となるのは、IoT機器、スマート家電、自動車、産業用機械、医療機器、農業機械、建設機械、クラウドサービスなど、日常的な利用の中でデータを生成するコネクテッド製品^※1及びそれらの関連サービス^※2である。欧州域外企業であっても欧州域内でこれらを提供する場合は適用対象となる^※3。

本法では、以下のような項目が規定されている。

出典：EUデータ法原文（https://eur-lex.europa.eu/eli/reg/2023/2854）をもとに当社作成

上記の内容を踏まえると、対象企業においては、まず自社製品やサービスの提供に際し、どのプロセスで生成される、どのデータが本法規制対象となるのかを明確にすることが最重要となる。

その上で、特定したデータに関連するステークホルダー、それらに紐づく規制範囲を整理・把握した上で、適切なデータの取り扱いに係るシステム確立などを行った製品・サービスの設計が求められる。

なお、本法に関する今後の整備方針については、欧州委員会のFAQ^※4で示されている。たとえば、クラウドポータビリティ（第23条～第28条）に関しては、施行後1年～1年半後に適用が開始される予定である。また、制裁措置（第40条）に関しては、制裁金額の上限は各国の判断によるとするものの、最大2,000万ユーロまたは全世界売上高の4%が想定されるとしている。データ形式やAPIの標準化については、欧州標準化機関等が今後策定を進めることが公表されている。

今後、継続して運用ルールや実務上の解釈が明確化されていくことが予想されるため、対象企業においては、欧州委員会からの公表内容に加えて、各加盟国の規制内容や法の整備状況について注視する必要がある。すでに対応を進めている企業であっても、継続的な情報収集と本法に対応するための製品・サービス設計、自社態勢の定期的な見直しを行うことが望ましい。

※1）コネクテッド製品とは、利用・性能・環境に関するデータを生成・取得・収集し、ケーブルまたは無線通信でデータを外部に送信できる製品を指す。スマート家電、産業機械、医療機器、スマートフォン、TVなどが該当する。（参照：欧州委員会が公表したデータ法に関するFAQ）

※2）関連サービスは、コネクテッド製品の機能に直接影響を与えるデジタルサービス（例：スマート家電のアプリなど）が対象となる。双方向のデータ交換と、製品の機能・挙動・操作への影響が要件となる。（参照：欧州委員会が公表したデータ法に関するFAQ）

※3）既存のデータ取り扱いを規定するEUの法律としては「GDPR（一般データ保護規則）」があるが、両者が矛盾する場合はGDPRが優先されるとしている。

※4）欧州委員会が公表したデータ法に関するFAQ： 2025年9月12日公表　バージョン1.3
https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act

【参考情報】
欧州委員会データ法公式HP
https://digital-strategy.ec.europa.eu/en/policies/data-act