板倉弁護士が警鐘「今が意思反映の最後のチャンス」データ・AI関連の法改正で企業が押さえるべきポイント

クラウドサービスの実情に即した“現実的な”委託先監督制度を進める

　現行の委託先監督制度は、「年賀状印刷のような古典的な委託関係」を前提にしていると板倉氏は述べる。現在の企業活動で「委託」の大部分を占めるのは、世界中に展開されるSaaSクラウドサービスだ。従来の制度では、こうした現実への対応に限界がある。

　現状、多くの事業者は、海外企業が提供する翻訳の品質が不十分な可能性のある利用規約を表面的に確認するだけで、実質的な契約交渉を行わずに「問題ないだろう」という判断でサービスを利用してしまっているという。監査員などが現場に直接訪問するような従来のオンサイト監査を前提とした制度は、クラウドサービスの監督において現実的ではなく、監督義務の形骸化が進んでいる。

　制度の改正では、クラウドサービスの実情に即した監督方法が検討されているが、具体的な内容はまだ固まっていない（2025年6月時点）。板倉氏は、AIサービスを含むクラウド委託について「事業者のコスト感覚やリスク判断に合った現実的な監督基準の策定が急務」と語る。

　制度の改正にともない、企業が直面する課題は明確だ。信頼できるサービスプロバイダーの選定と適切な契約条件の確立が重要となる。「十分な情報を得ないまま制度が作られると、ビジネスに合わない結果になりがち」と板倉氏。実際に使用しているサービスの実態を踏まえた、現実的な監督基準を業界で事前に議論しておく必要があるだろう。

欧州の「失敗」に学ぶ、日本のデータ利活用法制度

　データ利活用法制度の設計では、EU（欧州連合）のデータスペース構想^[1]が参考にされている。データスペース構想は、EUのGDPR（General Data Protection Regulation：EU一般データ保護規則）におけるある種の「失敗」から構想され、日本はそれをさらに踏まえているという。

　EUは、GDPRで統一したデータ保護法制度を作ったものの、各国のデータ保護機関の執行が統一されなかった。特に医療分野ではそれが問題となり、各国の解釈が異なることで域内でのデータ利活用が阻害される結果となった。

　日本はこの教訓を活かし、“2段階アプローチ”を採用するという。まず、2026年の通常国会に全体的なデータ利活用推進法を提出し、その後、医療、教育、金融、モビリティなどの各分野で個別法制を段階的に整備していく方針だ。

　その中でも先行して法整備を進めるのが医療分野で、医療健康データを利用するための法制度であるEHDS（European Health Data Space：欧州ヘルスデータスペース）を参考にした「日本版EHDS」の検討が進んでいる。令和9年（2027年）の法制化を目指し、製薬企業の研究開発における医療データ活用や医療AI開発のためのデータ基盤整備が目的のひとつとなるだろう。

　教育分野では、転校時の書類手続きのデジタル化など、まずは事務業務の効率化から着手しながら段階的にデータ基盤を拡張するアプローチを取るという。板倉氏は「現在でも、年度の切り替え時期に紙の書類が紛失するといった非効率な業務が多い。教員の異動時期とも重なるため、（このような業務が生じるのは）さもありなんだ。こうした『ブルシットジョブ』的な業務の改善から取り組む必要がある」と補足する。

　分野別アプローチを採用するため、医療、教育、金融、モビリティ各分野の事業者は、それぞれの分野別法制度の検討状況を注視する必要がある。特に医療分野は2027年の法制化が予定されていることもあり、製薬企業や医療AI開発企業にとって重要な転換点となるだろう。