「EUデータ法」とは

IoT製品やクラウドサービスから得られるデータは、特定の大企業に集中しています。一方で、中小企業は、大企業と競争するために必要なデータを手に入れにくく、欧州域内でのイノベーションや産業発展を阻害する状態となっています。

そこで本法では、欧州域内で提供される製品およびサービスの使用中に自動的に生成されるデータ（機器が発するログ情報や稼働情報等）の取扱いルールを定め、契約条件によるデータ共有や移転の制限、事業者間の乗換や相互運用性の低さ、欧州域内での産業データ活用の遅れによる新産業の創出の遅れ等の問題を解消することを狙いました。

対象となるのは、IoT機器、スマート家電、自動車、産業用機械、医療機器、農業機械、建設機械、クラウドサービス等、日常的な利用の中でデータを生成するコネクテッド製品（注1）およびそれらの関連サービス（注2）です。欧州域外企業であっても欧州域内でこれらを提供する場合は適用対象となります（注3）。

本法では、以下のような項目が規定されています。

出典：EUデータ法原文を基に作成

上記の内容を踏まえると、対象企業においては、まず自社製品やサービスの提供に際し、どのプロセスで生成される、どのデータが本法規制対象となるのかを明確にすることが最重要となります。その上で、特定したデータに関連するステークホルダー、それらに紐づく規制範囲を整理・把握した上で、適切なデータの取扱いに係るシステム確立等を行った製品・サービスの設計が求められます。

なお、本法に関する今後の整備方針については、欧州委員会のFAQ（注4）で示されています。例えば、クラウドポータビリティ（第23条～第28条）に関しては、施行後1年～1年半後に適用が開始される予定です。また、制裁措置（第40条）に関しては、制裁金額の上限は各国の判断によるとするものの、最大2,000万ユーロまたは全世界売上高の4%が想定されるとしています。データ形式やAPIの標準化については、欧州標準化機関等が今後策定を進めることが公表されています。

今後、継続して運用ルールや実務上の解釈が明確化されていくことが予想されるため、対象企業においては、欧州委員会からの公表内容に加えて、各加盟国の規制内容や法の整備状況について注視する必要があります。既に対応を進めている企業であっても、継続的な情報収集と本法に対応するための製品・サービス設計、自社態勢の定期的な見直しを行うことが望ましいです。

（注1）コネクテッド製品とは、利用・性能・環境に関するデータを生成・取得・収集し、ケーブルまたは無線通信でデータを外部に送信できる製品を指す。スマート家電、産業機械、医療機器、スマートフォン、TV等が該当する。（参照：欧州委員会が公表したデータ法に関するFAQ）
（注2）関連サービスは、コネクテッド製品の機能に直接影響を与えるデジタルサービス（例：スマート家電のアプリ等）が対象となる。双方向のデータ交換と、製品の機能・挙動・操作への影響が要件となる。（参照：欧州委員会が公表したデータ法に関するFAQ）
（注3）既存のデータ取扱いを規定するEUの法律としては「GDPR（一般データ保護規則）」があるが、両者が矛盾する場合はGDPRが優先されるとしている。
（注4）欧州委員会が公表したデータ法に関するFAQ： 2025年9月12日公表　バージョン1.3

参考情報：欧州委員会データ法公式HP

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2025年12月（2025年度第9号）を基に作成したものです。