EUのGAFA規制法が色々ありすぎるのでできるだけ簡単に整理してみた

2020年12月に、EUの政府に当たる欧州委員会が“デジタルサービス法”と“デジタル市場法”の2つの法案を公表したことは、日本でも大きくニュースに取り上げられています。

GAFAの母国である米国も含め、GAFAに代表されるデジタル・プラットフォーマーを規制する法律を作る動きが世界的に出てきているのですが、今のところEUが一番積極的な動きを見せているように思えます。

ただし、EUのGAFA規制法と呼ばれるものが色々ありすぎてかなりややこしいですので、そのうち代表的なものについて、ポイントをできるだけ簡単に（と言いつつ長文になってしまいましたが）整理してみたいと思います。

1.　GDPR

まず有名なのがGDPRですね。正式には“一般データ保護規則（General Data Protection Regulation）”という名前であり、EU域内の個人データを保護する法として2018年5月25日に施行されました。

GDPRについて説明しているものはたくさんありますので、詳細はそちらに委ねますが、次の4点が大きな特徴であると言われています。

(1)　EU域外の事業者（GAFAのような米国企業を含む）にも適用される
(2)　高額の制裁金（違反事業者の全世界での年間売上高の4%）を科すことができる
(3)　個人データの収集や利用に当たり、原則としてその個人の明確な同意を必要とする
(4)　個人がデータポータビリティに関する権利を持つ

GDPRは日本では個人情報保護法に相当し、必ずしもデジタル・プラットフォーマーのみを対象とした法ではないのですが、GDPRが施行されたその当日に、プライバシー保護団体がフランスのデータ保護規制当局にGDPR違反としてGoogleを提訴し、制裁金を科す決定が出されたことに見られるように、GAFA規制法の一つとして認識されています。

2.　P2B規則

次に、競争政策の観点からデジタル・プラットフォーマーを規制する法として、2020年7月12日に施行されたP2B規則があります。“P2B（Platform to Business）”という名前から分かるように、デジタル・プラットフォーマー（例：Amazon）と、その上でビジネスを展開する事業者（例：Amazonマーケットプレイスに出品する事業者）との関係について規律するものです。正式な名前は“オンライン仲介サービスのビジネス・ユーザーを対象とする公正性・透明性の促進に関する規則”という長いものです。

GDPRが（EUでは基本的人権として位置付けられている）個人データの保護を目的とする法であるのに対し、P2B規則は、公正な競争を確保する観点から事業者間の関係を適正にすることを目的とする法という違いがあります。

P2B規則は、デジタル・プラットフォーマーに対し、例えば次のようなことを義務付けています。

(1)　出品者との契約条件の明確化と、契約条件を修正する場合の事前通知
(2)　アプリストアやオンライン・マーケットプレイスで、デジタル・プラットフォーマー自身や特定の出品者を優遇する場合には、その旨の契約条件への明記
(3)　出品者がどのような条件でデジタル・プラットフォーマーが持つ出品者やその消費者のデータにアクセスできるか（orできないか）を契約条件に明記
(4)　ホテル予約サイトを運営するデジタル・プラットフォーマーが、ホテル自身のサイトでの予約受付けを制限する可能性がある場合、その理由も含めて契約条件に明記
(5)　オンライン・マーケットプレイスに掲載する商品の順位付けのパラメーターについての情報を契約条件に明記

また、Googleのような検索エンジン提供事業者に対しても、検索結果についての(2)や(5)と同様の趣旨のことを義務付けています。

これらの規制は、以前の記事で書いた“L字型”の競争の構造を念頭に置いているといえます。

ただし、規模にの大小を問わずデジタル・プラットフォーマー全般を対象にしている（＝GAFAのような巨大な事業者に限定していない）ので、(2)や(4)にあるような、デジタル・プラットフォーマーが「自分自身を優遇する」「出品者の行動を制約する」といったことは禁止されていません。あくまでも、「やってもいいけど、その場合は契約条件で明らかにしてください」という透明性に力点が置かれていることが特徴です。

