個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ～欧州編～

1 法令改正・立法（EU）

　EUにおいては、引き続きデータ・AI等に関連して多岐にわたる法令改正・立法の動きがありますが、そのうち、2024年の主な法令改正及び立法に関する動向は以下のとおりです。

(1) GDPRに関連する法令改正・立法等

① 新SCCに関する意見募集を開始する意向の公表

　2024年9月12日、欧州委員会は、EU域内に所在するデータ輸出者が、GDPRの域外適用を受けるEU域外のデータ輸入者に対して個人データを移転する場合に用いることができるStandard Contractual Clauses（標準契約条項、SCC）についての意見募集を開始する予定であることを公表しました。欧州委員会によれば、同SCCの意見募集は、2024年第4四半期に実施され、2025年第2四半期に承認される予定であるとされていましたが、現時点で意見募集は開始されておらず、同SCCの案文は公表されていません。

(2) データに焦点を当てた法令改正・立法

① データ法（Data Act）

　2024年1月11日にデータ法（Regulation on harmonised rules on fair access to and use of data）が発効しました。同法は、IoT機器の普及を踏まえて、データのポータビリティの強化やデータの提供者と受領者の関係を規律するルールの整備により、データの生み出す価値を公平に分配することを目的とする規則で、2025年9月12日から適用が開始されます。同法については、2024年9月6日、欧州委員会からFAQが公表されており、データ法の適用範囲を含め、条文上必ずしも明らかではない多くの論点について見解が示されています。

(3) AI関連の法令改正・立法

① AI法（AI Act）

　2024年8月1日にAI法（Regulation laying down harmonised rules on artificial intelligence）が発効しました。同法は、生成AIを含むAIに関する包括的な規制法であり、AIシステムを①許容できないリスク、②ハイリスク、③特定の透明性が必要なリスク、④最小リスクの4つのカテゴリに分類し、リスクがより高いAIシステムについて、より厳格な要件を定めています。分類①に該当し、利用が禁止されるAIに関する規制等は2025年2月2日から、生成AIを典型とする汎用目的AI（General Purpose AI）モデルに関する規制等は同年8月2日から、残りの多くの規定は2026年8月2日から適用が開始されることになります。

　なお、欧州委員会は、2024年5月29日、AI法の施行の支援を目的としたAIオフィス（the European Artificial intelligence Office）を同委員会内に設立したと公表しました。AIオフィスは、AI法の実施（特に汎用目的AIモデルに関する同法の実施）において重要な役割を果たす予定であるとされています。

② 汎用目的AIモデルに関するQ&A及び行動規範（Code of Practice）案

　AIオフィスは、2024年11月14日に、AI法における汎用目的AIモデルの定義、汎用目的AIモデルの提供事業者の義務等について明確化するQ&Aを公表しました。

　また、AIオフィスは、2024年11月14日に汎用目的AIモデルに関する行動規範の第1次ドラフトを公表し、その後2024年12月19日に第2次ドラフトを公表しました。AIオフィスが公表している暫定的なスケジュールによれば、同行動規範は、2025年4月までに最終案が公表され、2025年5月以降に欧州委員会において実施法（Implementing Act）を通じて承認される見込みとなっています。この行動規範は、汎用目的AIモデルを提供する事業者及びシステムリスクを有する汎用目的AIモデルを提供する事業者に対するAI法のルールについて詳細に規定するものであり、事業者にとってAI法への準拠を実証するための中心的なツールとなるべきであるとされています。

③ AI協定（AI Pact）

　2024年7月22日、欧州委員会は、AI協定のドラフトを公表しました。同協定は、AI法の適用開始までの移行期間に、企業に対してAI法上の義務への自主的な遵守を求めるものであり、参加企業間がベストプラクティスの意見交換をするための場を提供する第1の柱と、参加企業によるAI法上の義務の早期遵守を促すための枠組みとなる第2の柱を中心に構成されています。欧州委員会は、同年9月25日、AI協定及び同協定に付属する自主的な誓約に100社以上の企業が署名したと発表しています。

