EUデータ法、EUデータガバナンス法、EU人工知能（AI）法 ： 米国企業と非EU企業への影響は？

EU Data Act, Data Governance Act & AI Act: How It Impacts US & Non-EU Companies?
IAPP Global Privacy Summit 2024 現地レポート[Vol.9]
公開：2024/09/05　取材：山下大介（株式会社プライバシーテック）、執筆：ウンリュエル愛友美（株式会社プライバシーテック）

世界中のプライバシー専門家が集う国際会議「IAPP Global Privacy Summit 2024」が、2024年4月1日〜4日の日程で、東京よりも一足早く桜が満開を迎えた米国ワシントンD.C.で開催されました。株式会社プライバシーテックは2年ぶりに現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。

◆ この記事でわかること
・EUにおける新しいデジタル法の規制が、非EU企業に与える影響とは。
・データガバナンス法（DGA：Data Governance Act）、データ法（DA：Data Act）草案、人工知能（AI：Artificial Intelligence）法草案それぞれの概念や注意すべきポイントとは。
・グローバルに事業を展開するグループ企業はどのように対策を立てているか。

登壇者

Fabrice Naftalski, CIPP/E, CIPM, Partner, Attorney at Law, Global Head of Data Protection, Ernst & Young Société D'Avocats

Dominique Calmes, CIPP/E, CIPM, Deputy General Counsel Data Privacy, L'Oréal

Audrey Costes, CIPP/E, Global Data Privacy Officer, Concentrix + Webhelp

James Farnsworth, CIPP/US, Chief US Compliance and Regulatory Counsel; North America Data Privacy Officer, Capgemini

Louise Fauvel, CIPP/E,EU and International Affairs, National Commission on Informatics and Liberty and Councillor of State

転載：IAPP Global Privacy Summit 2024

概要

EUにおける新しいデジタル法の規制が、非EU（特に米国）企業に与える影響に焦点を当てた講演。登壇者は、域外適用、法定代理人、新たな情報開示、データ共有の義務化などについて議論を展開した。また、データガバナンス法（DGA：Data Governance Act）、データ法（DA：Data Act）草案、人工知能（AI）法草案を比較し、それぞれの概念や注意すべきポイントにも触れた。

また、グローバルに事業を展開するグループ企業の例としてロレアル社、キャップジェミニ社を取り上げ、新たな法案や要件に対して、各社がどのように対策を立て、何を課題として認識しているのかについても説明がなされた。

データガバナンス法とは

データガバナンス法は、欧州データ戦略*の一つであり、最初の立法措置として2023年9月24日から適用されている。EU市場における個人データの共有を促進するため、以下のような規定がされている。

*参考：https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020DC0066

1. 公的機関の保有する特定のデータ（商業秘密情報、知的財産、個人データ）を二次利用する際の条件。

2. データ仲介サービス提供者に対する認証の義務化。

3. 利他的な目的でデータを収集および処理する組織に対する任意登録の枠組み。

データガバナンス法の適用範囲に含まれる事業体の管轄ルール

• 第11条2項および第11条3項

データ仲介サービス提供者が、
1. EU域内で複数の事務所を展開する場合は、主たる事業所を有する加盟国の管轄下にあるものとみなされる。
2. EU域内に事業所はないがEU域内でサービスを提供している場合、法定代理人の所在する加盟国の管轄下にあるとみなされる（法定代理人の指定は必須）。

• 第19条2項および第19条3項

登録を希望するデータ利他主義団体が、
1. EU域内で複数の事業所を展開する場合は、主たる事業所を有する加盟国の管轄下にあるものとみなされる。
2. EUに事務所がない場合は、法定代理人の所在する加盟国の管轄下にあるとみなされる（法定代理人の指定は必須）。

具体例：
EU域内でデータ仲介サービスを提供する米国企業が、
1. EU域内に事務所を設置しないが、サービスを提供するフランス国内で法定代理人を任命した場合。
2. 主な事業所をフランス国内に設置した場合。
いずれも、フランス当局の管轄下にあるとみなされる。

