IT・ベンチャーの企業法務

EUデータ法（Data Act）をわかりやすく解説、日本企業が押さえるべきポイントとは？

2026.01.19

IT・ベンチャーの企業法務

2025年に本格適用が開始されたEUデータ法（Data Act）とは、個人データを保護するGDPRとは対照的に、IoT製品などが生成する「非個人データ」の共有と活用を義務付ける画期的な法案です。

EUデータ法の対象はEU域内の企業に留まりません。欧州市場でコネクテッド製品（IoT機器）を展開する、あるいはデータを活用したサービスを提供する日本企業にとっても、ビジネスモデルの根幹に関わる重大な影響を及ぼします。

本記事では、複雑なEUデータ法の全体像を平易に解説するとともに、押さえるべき重要ポイントを解説します。

この記事の目次

EUデータ法（Data Act）とは？制度の概要と成立の背景

欧州連合（EU）では近年、デジタル分野に関するルールが次々と整備されています。データの使い方や共有のあり方についても例外ではなく、「誰が、どのデータを、どこまで使ってよいのか」を明確にするための法律が増えています。

その中でも、企業実務への影響が大きいのが、「EUデータ法（Data Act）」です。
EUデータ法は、IoT機器やクラウドサービスなどから生まれるデータについて、特定の企業だけが独占するのではなく、ユーザーや第三者が公正にアクセス・利用できるようにすることを目的とした規則です。

EUデータ法の概要と目的

EUデータ法は、IoT機器やクラウドサービスなどから生まれるデータについて、特定の企業だけが独占するのではなく、ユーザーや第三者が公正にアクセス・利用できるようにすることを目的とした規則です。

これまで、接続された製品（コネクテッド製品）から生成されるデータは、主に製造者やサービス提供者が管理してきました。しかしEUは、こうしたデータは本来、利用者や社会全体にとっても価値を持つものであると考えています。

EUデータ法では、データの共有を義務づけることで競争を促し、新たなサービスやビジネスの創出を目指します。また、その規制の対象は、個人データに限らず、産業機械やスマート家電などから生まれる「非個人データ」も広く含まれます。

これらの新しい規制は、製品設計、契約内容、さらにはビジネスモデルそのものに影響が及ぶ可能性があります。EU市場に展開する日本企業にとって、早い段階からの理解と準備が不可欠な「無関係ではいられない」ルールです。

EUデータ法成立の背景

EUデータ法は、突然生まれたルールではなく、データを巡る現実的な課題への対応として整備されました。近年、IoT機器やネットワーク対応の製品が急速に普及しました。工場の産業機械、スマート家電、医療機器など、インターネットに接続された製品は、日々大量のデータを生み出しています。

こうしたデータは、本来であれば、新しいサービスの開発や製品改善、コスト削減などにつながる「価値の源泉」です。しかし現実には、多くのデータが製品メーカーやサービス提供者の内部に閉じたまま、眠ったままになっていました。

その主な要因は以下の通りです。

データを共有する明確なルールがなかったこと
誰がどこまで使ってよいのかが不透明だったこと
異なるシステム同士がつながりにくい技術的な問題

「データを生み出す側」と「使える側」の格差

デジタル製品の設計段階でデータの取得・保存方法が決まるため、実際には製品を使ってデータを生み出している「ユーザー」よりも、「製造者（メーカー）」のほうがデータをコントロールできる優位な立場にありました。

例えば、機械の使用データを使って修理やメンテナンスを行いたくても、「データにアクセスできない」「メーカー以外の事業者にデータを渡せない」といった理由で、ユーザーの選択肢が制限されるケースがありました。

特に中小企業にとっては、データを持つ大手企業と対等に交渉することが難しく、「自社が生み出したデータを自由に活用できない」という不均衡が生じていたのです。

EUデータ法が目指すもの

こうした状況を打破するために導入されたEUデータ法は、データそのものに「所有権」を付与するものではありません。その代わりに、以下の2点をルール化することでデータの再利用を促します。

アクセス権の確立：誰がデータにアクセスでき、どのような条件で利用できるのかを明確にする。
公正な契約環境：交渉力の差を利用して、一方的に不利な条件を押し付けることを認めない。

