見出し画像

EUのデジタルサービス法への日本企業の対応                ~2023年2月17日と2024年2月17日までに対応しなければならない事項~

野呂悠登/Yuto Noro

EUにおいて、デジタルサービス法Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act))が2022年11月16日に発効しました。

デジタルサービス法とは、EU域内において安全で予測可能かつ信頼できるオンライン環境を確保するため、仲介サービス(intermediary service)に関するルールを定めたEUの規則であり、最大で全世界の年間売上高の6%を制裁金として課すことができると定めています。このデジタルサービス法は、日本企業であっても、EUにおいて仲介サービスを提供する場合には、そのルールに対応することを求めています。

デジタルサービス法に対応する場合、2023年2月17日2024年2月17日の2つの施行日までに一定の対応を完了しなければなりません。以下においては、これらの2つの期限までに対応しなければならない事項を解説します。

1. 2023年2月17日までの対応事項

2023年2月17日までに対応しなければならないことは、オンラインプラットフォーム又はオンライン検索エンジンに関する義務が適用されるか否かの検討と、EUの月間のアクティブユーザー数の過去6ヶ月の平均値の公表です(なお、この記事では「サービスの受領者」(recipient of the service)を単に「ユーザー」と表記しています。)。

1.1 オンラインプラットフォーム・オンライン検索エンジンに関する義務が適用されるか否かの検討

デジタルサービス法は、仲介サービスに広く適用されるものではありますが、2023年2月17日までに対応が求められる事項が発生するのは、仲介サービスの提供者が「オンラインプラットフォーム」又は「オンライン検索エンジン」に関する義務の対象となる場合です。この場合、その仲介サービスの提供者は、月間のアクティブユーザー数の過去6ヶ月の平均値を公表しなければなりません。

まず、日本企業の場合、デジタルサービス法の適用範囲に含まれるかを検討する必要があります。デジタルサービス法は、その適用を画する基準として、EUとの実質的な関係性(substantial connection)を定めています。EUとの実質的な関係性は、EU域内に拠点がある場合に認められますが、そのような拠点がない場合であっても、(1)一つ又は複数のEU加盟国においてその人口との関係で相当数のユーザーがいること、(2)一つ又は複数のEU加盟国をその活動のターゲットにしていることといった事実上の基準を満たした場合には認められます。

また、仲介サービスがオンラインプラットフォーム又はオンライン検索エンジンの定義に該当するかについても検討する必要があります。「オンラインプラットフォーム」とは、ユーザーの要求に応じて、情報を保存し、公衆に広めるホスティングサービスをいいます。例えば、SNSやオンラインモールがこれに該当します。ただし、その活動が他のサービスの軽微で純粋に付随的な機能又は主たるサービスの軽微な機能であり、客観的かつ技術的理由によってその他のサービスなしでは使用できず、その機能又は特徴の他のサービスへの統合がデジタルサービス法の適用を回避する手段でない場合は、例外として「オンラインプラットフォーム」に該当しません。例えば、ネットニュースのコメント欄はこの例外に該当する可能性があります。また、「オンライン検索エンジン」とは、キーワード、音声リクエスト、フレーズ、その他の入力形式で任意のテーマに関するクエリに基づいて、原則として全てのウェブサイト、又は特定の言語に限った全てのウェブサイトの検索を実行するためにクエリを入力できるようにし、リクエストした内容に関連する情報を見つけることができる任意のフォーマットで結果を返す仲介サービスをいいます。例えば、インターネットの検索サイトがこれに該当します。

さらに、零細・小規模事業者の例外に該当するかについても検討する必要があります。デジタルサービス法において、オンラインプラットフォームを対象とする追加的な義務は、従業員50人未満で、かつ年間の売上高又は年度末の貸借対照表の総資産が1,000万ユーロを超えない事業者には適用されません。ただし、そのような事業者であっても、欧州委員会によって超大規模オンラインプラットフォームとしての指定を受けた場合にはその限りではありません。

1.2 EUの月間のアクティブユーザー数の過去6ヶ月の平均値の公表

仲介サービスの提供者が「オンラインプラットフォーム」又は「オンライン検索エンジン」に関する義務の対象となる場合、そのオンラインインターフェースの一般に利用可能な場所において、2023年2月17日までに、EUの月間のアクティブユーザー数の過去6ヶ月の平均値を公表しなければなりません。その計算方法は、欧州委員会が委任法令を採択した場合にはそれに従うことになっていますが、この記事を執筆している時点においてそのような委任法令は採択されていません。ただし、欧州委員会は、ユーザー数の公表に関するガイダンスを作成しており、アクティブユーザー数の計算にあたって参考になります。