データ法とは

データ法は、データガバナンス法に続くものとして位置付けられ、2025年9月12日から適用される。本法の目的は以下の通り。

1. 個人データおよび非個人データの取り扱いにおける公平性の確保。主な適用対象とされるのは、コネクテッド製品の製造者や関連サービスの提供事業者。

2. コネクテッド製品から取得されるデータの共有を促進し、公平、公正、かつ競争力のあるデータ市場の活性化を目指す。

3. 緊急事態への対応など例外的な状況において、公的機関によるデータへのアクセスや使用を可能にする。

4. 第三国政府によるデータへの不法アクセスを防ぐ。

⚫︎対象範囲（第1条2項、および第2条1項）
⚪︎個人データ、および非個人データ
データ法における「データ」とは、あらゆる行為、事実、または情報をデジタル形式で記したもの、およびその行為や事実、情報の編集物を意味する。音声や映像、または視聴覚記録の形式を含む。

⚫︎適用対象者（第1条3項）
⚪︎EU域内で上市されるコネクテッド製品の製造業者、関連サービスの提供事業者（域外適用あり※）
⚪︎EU域内のデータ受領者に対して、データを提供するデータ保有者（域外適用あり※）
⚪︎EU域内の顧客にデータ処理サービスを提供する事業者（域外適用あり※）
⚪︎データスペースの参加者や、スマート・コントラクトを使用するアプリケーションの提供者など（域外適用あり※）
⚪︎EU域内でコネクテッド製品、または関連サービスを利用する者
⚪︎EU域内でデータを受領し利用できる者
⚪︎公的緊急事態の際などにデータの提供を求める公的機関（欧州委員会、欧州中央銀行など）

※事業所の拠点がEU域内にあるかどうかを問わないとされており、日本の事業者であってもEUデータ法の対象者として域外適用を受ける可能性がある。

具体例：
米国企業が、コネクテッド製品または関連サービスをEU市場で展開するにあたり、
1. EU域内に事務所を設置しないが、ドイツ国内で法定代理人を任命した場合。
2. ドイツ国内に事務所を設置した場合（唯一もしくは主な事務所）。
いずれも、ドイツ当局の管轄下にあるとみなされる。

人工知能（AI）法とは

人工知能を包括的に規制するEUのAI法案は、2024年4月に可決された。2025年の早期に発効し、2026年から適用される見通しである。本法の目的は以下の通り。

1. EU域内におけるAIシステムやサービスに対して、統一的な規則を制定する。

2. リスクベースアプローチを導入する。

3. 汎用目的型AI（GPAI: general-purpose AI）モデルに対する統一的な規則を制定する。

4. 市場監視や強制措置などの規則を制定する。

5. スタートアップ企業など、中小企業のイノベーション支援を図る。

⚫︎リスクベースアプローチの概要
⚪︎Unacceptable Risk（容認できないリスク）があるAIの使用は禁止。
例：ソーシャルスコアリング。政治信条など機密性の高い特性で人々を分類するシステム。人々の行動を歪める操作技術。職場や教育機関において人々の感情を推測するシステム。

⚪︎High Risk（ハイリスク）のあるAIには規制をかける。
例：輸送やエネルギー供給など、重要なインフラの管理にセーフティ・コンポーネントとして使用されるシステム。生体認証。雇用管理で使用されるシステム。感情認識システム。

⚪︎Limited Risk（リスクが限定的）とされるAIには透明性の確保などの条件を付与。
例：顧客サービスで使用されるオンラインチャットボット。商品やサービスを提案するシステム。

⚪︎Minimal Risk（最小リスク）とみなされる（上記3区分に該当しない）AIシステムに対しては、規制を定めない。
例：翻訳システム。スパムフィルター。ビデオゲーム内のノンプレイヤーキャラクター（プレイヤーが操作しないキャラクター）。