これにより、EUはデジタル市場における「公正な競争環境の確保」と「新しいビジネスの創出」を同時に実現しようとしています。

実務上おさえるべきEUデータ法のポイント

EUデータ法の全体像を理解するために、まずは適用される対象や、押さえておくべき基本的な考え方から確認します。

EUデータ法の適用範囲と基本概念

本規則は、その所在地にかかわらず、以下の主体に適用されます（第1条第3項）。

EU市場に上市される接続された製品の製造業者および関連サービスの提供者
当該製品・サービスのEU域内のユーザー
EU域内のデータ受領者にデータを提供するデータ保有者
EU域内の顧客にデータ処理サービス（クラウドサービス等）を提供する事業者

「接続された製品（connected product）」とは、使用や環境に関するデータを取得・生成し、電子通信サービス等を通じて通信できる製品を指します。スマート家電から産業機械、医療機器まで幅広く含まれますが、主たる機能がデータの保存や処理であるサーバー等は除外されます。

「関連サービス（related service）」とは、製品の購入・賃借時に接続されており、それがないと製品が機能を実行できない、あるいは後から機能を追加・更新するデジタルサービスを指します。

「ユーザー（user）」とは、製品を所有し、あるいは契約により使用権を持つ自然人または法人を指します。

「データ保有者（data holder）」とは、本規則に基づきデータを使用・提供する権利または義務を持つ者を指し、典型的には製品メーカーが該当します。

IoT製品に関するデータ共有義務（B2C・B2B）

この法律の核心は、製品から生まれるデータを「ユーザーの手に取り戻す」ことにあります。

まず、データアクセス・バイ・デザインの考え方に基づき、製品は生成されるデータに、ユーザーがデフォルトで「簡単・安全・無料」かつ「直接的」にアクセスできるよう設計・製造されなければなりません。

また、メーカー等のデータ保有者は、契約締結前にデータの種類や量、アクセス方法、自社での使用意図を明快に説明する情報提供義務を負います。製品から直接アクセスできないデータであっても、ユーザーの請求があれば遅滞なく無料で提供し、ユーザーが指定した第三者（受領者）に対しても同様に対応する必要があります。ただし、デジタル市場法（DMA）で指定された巨大ITプラットフォーム（ゲートキーパー）は、このデータの受領者になることはできません。

共有データに営業秘密が含まれる場合、データ保有者は機密維持のための措置（アクセスプロトコル等）をユーザーと合意した上で開示を義務付けられます。重大な経済的損害が強く予想される場合に限り開示を拒否できますが、その際は当局への通知が必要という厳格な運用が求められます。

企業間共有の条件と不当条項の禁止

データの共有を促進するため、企業間の「力の不均衡」を是正するルールも盛り込まれています。

法的な義務に基づいてデータを共有する場合、その条件は「公平、合理的、かつ非差別的（FRAND条件）」でなければなりません。データ保有者は共有に伴う対価を請求できますが、相手が中小企業である場合は、データ提供に直接要した実費を超えてはならないと定められています。

さらに、不当な契約条項の無効化も重要なポイントです。一方の企業が「承諾するか拒否するか（Take-it-or-leave-it）」の形で押し付けた不当な条項は、強制力を持ちません。特に、故意や重大な過失による責任を免除するような条項は、常に不当とみなされるため、既存の契約フォーマットの見直しが必要になります。

公共部門へのデータ提供（B2G）

民間企業が保有するデータであっても、社会的な緊急事態においては公的な活用が優先されます。パンデミック、自然災害、重大なサイバーインシデントといった「公共の緊急事態」への対応や、法律で定められた公的任務の遂行のために「例外的な必要性」がある場合、公的機関は民間企業に対してデータ提供を要求できる仕組み（B2G：Business to Government）が整えられました。

クラウドサービスの切り替え促進

特定のベンダーに縛り付けられる「ロックイン」を防ぐため、クラウドやエッジサービス（データ処理サービス）の提供者には、顧客が他のプロバイダーへシームレスに移行できるよう、技術的・契約的・経済的な障壁を取り除く義務が課されます。この切り替えを容易にするための措置は、2027年1月までに段階的に強化される見通しです。

日本企業に求められるEUデータ法への対応

ここからは、EUデータ法を踏まえて、日本企業が実務上どのような対応を取るべきかを整理します。

EUデータ法適用範囲の確認と製品・サービスのマッピング

まず確認すべきなのは、自社のどの製品・サービスがEUデータ法の対象になるのかという点です。EUデータ法では、IoT機器などの「接続された製品」、それと一体となって機能する「関連サービス」、さらにクラウドなどの「データ処理サービス」が規制の対象になります。

