総務省トップ > 政策 > 白書 > 令和元年版 > EUにおけるデータに関するルールの整備・運用に関する動向
第1部 特集 進化するデジタル経済とその先にあるSociety 5.0
第3節 ICTの新たな潮流

(3)EUにおけるデータに関するルールの整備・運用に関する動向13

GAFA等のデジタル・プラットフォーマーが国際的に展開し、個人の様々なデータを収集・利用している中で、EUにおいては、このようなデジタル・プラットフォーマーの活動を意識した法規制の整備と運用が積極的に行われている。また、個人データ以外のデータを巡る法規制も導入されている。これらについて、その全体像とともに説明する。

ア GDPRの施行と運用

GDPRがデジタル・プラットフォーマーに与える影響

EUにおいては、2018年5月25日に「一般データ保護規則(GDPR:General Data Protection Regulation)」が施行された。GDPRは、EU域内14の個人データの保護を規定する法として、1995年から適用されてきた「EUデータ保護指令(Data Protection Directive 95)」に代わる形で制定されたものである15。EU市民の権利を定める欧州連合基本権憲章において、個人データの保護は基本的人権とされており、デジタル時代においてこの権利を強化する等の観点から立法された。GDPRは、個人データやプライバシーの保護に関し、EUデータ保護指令よりも厳格に規定しており、デジタル・プラットフォーマーの事業展開にも大きく影響している。

デジタル・プラットフォーマーの事業展開との関係で、GDPRがEUデータ保護指令に比べて厳格化された点は、主に4点ある。まず、法の域外適用が行われるという点である。すなわち、EU域外からの行為であっても、域内の個人に対して商品・サービスを提供し、個人データの収集等を行う場合等には適用される。2点目として、高額の制裁金を科すことが可能という点がある。GDPRに違反した場合、最大で違反事業者の全世界での年間売上高の4%(2,000万ユーロを下回る場合には、2,000万ユーロ)の制裁金が科される可能性がある。3点目として、個人データの収集・利用に際してその個人の明確な同意を必要とした点がある。そして4点目として、個人のデータポータビリティに関する権利を明記した点がある。

GDPRにおけるデータポータビリティの権利とは、①事業者等に自ら提供した個人データを本人が再利用しやすい形式で受け取る権利、②技術的に実行可能な場合には別の事業者等に対して直接個人データを移行させる権利とされている(図表1-3-1-11)。このような権利を設定することで、個人データの保護を図るとともに、個人データの囲い込みの防止による競争の促進、個人データを活用したイノベーションの創出、ユーザーのコントロール下での個人データの共有の促進によるユーザーの利便性向上といったメリットが期待されている。すなわち、データポータビリティには、個人の権利の確立・保障という側面と、競争政策的な側面の両面がある。

図表1-3-1-11 GDPRにおけるデータポータビリティの権利
(出典)総務省(2019)「デジタル経済の将来像に関する調査研究」

Googleに対して制裁金を科したフランス

GDPRは、施行後1年に満たない内に、様々な影響をデジタル・プラットフォーマーに及ぼしている。

2019年1月、フランスのデータ保護規制当局のCNILは、GoogleがGDPRに違反したとして5,000万ユーロ(約62億3,300万円)の制裁金を科すことを決定した。この決定は、GDPRの施行日である2018年5月25日に行われたプライバシー保護団体からの提訴等を受けたものである。

GoogleがGDPR違反であるとされた具体的な内容は、①アンドロイド端末のユーザーが、Googleによる個人データの取扱方針を見るまでにたどりつくために必要な操作が多いことや、データの蓄積の目的が抽象的であることは、GDPRが求める透明性のある情報提供とはなっていないこと、②ターゲティング広告という目的のために個人データを取り扱うことについて、集められるデータの性質や量についてユーザーが認識を持つことができるような説明がなされていないことから、ユーザーの明確な同意があったとはいえないというものであった。

本件は、グローバルなデジタル・プラットフォーマーに対してGDPRに基づく制裁金を科した初めての例である16。また、制裁金を科されたのは、EU域内に拠点を置くアイルランド法人Google Ireland Limitedやフランス法人Google France Sarlではなく、米国法人のGoogle LLCであり、域外適用が行われている点も重要である。 デジタル・プラットフォーマーによるデータポータビリティへの対応の動きが出てきている

