EUデータ法施行開始―欧州拠点と日本本社の連携で乗り越える課題と取るべきアクション

テーマ１：欧州委員会が矢継ぎ早に打ち出す規制が日本企業にもたらす課題とは何か？

野田　まず基本的なところで、欧州委員会が複数のデジタル関連の規制を出している背景と、そこで事業展開する日本企業が足元で認識すべき課題とはどのようなものがあるでしょうか？

セバスチャン　重要なのは、ヨーロッパが2019年から2024年にかけて、どのような背景や価値観でデジタル規制を進めてきたのかを理解することです。当時はデータ、AI、サイバーの領域を規制することで、人間やヨーロッパの価値観を守るという強い信念があり、「透明性」と「セキュリティ」がキーワードになっていました。本年９月に施行されたEUデータ法も、その３本の柱のうちの一つです。その結果、多くの法律やデジタル規制が導入され、イノベーション推進やレジリエンス強化が図られました。ただその後、規制がやや過剰な傾向であり、イノベーションを阻害し、企業にとってコスト増の要因となっている点がDraghiレポートなどでも指摘されています。

これらを踏まえ、今後は社会や企業を支援する観点での見直しも進められていることも事実です。その点では、企業側も「レギュラトリーインテリジェンス」の言葉に代表されるように、欧州当局の規制や政策に関する最新動向を把握しておく能力が必要とされると考えます。またその延長として、可能な限り当局と積極的な対話のプロセスを通じて、自社としての不明点を明確にしていくことも大切です。従来の規制と異なり、デジタル関連規制は新しい規制であることから、ある程度柔軟性を持って当局側も対話し対応できる余地があると考えます。

さらに、これらの規制対応はデータ、サイバー、法務など異なる部門が協力し、チームで取り組むことが求められます。企業内によくある「脱サイロ化」を実現することも重要な成功要因となります。

森本　「異なる部門が協力し、チームで取り組む」という点については、まったく同感です。まず、これらの規制内容は欧州でのビジネス展開や継続にとり非常に重要な課題であることを再度強調したいと思います。全く別地域ではありますが、過去に中国のデジタル規制対応を支援した経験では、地域で事業を継続するためには法令対応が不可欠との側面が強くあり、地域事業の「郷に入っては」的な原則はあることをまずは認識することが重要です。

一方、今回のデジタル関連規制は、場合によっては自社の事業ポートフォリオや資源配分にまで影響を及ぼしうる可能性もあるため、コンプライアンスだけではなく事業管理の側面から考える必要もあります。今回のEUデータ法では、営業秘密も含めたデータ開示の姿勢や保護措置の取扱いが重要な課題として存在します。開示しすぎてもノウハウ漏出のリスクがあり、非開示ばかりでも立法趣旨に反するリスクがあります。また日本企業の欧州事業の場合、多くが日本側の製品開発や製品設計に依拠しているという状況です。EUデータ法の影響は、グループ内でのガバナンス不整合だけではなく、ビジネスの競争力の阻害要因を生じることもありますので、現地任せにせず、本社も意志をもって対応策を考えることが重要です。

とはいえ、本社が欧州当局と直接やりとりするのは現実的ではない側面もあります。日欧の拠点間で役割分担も含めた連携体制を構築することが大切になるでしょう。経験上、役割分担の調整に時間がかかるケースが多いため、対応期限のマイルストーンも俯瞰しつつ着実に対応できる体制を協力して構築することが必須となるでしょう。

また一部のクライアント企業との間では「規制対応でどの位置取りをするか」という話題が出ることもあります。自社のリソースなどを踏まえて、第2集団の先頭でキャッチアップしつつ、競争力を維持し、チャンスを活かす姿勢というポジション戦略もある程度有効なのではないかと考えます。

