【データ法】EU Digital Services Act #1 ー適用範囲ー
こんにちは。
お読みいただきありがとうございます。
EUでは、2022年11月16日、インターネット上でビジネスを行う事業者を規制するため、Digital Services Act(*1)(以下「DSA」)が施行されました。
そして、2024年2月17日、DSAの規定の大部分が発効します。
本日は簡単な解説とともに、日本企業が留意すべき点をご紹介します。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
Digital Services Actとは?
こちらがDSAの全文(EN)です。
制定の背景
リサイタル(前文)1項は、次のように述べています(和訳はぼく)。
意訳すると、EU市場でGAFAMが好き勝手することを許しませんということです。SAは、彼らを含めたデジタル環境を主戦場とする事業者の活動を規律するために定立されました。
DSAの適用対象となる事業者は?
制定の背景から分かるように、DSAは、"intermediary services"(仲介サービス)を提供する事業者に適用されます。
仲介サービスは、全部で6カテゴリーに分かれます。
ぼくは、その仲介サービスが、どのカテゴリーに属するのかという点がDSAの最重要ポイントだと思っています。
なので、もう少し細かくみていきます。
3つの仲介サービス
まず、仲介サービスは、次の3つのいずれかに該当するものです(*2)。
それぞれに定義があるのですが、①~③は、ユーザーが提供する情報を、保管しないか(①)、送信の効率化のために一時的に保管するか(②)、保管するか(③)によって区別できるんじゃないかと思います。
リサイタル29項が例を挙げており、そちらを見ると分かりやすいです。
単なる導管サービスの例:
IXポイント、無線アクセスポイント、VPN、DNSサービス/リゾルバ、TLDレジストリ/レジストラ/電子証明を発行する認証局、VoIP
キャッシングサービスの例:
CDN、リバースプロキシ、コンテンツ適用(フィルタリング)プロキシ
ホスティングサービスの例:
クラウドコンピューティング、ウェブホスティング、ファイルの保存/共有を含む情報やコンテンツの共有サービスなど(*3)
3つの特殊なホスティングサービス
ホスティングサービスは、その特徴に応じて、特殊なクラスが累積的に付与されます。
④ オンラインプラットフォーム
ユーザーの要求に応じて、情報を保存し、公衆に発信するホスティングサービスのことを言います(*4)。SNSやマーケットプレイスが代表例です(*5)。
⑤ オンライン消費者マーケットプレイス
DSA上で、「消費者が取引者と遠隔での契約を締結できるオンラインプラットフォーム」と表現しているものです。
DSAにオンライン消費者マーケットプレイスといったタームは付けらえれていませんが、④よりも加重された義務を負うので、名前はどうであれ、区別しておいた方が分かりやすいです。
⑥ 超大規模オンラインプラットフォーム(VLOP)、超大規模オンライン検索エンジン(VLOSE)
一定の要件を満たすオンラインプラットフォームは、VLOPと呼ばれ、更に加重された義務を負います。また、検索エンジンのうち、一定の要件を満たすものはVLOSEとなり、VLOPと同様の義務を負います。
なお、⑤と⑥は、それぞれの該当性が別個に判断されます。したがって、当該サービスが⑤及び⑥に該当するということもあり得ます。
また、VLOPとVLOSEは、一定の要件を満たして、欧州委員会に指定された事業者のみが該当します。現時点のリストはこちらで、日本企業は含まれていません。
ここまで書きましたが、文章だけだと分かりづらいかもしれませんので、図にまとめると、こんな感じです。
DSAは域外適用されるのか?
DSAは、EU加盟国に所在するユーザー(消費者及び企業)に対して提供される仲介サービスを対象としています(*6)。
つまり、EU域外の事業者であっても、EUのユーザーに仲介サービスを提供している場合には、DSAが適用されることになります。
DSAの域外適用を検討するときには、Art 3(d)及び(e)、リサイタル7及び8項が参考になります。
なお、EU域内からウェブサイトに技術的にアクセスできるだけでは、EUのユーザーに仲介サービスを提供しているとは言えません(*7)。
DSAの域外適用について詳しく論じた資料はまだありません。私見ですが、GDPRの域外適用におけるArt 3(2)(a)の議論を参考にできるのではないかと思っています。
DSAの規制マトリックス
DSAは、仲介サービスのカテゴリーごとに、義務を定めています。
少し前の段落で、「その仲介サービスが、どのカテゴリーに属するのかという点が重要」と言ったのは、そういう理由からです。
事業者の義務に関する規定は第3章にあり、第1節から第5節に進むにつれて、カテゴリーにより義務が加重されていきます。
分量が多くなってきました。
具体的な義務の内容については、また別の機会に書きたいと思います。
零細・小規模事業者の特例
ただし、一定の規模以下の事業者については、DSAの義務の一部が免除されています。
具体的には、従業員が50人未満で、年間売上高及び/又は年間貸借対照表の合計が1000万ユーロを超えない事業者(零細・小規模事業者)は、VLOP又はVLOSEに該当しない限り、第3章第3節及び第4節の規定が一部の例外を除き、適用されません。
上記図表の*1も参考にされてください。
DSAの罰則は?
DSAの違反があった場合、事業者の前会計年度における全世界の年間売上高の6%を上限として、制裁金が課される可能性があります(*8)。
DSAはいつ施行されるの?
既に述べたとおり、DSAは既に施行されています。
しかし、一部の条項を除き、規定が発効するのは2024年2月17日からです。
日本企業が注意すべきこと
繰り返しますが、DSAは、仲介サービスのカテゴリーに応じて遵守すべき義務が異なります。
そこで、まずは、現行のビジネスについて、次のステップで確認されてはいかがでしょうか。
近いうちに、DSAの具体的な義務についても書きたいと思います。
とはいえ、まずは問題となるビジネスが、DSAの適用対象であるか、そうであったとして、どのカテゴリーが適用されるのかを、予め確認しておかれるのが良いと思います。
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
追記:第2回(事業者の義務)を書きました。
【注釈】
*1 Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC
*2 Art 3(g)
*3 リサイタルで挙げられているもう一つの例として"paid referencing services"があるのですが、これが何なのか、分かるようで分かりません。こういうときに、情報系の知識の無さを痛感します、、。
*4 Art 3(i)
*5 リサイタル13項
*6 Art 2(1)
*7 リサイタル8項
*8 Art 52(3)
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。
この記事が気に入ったらサポートをしてみませんか?