コンプライアンス・EU Data Act

EU Data Act:自社が生み出すデータは誰のものか

2025年9月12日から、EU規則2024/2854(Data Act)はコネクテッド製品のデータアクセスを見直し、クラウドベンダーの乗り換えを容易にします。専門用語を避け、中小企業にとって本当に意味することを説明します。

34件の回答

EU Data Actとは何ですか。自社にとって実務上何が変わりますか。

Data Act(EU規則2024/2854)は、コネクテッド製品(機械、車両、スマート家電、IoTセンサー)や関連デジタルサービスが生成するデータに、誰がアクセスし利用できるかを定めた欧州の法律です。実際には、製品の利用者にそのデータを取得し、自ら選んだ第三者と共有する権利を与えるものです。

中小企業にとっては具体的に二つの意味があります。コネクテッド機械やソフトウェアを使う側であれば、自社が生み出すデータに対する権利が強化されます。逆にそれらを製造・提供する側であれば、透明性とアクセスに関する新たな義務を負います。さらに本規則は、クラウドベンダーの乗り換えをより簡単かつ低コストにします。

GiBSeS — 自社がテーブルのどちら側にいるのか——データの利用者か提供者か——を見極めることが、診断で最初に一緒に行うステップです。

Data Actはいつから施行されていますか。すぐに対応が必要ですか。

Data Actは2024年1月11日に発効しましたが、義務の大部分は2025年9月12日から適用されています。一部の期限はさらに先で、コネクテッド製品のデータを「デフォルトでアクセス可能」に設計する義務は2026年9月12日以降に市場投入される製品が対象となり、クラウドベンダー変更コストのゼロ化は2027年1月12日までに実現される予定です。

つまり大部分はすでに適用中です。後の期限を待つのではなく、今のうちに自社の立ち位置を確認しておくべきです。

GiBSeS — どの期限が自社に本当に関係するか分からない場合、状況に照らして日程を整理することが、最初に行う作業の一部です。

Data Actは、自社のような小規模企業にも関係しますか。

はい、ただし立場によって関わり方が異なります。本規則はコネクテッド製品の製造事業者、関連サービスの提供事業者、これらの製品の利用者(企業・消費者)、クラウドサービス提供事業者、データの受領者に適用されます。コネクテッド機械やソフトウェアを単に利用しているだけの小規模企業も、保護対象に含まれます。

ただし、製品の製造やサービス提供を自ら行う零細・小規模企業には重要な適用除外があります。その場合、データ共有義務の多くは適用されません。中小企業であること自体は重要な要素ですが、立場はケースごとに判断する必要があります。

GiBSeS — 自社が保護対象なのか、義務を負う側なのか、あるいはその両方なのかを見極めることは、まさに最初に行う整理そのものです。

具体的にはどのデータの話ですか。IoT機器だけが対象ですか。

Data Actは、コネクテッド製品とその関連サービスの利用によって生成されるデータを対象とします。産業機械、車両、医療機器、スマート家電、センサーに加え、それらの動作を管理するソフトウェアやアプリも含まれます。製品が利用中に収集・記録・送信する生データ、および前処理済みデータが対象です。

一方、提供事業者が独自の複雑な分析や投資によって導き出した情報(いわゆる「派生」または「推論」データ)は対象外で、共有義務の外にあります。

GiBSeS — 共有可能な生データと、保護される加工済みデータを見分けることは、私たちが伴走する技術的な検討事項の一つです。

自社の機械や機器が生成するデータにアクセスできますか。

はい。コネクテッド製品や関連サービスを利用している場合、その利用によって生成されるデータに、簡単・安全・無償でアクセスする権利があり、技術的に可能であれば直接かつ継続的にアクセスできます。機器から直接取得できない場合は、データ保有者(通常は製造事業者や提供事業者)が正当な理由のない遅延なくデータを提供しなければなりません。

これは長年の慣行を覆すものです。これまで自社の機械のデータであっても、しばしば製造事業者のシステムの中に閉じ込められていました。

GiBSeS — 自社設備のデータを取り戻すことは、私たちが中小企業と共に取り組む「データ主権」というテーマの核心です。

自社のデータを、独立系の整備業者など第三者に渡してもらうことはできますか。

はい。これは最も具体的な新しいポイントの一つです。要請すれば、データ保有者は、独立系の保守事業者、他のサービス提供事業者、ソリューション開発事業者など、自ら選んだ第三者にデータを共有しなければなりません。これにより、例えば設備の保守や最適化を、製造事業者に縛られることなく好きな相手に任せられます。