「オンラインプラットフォームのアクティブユーザー」とは、オンラインプラットフォームに情報をホストするように要求することによって、又はオンラインプラットフォームによってホストされ、そのオンラインインタフェースを通じて広められた情報に触れることによって、オンラインプラットフォームと関わったユーザーをいいます。このようなユーザーに該当するのは、オンラインプラットフォームにコンテンツを提供する場合(情報提供者の場合)とコンテンツに触れる場合(情報受領者の場合)の両方です。そのため、オンラインプラットフォームのアクティブユーザーには、消費者、ビジネスユーザー、取引者、広告主等のオンラインプラットフォームの様々な立場のユーザーが該当する可能性があります。

「オンライン検索エンジンのアクティブユーザー」とは、オンライン検索エンジンにクエリを送信し、そのオンラインインターフェースにインデックスされ提示された情報に触れたユーザーをいいます。このようなユーザーに該当するのは、「オンラインプラットフォームのアクティブユーザー」とは異なり、オンラインインターフェイス上のコンテンツに触れる場合(情報受領者の場合)のみです。

アクティブユーザー数は、サービスの登録ユーザーの概念と必ずしも一致しません。そのため、オンラインインターフェース上で情報を閲覧する者が広く含まれる可能性があります。

ただし、サービスに能動的に関わっていないユーザーは、アクティブユーザーに該当しません。例えば、オンライン検索エンジンがインデックス化するウェブサイトの運営者は、オンライン検索エンジンのサービスに能動的に関わっていないため、アクティブユーザーから除外できます。また、他の仲介サービスを通じて間接的に情報を閲覧する者もアクティブユーザーから除外されます。たとえば、ウェブサイトの埋め込み機能等によって、他の仲介サービス上で自らのサービス上の情報が閲覧できるようになっていたとしても、他のサービスの付随的な利用に過ぎないため、そのようなユーザーはクティブユーザーから除外されます。

ユーザーは、ウェブサイトやアプリケーション等の異なるオンラインインターフェイスを使用する場合であっても、可能な限り1回のみアクティブユーザーとして計算されるべきとされています。デジタルサービス法は、オンラインで個人の追跡を行うことを要求するものではありませんが、そのような追跡を行わずに、ボット等の自動化されたユーザーを割り出すことができる場合は、そのようなユーザーを除外することができます。

なお、月間のアクティブユーザー数の過去6ヶ月の平均値を公表する義務は、少なくとも6ヶ月に1回遵守しなければならないという点に注意が必要です。例えば、2023年2月17日に過去6ヶ月の平均値を公表した場合、次回は2023年8月17日までに過去6ヶ月の平均値を公表することが求められます。

また、デジタルサービス法は、アクティブユーザー数について外部機関に通知することは具体的な要求がない限りは義務付けていませんが、ユーザー数の公表に関するガイダンスでは、欧州委員会又は管轄のデジタルサービス調整機関に対して直接通知することが推奨されているという点にも注意が必要です。

2. 2024年2月17日までの対応事項

デジタルサービス法は、仲介サービスの提供者に対して、2024年2月17日までにそのカテゴリーに応じて適用される全ての義務を遵守しなければならないと定めています。そのため、日本企業としては、同日までに、仲介サービスがどのようなカテゴリーに該当するのかについての検討と、仲介サービスのカテゴリーに応じて適用されるすべての義務への対応をすることが求められます。

2.1 仲介サービスがどのようなカテゴリーに該当するのかについての検討

仲介サービスは、そのカテゴリーによってどのような義務及び免責が適用されるか異なるため、まずはどのようなカテゴリーに該当するのかについて検討することが重要となります。

仲介サービスは、単なる導管(mere conduit)、キャッシング(cashing)又はホスティング(hosting)の3つのカテゴリーに分けられます。これらのカテゴリーは、デジタルサービス法における義務の範囲と免責の要件に関わるため、いずれに該当するか検討する必要があります。「単なる導管」とは、サービスの受信者によって提供される情報の通信ネットワークにおける送信又は通信ネットワークへのアクセスの提供からなる情報社会サービスをいいます。例えば、インターネットエクスチェンジポイント(IXP)、ワイヤレスアクセスポイント(WAP)、仮想プライベートネットワーク(VPN)、ドメインネーム(DNS)サービス、リゾルバ、トップレベルドメイン(TLD)ネームレジストリ、レジストラ、デジタル証明書を発行する認証局がこれに該当します。「キャッシング」とは、サービスの受信者によって提供される情報の通信ネットワークにおける送信からなる情報社会サービスであって、当該情報の自動的、中間的及び一時的な保存を伴い、当該情報の他のユーザーの要求に応じて当該情報の送信をより効率的にすることのみを目的として行われるものをいいます。例えば、コンテンツ配信ネットワーク(CDN)、リバースプロキシ、コンテントアダプテーションプロキシがこれに該当します。「ホスティング」とは、ユーザーによって提供され、かつその要求に応じて提供される情報の保存からなる情報社会サービスをいいます。例えば、クラウドコンピューティング、ウェブホスティング、有料検索(検索連動型広告)、ファイルの保存や共有を含むオンラインでの情報やコンテンツの共有を可能にするサービスがこれに該当します。