④ 製造物責任指令

　2024年12月8日に、新たな製造物責任指令（EU Directive on Liability for Defective Products）が発効しました。新指令※1は、デジタル時代の製品とその関連リスクの性質を反映した責任規定に更新すること等を目的として従前の製造物責任指令を改正するものであり、アプリケーション、オペレーティングシステム（OS）、AIシステムを含むあらゆる種類のソフトウェアが新指令の適用対象となることが明確化されています。EU加盟国は2026年12月9日までに同指令を国内法に組み込む必要があり、同指令は2026年12月9日以降に市場に投入された製品に適用されることになります。

(4) デジタル市場関連の法令改正・立法

① デジタルサービス法（Digital Services Act）

　2024年2月17日に、デジタルサービス法（Regulation on a Single Market For Digital Services（Digital Services Act））の全ての対象事業者に対する適用が開始されました。同法は、オンラインプラットフォーム等の仲介サービスを対象として、事業者の違法コンテンツへの対策に関する責任等を定め、ユーザーの保護を強化するとともに、サービスの透明性やアカウンタビリティを高める枠組みを提供するものです。

② デジタル市場法（Digital Markets Act）

　2024年3月７日に、2023年9月6日に欧州委員会に指定されたゲートキーパー※2に対するデジタル市場法（Regulation on contestable and fair markets in the digital sector（Digital Markets Act））に基づく義務の適用が開始されました。同法は、公正で開かれたデジタル市場を実現することを目的とし、一定の基準を満たすオンラインプラットフォームをゲートキーパーとして指定した上で、ゲートキーパーが遵守すべき義務を規定するものです。

③ 欧州デジタルIDフレームワークの確立に関する改定規則

　2024年5月20日に、欧州デジタルIDフレームワークの確立に関する改定規則（European Digital Identity Regulation）が発効しました※3。2014年7月に制定され、2016年7月に発効した域内市場における電子取引のための電子的本人確認及びトラストサービスに関する規則（eIDAS規則）では、EU域内で相互運用可能なデジタルIDの発行・提供が加盟国の義務ではなく、任意とされていたため、デジタルIDの普及が十分に進まなかったことを踏まえ、新たな規則では、加盟国に対し、国のデジタルIDと他の個人属性（運転免許証、銀行口座等）の証明をリンクさせることのできるデジタルウォレットを市民や企業に提供することが義務付けられています。

④ デジタル公正性に関するフィットネスチェック（Digital Fairness Fitness Check）にかかる報告書の公表

　2024年10月3日、欧州委員会は、デジタル公正性に関するフィットネスチェックにかかる報告書を公表しました。同フィットネスチェックは、具体的には、デジタル環境における高度な消費者保護を確保するために、現行のEUの消費者保護法令※4が目的に適っているかどうかを評価するものです。この報告書では、現行のEUの消費者保護法は、デジタル環境における現在及び新たに発生している消費者被害への対策として十分な効果を発揮していないことが指摘されています。この報告書は、欧州委員会がデジタル公正法（Digital Fairness Act）と呼ばれる新たなEU消費者法の策定に着手する意向を後押しするものといえます。

(5) サイバーセキュリティ関連の法令改正・立法

① 改正ネットワーク及び情報システム指令、重要事業体のレジリエンスに関する指令

　2023年1月16日に発効した改正ネットワーク及び情報システム指令（NIS2指令）（Directive on measures for a high common level of cybersecurity across the Union）、及び、重要事業体のレジリエンスに関する指令（CER指令）（Directive on the resilience of critical entities）により、EU加盟国は、これらの指令に対応する国内法を2024年10月17日※5までに制定する必要があるとされていました。なお、NIS2指令は、サイバーセキュリティリスクの対策に関する措置及び報告義務のベースラインを定める指令であり、CER指令は、重要事業体のレジリエンスの強化に関する国家戦略の策定や定期的なリスク評価の実施、重要事業体の特定等の加盟国の義務等を定める指令です。

　しかし、上記の期限までに国内法の整備が進んでいない国が多く、NIS2指令については、2024年11月28日に、欧州委員会が、完全な国内法化が完了していないとして23の加盟国※6に通知を送付し、2か月以内に国内法化を完了し欧州委員会に実施した措置を通知するよう求めたことを公表しました。