第三者は、合意した目的のためにのみデータを使用でき、同意なしにさらに第三者へ譲渡することはできません。なお、Digital Markets Actで指定される大手ゲートキーパーは、この仕組みの対象外です。

GiBSeS — この権利を使ってアフターサービス市場での競争を開くことは、私たちが実行を支援するベンダーロックイン対策の一つです。

コネクテッド機器や機械を製造しています。何をすべきですか。

製造事業者として、いくつかの重要な義務があります。販売前に、購入者に対して製品がどのようなデータを生成し、どのようにアクセスでき、誰と共有できるかを明確に伝える必要があります。データを利用者がアクセスできるようにし、利用者の要請があれば、指定された第三者にもアクセスできるようにしなければなりません。2026年9月12日以降に市場投入する製品については、データが「設計段階からデフォルトでアクセス可能」になるよう設計する義務も適用されます。

適切な措置によって営業秘密を守ることはできますが、それを口実にアクセスを一律に拒否することはできません。

GiBSeS — 販売契約、技術文書、製品アーキテクチャをData Actの観点から見直す作業を、私たちは最初から最後まで支援します。

コネクテッド製品の利用者です。自社にとって何が良くなりますか。

より多くの管理権と交渉力が得られます。自社製品の利用データにアクセスし、持ち出し、保守・分析・新サービスのために第三者に委ねることができます。これにより単一の製造事業者への依存が減り、オープンな市場でサービスの提案を比較できるようになります。

具体的には、これまでアクセスできなかったデータ——エネルギー効率、摩耗状況、故障予測、プロセス最適化——を活用できるようになります。

GiBSeS — これらの権利をコスト削減とより良い意思決定に変えることこそ、私たちが最も重視する実践的な部分です。

GDPRとの関係はどうなっていますか。Data ActはGDPRに取って代わるのですか。

いいえ、Data ActはGDPR(EU一般データ保護規則)に取って代わるものでも、その効力を弱めるものでもありません。両者は並行して適用されます。GDPRは引き続きすべての個人データを規律し、Data Actはアクセスとポータビリティに関する権利を追加するものですが、抵触する場合は個人データ保護が優先されます。製品が生成するデータに個人情報が含まれる場合、依然として有効な法的根拠とGDPRの原則の遵守が必要です。

実際には多くのIoTデータセットは、個人データと非個人データが混在しています。両方の規則を同時に踏まえて管理する必要があります。

GiBSeS — 個人データと非個人データの絡み合いを、どちらの規則も侵さずに解きほぐすことは、私たちがよく整理を手伝う典型的な課題です。

提供事業者はデータ利用について不当な条件を押し付けることができますか。

Data Actは、企業間で一方的に押し付けられるデータのアクセス・利用に関する不当な契約条項に対する保護を導入しています。不当と判断された条項は拘束力を持ちません。例えば、不履行時の救済手段を著しく不公平に排除・制限する条項や、提供されたデータが適合しているかどうかを一方的に判断する権限を課す側に与える条項がこれにあたります。

これは特に、相手方が強い交渉力を持つ場合の力関係を是正するための保護です。

GiBSeS — もはや主張できない条項がないか、データ関連契約を精査することは、簡単ながら多くの発見につながる作業です。

零細・小規模企業向けの特別な保護や適用除外はありますか。

はい。零細・小規模企業には重要な軽減措置があります。自らコネクテッド製品を製造したり関連サービスを提供したりする場合、本規則第2章に定めるデータ共有義務は原則として適用されません。これにより、小規模事業者が多国籍企業と同じ負担を負わずに済みます。

ただし注意が必要です。零細・小規模企業がより大きな企業と関連会社・提携関係にある場合、この適用除外は失われることがあります。中小企業としての該当性は、EUの基準(従業員数、売上高、資本構成)に従って確認する必要があります。

GiBSeS — 自社が適用除外に該当するか、また資本構成によってそれが失われないかを正確に確認することは、対応投資の前に行っておくべきチェックです。

Data Actは、クラウドベンダーの乗り換えに本当に役立ちますか。

はい、これは本規則の中心的な目的の一つです。本規則は、データ処理サービス(クラウドおよびエッジ)の提供事業者に対し、ベンダー変更を妨げる技術的・契約的・商業的な障壁を取り除くことを義務付けています。期限を定めた移行プロセスを保証し、顧客が他のプロバイダーやオンプレミス環境へデータとアプリケーションを移す際に支援しなければならず、不釣り合いな制約を課すことはできません。

