- 2026年 6月 15日
EU データ法(Data Act)とは、コネクテッド製品やデジタルサービスで生成されるデータの共有・活用ルールを定めたEU 規制です。日本企業も適用対象であり、該当する場合は適切な対応が求められます。
2025 年 9 月 12 日より適用が開始されており、違反した場合、各 EU 加盟国の国内法に基づく行政制裁や、差止請求・損害賠償請求などの訴訟リスクが生じます。
この記事では、EU データ法の主な規制内容、日本企業への適用・違反時の罰則・制裁、GDPR との関係性などを分かりやすく解説します。
【この記事で分かること】
- EU データ法(Data Act)とは、IoT 機器を含むコネクテッド製品や関連サービスで生成されるデータの共有・活用ルールを定めた EU 規制のこと
- 主な規制内容は、デフォルト設計義務(直接アクセス) / 情報提供義務(ノーティス) / 契約締結義務 / データ・アクセス権(間接アクセス) / データ共有請求権(ポータビリティ権)
- すでに大部分が施行されており、対応の目途がついていない場合は迅速な取り組みが必要
この記事の目次
- EUデータ法(Data Act)とは?
- EUデータ法(Data Act)が制定された背景
- EUデータ法(Data Act)とは
- EUデータ法(Data Act)の主な規制内容
- デフォルト設計義務(直接アクセス)
- 情報提供義務(ノーティス)
- 契約締結義務
- データ・アクセス権(間接アクセス)
- データ共有請求権(ポータビリティ権)
- EUデータ法(Data Act)の対象
- コネクテッド製品とは
- 関連サービスとは
- EUデータ法(Data Act)の施行スケジュール
- 日本企業への適用・違反時の罰則・制裁
- 日本企業への適用
- 違反行為へのペナルティ
- EUデータ法(Data Act)の対応ポイント
- 対象となるデータは?
- セキュリティまたは営業秘密に支障がある場合の対応
- EUデータ法(Data Act)とGDPRの違い・関係性
- EUデータ法(Data Act)に関するよくある質問
- EUデータ法の対象製品を教えてください。
- 複数利用者への対応(レンタルなど)について教えてください。
- 中古車売買への対応について教えてください。
- EUデータ法(Data Act)に適切に対応しよう
EUデータ法(Data Act)とは
EUデータ法(Data Act)は、IoT機器を含むコネクテッド製品および関連サービスが生成・収集するデータについて「誰が・どのように利用できるか」を定めています。EUデータ法(Data Act)が制定された背景
EUデータ法(Data Act)が制定された背景には、デジタル的に制御される製品が増え、生み出されるデータの量や価値が大きくなった近年の傾向が挙げられます。
製品に関するデータを有効に活用すれば、新たな価値やビジネスを生み出すことが可能です。データが特定の企業等に囲い込まれないよう、データ活用を阻害する要因を取り除く必要があることから、EUデータ法(Data Act)が制定されました。
EUデータ法(Data Act)によって期待される主な効果は、以下のとおりです。
| 対象 | 期待される効果 |
|---|---|
| 消費者 | データから価値を生み出すサービスの選択肢が増える |
| 企業 | 多様な産業分野で新しいデータ駆動ビジネスを創出する機会が得られる |
| 中小企業や新規参入企業 | データ駆動ビジネスへの参入ハードルが低くなる |
| EU経済全体 | 上記の効果によって競争力が強化される |
EUデータ法(Data Act)とは
EUデータ法(Data Act)は、IoT機器を含むコネクテッド製品およびその関連サービスのデータを有効に活用できるよう、データ・アクセス、第三者へのデータ共有請求などに関するEU共通ルールを定める法規制です。EUだけでなく、コネクテッド製品をEU市場で販売する日系企業にも適用されます。
2020年に欧州委員会が発表した「欧州データ戦略」の一環として、EUデータガバナンス法(Data Governance Act)を補完する位置づけの法規制として制定されました。
参考:Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)
(https://eur-lex.europa.eu/eli/reg/2023/2854)
EUデータ法(Data Act)の主な規制内容
EUデータ法(Data Act)の規制内容は、主に以下の5つです。
- デフォルト設計義務(直接アクセス)
- 情報提供義務(ノーティス)
