【データ法】EU Digital Services Act #2 ー事業者の義務ー

こんにちは。
お読みいただきありがとうございます。

EUでは、2022年11月16日、インターネット上でビジネスを行う事業者を規制するため、Digital Services Act(*1)（以下「DSA」）が施行されました。

そして、2024年2月17日、DSAの規定の大部分が発効します。
以前、適用対象となる事業者について解説をしました。

今回は、適用対象となった事業者の義務について、見ていきます。

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。

前回のおさらい：サービス内容を確認

DSAは、事業者が営むサービスの内容によって、負わせる義務を区別しています。前回の図を再掲しますので、どのタイプの事業者についての義務を述べているのかを念頭に置きながら読んでもらえると、理解がスムーズになると思います。

以下では、上記のマトリックスに従って、DSAが規定する義務について見ていきます。なお、該当範囲の条文が33個もあるので、ここでは、重要と思われるものをピックアップして紹介します。

全ての仲介サービス提供者の義務

DSAは、仲介サービスを規律する法令ですので、EUのユーザーに対して仲介サービスを提供する全ての事業者が適用対象です。

第3章第1節（11条～15条）は、全ての仲介サービス事業者に適用される義務を定めています。

なお、仲介サービスの定義については、前回の記事をご覧ください。

当局・ユーザーとの窓口の設置（11条、12条）

第11条により、仲介サービス提供者は、当局（加盟国の当局、欧州委員会など）と連絡を取れるように連絡窓口を設置しなければなりません。また、第12条により、ユーザーとの連絡窓口も同様に設置が義務付けられます。

これらの窓口は、電子的手段でなければなりませんが、物理的な場所は不要です。Emailアドレスや問い合わせフォームなどが想定されます。

法定代理人の設置（13条）

EU加盟国に設立されていない仲介サービス事業者は、仲介サービスを提供するEU加盟国のいずれかにおいて、書面により、法定代理人を指定しなければなりません。

GDPRの27条に似た規定ですね。DSAの規定がGDPRと違うところは、仲介サービスを提供しているEU加盟国において法定代理人を指定することが明示されていることでしょうか。

利用規約（14条）

仲介サービス事業者は、コンテンツモデレーション(*2)の目的で使用される方針、手続、手段及びツール、並びに、内部苦情処理システムの手続を含む、仲介サービスの利用制限に関する情報を、利用規約に含めなければなりません。場合によっては、利用規約の改訂が必要となりそうですね。

また、利用規約に重要な変更があった場合の通知義務、未成年者の利用に関する規制があります。

透明性報告書の作成・公開（15条）

仲介サービスの提供者は、少なくとも年1回、コンテンツモデレーションに関する報告書をWEB等で一般に公開しなければなりません。報告書に含めなければいけない内容は、15条の原文をご覧ください。

とても面倒な義務ですね、、。
場合によっては外部の弁護士を使って報告書のレビューをさせないといけないわけで、ぼくが言うのも変ですが、こういう仕事でお金をもらうのは、ちょっと気が引けます。

もっとも、欧州委員会（EC）が報告書のテンプレートを用意してくれるようで、パブコメ手続が始まっています。

Commission launches public consultation on the Implementing Regulation on transparency reporting under the DSA

タイムリミットまでは、まだ余裕があるので、ひとまず「待ち」で良いかなと思います。

ホスティングサービス提供者の義務

第3章第2節は、ホスティングサービスを提供する事業者の義務を規定しています(*3)。

違法コンテンツの通知（16条）

ホスティングサービス提供者に対して、違法コンテンツの通知と措置の仕組みの整備が求められます。

理由の説明資料（17条）

ホスティングサービス提供者に対して、ユーザーが提供した情報が違法コンテンツ等であることを理由に制限がかける場合に、その理由の説明資料を当該ユーザーに提供する義務を定めています。

この義務も面倒ですね。

記載事項が細かく法定されていますが、YoutubeでEUからの投稿が削除されたら交付してもらえるんでしょうか。一度見てみたいです。

犯罪の疑いの通知（18条）

ホスティングサービス提供者に対して、人の生命・安全を脅かす犯罪に関する情報を検知したときの当局への通知義務を定めています。

オンラインプラットフォーム提供者の義務

第3章第3節は、オンラインプラットフォーム提供者の義務を規定しています。なお、零細・小規模事業者については、オンラインプラットフォーム提供者に該当する場合でも、本節の義務が一部を除き免除されます。

苦情処理（20条、21条）

第20条は、ユーザーのアクセス制限やアカウントの削除に関する内部苦情処理システムの整備を求めています。第21条は、そのようなユーザーの苦情に関する裁判外の紛争解決の利用体制の構築を要求します。

書いている自分が眠くなりそうだったので、詳細は割愛しますが、割と細かく規定が置かれています。既に苦情処理体制を整備している事業者は少なくないとは思いますが、DSAに準拠するために微調整が必要かもしれません。

トラステッド・フラッガー（22条）

DSAは、加盟国の当局に対して、トラステッド・フラッガー（trusted flagger）を指定する権限を与えています。トラステッド・フラッガーとは、違法コンテンツの検出、通知に関する専門知識を有する独立した団体をいいます。

オンラインプラットフォーム提供者は、トラステッド・フラッガーから違法コンテンツについて通知を受けた場合に、優先的に、遅滞なく処理できるようにしておかなければなりません。