これはまさに、企業を単一プラットフォームの人質にするベンダーロックインを減らすために設計されています。

GiBSeS — クラウドロックインは、私たちが最初に評価するリスクの一つです。Data Actは、そこから抜け出すための具体的な手段をようやく与えてくれます。

クラウドから離脱する際のコストがゼロになるというのは本当ですか。

はい。Data Actは乗り換え費用(switching charges)の段階的な削減を定め、2027年1月12日までに廃止することとしています。経過期間中、提供事業者が請求できるのは、移行に実際にかかった費用に基づく軽減された金額のみで、懲罰的な違約金は認められません。一方、通常のサービス利用にかかる費用は引き続き請求可能です。

これは、技術的な障壁と並んで、ベンダー変更を阻む最も強力な経済的障壁の一つを取り除くものです。

GiBSeS — 現在の実際の離脱コストと、それが2027年までにどう減っていくかを試算することは、提供事業者との交渉を変える計算です。

Data Actはシステムの相互運用性について何を定めていますか。

本規則は、データ交換とサービス間の移行を容易にするため、相互運用性に関する要件を課しています。クラウドサービス提供事業者は、データを他所へ転送・再利用できるよう、オープンなインターフェースと十分な情報を提供しなければなりません。欧州共通データスペースに関する仕様や、調和された標準規格の可能性も定められています。

目的は、データが特定の形式や独自プラットフォームに「囚われた」状態にならないようにすることです。

GiBSeS — 名目だけでなく実際に相互運用可能なシステムを設計・選定することは、私たちが独立した立場で貢献できる技術評価です。

データを共有しなければならない場合、自社の営業秘密は危険にさらされますか。

Data Actはバランスを図っています。共有義務があっても、営業秘密の保護がなくなるわけではありません。データ保有者として、秘密に該当するデータを特定し、その機密性を守るための適切な措置(合意、技術的措置、利用条件)を利用者や第三者と合意することができます。例外的に、そうした措置を講じても重大かつ立証可能な損害リスクが残る場合は、共有を停止または拒否できます。

ただし、営業秘密を口実にあらゆるアクセスを一律に拒否することはできません。拒否には理由の明示と通知が必要です。

GiBSeS — 違法な拒否に踏み込まず、実際に機能するノウハウ保護の措置を設計することは、私たちが伴走する繊細なポイントです。

データを渡した第三者が、それを使って自社と競合することはありますか。

明確な制限があります。利用者の要請によりデータを受け取った第三者は、利用者と合意した目的・条件の範囲でのみデータを使用でき、そのデータの元となった製品と競合する製品の開発に用いることはできません。同意なく他者へデータを譲渡することもできません。

また、データ保有者の側も、利用者が生成した非個人データを利用して、利用者の経済状況や戦略に関する情報を引き出し、その商業的立場を損なうような使い方をすることはできません。

GiBSeS — これらの禁止事項が実際に機能するようデータ共有契約を作成することは、私たちが担当する契約実務の一部です。

データは無償で共有すべきですか。それとも対価を求められますか。

製品の利用者に対しては、自身のデータへのアクセスは無償です。一方、データを第三者企業に提供する場合、データ保有者はデータ提供にかかった費用に基づき、合理的かつ非差別的な対価を求めることができます。受領者が中小企業や研究機関である場合、対価は当該費用を上回ることはできず、追加のマージンは認められません。

いずれにせよ、経済条件は公正かつ透明でなければならず、アクセスを妨げる隠れた障壁として使われてはなりません。

GiBSeS — 安すぎず高すぎない、正当性のある対価を設定することは、個別の経済・契約面での検討事項です。

罰則はどのようなもので、誰がData Actの遵守を監督しますか。

Data Actは、欧州レベルで統一された罰金額を定めていません。各加盟国が、実効的・比例的・抑止的な罰則を定める責任を負います。各国は監督を担う一つ以上の国内当局を指定し、個人データに関する部分については、引き続きデータ保護当局(イタリアではGarante)が管轄します。

したがって金額や手続きは各国の国内実施規則によって異なります。自社の具体的な状況については、管轄国が本規則をどのように国内法化したかを確認する必要があります。

GiBSeS — 自国でどの当局が監督し、どのような罰則が適用されるのかを把握しておくことは、思わぬ事態を避けるための確認です。

具体的に、対応を始めるにはどこから手をつければよいですか。

現実的な進め方は4つのステップから始まります。(1)自社が利用または提供するコネクテッド製品・サービスと、それらが生成するデータを洗い出す。(2)自社の立場(利用者、データ保有者、製造事業者、クラウド提供事業者)と、そこから生じる義務・権利を確定する。(3)販売契約、サービス契約、クラウド契約を見直し、もはや主張できない条項や再交渉すべき離脱コストがないか確認する。(4)個人データと営業秘密に関する措置を整合させる。