なお、日本でも、2020年にP2B法を参考にした「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」が制定され、2021年6月までのどこかのタイミングで施行されることになっています。ただし、この法律は、“特定”デジタルプラットフォームとあるように、全てのデジタル・プラットフォーマーを規制の対象とするものではありません。

3.　非個人データのEU域内自由流通枠組み規則

一転して長い名前のものが出てきますが、GDPRが個人データを対象にしているのに対し、この“非個人データのEU域内自由流通枠組み規則”は産業データを対象にしている法です。2019年5月28日に施行されています。

産業データは、IoTや5Gの発展・普及によってますます重要になってくると考えられています。この産業データについて、まず、いわゆるデータローカライゼーションの禁止が規定されています。つまり、データの保存・処理をEU域内の特定の国の領土内で行わせるといったことを禁止しています。

また、GDPRと同じく、データポータビリティについての規定が入っています。データポータビリティとは、ある人がデジタル・プラットフォーマーなどに提供したデータを、その人が再利用しやすい形で受け取ることや、サービス乗換えの時に直接乗換え先の事業者に移してもらうといったことを指します。

GDPRでは、個人データについて、このデータポータビリティを権利として位置付けていますが、産業データについては、あくまでも関係者で自主的な行動規範を作りましょうということにとどめています。P2B規則の所で書いたとおり、EUでは、個人データについては基本的人権として位置付けられていますが、産業データはそうではない、ということが背景の一つになっています。

4.　デジタル・サービス法案（DSA）

ここまで紹介した3つの法は既に施行されているものですが、これから紹介するものは、まだ案の段階のものであり、今後制定に向けて議論が行われることになります。

デジタル・サービス法案（DSA）は、正式には“デジタル・サービスの単一市場に関する規則”といい、冒頭で書いたとおり2020年12月15日に公表されました。法の目指すものとしてイノベーションや成長、競争力といったことを掲げていますが、P2B規則のように公正な競争を確保するということを直接の目的とする経済法とは少し趣が異なり、
-　違法コンテンツに関する事業者の責任の免除
-　透明で安全なオンライン環境のために事業者が果たすべき義務
について規律するものであり、ユーザーなどの権利の保護といった側面に力点が置かれているものです。

DSAが対象としている事業者は、次の4類型です。

(1)　仲介サービス（Intermediary services）：(2)(3)(4)に加え、インターネットアクセス事業者やドメイン名のレジストラなど
(2)　ホスティングサービス（Hosting services）：(3)(4)に加え、クラウド事業者やホスティング事業者など
(3)　オンライン・プラットフォーム（Online platforms）：オンライン・マーケットプレイス事業者、アプリストア事業者、シェアエコ事業者、ソーシャルメディア事業者
(4) 　巨大オンライン・プラットフォーム（Very large online platforms）：(3)のうち、利用者が4,500万人（＝欧州の利用者4.5億の10%）を超える事業者

少し分かりにくいですが、これら4類型は、下の図のような包含関係にあります。

画像：欧州委員会Webサイトより

DSAは、この4類型ごとにグラデーションを付けて規律を課そうとしているものですが、基本的に(1)から(4)に進むに従って規律が重くなり、最も重い規律が課されるのは、当然ながら(4)の“巨大オンライン・プラットフォーム”です。

その全てをここで紹介することはしませんが、例えば、(3)の“オンライン・プラットフォーム”に対しては、オンライン広告に関する透明性の義務（例：広告が広告であることがはっきり分かるようにしなければならない）が課せられます。また、(4)の“巨大オンライン・プラットフォーム”に対しては、違法コンテンツや選挙に影響する操作などに関するリスクの評価とその軽減策の実施、ターゲティング広告で使うパラメーターについての情報開示といった義務が課せられます。

“巨大オンライン・プラットフォーム”がこれらに違反した場合、全世界での年間売上高の6%までの制裁金や、（違反が解消されるまでの間）一日の平均売上高の5%までの制裁金を科すことができます。