2018年7月に、Google、Facebook、Microsoft、Twitterの4社は、これら各社のサービス間における直接のデータ移行を可能とすることを目指す「データ転送プロジェクト(DTP:Data Transfer Project)」の開始を発表している(図表1-3-1-12)。この構想が実現すれば、ユーザーはInstagramにアップした画像をGoogleフォトに直接移すといったことが可能となる。

また、このDTPはオープンソースのプロジェクト17であり、スタートアップ企業等の4社以外の企業も参加できることから、新たなサービスの創出が期待されている。

図表1-3-1-12 データ転送プロジェクト(DTP)におけるデータ転送の仕組み
(出典)Data Transfer Project(2018)“Data Transfer Project Overview and Fundamentals” を基に作成
イ GDPR以外の法規制

EUにおいては、前述のGDPR以外にも、デジタル・プラットフォーマーの活動に大きな影響を与えることが想定される様々なルール整備が行われている。

GDPRが成立した直後の2016年5月25日に、欧州委員会は「オンライン・プラットフォームと単一デジタル市場:欧州にとっての機会と挑戦」という政策文書18を公表し、①同等のデジタルサービスについての公平な競争条件の確保(例:伝統的な通信事業者とOTT事業者の公平性確保)、②オンライン・プラットフォームによる責任ある行動の確保(例:有害なコンテンツ等への対応に関するデジタル・プラットフォーマーの積極的な役割)、③信頼性・透明性と公正性の確保の促進(例:デジタル・プラットフォーマーによるデータ収集の透明性向上、デジタル・プラットフォーム上で活動する事業者等の公正な取扱い)、④データ駆動型経済の促進のためのオープンで非差別的な市場の維持(例:デジタル・プラットフォームやクラウド間の乗換えの促進)の4つの原則を設けた上で(図表1-3-1-13)、デジタル・プラットフォーマーに関する法規制の改革を行っている。

以下、そのうちのいくつか主要なものについて説明する。

図表1-3-1-13 EUのデジタル・プラットフォーマーに関する政策文書における4原則
(出典)European Commission(2016) ““Online Platforms and the Digital Single Market: Opportunities and Challenges for Europe” を基に作成

産業データ等を対象とするルール

GDPRが対象としていない産業データ等の非個人データについても、2018年11月に「非個人データのEU域内自由流通枠組み規則」を制定し、2019年5月より施行されている19。IoTやロボティクスの導入がより一層進むことが見込まれる中で、産業データは個人データのように基本権として位置付けられるものではないものの、経済活動において重要性が増すことが想定され、これらのデータをカバーする本規則の運用に関する動向が注目される。

本規則においては、いわゆるデータローカライゼーションの禁止が規定されている。具体的には、あくまでもEU域内において、データの保存・処理の場所を特定の国の領土内とするよう義務付けることや、他国内でのデータの保存・処理を妨げることを禁止している。これにより、EU域内における自由なデータ流通を確保・推進しようとしている。

他方、デジタル・プラットフォーマーの活動に影響を及ぼす可能性があると考えられるのは、データポータビリティに関する規定である。これにより、企業がクラウドサービスを使って産業データを保存・処理している場合、その企業はクラウド事業者に対し、他のクラウド事業者や自らのシステムへの当該産業データの移行を求めるといったことが可能となる。ただし、GDPRの場合とは異なり、本規則ではデータポータビリティの義務付けまでは行っておらず、あくまでもクラウド事業者、ユーザー、中小企業・スタートアップ企業の団体の連携による自主規制的な行動規範の策定を奨励・促進するものとなっている。行動規範において考慮すべき内容として、例えば手順、技術的要件、スケジュール、料金等ユーザーに伝えるべき最小限の情報についての要件等が掲げられている。

また、欧州委員会は2019年11月29日までに事業者に行動規範の策定を完了させ、2020年5月29日までに施行させなければならないとしている。

デジタル・プラットフォーマーによる事業者の公正な取扱い等に関するルール

前述のGDPRや非個人データに関するルールのほか、デジタル・プラットフォーマーの活動に大きな影響を与えることが想定されるものとして、「オンライン仲介サービスのビジネス・ユーザーを対象とする公正性・透明性の促進に関する規則」案20がある。これは、デジタル・プラットフォーマーによる不当な取引(理由の通知のないアカウントの一時停止、不明瞭な検索結果のランキング、紛争処理にかかる多額な費用等)から中小企業等のビジネス・ユーザーを保護するものであると説明されている。また、本規則により、デジタル・プラットフォーム上のビジネス取引が促進され、商品やサービスの選択肢の増加、品質向上、価格の引下げにつながるため、消費者への恩恵も大きくなるとされる21