テーマ２：「過剰規制」とも受け取れる欧州の現状を、日本企業の経営視点からはどのように解釈すべきか？

野田　私が担当する企業とのやり取りの中では、欧州委員会が矢継ぎ早に出す各種規制を「過剰規制」とみる向きもあります。現在のこの流れを欧州の現状や欧州員会の目線を念頭に置くと、どのような解釈をすべきでしょうか。

セバスチャン　まず大切なのは、「なぜこうした規制が導入されたのか」を理解することです。キーワードは「レジリエンス（強靭性）」です。企業や社会からは一定の批判もありますが、欧州は自らの価値観や競争力を守るため、戦略的に規制を進めてきました。先ほどお話ししたDraghiレポートはその代表例です。

ただし、こうした規制はビジネスや顧客にとっても重要で、特に情報セキュリティやサイバーセキュリティは企業を守る上で不可欠です。AI規制やデータ法も、リスク管理とイノベーション推進の観点からその意味合いを再度認識すべきでしょう。特に今回のテーマであるデータ法では、データガバナンスやデータライフサイクル管理の強化を反映したものであり、単なる法令遵守ではなく、社内のイノベーションや体制強化を進めることにも資する要素を秘めています。そのため、欧州人的な観点からは、こうした法令の対応は会社全体のビジネス戦略の中で位置付けるべきであり、トップマネジメントがそれについて明確な方向性を示していくことが極めて重要な課題であると見えます。

野田　「やりすぎでは？」という声も確かにありますが、欧州にとっては戦略的な価値観に基づく規制であるのと同時に、ビジネスチャンスとして前向きに捉え直す視点も強調される必要があるでしょう。特にデータガバナンスやライフサイクル管理などは、これを機に、所謂「デジタル敗戦」に該当するような要素を改善する好機です。

たとえばEUデータ法に関連して、どのデータを守りどのデータを公開するといった判断だけでも、技術ノウハウの保護、特許、無形資産、そして会社としての社会・経済への向き合い方など複数の観点からデータの価値を見極めることが求められます。この対応の一つをとっても、サイロ化された対応から抜け出すことが必要になるため、EUデータ法への対応は必然的に重たいものになる傾向があります。一方、その中で生まれた改善は、従来にないポジティブな効果を生みますので、単なる法令対応に終わらせず、競争力強化につなげる発想とマインドの重要性を強調したいと思います。例えば、とある企業では、これを契機に社内におけるデータガバナンスのリソース不足に気づき、改善の手当てを早速開始しました。 

テーマ３：複数のデジタル関連規制の施策が短期間に打ち出される中、どのようなアプローチが考えられるか？コスト効率に優れるベストプラクティスは存在するのか？

野田　GDPRが導入されたころと比べ、複数のデジタル規制が短期間に打ち出されると、対応のコスト面や効率面での最大化を考える必要があるとの声をよく耳にします。このような状況下ではどのようなアプローチが考えられるか、参考になるべき良い方法やヒントがあればお願いします。

大場　このテーマは非常に難しいですが、5つの観点でお話しします。

1つ目は、デジタル規制はEUだけでなく世界各地で増えており、どの規制が自社に関係するか、タイムリーかつ正確に把握することが重要です。AIなどテクノロジーを活用し、効率的な情報収集がポイントになります。

2つ目は、規制の影響度や優先度を見極めることです。自社事業への直接的な影響があるのか、地域的範囲はどこかを分析し、対応の優先順位をつける必要があります。

3つ目は、規制同士の関係性の把握です。例えばデータ法とGDPRのように、複数の規制が重なり合うケースもあるので、それぞれの関係性を理解することが大切です。

4つ目は、特にデータ法のような新しい規制では、社内で誰が主導するかが曖昧になりがちなので、経営層がしっかり関与し、旗振り役を明確にすることが重要です。

5つ目は、本社と現地拠点の役割分担を踏まえたガバナンス体制の構築です。共通部分は本社で整備し、現地は現地で柔軟に対応するなど、全体最適を目指す必要があります。

野田　全体最適の目線が必要である点は、私自身も実感しています。またクライアント目線からさらに考えるのであれば、複数の規制に対して効率よく対処するために特に有益なのは、冒頭でSebastiaanが指摘した欧州当局との対話だと考えます。