5.　デジタル市場法案（DMA）

2020年12月15日に、DSAと並んで公表されたのがデジタル市場法案（DMA）で、正式には“デジタルセクターにおける競争可能で公正な市場に関する規則”といいます。こちらはP2B規則の特別法という位置付けになります。

DMAは、大規模デジタル・プラットフォーマーを“門番（gatekeeper）”と位置付けて規律の対象にしています。“門番”については、P2B規則の所で紹介した以前の記事の中で、米国下院反トラスト小委員会の報告書がGAFAのことをそのように呼んでいることを書きましたが、法令の言葉として“門番”と書いてあるのは何とも味わい深いです。米国とEUが共に政策の文脈でこの言葉を使い出したということで、今後世界的に一般化していくかもしれません。

それはさておき、“門番”に該当するかどうかは、DSAの“巨大オンライン・プラットフォーム”とは異なり、明確な数値基準ではなく、次のような基準で判断されます。

-　強力な経済的地位とEU域内市場への重大なインパクトを持ち、複数のEU加盟国で活動していること
-　多数のユーザーを多数の事業者に結びつける強力な仲介的地位を持っていること
-　長期間にわたって確立した地位を築いている（or築こうとしている）こと

そして、DMAにより、“門番”に該当するデジタル・プラットフォーマーは、例えば次のようなことが求められることになります。

-　“門番”のプラットフォームに掲載する商品の順位付けに当たり、“門番”自身の商品を出品者の商品よりも優遇してはならない
-　特定の場合においては、他の事業者に対して“門番”自身のサービスとの相互運用性を確保しなければならない
-　出品者が“門番”のプラットフォームを使う中で発生したデータについては、出品者にアクセスを認めなければならない
-　出品者が“門番”のプラットフォームの外（自社サイトなど）で顧客と取引することを認めなければならない
-　ユーザーがプリインストールされたソフトやアプリをアンインストールすることを禁止してはならない

“門番”がこれらに違反した場合、“門番”の全世界での年間売上高の10%までの制裁金や、（違反が解消されるまでの間）一日の平均売上高の5%までの制裁金を科すことができます。さらに、最終手段として“門番”を分割することもできる内容となっています。

P2B規則とDMAの違いとして、まず、P2B規則では規模の大小を問わずデジタル・プラットフォーマー全般を対象にしている一方で、DMAはそのうち“門番”のみを対象としている点が挙げられます。その上で、デジタル・プラットフォーマーが「自分自身を優遇する」「出品者の行動を制約する」といったことについて、P2B規則ではあくまでも「やってもいいけど、その場合は契約条件で明らかにしてください」として「やる」こと自体は禁止していませんが、デジタル市場法案では「やる」こと自体を禁止しています。つまり、規律の対象が独占（的な）事業者ですので、“L字型”の理論を忠実に適用しているといえます。

日本の報道ではあまり触れられていない気がしますが、私個人としては、DMAが“L字型”の記事の中で触れた“相互運用性（interoperability）”についても規定しているところに大変注目しています。

6.　eプライバシー規則案

現在EUには、通信分野を対象にしたプライバシーなどの保護（日本でいう“通信の秘密”の保護など）を目的とする法として、“eプライバシー指令”というものがありますが、これをアップデートする“eプライバシー規則”の制定に向けた議論が行われています。成立した場合にはGDPRの特別法という位置付けになりますが、GDPRが対象とする個人データだけではなく、企業などのデータも対象となります。また、対象となるサービスなどについては、7.で紹介するEECCの定義を使うため、伝統的な通信サービスだけではなく、（一部の）OTTサービスも対象になります。

2017年1月に案が示され、当初はGDPRと一緒に施行することを目指していたのですが、議論が大もめにもめており、2021年1月の今に至るまで成立の見通しが立っていません。