② サイバーレジリエンス法（Cyber Resilience Act）

　2024年12月10日に、サイバーレジリエンス法（Regulation on horizontal cybersecurity requirements for products with digital elements）が発効しました。同法は、デジタル要素を含むソフトウェアやハードウェア製品を購入する消費者や企業を保護することを目的として、デジタル要素を含む製品についてセキュリティ要件の実装、脆弱性の管理、インシデント報告、サプライチェーンにおけるデューデリジェンスの実施等を求めるものです。2026年9月11日から脆弱性／インシデントの報告義務に関する部分の適用が開始され、2027年12月11日から全面的に適用されます。

③ サイバー連帯法案（Cyber Solidarity Act）

　2024年12月2日に、EU理事会は、サイバー連帯法案を採択しました。同法案は、EU全域のサイバーセキュリティを強化するために、各国、政府機関、主要組織の間で、法的に裏付けられた集団防衛、協力、リソース共有の枠組みを提供することを主な目的とするものです。サイバー連帯法（Regulation laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cyber threats and incidents）は、2025年1月15日に官報に掲載されており、2025年2月4日に発効する予定です。

④ 2019年サイバーセキュリティ法（Cybersecurity Act of 2019）の改正

　2024年12月2日に、EU理事会は、2019年サイバーセキュリティ法の改正法案を採択しました。同改正法は、2019年サイバーセキュリティ法で既にカバーされている情報技術（ICT）製品、ICTサービス、及びICTプロセスに加えて、いわゆるマネージドセキュリティサービス（managed security service）※7を対象とした欧州認証スキームの採用を可能とすることを目的としています。改正法（Amendment to the Cybersecurity Act on Managed Security Services）は、2025年1月15日に官報に掲載されており、2025年2月4日に発効する予定です。

(6) その他の個別セクターについての法令改正・立法

① 欧州ヘルスデータスペース（European Health Data Space）に関する規則

　2024年4月24日、欧州議会は、欧州ヘルスデータスペースに関する規則案を承認しました。同日、欧州委員会は、欧州議会による同規則案の承認を歓迎すると発表し、同規則に関するQ&Aを公表しました。同規則は、個人の電子健康データへのアクセスと管理を改善することを目的としており、同時に、欧州の患者の利益のために、特定のデータを研究やイノベーションの目的で再利用できるようにすることを目指しています。

　2025年1月21日に、EU理事会は同規則案を採択しました。今後は、EU理事会と欧州議会によって正式に署名された後、官報に掲載されてから20日後に発効する予定です。

2 法令改正・立法（英国）

　2024年の英国における主な法令改正及び立法に関する動向は以下のとおりです。

(1) UK GDPR関連の法令改正・立法

　2024年10月23日にUK GDPR及び2018年データ保護法等の改正に向けたデータ（利用及びアクセス）法案（Data (Use and Access) Bill）が議会に提出されました※8。英国政府は、経済成長、英国の公共サービスの改善、人々の生活を容易にすることが同法案の主な目的であるとしており、同法案では、たとえば、クッキーにかかる本人同意が不要な場合の拡大とクッキーにかかる法令違反時の制裁金の引き上げ※9、データの越境移転についての規定の修正、監督機関の組織・権限の変更等が規定されています。

(2) AI関連の法令改正・立法

　2023年11月にAIに関する政策の調整等を行う当局の設置や、AIに関する規則を制定する閣内大臣の義務等を定めるAI法案（Artificial Intelligence (Regulation) Bill）が議会に提出されていましたが、2024年には同法案は成立に至らず廃案になりました。このため、2024年7月17日の国王演説において、英国政府がAIモデルを開発するための適切な法令の制定を模索する旨が述べられたものの、現時点ではAIに関する包括的な法令は存在せず、UK GDPR等の各分野の法令がAIに関して規律することになっています※10。

(3) デジタル市場関連の法令改正・立法

　2024年5月24日には、競争・市場庁の権限強化、サブスクリプション契約に関する消費者保護等を定めるデジタル市場、競争及び消費者法（Digital Markets, Competition and Consumers Act）が成立し、2025年1月1日に施行されました。