- 契約締結義務
- データ・アクセス権(間接アクセス)
- データ共有請求権(ポータビリティ権)
それぞれ詳しく見ていきましょう。
デフォルト設計義務(直接アクセス)
1つ目は、デフォルト設計義務です。「直接アクセス」とも呼ばれます。
EUデータ法(Data Act)では、コネクテッド製品および関連サービスについて、利用者がデータに直接アクセスできる状態をデフォルト(初期状態)で実現する設計が求められます。製品やサービスは、初期状態から利用者が特別な手続きを要することなくデータへアクセスできる設計で提供する必要があります。
主な要件は、以下のとおりです。
- 利用者が簡単かつ安全にデータへアクセスできること
- データは無償で提供されること
- JSONやXMLなどの機械可読かつ汎用的なフォーマットで取得できること
- 必要かつ技術的に可能な場合、事業者を介さず利用者の操作のみで取得できること
「後から申請してアクセスする」のではなく、最初からアクセス可能な状態で設計することが義務化されている点がポイントです。
デフォルト設計義務は、2026年9月13日以降にEU市場で提供される製品に適用 されます。なお、技術的な実装可能性、実装コストなどにより直接アクセスが困難な場合は、後述のデータ・アクセス権(間接アクセス)による対応とすることができます。
情報提供義務(ノーティス)
2つ目は、情報提供義務(ノーティス)です。
EUデータ法(Data Act)では、コネクテッド製品や関連サービスについて、契約締結前に所定の情報を利用者へ提供する義務(情報提供義務)を定めています。
具体的には、売買・リース・レンタルなどの契約を締結する前に、以下の情報を提供する必要があります。
| コネクテッド製品の場合 | 関連サービスの場合 |
|---|---|
|
|
一時利用契約で製品を利用する利用者や、中古売買で製品を購入した利用者にもノーティスする義務があります。 例えば、自動車メーカー(売主)は、コネクテッド製品である自動車を一時的に利用するレンタカー利用者や中古自動車の買主にも、ノーティスが必要です。
契約締結義務
3つ目は、契約締結義務です。
EUデータ法(Data Act)では、 コネクテッド製品や関連サービスから生成されるデータをコネクテッド製品の製造者および関連サービス提供者などの事業者(データ保有者)が利用する場合、利用者との間で契約を締結し、その契約に基づいてデータを利用することが義務付けられます。
契約には、データの利用目的や範囲などを明確にした契約を締結する必要があります。この契約には、欧州委員会が公表したモデル契約条項(MCTs)を使用することができる。このモデル契約条項(MCTs)は、非拘束で、ビジネス・コンテクストに応じて改変して使用することが想定されています。
【モデル契約条項】
https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
また、対象データが個人データに該当する場合は、GDPR(General Data Protection Regulation:EU一般データ保護規則)に基づき、以下のいずれかの適法な処理根拠が必要となります。
- データ主体の同意
- データ主体との契約の履行に必要な処理
- 法令上の義務の履行に必要な処理
- 人の死活的な利益の保護のために必要な処理
- データ管理者当の正当な利益のために必要でありこれを上回る本人の権利・自由が存在しない場合
データ・アクセス権(間接アクセス)
4つ目は、データ・アクセス権です。
EUデータ法(Data Act)では、利用者がデータに直接アクセスできない場合、利用者の請求に応じてデータを提供する義務(データ・アクセス権) を定めています。データ保有者に対して利用者のアクセス権を確保するための仕組みで、「間接アクセス」とも呼ばれます。
利用者が自らの操作のみでデータを取得できない場合、データ保有者は、利用者からの求めに応じて以下の要件を満たす形でデータを提供しなければなりません。
- データ保有者と同等の品質のデータであること
- 不当な遅滞なく提供されること
- 利用者が簡単かつ安全にアクセスできること
- 無償で提供されること
- JSONやXMLなどの機械可読かつ汎用的なフォーマットであること
- 必要かつ実装可能な場合、継続的かつリアルタイムで提供されること
- 実装可能な場合、APIやメールなどの電子的かつ簡易な方法でリクエストできること
データ共有請求権(ポータビリティ権)
5つ目は、データ共有請求権(ポータビリティ権)です。
EUデータ法(Data Act)では、利用者が自らのデータを第三者へ共有できるよう、利用者の求めに応じてデータを利用者の指定する第三者(受領者)へ提供する義務を定めています。