本規則案22においては、デジタル・プラットフォーマーに対し、契約条件の明確化(第3条第1項)や、契約条件を修正する場合の事前通知(原則15日前以上)(第3条第2項)を義務付けている。その上で、ショッピングモールやアプリストア等において、特定のビジネス・ユーザーやデジタル・プラットフォーマー自身が提供するモノ・サービスを優遇するといった場合には、その旨を契約条件として明記しなければならない(第7条第1項)とされている。同時に、Googleのような検索エンジンを提供する事業者に対しても、このような優遇等を行う場合にはその旨の記述が求められている(第7条第2項)。また、ビジネス・ユーザーや消費者がデジタル・プラットフォーマーのサービスの利用に当たって提供したあるいは生成されたデータについて、ビジネス・ユーザーがどのような条件でアクセスすることが可能(あるいは不可能)かも、契約条件に記載する必要がある(第9条第1項)。更に、例えば旅行サイトを運営するデジタル・プラットフォーマーが、そのビジネス・ユーザーであるホテルが自社サイトでも予約を受け付けるといったことを制限する可能性がある場合、その制限の理由も含めて契約条件に記載しなければならないとされている(第10条第1項)。

このほか、デジタル・プラットフォーマーの提供するサービスに関する順位付けのパラメーターについても規制を設けている。例えば、オンラインショッピングモールに掲載する商品の順位付けを決定するパラメーターのうち、あるパラメーターが相対的に重要である場合、なぜそのパラメーターが重要であるかの理由を契約条件に記載しなければならない(第5条第1項)。また、検索エンジンを提供する事業者に対しても、検索結果の表示の順位付けを決定する主要なパラメーターについて、分かりやすい言葉で記述することを求めている(第5条第2項)。更に、このようなパラメーターが、出店者やWebサイト運営企業の支払う対価に反して順位付けに影響する可能性がある場合には、その可能性等についても記載しないといけない(第5条第3項)。そして、欧州委員会は、本規則の適切な運用への貢献のため、デジタル・プラットフォーマーや検索エンジン提供事業者等が行動規範を作成することを促すこと(第17条)とされている。

通信や端末のプライバシーに関するルール

EUでは更に、インターネットベースのサービスの進展に伴う通信分野におけるプライバシー等の保護を拡充することを目的として、「eプライバシー規則」案の策定作業が進められている。この規則案は、2002年7月に制定されたeプライバシー指令を置き換える位置付けであるとともに、GDPRの特別法に当たる。

eプライバシー指令から拡充される点として、まず、インターネットベースのOTTサービス(VoIP、メッセージサービス、ウェブメール等)も適用対象となることを明確化し、伝統的な通信サービスと同レベルの通信の秘密が保護されるという点がある。次に、個人データに限定されず、M2M通信(モノとモノとの間の通信)に関するデータも秘密の保護の対象となる。更に、ウェブサイト上のテキストや動画、音楽等の通信サービスを通じてやりとりされるコンテンツのみならず、コンテンツのやりとりの過程で処理されるデータ(メタデータ)に関する秘密も保護の対象となる。すなわち、「2018年12月20日の10:00に日本のxxからリクエストがあり、通信終了までに1秒を要した」といったデータも保護されることになる。これらの秘密が保護されるデータを処理する場合には、通信自体の成立やセキュリティの維持・回復のために必要な場合等を除き、原則としてユーザーが同意することが必要となる。

また、eプライバシー指令を引き継ぐ形で、ユーザーの端末に保存される情報についても保護の対象となっている。このため、例えばクッキーの利用についても、原則としてユーザーの同意が必要である23。このクッキーに関連し、クッキーを用いてユーザーの閲覧履歴を追跡すること(トラッキング)の許可が得られないことを理由として、ウェブサイトやサービスへのアクセスをブロックするという「トラッキング・ウォール」を禁止すべきかどうかが議論となっている。また、ブラウザのデフォルト設定において追跡を拒否とすることを義務付けるかどうかも論点の一つである。

GDPRと同様、eプライバシー規則においても法の域外適用が行われることとなっており、トラッキングにより入手したユーザーの閲覧・利用履歴等のデータによりターゲティング広告を提供しているようなデジタル・プラットフォーマーにとっては、本規則による事業展開への影響が大きなものとなる可能性がある。