すべてを作り直す必要はありません。自社がどこでリスクにさらされ、逆に本規則がどこで有利に働くかを把握することが重要です。

GiBSeS — この4ステップの洗い出しは、まさに私たちが中小企業と共に行う最初の診断そのものです。

すでに締結済みのB2B契約は、作り直す必要がありますか。

必ずしもすべてを作り直す必要はありませんが、見直しは必要です。不当条項とデータアクセスに関する新たな保護は、既存の関係にも影響し、一部の条項は拘束力を失う可能性があります。すでに存在する無期限または長期の契約については、本規則は経過期間を設けていますが、方向性は明確で、データに関する条件は適合させなければなりません。

紛争を待つのではなく、データ、クラウド、コネクテッドサービスに関わる契約を的を絞って見直す良いタイミングです。

GiBSeS — Data Actが関わる部分に的を絞った契約見直しは、迅速で具体的な効果が見込める対応です。

Data Act、Data Governance Act、GDPRの違いは何ですか。

これらは欧州のデータ戦略を構成する三つの補完的な要素です。GDPRは個人データを保護します。Data Governance Act(EU規則2022/868)は、データの自発的かつ信頼できる共有(仲介事業者、データ利他主義、公共データの再利用)のためのルールと仕組みを作ります。Data Actは、コネクテッド製品が生成するデータに誰がアクセス・利用する権利を持つかを定め、クラウドの乗り換えや契約条項を規律します。

要約すると、GDPRは個人データをどう守るか、Data Governance Actはどう信頼できる形で共有するか、Data Actは誰がそれを取得し利用できるかを定めています。

GiBSeS — 重なり合う複数の規則の中で、混乱や二重作業を避けながら方向を定めることは、独立系アドバイザーの価値の一部です。

Data Actが、コンプライアンスだけでなく戦略面でも重要なのはなぜですか。

データに関する力を、それを生み出す側へ移すからです。法的義務を超えて、中小企業にとっては、自社設備のデータを取り戻し、技術ベンダーやパートナーを自由に選び、クラウドロックインを断ち切り、離脱コストを削減できることを意味します。これは、単一の提供事業者への依存を減らし、自社の情報の管理権を保つという「データ主権」の実践的な土台です。

こう捉えれば、コンプライアンスは単なる義務ではなく、自社の技術選定をより良く見直す機会になります。

GiBSeS — Data Actを単なる義務からベンダーロックイン対策・技術的独立性のためのてこへと変えること、それがまさに私たちが一緒に取り組む方法です。

自社がEU域内に拠点や事業所を持たない場合でも、Data Actは適用されますか。

はい。Data Act(EU規則2024/2854)は、拠点ではなく市場を基準としています。EU市場にコネクテッド製品を投入する事業者、またはEU域内の利用者・顧客に関連サービスやデータ処理サービスを提供する事業者に適用され、法人所在地がどこであるかは問いません。米国、英国、スイス、アジアに拠点があるという事実だけでは、義務を免れることはできません。

実際に、自社の機械、IoT機器、クラウドサービスが欧州の利用者の手に渡れば、本規則の適用範囲に入り、EU企業と同様に対応しなければなりません。

GiBSeS — GiBSeSは、EU域外の中小企業がData Actの影響を受けるかどうか、どのように受けるかを、それが欧州市場参入の障害になる前に、早い段階から把握できるよう支援します。

欧州へ輸出する場合、「コネクテッド製品」と「関連サービス」には具体的に何が含まれますか。

コネクテッド製品とは、自らの利用状況や環境に関するデータを取得・生成・収集し、電子通信サービス、物理的な接続、または機器へのアクセスを通じてそれを伝達できる製品を指します。産業機械、車両、医療機器、スマート家電、センサー、農業機械、そして一般的なIoT機器が該当します。関連サービスとは、それがなければ製品が一つ以上の機能を果たせないデジタルサービス(アプリ、プラットフォーム、クラウド機能)、または提供事業者が製品に紐づけているサービスを指します。