利用者が指定した第三者(受領者)に対して、データ保有者は、以下の要件を満たす形でデータを提供しなければなりません。
- データ保有者と同等の品質のデータであること
- 不当な遅滞なく提供されること
- 受領者が簡単かつ安全に利用できること
- 利用者には無償で提供されること
- JSONやXMLなどの機械可読かつ汎用的なフォーマットであること
- 必要かつ実装可能な場合、継続的かつリアルタイムで提供されること
- 実装可能な場合、APIやメールなどの電子的かつ簡易な方法でリクエストできること
- 第三者に対する提供条件および対価は、公正で、合理的で、無差別的でなければならない
EUデータ法(Data Act)の対象
EUデータ法(Data Act)の主な対象は、コネクテッド製品や関連サービスです。ここでは、EUデータ法(Data Act)の対象について詳しく解説します。
コネクテッド製品とは
EUデータ法(Data Act)におけるコネクテッド製品の主な要件は、以下のとおりです。
- 利用環境に関するデータを取得または生成すること
- 取得・生成したデータを外部へ伝達できること
- データの伝達手段の例
- 電子通信サービス(インターネット等)
- 有線・近接無線(Bluetoothなど)による物理接続
- オンデバイス・アクセス(USB、SDカードなどのメディア・スロット)
- 他人に代わってデータを保存・処理・伝送することを主たる機能としないこと(※ネットワーク機器などは対象外)
具体的には、スマート家電などのほか、インターネット接続に限らず、有線接続やBluetooth、USBなどを通じてデータを外部に出力できる以下のような製品も対象に含まれます。
- 自動車、建設機械、産業機械、計測装置(OBDII、USB、RJ45、RS232、Bluetoothなどでデータを出力可能なもの)
- ドライブレコーダー、車載ナビ、インターホン(SDカードやUSBメモリなどでデータを取得できるもの)
一方で、以下のように外部へのデータ伝達ができない場合は対象外となります。
- 内蔵センサーのデータを内部処理のみに使用する製品
- SDカードスロットがあっても、ファームウェア更新用途のみに限定されている製品
関連サービスとは
EUデータ法(Data Act)における関連サービスとは、コネクテッド製品と連携して機能するソフトウェアを含むデジタルサービスのうち、以下のいずれかに該当するものを指します。
- 製品の購入・レンタル・リース時点で接続されており、そのサービスがなければコネクテッド製品の一つ以上の機能が果たせなくなるサービス。
- 後から製品に接続され、機能の追加・更新・適応(adapt)を行うサービス
具体的には、製品に対して遠隔操作や指示を行うクラウドサービスなどが該当します。
EUデータ法(Data Act)の施行スケジュール
| 年月日 | 施行内容 |
|---|---|
| 2025年9月12日 | 主要規定適用開始 |
| 2026年9月13日 | コネクテッド製品のデフォルト設計義務適用 |
| 2027年9月12日 | 既存契約への契約規定適用 |
EUデータ法(Data Act)の主要な規定は2025年9月12日より適用が開始されているため、対応の目途がついていない事業者は速やかに対応を進める必要があります。
なお、製品設計に関わる「デフォルト設計義務(直接アクセス)」については、2026年9月13日以降にEU市場で販売・リースなどにより提供されるコネクテッド製品に適用されます。現在開発中または今後EU市場に投入予定の製品については、設計段階から対応を織り込むことが重要です。
また、データ保有者が、利用者のデータ共有請求権(ポータビリティ権)行使により、第三者(受領者)にデータを共有する場合、データ保有者と受領者との間で、データ提供について合意しなければならず、その条件公正・合理的・非差別的でなければなりません(不公正データ契約条項の禁止)。
この不公正データ契約条項の禁止に関する施行スケジュールは以下の通りです。
| 2025年9月13日以降に締結される契約 | 既に施行済み |
2025年9月12日以前に締結された以下の契約
|
2027年9月12日から施行開始 |
日本企業への適用・違反時の罰則・制裁
ここでは、EUデータ法(Data Act)における日本企業への適用・違反時の罰則・制裁について解説します。
日本企業への適用
EUデータ法(Data Act)は、事業者の所在地にかかわらず、EU市場に関係する事業活動を行う企業に適用されます。
具体的には、以下のような事業者が対象となります。