何がもめている（orいた）かといいますと、おおむね次のような点です。

-　M2M通信を規律の対象にすべきか
-　ユーザーがクッキーによる閲覧履歴の追跡（トラッキング）に同意しない場合にサイトやサービスへのアクセスをブロックすること（トラッキング・ウォール）を禁止すべきか
-　ブラウザにおいてトラッキングを拒否する設定をデフォルトにすることを義務付けるべきか
-　ユーザーの端末のデータについて、“正当な利益”に基づく場合は、ユーザーの同意なくその処理をできるようにすべきか

議論はかなりカオスなものとなっており、当面まとまりそうには思えないのですが、制定された場合にはクッキー関係を中心に大きな影響が出てくることが予想されます。

7.　その他

ここまで紹介したもののほかにも、デジタル・プラットフォーマーに適用される法はまだあります。

まず、欧州電子通信法典（EECC）が挙げられます。紹介した1～6は、EUの法体系上“規則（Regulation）”という位置付けであり、EUがこれを制定すればEU加盟各国でも法として直接適用されます。他方、このEECCは“指令（Directive）”という位置付けであり、あくまでもEU加盟各国に対し、このような内容の法律を作りなさいよ（“国内法制化”といいます）と指示するものです。EECCは2018年12月に制定され、EU加盟各国は、2020年12月までの国内法制化が求められています（が、期限に間に合ったのはギリシャとハンガリーだけのようです）。EECCの前身の指令は、伝統的な通信サービス／ネットワークを規律対象としていましたが、EECCにより、OTTサービスのうちGmailのようなクラウドメールやSNSのメッセージングサービスなどにも規律対象が拡大されることになりました。ただし、これらOTTサービスに対して具体的にどのような規律が課されることになるのかは、EECCを読むだけではよく分からない点が多く、EU加盟各国でどのような運用が行われるか次第かもしれません。

次に、視聴覚メディアサービス指令（AVMSD）が挙げられます。AVMSDは、もともとテレビとオンデマンドサービスを対象に、有害なコンテンツから未成年者を保護するための規律などを内容としていましたが、2018年11月に改正され、Youtubeのようなビデオ共有プラットフォームにも適用が拡大され、ヘイトスピーチに関する規律なども適用されることになりました。こちらも指令であり、EU加盟各国は、2020年9月までの国内法制化が求められています。

このほか、著作権指令についても挙げておきます。2019年4月に改正され、GoogleニュースやYahoo!ニュースのように、デジタル・プラットフォーマーが新聞社などの記事を掲載した場合、その新聞社などは料金を請求できることになります。この指令は、2021年6月までの国内法制化を求めています。

最後に、不公正取引方法指令と消費者権利指令があります。共に2019年11月に改正され、Amazonのようなオンライン・マーケットプレイス提供事業者に対し、商品の検索結果の表示において、不公正取引方法指令では「隠し広告」（広告料をもらっているにもかかわらずそのことを明示しないこと）の禁止を、消費者権利指令では表示順位を決定するパラメーターについての消費者への情報提供義務を追加しました。これらは2021年11月までの国内法制化を求めています。

8.　まとめ

このようにEUのデジタル・プラットフォーマーを対象とする法のうち、主なものについて紹介しましたが、公正な競争の確保の観点と、権利の保障の観点の両面から規律の整備を進めていることが分かります。そして、この2つの観点は互いに関係しながら混ざっていく傾向にあるように思えます。私個人は、通信分野の競争政策を担当していた時期が長かったこともあり、どちらかといえば公正な競争の確保の方に関心が高いのですが、権利の保障の観点についても理解を深めていかなければと思っています。

また、私は2000年代中頃に総務省でEUやその加盟国との規制改革交渉を担当しており、その頃から個人的な興味もあってEUの法制度を追いかけてきました。霞が関では、昔は参考にすべき外国の法制度というとやはりまず米国という感じでしたが、P2B規則を参考に法律が作られたように、特にデジタルに関連する法制度では、EUの動向を追いかけることの重要性が高まっているといえるでしょう。DSAとDMAを中心に、引き続き動向をフォローしつつ、記事にもしていきたいと思います。