(4) サイバーセキュリティ関連の法令改正・立法

① サイバーセキュリティ及びレジリエンス法案（Cyber Security and Resilience Bill）

　2024年7月17日の国王演説において、英国政府は2025年にサイバーセキュリティ及びレジリエンス法案を議会に提出する意向であることを公表しました。この法案自体はまだ公表されていませんが、英国の経済およびインフラをより良く保護するために、英国のサイバーセキュリティに関する分野横断的な法規制を強化することを目的とするとされています。

② 製品セキュリティ及び通信インフラストラクチャー法（Product Security and Telecommunications Infrastructure Act 2022）

　2024年4月29日に、製品セキュリティ及び通信インフラストラクチャー法（Product Security and Telecommunications Infrastructure Act 2022）が施行されました※11。この法令は、インターネットやローカルネットワークへの接続機能を有する製品の製造者等に対して、サイバーセキュリティ確保のための一定の義務を課すものです。

3 当局ガイダンス等

　2024年にEU及び英国で採択又はアップデートされた主なガイダンス等（意見、ガイドライン、報告書等を含む。）は以下のとおりです。

(1) EU

(2) 英国

4 当局による執行事例等

(1) 主な執行事例及び判断

　2024年のEU及び英国における主な執行事例及び判断は以下のとおりです。

(2) 主な裁判例

　2023年のEUにおける主な裁判例は以下のとおりです。

5 2025年の展望

(1) 法令の適用開始に向けた対応

　2024年に発効したEUの法令のうち、データ法について本年9月12日から適用が開始されることとなっています。また、AI法において許容できないハイリスクに該当するとして利用が禁止されるAIシステムに関する規制等は本年2月2日から適用開始となり、生成AIを典型とする汎用目的AIモデルに関する規制等も本年8月2日から適用開始になります。それらの各法の適用開始までに、自社の事業における対応の要否を検討した上で、対応すべき場合の具体的な対応事項の整理、そのための体制作りと実務的対応への落とし込みをしていく必要があります。したがって、規律の対象となる事業者は、このような対応を速やかに進めるとともに、また、当局の執行に関する動向についても併せて注視する必要があります。

(2) 越境移転に関する動向

　欧州委員会は、EU域内に所在するデータ輸出者が、GDPRの域外適用を受けるEU域外のデータ輸入者に対して個人データを移転する場合に用いることができるStandard Contractual Clauses（標準契約条項、SCC）についての意見募集を開始する予定であることを公表しています。当初は2024年第4四半期に意見募集が実施されて2025年第2四半期に承認される予定であるとされいたものの、現時点で意見募集は開始されていませんが、2025年に意見募集が実施される可能性があります。

(3) 2025年の法令改正・立法

① EUのAI責任指令案（AI Liability Directive）に関する進展

　契約外の民事責任に関するルールをAIに適用することを目的するAI責任指令案は、2022年9月に欧州委員会により提出され、2023年12月には、欧州議会とEU理事会との間で非公式に文言の合意が形成されていました※14。他方で、新たな製造物責任指令においてソフトウェアが適用対象として明示されたことを踏まえ、AI責任指令の必要性が議論されていました。2024年9月19日に欧州議会調査局（European Parliamentary Research Service）が公表したAI責任指令に関する補完的な影響評価では、AI責任指令は引き続き必要であるとされているものの、適用範囲について大幅な変更を加えることが推奨されています。今後は、欧州議会※15において、2025年5月までにAI責任指令に関する意見の採択が行われる見通しとなっており※16、また、EU理事会の議長国であるポーランドも、2025年1月から6月までの任期中に、AI責任指令に関する作業を進めることについての意欲を見せていることから※17、2025年には、同指令案についての進展が見られる可能性があります。

② その他の法案

　英国では、データ（利用及びアクセス）法案（Data (Use and Access) Bill）についての議論が2025年に議会で進められることになっており、2025年に成立する可能性もあるものと思われます。

(4) おわりに

　2024年にもデータ・AI等に関連して法令改正・立法の動きがありましたが、2025年には、近時の多岐にわたる法令改正・立法を踏まえてデータ法やAI法などの重要な法令の適用が開始されていくことになりますので、既存の法令への対応はもちろんのこと、新たな法令の適用に向けた準備が求められる場面が増えていくものと思われます。最新の実務動向について把握する必要性がますます高まっていくと考えられますので、弊所としても引き続きこうした対応のサポートや情報発信を積極的に行って参りたいと考えております。