- EU市場で上市される (place on the market)コネクテッド製品の製造者
- コネクテッド製品に関連するサービスの提供事業者
- EU域内のデータ受領者にデータを提供するデータ保有者
EU域外に本社を置く日本企業であっても、EU市場で製品を販売・提供したり、関連サービスを展開したりする場合、EUデータ法の適用対象となります。
また、EU域内に拠点を持たない事業者は、EU加盟国のいずれかに代理人を選任する義務があります。
違反行為へのペナルティ
EUデータ法(Data Act)に違反した場合、各EU加盟国の国内法に基づく行政制裁や、差止請求・損害賠償請求などの訴訟リスクが生じます。
EUデータ法(Data Act)では、GDPRのようにEU全体で統一された制裁金上限額は定められておらず、各加盟国が国内法で制裁内容や水準を定める仕組みとなっています。加盟国は、違反に対して効果的・比例的・抑止力のある制裁を設ける義務を負うものの、各国における国内法の制定や整備は一部で遅れている状況です。各国の制度整備の状況にも注意が必要です。
なお、EUデータ法が適用されるデータのうち、GDPRの適用のある個人データについては、GDPRに基づく制裁の対象となります。GDPR違反には、最大で最大2,000万ユーロまたは前会計年度の全世界売上高4%のいずれか高い方の制裁が科されます。
EUデータ法に基づく権利が侵害された場合は、EU加盟国の裁判所において差止請求や損害賠償請求などの民事訴訟が提起される可能性があります。行政制裁の整備状況にかかわらず、EUデータ法違反はリスクとなります。
EUデータ法(Data Act)の対応ポイント
EUデータ法(Data Act)の対応ポイントとして、対象となるデータや、セキュリティまたは営業秘密に支障があるケースについて押さえておきましょう。
対象となるデータは?
EUデータ法(Data Act)の対象となるのは、コネクテッド製品や関連サービスから生成される「生データ(raw data)」および「前処理済データ(pre-processed data)」です。
生データ(raw data)とは、センサーや機器から直接取得される未加工のデータのことです。前処理済データ(pre-processed data)とは、生データを加工・計算して得られるデータを指します。
具体的には、以下のようなデータが該当します。
| データの種類 | 具体例 |
|---|---|
| 生データ(raw data) |
|
| 前処理済データ(pre-processed data) |
|
なお、生データまたは前処理済データから推論された情報については、対象外です。たとえば、「複数のセンサー測定値から、一定のアルゴリズムにより、製品の故障状態・必要な整備を判定した診断内容」は該当しません。
セキュリティまたは営業秘密に支障がある場合の対応
EUデータ法(Data Act)では、データ・アクセスやデータ共有が義務付けられますが、セキュリティや営業秘密への影響がある場合については、一定の条件のもとで制限できる場合があります。
- セキュリティ例外
- 法令に基づくセキュリティ義務を損なう可能性がある場合、契約により、製品データ等へのアクセスを制限することができます。このような制限を行う場合、データ保有者は、加盟国当局に通知しなければなりません。
- 営業秘密保護
- 開示・共有前に営業秘密を特定し、秘密の重要性に照らし比例的な保護措置を合意(モデル契約条項、守秘義務契約、アクセス手順など)することができます。
これらのルールは、先述のモデル契約条項 (MCTs) に組み込まれています。
EUデータ法(Data Act)とGDPRの関係性
EUデータ法の適用を受けるデータであっても、その データがGDPR上の個人データである場合、GGDPRが優先して適用
されます。たとえば、建設機械のオンボードデータは、機械の稼働情報であると同時に、操作するオペレーターに紐づく個人データとなるケースがあります。このような場合、EUデータ法によるデータ・アクセスおよびデータ共有の義務などの対応に加えて、GDPRに基づく対応も必要です。具体的には、適法な処理根拠の確立、利用目的の明示などの情報提供(プライバシーノーティス)、データ最小限原則、安全管理措置の実施などが必要です。
さらに、状況に応じて、DPIA(データ保護影響評価)の実施、越境移転規制への対応、アクセス権・ポータビリティ権・削除権などのデータ主体の権利対応も求められます。
EUデータ法(Data Act)に関するよくある質問
EUデータ法に関連するよくある質問と、その回答を紹介します。
レンタルされるコネクテッド製品でのデータ・アクセス/データ共有への対応方法は?