不正使用に対する措置（23条）

オンラインプラットフォーム提供者は、第23条が定める要件に従って、一定の場合には、ユーザーの利用停止措置を取ることが求められます。

オンラインインターフェイス（25条）

オンラインプラットフォーム提供者は、ユーザーを欺くような方法で、ユーザー・インターフェースを設計することを禁じられます。

これは、データ法界隈で議論が活発な、ダークパターンの規制を意識したものです。リサイタル（前文）25項からも、それが読み取れます。

ダークパターンについては、こちらで詳しく紹介しています。

広告（26条）

DSAは、広告（advertisement）と商業通信（commercial communication）というよく似た二つの用語について、それぞれ定義を定めています(*4)。

26条は、オンラインプラットフォームにおける広告と商業通信について、それぞれ異なる規制を設けているので、両者の区別が重要です。

DSAにおける広告と商業通信の違い
広告：　あらゆる宣伝（非商業目的も含む）。宣伝の対価が必要。
商業通信：　商業活動を行う企業・個人の商品・サービスの宣伝。宣伝の対価は不要。

広告については、広告費の支払主、ターゲット広告のパラメータに関する情報を提供する義務などが定められています。

商業通信については、オンラインプラットフォーム提供者に対して、ユーザーが提供されるコンテンツが商業通信であるか否かを識別することが出来るような機能を提供する義務などが定められています。

レコメンダーシステムの透明性（27条）

レコメンダーシステムとは、ざっくり言うと、ユーザーの検索の結果などについて、表示される情報の優先順位を決定することを含むシステムです(*5)。

オンラインプラットフォーム提供者は、利用規約の中で、レコメンダーシステムに関する一定の情報を説明する義務を負います。

未成年者の保護（28条）

オンラインプラットフォーム提供者は、未成年のプライバシー、安全、セキュリティを確保するために、適切な措置を講じることが求められます。

28条4項が、上記適切な措置について、ECがガイドラインを策定することができると定めており、透明性報告のガイドラインと同様に、おそらくどこかの段階でガイドラインのパブコメが出るのではないかなと予想しています。

オンライン消費者マーケットプレイス提供者の義務

第3章第4節は、ユーザーが取引業者と隔地契約を締結できるオンラインプラットフォームの義務を定めています。ここでは、このようなサービスの提供者のことを、便宜上、オンライン消費者マーケットプレイス提供者と（長いですが）呼ぶことにします。

取引業者のトレーサビリティ（30条）

オンライン消費者マーケットプレイス提供者は、取引業者の素性確認の義務を負っており、一定の情報が確認できない限り、取引業者をオンライン消費者マーケットプレイスで活動させてはいけません。

2024年2月17日時点で、既にオンライン消費者マーケットプレイスを運営しており、取引業者が活動している場合には、2025年2月16日までに、同様の情報を取得するよう最善の努力を払わなければならないとされています。

コンプライアンス・バイ・デザイン（31条）

オンライン消費者マーケットプレイス提供者は、ユーザーインタフェースの設計によって、取引業者が契約前情報、コンプライアンス、製品安全情報に関する義務を遵守できるようにしておく必要があります。

違法な製品・サービスの提供があった場合の通知（32条）

オンライン消費者マーケットプレイス提供者は、ユーザーに違法な製品やサービスが提供されていることを検知した場合に、一定の情報をユーザーに通知しなければなりません。

VLOP、VLOSEの義務（33条～43条）

第3章第5節は、超大規模オンラインプラットフォーム（VLOP）、及び、超大規模オンライン検索エンジン（VLOSE）に対する義務を定めています。

もっとも、VLOPとVLOSEに該当する日本企業は、現在のところありません。ちょっと悲しいですね。

そのため、ここでは詳細な説明は割愛させて頂きます。

なお、VLOPとVLOSEは、その指定を受けてから2か月以内に、透明性報告書を公表する必要があります。例えば、Amazonの報告書はこちらです。

まとめ

いかがだったでしょうか。
いつもより長くなってしまいました。

事業者の義務を総ざらいしてみましたが、やはり、オンラインプラットフォーム提供者の義務は、ちょっと重いですね。利用規約の変更と言った小手先の対応のみならず、組織体制の整備も含まれているので、もしDSAの適用があることに気づいてしまった事業者は、腰を据えて対応することが必要になりそうです。

ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。

---

【注釈】
*1　Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC
*2　Art 3(t)に定義がありますので、参照ください。ざっくり言うと、違法コンテンツや利用規約に沿わない情報を検出して対処するための仕組みで、アカウントの凍結や情報の削除に影響を与える措置です。
*3　実は、15条の報告書について、ホスティングサービスの提供者やオンラインプラットフォームの提供者には、それぞれ一定の事項を報告書に追記することが求められます。ややこしくなるかと思い、本文では触れませんでした。とはいえ、報告書の作成は、テンプレートが出るまで様子見でいいと思います。
*4　Art 3(r), 3(w)
*5　詳細な定義は、Art 3(s)を参照ください。

---

免責事項：
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

---

X（Twitter）もやっています。
こちらから、フォローお願いします！

このほかにも、データ法に関する解説を書いています。
よければご覧ください。

データ法を解説します｜弁護士 古田 俊文 (toshful)｜note