⚪︎GPAIモデル全般や、システミック・リスクのあるGPAIに対しては、特定の要件が追加される。

具体例：
EU域内で、AIシステムまたはGPAIモデルを提供する米国企業が、
1. EU域内に事務所を設置しないが、フランス国内で法定代理人を任命した場合。
2. 事業所をフランス国内に設置した場合。
いずれも、フランス当局の管轄下にあるとみなされる。また、欧州AI事務局の管轄下にも置かれ、GPAIモデルに対する要件の適用も受ける。

国際的なグループ企業の動向

新しい法律や要件に対し、グローバル企業が現在どのような課題に直面しているのか、また米国における事業体がどのような対策をしているかについて具体例を挙げる。

ロレアル社の場合

⚫︎データガバナンス法による影響：
非EU企業であれば一部の活動が制限される。EU域内と非EU域内の両方に拠点がある場合、影響は限定的となる。

⚫︎データ法による影響：
サービスやコネクテッドデバイスの設計段階において、規制が追加される。個人データや関連するメタデータをユーザーへ提供する能力（インフラへの影響が大きいとされるポータビリティ権利レベル2）を保有している点が大きな課題となる。

⚫︎AI法による影響：
対策として、以下3案を検討中。

1. あらゆる規制要件に準拠したAIの開発および導入。

2. 各国の状況に特化したAIの開発および導入。

3. 管轄区域や規制ごとに、適応できるAIの開発および導入。

キャップジェミニの場合

⚫︎新たな法令や要件に対応するため、データ保有者は商品やサービスのデューデリジェンスを実施し、提供体制を見直す必要がある。

⚫︎第三者が、公正、合理的、非差別的、そして透明性のある方法でデータを利用できるようにするため、あらゆる措置を講じる必要がある。

⚫︎コネクテッド製品によって生成されるデータに関連する知的財産権を明確にし、必要に応じて拒否権を行使できるようにすることが重要であると認識している。

⚫︎政府、企業、組織、一般市民の間で、機密性を保持しながら情報を共有できるようにするため、協調的なデータエコシステムを推進する。データ法とデータガバナンス法への対応が、米国企業にとっての課題となっている。

⚫︎コネクテッド製品の製造者である顧客は、メタデータを含む「製品データ」を利用者が容易に、安全に、無料でアクセスできるよう設計しなければならない。また「製品データ」は包括的で構造化され、一般的に利用され、機械で読み取れるフォーマットで提供されなければならず、技術的に可能な場合には、利用者が直接アクセスできるように設計しなければならない。

⚫︎2027年まではスイッチング手数料の適用が可能であるため、利用者が許容できる適切なスイッチング手数料の金額を決定する。また当該手数料が廃止された後の経済効果も計算しておかなければならない。

以上

※本記事は山下大介（株式会社プライバシーテック）が取材、ウンリュエル愛友美（株式会社プライバシーテック）が翻訳、編集しています。

当社では、今回のカンファレンスの詳細版レポートと勉強会を有償（10万円〜）にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。

◆ 関連記事
[Vol.1]IAPP Global Privacy Summit 2024 とは？
[Vol.2]米･欧･中が競合する、世界のテクノロジー規制 (Opening Session)
[Vol.3]医療技術とマーケティングにおける新たなベストプラクティス： 潮目の変化
[Vol.4]アジア各国におけるプライバシー規制の違いとは
[Vol.5]技術的プライバシーレビューのプロセスを解明
[Vol.6]PETs： プライバシー保護技術の発展を促進するには？国家戦略と規制当局の視点
[Vol.7]AIガバナンスを構築する9ステップ〜 IBM･GEのプライバシー責任者が語るAI倫理を組織に導入した方法
[Vol.8]ユーザー体験と安心安全のバランス〜 Tinder･Uber･AirBnBなどリアルサービスのプライバシー保護の取り組み 

===

＜＜前へ：[Vol.8]ユーザー体験と安心安全のバランス〜 Tinder･Uber･AirBnBなどリアルサービスのプライバシー保護の取り組み

IAPP公式サイト：https://iapp.org/about/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP