間近に迫るEUデジタル分野の新規制～デジタルサービス法について日本企業が注意すべきポイント～

著者等: 殿村桂司、伊佐次亮介、Simon Clemens Wegmann（Gleiss Lutz）（共著）

全文ダウンロード（PDF）

出版社: 長島・大野・常松法律事務所

書籍名・掲載誌: NO&T Technology Law Update ～テクノロジー法ニュースレター～ No.40（2023年10月）

業務分野

キーワード

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日（作成日）時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

I. はじめに～EUデジタル戦略の全体像とデジタルサービス法の位置付け～

　2023年8月、デジタルプラットフォーム（以下「DPF」といいます。）の役割及び責任を定めたデジタルサービス法（Digital Services Act）（以下「DSA」又は「本法案」といいます。）の適用が、フェイスブックやTikTok等の一部の大規模なDPF（”very large online platform”）※1に対して先行して開始されました。また、DSAは、大規模なDPFのみならずより広汎なDPFを規制対象としているため、今後より多くの事業者がDSAを遵守するための対策を講じる必要があります。特に、DSAが全面適用される2024年2月17日以降、DSAは、欧州連合（以下「EU」といいます。）域外に所在する事業者であっても、EU内の利用者に対して”intermediary services”（以下「仲介サービス」といいます。）を提供する全ての事業者に適用されることとされているため、EU域内で仲介サービスに該当するデジタルサービスを提供する日本企業においても、DSAの遵守が求められる可能性があります。

　欧州委員会（以下「EC」といいます。）は、2019年12月に就任したフォン・デア・ライエン（Von der Leyen）委員長の下、「デジタル時代のヨーロッパ戦略（A Europe fit for the digital age）」を公表し、「デジタル単一市場」の完成を目指すべく、EU全域のあらゆる規模の企業にとってより公平な競争の場を創出することを目的とした、統一的なデジタル新規制の策定作業に着手しています。EUデジタル戦略は、主として以下の5つのカテゴリーに分類することができますが、DSAはそうしたEUデジタル戦略の一環（特に、「5. デジタル・コンテンツ」に関する施策の一環）と位置付けることができます。

1. データ保護：デジタル分野におけるEUの取り組みとして最もよく知られているのが一般データ保護規則（以下「GDPR」といいます。）です。GDPRは、EU居住者のプライバシーの保護、すなわち、各個人に対して誰が自分について何を知っているかを管理する権利を認めることにより、個人データの保護を図っています。GDPRはeプライバシー指令※2によって補完され、その内容はEU加盟国の国内法として導入されています※3。
2. AI：ChatGPTのような生成AIツールが普及する以前から、ECはAI規則案（Artificial Intelligence Act）（2021年4月公表）を通じてAIの規制に着手していました。AI規則案は、AIシステムのリスク分類に応じて、AIシステムの提供者と利用者に一定の義務を課すものとなっています※4。また、AI規則案は、AIツールやAI製品の利用を民事責任制度の枠組みに組み込むことも企図しており、ECは、2022年9月にAI責任指令案（Proposal for an Artificial Intelligence Liability Directive）を公表し、EU加盟国に対し、AIの提供者と利用者の契約外の事由による過失責任を規定する一定の規則を制定するよう求めています。また、同時に公表された製造物責任指令（Product Liability Directive）の改正案においてもAI製品について言及がなされており、AIシステムの開発者等に対して、欠陥のあるAI製品に起因する損害についての厳格な責任を課すこととしています※5。
3. データ共有：ECは、技術革新や公益のために利用できるはずの大量のデータが、少数の事業者、特に一部の大規模なテクノロジー企業によって保有されている現状を問題視しており、この点に対処するため、デジタル市場を支配する企業による権力の濫用を防止し、データ共有を促進することを目的としたデジタル市場法（Digital Markets Act）が2022年11月1日から施行されています。さらに、ECは、インターネットに接続するコネクテッドデバイス等の製品の利用によって生成されたデータへのアクセスと活用のためのルールを規定するEUデータ法案（Data Act）※6を通じて、データ保有者に対して、当該データが企業秘密に該当しない限りにおいて、公正な条件の下第三者による当該データへのアクセスを認めること等を提案しています。また、データ再利用の際の条件の枠組みを定めたデータガバナンス法（Data Governance Act）が2023年9月24日から施行されています。
4. データ・セキュリティ：ECは、急速な技術発展と政治的に不安定な時代において、データ・セキュリティのレベルを高めることが必須の課題であると認識しており、2024年10月18日より、EU企業に対してより厳格なサイバーセキュリティ義務を課し、経営層に対する個人責任を導入することを求める改正ネットワーク及び情報セキュリティ指令（NIS2指令）の施行が予定されています。また、金融セクターにおけるサイバーセキュリティ義務を強化する規制（デジタルオペレーショナルレジリエンス法）も採択され、2025年1月17日から施行が予定されています。さらに、デジタル製品の製造業者、開発業者及び販売業者に対してサイバーセキュリティの義務を課す規制案（EUサイバーレジリエンス法）の立法手続きも進んでおり、近く採択される見込みです。
5. デジタル・コンテンツ：ECは、EUデジタル・コンテンツ及びサービス指令により、EU域内におけるデジタル製品の購入に関する民事上のルールの統一化を図っており、オンライン環境を構成するデジタルサービスを通じた違法コンテンツの拡散を防止するための加盟国の取り組みを調和させようとしています。また、2022年9月に採択された欧州メディア自由法（European Media Freedom Act）の下、報道機関が発信するデジタル・コンテンツに関する具体的な規則を定める予定となっています。

　DSAは、安全で信頼できるオンライン環境を確保することに重点を置き、一定のDPFに対してコンテンツモデレーションの実施や透明性の確保等の義務を課しており、上記のカテゴリーのうち特に「5. デジタル・コンテンツ」に関する施策の一環と位置付けることができます。そしてこれらの義務に違反した場合、後述のとおり、違反者の全世界売上高を基に算出される罰金に加えて、サービスの利用者から直接損害賠償請求を受ける可能性がある点にも留意する必要があります。

　本ニュースレターでは、DSAが仲介サービスを提供する全ての事業者に適用される期限が近づいていることを踏まえ、特に日本企業が留意すべきポイントについて解説いたします※7。

II. DSAの域外適用

　DSAは、仲介サービスを提供するDPFを各規律の対象としていますが、EU域外に所在するデジタルサービスの提供者がDSAの適用対象に含まれるか否かを判断する場合、「EU域内でサービスを提供している」（“offer services in the EU”）か否かの分析が必要となります。この点は、EUにどの程度の利用者がいるか、EUの利用者をターゲットとしているサービスかといった基準に基づき、当該サービスが「EUとの実質的なつながり」（“substantial connection to the EU”）を持つか否かによって判断されることとなります。

　特に、一般的に欧州で用いられている言語（イタリア語、ドイツ語、フランス語等）でのサービス提供が行われているか、欧州通貨（ユーロ、ポーランドズロチ、デンマーククローネ等）でのサービス提供が行われているか、欧州のウェブドメイン（.eu、.de、.fr等）を取得してサービス提供が行われているかといった事情が判断のポイントとなります。

III. DSAの適用対象となるカテゴリー

　DSAの適用対象となる仲介サービスは、以下のいずれかのカテゴリーに該当するものをいい、DSAは、仲介サービスのカテゴリーに応じて仲介サービスの提供者に異なる義務を課しているため、EU域内でデジタルサービスを提供する事業者は、自社のサービスがどのカテゴリーに属するか慎重に分析する必要があります。

① mere conduct service：（単なる導管サービス）	サービスを受ける者から提供される情報の通信ネットワーク内の送信、又は通信ネットワークへのアクセスの提供により構成されるサービス
② caching service：（キャッシングサービス）	サービスを受ける者から提供される情報の通信ネットワーク内の送信により構成されるサービスで、当該情報の自動的、中間介在的かつ一時的な記録保存を含み、サービスを受ける者の求めに応じて、サービスを受ける別の者に対する当該情報の転送をより効率的なものとする目的のみのために実施されるサービス
③ hosting service：（ホスティングサービス）	サービスを受ける者から提供される情報を、当該サービスを受ける者の要求に応じて記録保存することにより構成されるサービス

　特に、③ hosting service（ホスティングサービス）（又はホスティングサービスの一類型であるonline platform（オンライン・プラットフォーム））の提供者に対しては、その他の①mere conduct service（単なる導管サービス）又は②caching service（キャッシングサービス）の提供者よりも厳しい義務が課されることになるため、留意が必要です。

　DSAの草案に規定された「hosting service（ホスティングサービス）」の広範な定義は、その後の立法過程において狭められることはなく、その結果、サービスの利用者から提供された情報を、当該利用者の要求に応じて保存する企業は、たとえ当該情報を公衆に発信する予定がない場合であっても、ホスティングサービスの提供者に該当することとなります。例えば、日本の親会社がEUの子会社のデータを単に保存しているに過ぎない場合であっても、このカテゴリーに該当する可能性があります。

　また、DSAは、全てのホスティングサービスの提供者に対して、違法と疑われるコンテンツの存在を第三者が通知できる仕組み（“notice and action mechanism”）を整備する義務を課しています。このような仕組みに基づき実際に第三者から通知があり、通知の対象となる情報が違法であることが判明した場合には、コンテンツの削除、コンテンツを提供した受信者の一時停止等の適切な措置を取ることが求められます。さらに、ホスティングサービスの提供者は、明確かつ詳細にそのような措置が正当であることを担保する必要があります。以上の義務は、例えば標準的なクラウドストレージサービスの場合等、コンテンツを違法と判断できる第三者の関与が想定し難い場合であっても一律に適用されることとなります。このようにDSAが規定する義務と実際に提供されるサービスの実態との間にずれが生じる場合も想定されますが、この点につき当局がどこまで厳格に遵守を求めるのか、今後の対応を見守る必要があります。

　また、ホスティングサービスの重要な一類型として、オンライン・プラットフォームが挙げられます。オンライン・プラットフォームとは、「ホスティングサービスのうち、サービスを受ける者の要求に応じて、情報を保存し、公開するものをいう。」と定義されており、オンライン・プラットフォームとして認定された場合、一定の例外に該当する場合を除き、DSAに基づき追加の厳しい義務が適用されることとなります。そのため、ホスティングサービスの提供者は、そのサービスが公衆に情報を発信しているかどうか、また、そのような発信を行っている場合、当該発信がサービス全体と比較して取るに足らない純粋に付随的な機能にすぎないか、又は主たるサービスから独立した取るに足らない機能にすぎないかどうか等を検討する必要があります。実際にこれらの点が問題となるデジタルサービスの類型としては、オンラインポータルサイト、レストラン、ホテル、その他の施設等のコンテンツをユーザーが評価できるサービス、出会い系アプリ、オンラインゲーム、語学学習コミュニティ等があげられますが、これらのサービスがDSA上のオンライン・プラットフォームに該当することとなるか今のところ明確にはされていません。

IV. 適用される義務の内容

　DSAは、仲介サービスの提供者に一定の義務を課すことで、インターネット全般、特にオンライン上の主要インフラである仲介サービスを通じたヘイトスピーチ、偽情報、その他の違法コンテンツの拡散を抑制することを目的としていますが、日本企業を含むEU域外に所在する仲介サービスの提供者にとって、特に以下に掲げる義務を遵守することが難しい場合が予想されます。

ホスティングサービスの提供者は、人の生命又は安全を脅かす重大な犯罪の疑いを生じさせる情報を知った場合、EU加盟国の管轄の執行機関に通知する義務があります（第18条第1項）。もっとも、EU域外に所在する仲介サービスの提供者にとって、EU域内に無数に存在する地域、州、連邦の執行機関の中から所轄の当局を特定することが困難である場合も多く、また、当該所轄の当局が用いる公用語による通知を行うことに伴う困難も予想されます。
EU域外に所在する仲介サービスの提供者にとって、どのようなコンテンツが違法コンテンツに該当するか、すなわち、EU又はEU加盟国の法律に違反するコンテンツに該当するかの判断が難しい場合が想定されます。違法コンテンツに該当するか否かの判断は、言論の自由や個人の名誉の保護等、現地の文化的・社会的価値観に大きく影響される利益衡量が関わることが一般的であり、EU域外に所在する仲介サービスの提供者にとってその判断が難しいことが予想されます。また、EU域外に所在する仲介サービスの提供者は、そもそも一般的にEUやEU加盟国の法律に必ずしも精通していない場合も多く、違法コンテンツの判断を行う際に考慮すべき諸々の要素を理解することが困難な場合も予想されます。
最後に、EU域外に所在する仲介サービスの提供者は、EU法の基準に基づいてコンテンツモデレーションを行う際、法の抵触の問題にさらされる可能性があります。例えば、ドイツにおいては厳格なヘイトスピーチ取締法（Network Enforcement Act）に基づき特定のコンテンツの削除が求められる場合がありますが、他方で問題となるコンテンツが仲介サービスの提供者が所在する法域では保護された言論として取り扱われており、これを一方的に削除した場合、当該法域における民事責任を問われる場合が想定されます。また、仲介サービスの提供者が所在する法域では法令上削除が義務付けられているにもかかわらず、EU法の下ではこれが保護された言論に該当するため当該コンテンツを一方的に削除することが許されない場合も想定され、EU域外に所在する仲介サービスの提供者は、そのような板挟みの状況で難しい判断が求められる可能性があります。

　なお、どのようなカテゴリーに該当する場合であっても、EU域外に所在する仲介サービスの提供者は、EUの監督当局との窓口となるEU域内の代理人を設置する必要があります（第13条第1項）。当該代理人は、必要な権限と十分なリソースを有している必要があり（第13条第2項）、当該仲介サービスの提供者による違反に対して直接責任を負う可能性があるため（第13条第3項）、どのような主体を当該代理人として指定すべきか慎重に検討する必要があります。また、大規模なDPFに該当しない場合、当該代理人の所在地によって、どの加盟国の監督当局が監督権限を持つかが決まるため、そのような観点からもどの国において代理人を指定するか慎重な検討が求められます。

