欧州データ法（EU Data Act）は、2024年1月11日に正式に発効しました。その後、約20ヶ月の準備期間を経て、2025年9月12日から本格的な適用が開始されています。この規則は、コネクテッド製品（IoT機器）およびそれに関連するデジタルサービスから生成されるデータの利用、共有、およびアクセスに関する包括的なルールを定めたものです。

2026年現在、欧州市場に展開する日本企業にとって、この法律への対応は日々の業務に直結する法的義務となっています。従来の規制が情報の「保護」に主眼を置いていたのに対し、本法はデータの「再利用」と「流通促進」を目的としている点に大きな特徴があります。

1-2. 制定背景：データ経済の活性化と公正な競争

欧州委員会がEUデータ法を制定した背景には、産業データの独占状態を解消し、欧州域内におけるデジタル経済の競争力を強化するという戦略的な狙いがあります。

これまで、コネクテッド製品（スマート家電、自動走行車、産業用ロボット、医療機器など）が生成する膨大な非個人データは、主にその製造者（メーカー）によって独占的に管理されてきました。しかし、このデータの価値をユーザー（個人および法人）や広範な事業者の手へと開放することが、欧州全体のイノベーションを加速させると判断されたのです。

1-3. GDPRとの違い：保護から活用へ

・GDPR：「個人データ」の保護を目的とし、プライバシー権を確保するための規制。・EUデータ法：「個人データ」および「非個人データ（産業データ）」の両方を対象とし、データのアクセス権と共有義務を規定する法律。

GDPRがデータの利用を「制限」する側面が強いのに対し、EUデータ法は「流通を促進」する側面を持ちます。両者は補完関係にあり、共有データに個人情報が含まれる場合は、双方の要件を満たす必要があります。

2. EUデータ法の適用範囲と対象事業者

2-1. 適用対象事業者の特定：日本企業も対象

EU域内に拠点を置かない日本企業であっても、以下の条件に該当すれば「域外適用」の対象となります。

・コネクテッド製品の製造者：EU市場で製品を販売・提供するメーカー。・関連サービスの提供者：製品に付随するデジタルサービスを提供する事業者。・データ保持者：製品から生成されたデータを実際に収集・管理している組織。・データ受領者：ユーザーの要求に基づき、データ保持者から提供を受ける第三者。・クラウド・エッジサービス提供者：EU域内でデータ処理サービスを提供するインフラ事業者。

2-2. 対象となるデータの種類：生データとメタデータ

本法が対象とするのは、コネクテッド製品の使用から直接生成されるデータです。

・生データ（Raw Data）：センサーが収集した温度、圧力、位置情報、回転数など。・ユーザーの操作ログ：どのボタンがいつ押されたか、どのような設定変更が行われたかの記録。・関連するメタデータ：データの発生時刻やデバイスの識別情報など。

※事業者が独自に高度な分析を施した「洞察（Insights）」や「営業秘密」については、提供義務の例外となる可能性がありますが、慎重な判断が必要です。

2-3. データの「所在」と「権利」の再配分

EUデータ法の革新的な点は、データの所在（誰のサーバーにあるか）に関わらず、生成に関与した「ユーザー」にアクセス権と利用権を認めたことにあります。「自社サーバーにあるデータは自社のもの」という認識を根本から改める必要があります。

3. IoT（コネクテッド）製品・サービスにおける新規制

3-1. 設計段階からのデータ共有（Data Access by Design）

製造者は、ユーザーが生成データに対して、デフォルトで、直接的かつ容易に、そして可能な限りリアルタイムでアクセスできる仕組みを製品に組み込まなければなりません。2026年以降の製品開発プロセスにおいて、本法への準拠は必須要件です。

3-2. ユーザーのデータアクセス権と共有要求

ユーザーは、自分が生成したデータへのアクセスを求める権利を持ちます。さらに、「自分ではなく第三者の事業者（独立系の修理会社等）に直接データを提供してほしい」と要求することも可能です。データ保持者は、これに対し**「不当な遅滞なく」「無償で（B2Cの場合）」「継続的かつリアルタイムに」**対応しなければなりません。