GDPR以降、規則が導入される度に個別に対応するのが一般的でした。ただ、現在多数の異なるデジタル関連規制が導入される中では、規制間の最大公約数の要素を考えることも模索する必要があります。規制要件的には100点満点ではないが、そのような最大公約数的な対応が立法趣旨対して適合したものであるのかを確認するためには、欧州当局との対話を通じて確認されるべきでしょう。またその下地としてのレギュラトリーインテリジェンスを活用し、現実的な対応を模索することも重要となります。

同じく、複数の課題対応を効率よく行うという観点で、テクノロジー活用の余地やアプローチについて、ヨーロッパの視点からご意見を聞かせてください。

セバスチャン　結論から言うと、魔法の弾丸（シルバーブレット）はありません。法務、コンプライアンス、リスク、監査など複数チームで連携した「ディフェンスライン」を作り、ガバナンス体制やチーム編成を構築することがいまだに重要な基本動作です。その中でテクノロジーの活用も不可欠です。例えば、Deloitteの欧州が提供するRegMinerのようなRegTechや、プロセス管理ツールを活用することで、インハウスのメンバーが専門知見へアクセスすることが容易なります。こういったテクノロジーの活用により、従来収集に向けていた人的リソースが浮くことになるため、代わりに規制対応に関する別の高度な業務や判断にむけることができます。ただ、当たり前のようですが、テクノロジー以前に日本本社と欧州現地のコミュニケーション、役割分担、期待値のすり合わせが持つ重要性も過小評価しないで頂きたいと思います。

また、デジタル関連規制の特徴として、これまでは規制対応と距離感の遠かった部門の関与が必要になってきている点を挙げたいと思います。従来の法務、リスクに加えて、データ、アナリティクス、セキュリティなど、関連する部門が文字通り一体となって協力する、クロスファンクショナルな対応がポイントです。

私自身の専門でもある法務、コンプライアンスはともすれば「コンフォートゾーン」のマインドが強くなるのですが、新しいデジタル関連規制にとりこのマインドセットは大敵ともいえます。変化を機会ととらえ、持続的にリスクへ対応していくことが最終的にはイノベーションや企業防衛に繋がります。

テーマ4：上記を俯瞰した際に、まずは何から取り組むべきか？クロスボーダーでのレギュレーション対応で多くの企業に必要な次のアクションとは？

野田　最後に企業にとって足元での課題を踏まえた対応策のキーをもう一度明確にしたいと思います。日本側の目線、欧州側の目線、それぞれで考えをお願いします。

森本　日系企業の多くで、いまだに部門ごとの「サイロ化」が大きな課題になっているとよく耳にします。特に欧州企業と比べると、本社と現地拠点、あるいは地域本社との間に明確な壁があるケースが多いです。こうした壁があることで、コミュニケーションロスが発生し、責任のなすり合いになってしまうなど、さまざまな苦労が生まれている現場に遭遇します。

セバスチャン　欧州人の目線からいえば、日欧の連携の「橋」を強化することを改めて強調させてください。先述したRegTechは確かに便利ではありますが、日欧両拠点間で正しい課題認識と役割分担がないと高価な玩具になってしまう失敗を何度も見ています。今回のEUデータ法は、まだ理念的にも日本企業にはそこまで理解されていないかもしれない可能性がありますが、データ独占に対してEUデータ法がもたらす破壊力は潜在的に大きなものがあります。直接アクセスの適用は2026年からですが、なぜこのトレンドが形成されたのか、なぜ一定の対応コストまでかけてでもこのデータ法の要件を満たす必要があるのか、改めて日欧の担当者間で確認しあい、理解しあったところから、本当に強い対応のチームができると感じています。私たちのような外部の専門家がそのような橋を強化すべき立場にあることは言うまでもありません。