自社クラウドやアプリと「対話する」ハードウェアを販売している場合、ほぼ確実に両方のカテゴリーに該当します。

GiBSeS — GiBSeSは、貴社の製品とそのデジタルエコシステムを洗い出し、EU市場でData Actのどの義務が発動するかを正確に見極めます。

欧州での販売を続けるために、いつからData Actに準拠すべきですか。

Data Actは2024年1月11日に発効しましたが、一般的な適用は2025年9月12日からです。一部の規定には独自の時期があり、データを「設計段階から」アクセス可能にする製品設計義務は2026年9月12日以降に市場投入されるコネクテッド製品に適用され、クラウドベンダー変更コストの廃止に関するルールは2027年1月12日から全面的に施行されます。

EU市場向けに製品の発売やアップデートを計画している場合、これらの日程は販売直前ではなく、設計段階からすでに考慮する必要があります。

GiBSeS — GiBSeSは、これらの期限に沿ったロードマップを貴社と共に構築し、土壇場での対応でEU市場アクセスが遅れないようにします。

具体的に、自社製品の欧州の利用者に対して何を認める必要がありますか。

EUの利用者(企業または消費者)は、貴社のコネクテッド製品や関連サービスの利用によって生成するデータにアクセスし、自ら選んだ第三者——例えば別の保守・サービス事業者——と共有する権利を持ちます。データ保有者(data holder)として、これらのデータを、利用者にとって簡単・安全・無償で、技術的に可能であれば継続的かつリアルタイムに利用できるようにしなければなりません。

製品の利用データを自社独占の資産として扱うことはもはやできません。管理権の一部が欧州の顧客側へ移ります。

GiBSeS — GiBSeSは、規則が実際に求める以上のものを譲り渡すことなく、データのフローと契約を準拠した形に見直す支援をします。

EUで販売するために、自社製品を再設計する必要はありますか。

多くの場合、少なくとも部分的には必要です。Data Actは「設計段階から、デフォルトでのデータアクセス」という原則を導入しており、コネクテッド製品と関連サービスは、利用者が生成データに簡単・安全に、可能であれば直接アクセスできるよう設計・製造されなければなりません。これにより、ファームウェア、インターフェース、API、技術文書の変更が必要になる場合があります。

この設計義務は2026年9月12日以降にEU市場に投入される製品に適用されるため、現在新バージョンを設計中の事業者には対応の猶予期間があります。

GiBSeS — GiBSeSは、後々の高コストな改修を避けるため、設計段階からデータアクセス性を製品に組み込めるよう、貴社の技術チームに伴走します。

Data Actのために、欧州に代理人や連絡窓口を置く必要がありますか。

Data Actは、GDPR第27条に相当するような、すべての事業者に対するEU代理人選任の一律の義務を定めていません。とはいえ、欧州市場でのコンプライアンスの観点から、連絡可能かつ対応可能な状態であることは必要です。利用者への明確な情報提供、データアクセス要請に応じるための窓口、管轄当局とやり取りできる体制が求められます。

EUに窓口となる人物や組織が必要かどうかは、貴社のモデル(直接販売、輸入業者経由、販売代理店経由)によって異なり、代理人選任を求める他のEU規則との兼ね合いも含め、ケースごとに判断する必要があります。

GiBSeS — GiBSeSは独立系アドバイザーとして、単一の提供事業者や仲介者に縛られることなく、欧州において身の丈に合ったコンプライアンス体制を構築する支援をします。

コンプライアンスの責任者は誰ですか。海外の製造事業者である自社、輸入業者、それともEUの販売代理店ですか。

Data Actは、主な義務を「データ保有者」(data holder)——すなわちデータを提供する権利または義務を持つ主体——に課します。典型的には、海外拠点であっても製品のデータを管理する製造事業者または関連サービスの提供事業者がこれにあたります。欧州の輸入業者や販売代理店にも役割はありますが、それによって貴社が製品設計やデータ提供に関する責任を自動的に免れるわけではありません。

責任はサプライチェーン全体の契約の中で明確に定めておく必要があります。曖昧な合意は、義務(とリスク)を製造事業者である貴社に残す結果になりかねません。

GiBSeS — GiBSeSは、貴社のEU流通チェーンを分析し、どの義務も抜け落ちないよう契約上の役割と責任を整理する支援をします。

欧州に顧客を持つEU域外のクラウドプロバイダーですが、乗り換え・相互運用性についてどのような義務がありますか。

EU域内の顧客にデータ処理サービス(クラウド、エッジなど)を提供している場合、Data Actはベンダー変更(switching)を容易にすることを義務付けます。契約的・商業的・技術的な障壁の除去、移行にかかる期限の明示、データとデジタル資産のポータビリティ、相互運用性の要件が求められます。乗り換え費用は段階的に削減され、2027年1月12日以降は請求できなくなります(実費に基づく経過的な例外を除く)。