EUデータ法は、EU域内に拠点を持たない企業にも広く適用されます。日本企業であっても、EU市場に製品やサービスを提供している場合、EUデータ法の義務を負う可能性があります。

次に重要なのが、自社がデータに関してどの立場にあるのかを整理することです。自社がデータを管理・保有する側なのか、それともユーザーや第三者にデータを提供する義務を負う側なのかによって、求められる対応は大きく異なります。

そのため、製品やサービスごとに、以下のデータの流れ（データフロー）を確認することが、EUデータ法対応の出発点となります。

どのようなデータが生成されるのか
そのデータはどこに保存されているのか
誰がアクセスできる設計になっているのか

製品設計および技術的対応（アクセス・バイ・デザイン）

2026年9月12日以降にEU市場へ供給される製品やサービスについては、あとから対応するのではなく、設計段階からデータへのアクセスを前提に作ることが求められます。

具体的には、製品の利用データについて、ユーザーが製品から直接取得できる仕組みにするのか、あるいは、ポータルサイトや管理画面などを通じて間接的に提供するのかといった点を、あらかじめ設計段階で決めておく必要があります。

その際には、技術的に実現できるかどうかだけでなく、開発コストや運用負担も含めて、現実的な設計を検討することが重要になります。

契約書および通知文書の整備

データを保有する企業は、ユーザーとの契約内容によっては、生成されたデータを自由に使えなくなる可能性があります。そのため、EUデータ法への対応では、契約内容の見直しが欠かせません。

具体的には、データの利用目的や提供条件について、不当に一方に不利な内容になっていないかを確認する必要があります。その際、欧州委員会が示しているモデル契約条項（MCTs）や、既存の標準契約条項（SCCs）は、契約を見直す際の参考資料として有用です。

あわせて、ユーザーに対してどのようなデータが、どの目的で、どのように共有されるのかを分かりやすく伝えることも求められます。これは、GDPRにおけるプライバシーノーティスと同様に、データ共有に関する説明文書を整備することで対応することになります。

営業秘密管理とセキュリティ対策

営業秘密を含むデータを提供せざるを得ないケースを想定し、開示先との機密保持合意のプロセスや、技術的な保護措置を策定しておく必要があります。さらに、第三者へのデータ提供時における本人確認プロセスや、データ共有時のセキュリティレベルの確保など、運用の詳細を詰める必要があります。

EU域外の企業に対する「法定代理人」の指名義務

EU域内に拠点を置かない企業であっても、EU市場で接続された製品（IoT機器）を販売したり、関連サービスやクラウドサービスを提供したりする場合、EU加盟国のいずれか一か所に「法定代理人（Legal Representative）」を指名する義務があります（第31条第5項）。

この法定代理人は、現地の規制当局（データ保護当局等）からの問い合わせに対応する窓口となるだけでなく、本規則の遵守状況について本人に代わって責任を負う可能性がある重要なポストです。GDPRの代理人制度と似ていますが、データ法でも同様の対応が必要です。既に欧州に拠点がない状態でビジネスをしている企業は、既存の代理人契約がデータ法までカバーしているか確認しましょう。

欧州連合一般データ保護規則（GDPR）第27条に基づくEU代理人選任義務の徹底解説

まとめ：EUデータ法については専門家に相談を

EUデータ法は、データの独占から共有・活用へと大きく舵を切る歴史的な転換点となります。本規則はデータに新たな所有権を与えるものではなく、接続された製品やクラウドサービスから生まれるデータに対し、ユーザーや第三者が公正にアクセス・利用するためのルールを明確にすることを目的としています。特定の企業がデータを抱え込む時代は終わり、社会全体でのデータ活用を促す環境が整備されます。

日本企業にとって、この変化は単なる規制対応に留まりません。違反時には加盟国ごとに定められる制裁金のリスクがあるため、法律とITの双方に精通した専門家の支援を得ながら、早期に製品設計や契約の見直しを進める必要があります。一方で、このルールを逆手に取り、他社の製品データを活用した新たな付加価値サービスを欧州で展開する好機と捉えることも可能です。

デジタル経済の新たなルールを正しく理解し、データを「どう守るか」だけでなく「どう開き、戦略的に使うか」を経営判断に組み込むことが重要です。