また、仲介サービスの一部は、「オンラインプラットフォーム」又は「オンライン検索サービス」に該当し、その義務がそれぞれ加重されるため、これらのカテゴリーに該当するか検討する必要があります。これらについては上記1.1をご参照ください。

さらに、「オンラインプラットフォーム」又は「オンライン検索サービス」の一部は、「超大型オンラインプラットフォーム」又は「超大型オンライン検索サービス」に該当し、さらにその義務が加重されるため、これらのカテゴリーに該当するか検討する必要があります。超大型オンラインプラットフォーム又は超大型オンライン検索サービスには、EUの月間アクティブユーザー数の平均が4500万人以上であり、かつ欧州委員会から指定を受けた場合にのみ該当します。

2.2 仲介サービスのカテゴリーに応じて適用されるすべての義務への対応

デジタルサービス法に対応するためには、2024年2月17日までに、仲介サービスのカテゴリーを踏まえて、自社に適用されるすべての義務へ対応する必要があります(ただし、超大型オンラインプラットフォーム又は超大型オンライン検索サービスに指定された場合、その指定から4か月間ですべての義務へ対応する必要があるため、上記よりもスケジュールが早まる可能性があります。)。

デジタルサービス法の義務は、仲介サービスのカテゴリーに応じて段階的に適用されるため、仲介サービスの提供者に対して、その義務のすべてが一律に適用されるわけではありません。具体的には、デジタルサービス法の11条~15条仲介サービスの提供者、16条~18条ホスティングサービスの提供者、19条~32条オンラインプラットフォーム又はオンライン検索エンジンの提供者、33条~43条超大型オンラインプラットフォーム又は超大型オンライン検索サービスの提供者に適用されます。

デジタルサービス法の義務には様々なものがありますが、その義務は、(1)外部への情報提供義務と(2)内部の体制整備義務に主に分類することができます。これらの義務の概要は、以下のとおりです。

(1)外部への情報提供義務

  • 外部機関のための情報提供義務

    • EU加盟国の当局、欧州委員会及び欧州データ保護委員会との窓口の公表(11条)

    • EU内の法定代理人の通知(13条)

    • 刑事犯罪の疑いの届出(18条)

    • デジタルサービス調整機関、欧州委員会又は研究者に対するデータへのアクセスの提供(40条)

  • ユーザーのための情報提供義務

    • ユーザーとの窓口の公表(12条)

    • 利用規約へのサービスの制限に関する情報の記載(14条)

    • ユーザーに制限を課した際の理由説明(17条)

    • 裁判外紛争解決制度へのアクセスに関する情報提供(21条)

    • 広告に関する透明性の確保(26条、39条)

    • リコメンドを行うシステムに関する透明性の確保(27条、38条)

    • 違法な商品又はサービスを購入した消費者への通知(32条)

  • 一般への情報提供義務

    • 透明性に関する報告書の公表(15条、24条、42条)

  • 情報提供の方法に関する義務

    • 利用規約の文言又は形式に関する規律(14条)

    • オンラインインターフェイスにおけるダークパターンの禁止(25条)

(2)内部の体制整備義務

  • 外部機関のための体制整備義務

    • EU加盟国の当局、欧州委員会及び欧州データ保護委員会との窓口の指定(11条)

    • EU内の法定代理人の選任(13条)

    • 信頼性の高い旗振り役(trusted flagger)からの通知に優先対応する体制の構築(22条)

    • 監督手数料の徴収(43条)

  • ユーザーのための体制整備義務

    • ユーザーとの窓口の指定(12条)

    • 苦情処理システムへのアクセスの提供(20条)

    • 明らかに違法なコンテンツを頻繁に提供するユーザーのサービスの利用停止(23条)

    • 未成年者のプライバシー、安全性及びセキュリティの保護(28条)

  • コンプライアンス確保のための体制整備義務

    • 違法コンテンツのための通知の仕組みの導入(16条)

    • 取引者のトレーサビリティの確保(30条)

    • 取引者が法令遵守できる設計及び構成(31条)

    • システミックリスクの特定、分析及び評価(34条)

    • システミックリスクの緩和措置の導入(35条)

    • 危機に対応する措置の命令(36条)

    • 独立した監査の実施(37条)

    • コンプライアンス部門の設置(41条)

この記事に関する質問は、野呂悠登(Yuto.Noro@simmons-simmons.com)までご連絡ください。

2023年2月6日



いいなと思ったら応援しよう!