V. 違反時の罰則

　DSAは、DSAの義務に違反した場合、違反者の年間世界売上高の最大6％（詳細はEU加盟国によって法制化されることとされています。）の罰金を課すこととしています。

　また、そのような罰金に加え、DSAの違反に対しては、利用者からDPFの提供者に対する個別かつ直接の損害賠償請求が認められています。そのような損害賠償請求には利用者である個人・企業からの請求がそれぞれ含まれており、例えば、個人が自己の誹謗中傷の削除を違法に拒否された場合にはDPFの提供者に対して損害賠償を請求できる一方、企業がビジネスアカウントを違法に停止され、顧客を失った場合には、当該企業がそれを根拠に損害賠償を請求することも考えられます。「消費者の集団的利益の保護のための代表訴訟及び指令 2009/22/EC の廃止に関する欧州議会及び理事会の指令」（Directive (EU) 2020/1828）がEU加盟国において施行間近であり、消費者代表訴訟が広くEUにおいて導入されることが予定されている点を踏まえると、このような損害賠償請求が今後頻繁に行われる可能性に注意する必要があります。

　また、利用者が訴訟を選択しない場合でも、監督当局に対して苦情を申し立てる権利が認められており、監督当局は、正当な理由があれば、当該苦情に対処するための一定の措置を講じることができます。

VI. 今後に向けて

　以上のとおり、DSAでは、仲介サービスの分類に応じた種々の義務が課されているため、EU域内の利用者に対してデジタルサービスを提供する日本企業においても、そのサービスがDSA上の仲介サービスに該当するか否か、仲介サービスのどの類型に該当するかを慎重に検討する必要があります。

　そして、DSAの適用を受ける場合には、法令遵守のため、また、当局及びサービス利用者による申立てのリスクを軽減するために、それぞれ少なくとも以下のような措置を講じる必要があるものと思われます（なお、問題となる仲介サービスのカテゴリーによっては、さらにカスタマイズされた対策が必要となる場合があります）。

窓口となる代理人の指定、利用規約の見直し・改正、透明性報告書の作成等
notice and action mechanism及び苦情管理システム導入のための内部ガイドラインの整備
サービスの技術的なセットアップ及び（EU向けの）ユーザーインターフェイスがDSAの内容に準拠しているかの見直し

　本法案は2024年2月17日以降全ての仲介サービスの提供者に適用されることとされており、その後追加の猶予期間は特段設けられていないため、EU域内においてデジタルサービスを提供している日本企業においては、DSAの遵守について早急に検討が求められている状況にあります。

脚注一覧

※1
EU域内においてサービスを受ける者の平均月間アクティブ数が4,500万人となるサービスを提供するonline platformが”very large online platform”として指定され、2023年10月時点で19の事業者が対象となっています。

※2
eプライバシー指令の詳細は、NO&T Europe Legal Update ～欧州最新法律情報～ No.16/NO&T Data Protection Legal Update ～個人情報保護・データプライバシーニュースレター～ No.20合併号（2022年11月）「GDPRとEU加盟国法との相互関係に関する最新動向－eプライバシーに関する規律やドイツの事例を題材として－」をご参照ください。

※3
EUは長らく、eプライバシー「指令」に代わるeプライバシー「規則」の制定を試みてきました。しかし、立法プロセスは、加盟国間の議論の対立や大手企業の反発により進んでいません。

※4
AI規則案の詳細は、NO&T Technology Law Update ～テクノロジー法ニュースレター～ No.6（2021年4月）「EUがAIに関する包括的な規則案を公表」をご参照ください。

※5
AI責任指令及び製造物責任指令の詳細は、NO&T Technology Law Update ～テクノロジー法ニュースレター～ No.28（2022年10月）「EUのAI責任指令案・製造物責任指令の改正案の概要」をご参照ください。

※6
EUデータ法の詳細は、NO&T Technology Law Update ～テクノロジー法ニュースレター～ No.10/NO&T Europe Legal Update ～欧州最新法律情報～ No.7合併号（2022年3月）「欧州データ法（Data Act）の法案の公表」をご参照ください。

※7
DSA全体の内容に関しては、DSA法案について解説した、NO&T Technology Law Update ～テクノロジー法ニュースレター～ No.5（2020年12月）「EUにおけるデジタル新規制の概要～デジタルサービス法～」をご参照ください。

2023年10月25日

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。

全文ダウンロード（PDF）