これは、貴社のインフラがEU域外にあっても、顧客が欧州である限り適用されます。

GiBSeS — GiBSeSは、EU域外のプロバイダーが契約、データ出力(egress)、ポータビリティのアーキテクチャを見直し、欧州クラウド市場で競争力とコンプライアンスを両立できるよう支援します。

Data Actは、欧州の顧客の非個人データをEU域外へ移転することを制限しますか。

はい、一部制限されます。Data Act第7章は、特にデータ処理サービスの提供事業者に対し、EU域内で保有される非個人データへの国際的なアクセスや移転が、EU法や加盟国法と抵触する場合にそれを防止する措置を講じることを義務付けています。第三国の政府や当局がそうしたデータを要求した場合、提供事業者はその要求に応じる前に、定められた保証要件を満たさなければなりません。

例えば米国やアジアに拠点を置く企業にとって、これは自国内での「国内的な」アクセス要求がEUの義務と緊張関係に入り得ることを意味します。この問題は無視せず、きちんと管理する必要があります。

GiBSeS — GiBSeSは、自国の規制とEUのデータ規則という二重の制約に耐えうるガバナンスと技術的措置の設計を支援します。

製品のデータに個人データが含まれる場合、Data ActとGDPRの関係はどうなりますか。

Data ActはGDPRと並行して適用されるものであり、それに取って代わるものではありません。コネクテッド製品が生成するデータに個人データが含まれる場合、GDPRは引き続き全面的に適用されます。抵触する場合は個人データ保護法制が優先され、あらゆる処理・共有について有効な法的根拠が必要です。Data Actはアクセスと共有に関する権利を追加しますが、それ自体が個人データを処理するための新たな法的根拠を生み出すわけではありません。

EUで販売する事業者にとって、これはアクセス・ポータビリティ(Data Act)と処理の適法性(GDPR)という二つのレベルを同時に管理する必要があることを意味します。

GiBSeS — GiBSeSは、Data ActとGDPRのコンプライアンスを一つの体系として調整し、両規則が貴社の製品や契約の中で矛盾しないようにします。

準拠していない場合、具体的にどのようなリスクがありますか。罰金や税関での差し止めですか。

Data Act違反の罰則は各加盟国が定め、実効的・比例的・抑止的でなければなりません。個人データの侵害が絡む場合は、GDPRの制裁(最大2,000万ユーロまたは全世界年間売上高の4%)が加わる可能性があります。罰金に加え、非準拠はEUの顧客・パートナーとの契約上の紛争や、市場アクセスにおける商業上の困難につながることがあります。

EU域外企業にとっての主なリスクは、自動的な「税関での差し止め」というより、製品が市場ですでに期待されている要件を満たさないために、欧州の顧客、入札、パートナーシップを失うことです。

GiBSeS — GiBSeSはこれらのリスクを具体的な優先事項に落とし込み、商業・法的な問題になる前にEU市場へのアクセスを守る支援をします。

実務上、Data Actに準拠しEU市場にアクセスするには、どこから始めればよいですか。

現実的な進め方は三つのステップから始まります。(1)自社の製品・サービスを洗い出し、どれが「コネクテッド」または「関連」に該当し、どのデータを生成するかを把握する。(2)自社の立場(データ保有者、クラウドサービス提供事業者など)と関連する期限を特定する。(3)製品設計、EUの利用者・パートナーとの契約、データの国際移転に関する措置を確認する。

ここから、市場リスクと制裁リスクが最も高い部分に力を注ぎ、不要な対応で組織に過度な負担をかけないよう、優先順位をつけた対応計画を策定します。

GiBSeS — 独立系テクノロジーアドバイザーであるGiBSeSは、EU域外の中小企業がこの道のりを一歩ずつ進めるよう導き、単一の提供事業者に縛られることなく、迅速に欧州市場へアクセスできるようにします。

本コンテンツは情報提供を目的としており、法的助言に代わるものではありません。

自社データの現状を一緒に整理しましょう

延々と続く法律相談は必要ありません。Data Actにおける自社の立場を洗い出し、契約を的を絞って確認するだけで、どこにリスクがあり、どこで本規則がロックイン対策のてこになるかが見えてきます。独立系アドバイザーとして、貴社の中小企業にとって本当に重要なことをお伝えします。

初回診断を予約する