EUにおける様々な規制のアプローチ

EUのルール整備においては、必ずしも政府による規制を前提としていないという点が特徴的である。具体的には、「共同規制」という政府による規制と民間による自主規制を組み合わせたアプローチが重視されている24

ICT分野においては、変化が速いため、時間を要する立法等による対応ではその速度に対応しきれない場合があるほか、規制の対象やその概念も変化していく可能性がある。また、人による情報の発信が対象となり、表現の自由という人権体系の中で優越的な地位を占める基本的人権に関わるテーマが論点となることがある。加えて、複雑性や専門性が高く、特に事業者との比較で政府は規制に必要な情報を把握しきれないこともある。これらのことから、政府による規制は必ずしも有効・適切ではない場合が出てくることになる。このため、企業や産業界による自主規制が一定の役割を果たすことが期待される25

他方、自主規制の場合も、ルールの内容が不十分であったり、特定の企業に有利になったりするといったことが考えられる。また、適確に履行させるための手段を欠くという実効性の問題や、立法等の場合と異なり民主的な正統性を欠くといったデメリットも存在すると考えられる。

これらのことから、自主規制の持つ柔軟性等を生かしつつ、デメリットの部分を政府が補完する「共同規制」のアプローチが注目されており、前述したようなEUにおける様々なルール整備においても用いられている。例えば、非個人データに関するデータポータビリティについては、政府は事業者による行動規範の策定を促すという役割であり、「共同規制」の一つの例であるといえよう。自主規制や「共同規制」を含む様々な規制のアプローチは、図表1-3-1-14のとおりである。

図表1-3-1-14 様々な規制のアプローチ
(出典)生貝直人(2011)『情報社会と共同規制』p26を基に作成


13 EUの状況全般については、総務省情報通信政策研究所の佐々木勉特別研究員からの様々な情報提供のほか、生貝直人(2018)「データポータビリティとAIネットワーク社会」(総務省「AIネットワーク社会推進会議AIガバナンス検討会」資料)を参考としている。
http://www.soumu.go.jp/main_content/000589118.pdfPDF

14 欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタインも含まれる。

15 厳密には、「EUデータ保護指令」が各EU加盟国における国内法制化を要する「指令」の位置付けであったのに対し、GDPRは国内法制化を要せず各加盟国に直接適用される「規則」の位置付けであるという法形式の点が異なる。

16 GDPRを適用して制裁金を科した事例ではないが、2019年2月にドイツの連邦カルテル庁は、FacebookがSNS市場における支配的な地位を濫用して利用者の個人データを収集・利用しているとして、これらを制限する決定を行った。決定の前提となる競争法上の市場支配的な地位の濫用の判断に当たり、GDPRへの適合性が考慮されている。具体的には、Facebookは自ら提供するサービス(WhatsAppやInstagramを含む。)上でデータを収集しているのみならず、Facebookのサービス外(いいね!ボタンやFacebook Analytics等の解析ツールを組み込んだサイト等)からもデータを収集し、これらデータを組み合わせて利用しているが、この点についてGDPRが求めるユーザーの自発的な同意を取得していないとしている。

17 GitHub上で展開されている。

18 European Commission(2016)“Online Platforms and the Digital Single Market: Opportunities and Challenges for Europe”

19 REGULATION(EU)2018/1807 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 November 2018 on a framework for the free flow of non-personal data in the European Union

20 European Commission(2018)“Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on promoting fairness and transparency for business users of online intermediation services” COM(2018)238 final of 26 April of 2018により提案され、その後修正が加えられている。

21 アンシブ欧州委員会副委員長(デジタル単一市場担当)、ビェンコフスカ欧州委員(域内市場・産業担当)、ガブリエル欧州委員(デジタル経済・社会担当)による共同ステートメント(2019年4月17日)http://europa.eu/rapid/press-release_STATEMENT-19-2160_en.htm別ウィンドウで開きます

22 2019年6月14日にEU理事会において承認された案に基づき記述している。

23 ただし、セッション管理のためのクッキー等、エンドユーザーが求めるサービスを利用可能とするという正当な目的のために必要かつその目的に即して妥当な程度である場合には、同意が不要とされている。

24 共同規制については、生貝直人(2011)『情報社会と共同規制 インターネット政策の国際比較制度研究』が詳しい。

25 生貝(2011)のほか、生貝(2013)「オンライン・プライバシーと共同規制」(総務省「パーソナルデータの利用・流通に関する研究会」資料)http://www.soumu.go.jp/main_content/000218518.pdfPDF

テキスト形式のファイルはこちら

ページトップへ戻る