- 質問:当社は車両メーカーです。車両がレンタカーとして利用される場合、当社がデータ・アクセスおよびデータ共有の義務を負う利用者は誰になりますか。また、このような場合、利用者からのデータ・アクセス請求およびデータ共有請求にどのような対応をすればいいでしょうか。
- 回答:車両がレンタカーとして利用される場合、車両を所有するレンタカー会社も、レンタカー会社から車両使用権限の付与を受けている運転手も、データ法上の利用者に該当します(1条12号)。車両メーカーは、データ保有者として、レンタカー会社および利用者のそれぞれにデータ・アクセス義務およびデータ共有義務を負います(4条1項および5条1項)。
このような場合の対応には、アカウント管理が推奨されています(前文第21項およびFAQ16)。アカウント認証により、データ・アクセスおよびデータ共有、データ削除などを利用者ごとに管理すべきです。
【EUデータ法条文】
https://eur-lex.europa.eu/eli/reg/2023/2854
【欧州委員会のデータ法FAQ】:
https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act
購入前の過去データもデータ・アクセス/データ共有の対象になる?
- 質問:利用者は、中古のコネクテッド製品を購入した場合、購入前の過去データについて、データ保有者に対してデータ・アクセス請求およびデータ共有請求ができるのですか。
- 回答:欧州委員会のFAQは、データ法は、過去利用者など他ユーザーの利用で蓄積しているデータに対しても、データ・アクセスおよびデータ共有の権利を認めていると読むことができ、利用者による更新履歴やインシデント情報などの過去データへのアクセスおよび共有要求は、正当となりうるとしています(FAQ-32)。
【欧州委員会のデータ法FAQ】
https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act
データ共有を受けたデータを自社開発に利用してもいいの?
- 質問:当社は車両メーカーです。データ法に基づき、車両の利用者から依頼を受けて、車両を構成する特定の部品が生成したデータを、当該部品のサプライヤに共有しました。部品サプライヤが、当該データを使用して、バッテリーなどのスペアパーツを開発し、販売することは可能なのでしょうか。
- 回答:データ法に基づき、利用者からの依頼を受けて、データ保有者からデータ共有を受ける第三者(受領者)は、利用者と合意した目的及び条件の下で、かつ個人データに関してはGDPRにしたがって、共有を受けたデータを使用するとされています(6条1項)。受領者である部品サプライヤが、以下を満たしていれば、EUデータ法上は許容されていることになります。
- 利用者との間でスペアパーツ販売のためのデータ使用を合意していること
- 個人データについては、適法根拠の確立(本人同意の取得)などGDPRの要件に適合すること
なお、受領者は、以下の事項が禁止されています(6条2項e号) - コネクテッド製品と競合する製品開発のためのデータ利用および第三者提供・・・①
- データ保有者の経済状況・資産・製造方法・データ利用に関する知見の導出・・・②
【欧州委員会のデータ法FAQ】
https://eur-lex.europa.eu/eli/reg/2023/2854
EUデータ法(Data Act)に適切に対応しよう
EUデータ法(Data Act)は、IoT機器やデジタルサービスで生成されるデータの共有・活用ルールを定めた規制であり、対象企業にはデータ提供や契約見直しなどの対応が求められます。
2025年9月から適用が開始されており、2026年以降も段階的に義務が拡大していくため、迅速かつ適切に対応する必要があります。専門的な知見が求められるため、必要に応じて専門家のサポートを受けるとよいでしょう。
日本のインターネットのパイオニアである株式会社インターネットイニシアティブは、EUデータ法(Data Act)対応の支援を行っています。EUデータ法対応の課題整理から実行まで、専門家がフルサポートいたします。
EUデータ法に関する以下のようなお悩みがある場合、ぜひお気軽にご相談ください。
- 自社のどの製品やサービスがEUデータ法(Data Act)の規制対象に該当するか分からない
- 実装方法の見当がつかない
- データへのアクセス許可によるセキュリティ面に不安がある
