デジタルサービス法(DSA)とデジタル市場法(DMA)は、オンラインサービスプロバイダーと強力な「ゲートキーパー」プラットフォームに対し、ユーザーの安全と市場の公正性を維持するための新たな強制ルールを定めるEU規制です。ブリュッセルで起草されたものの、その適用範囲は世界規模です。EUユーザーをターゲットとする企業は、DSAに従わなければ、世界売上高の最大6%、繰り返しゲートキーパーとなる企業には20%の罰金が科せられる可能性があります。DSAの完全施行が既に迫っており、最初のDMAコンプライアンス報告書の提出期限が数か月以内に迫っているため、取締役会と製品チームには、どのような変更が必要かを検討する時間がほとんどありません。
このガイドでは、法律用語を分かりやすく解説しています。明確な定義、比較対照、重要な日付、そして技術、法務、コンプライアンス担当者が法令を実践的な行動に落とし込むためのステップバイステップのチェックリストを掲載しています。スクロールして、新しいルールブックがあなたのビジネスにどのような影響を与え、次に何をすべきかをご覧ください。
EUの新しいデジタルルールブックの概要
ブリュッセルは、デジタルサービス法(DSA)とデジタル市場法(DMA)をそれぞれ単独で制定したわけではない。これら2つは、20年にわたるプラットフォームの暴走と場当たり的な法執行の後に、EUのオンライン経済を活性化させることを目的とした、より広範な改革パッケージの基盤となる。
EUがDSAとDMAを導入した理由
- 大手テクノロジー企業の優位性は競争法の盲点を露呈した。一度限りの独占禁止法訴訟に何年もかかり、ゲートキーパーは規模を拡大し続けた。
- 違法コンテンツ(テロリストのプロパガンダ、偽造品)は国境を越えて途切れることなく流通しており、2000 年の電子商取引指令では通知と削除以上の措置はほとんど講じられていませんでした。
- 政策立案者は、一般的な監視を強制することなく、表現の自由や消費者保護といった基本的権利を強化したいと考えていました。
- 政治的には、この二つの規制は、米国や中国に匹敵する信頼できるデジタル単一市場の基盤となると謳われている。
広範なEUデジタル戦略における位置づけ
DSA と DMA は、他の主力バンドの上ではなく隣に位置しています。
- GDPR → 個人データ
- NIS2 → サイバーセキュリティ
- データ法 → 産業データ共有
- AI法 → 高リスクアルゴリズム
- プラットフォーム労働指令 → ギグワーカーの権利
各法律はそれぞれ異なるリスク領域に対処しており、重複を避けながら共同調査を可能にするために、施行は各国の規制当局と欧州委員会の間で分担されています。
高レベルの目標と原則
| DevOps Tools Engineer試験のObjective | ユーザーと中小企業にとっての実用的なメリット |
|---|---|
| システムと広告の透明性 | 偽情報を減らし、情報に基づいた購入 |
| 違法コンテンツに対する責任 | 詐欺やヘイトスピーチの迅速な削除 |
| 競争可能なデジタル市場 | スタートアップの参入障壁の低減 |
| ユーザーの安全と基本的権利 | より安全なブラウジング、より強い消費者の声 |
これらを合わせると、DSA はコンテンツのガバナンスを強化し、DMA は市場の競争性を維持します。これは、デジタル競争の場におけるバランスを再調整するワンツーパンチです。
デジタルサービス法(DSA):範囲、目標、および主要な義務
DSAは、オンラインでコンテンツを配信、ホスティング、またはキュレーションするあらゆるものの運用ルールを書き換えるものです。その指針となる目標は明確です。それは、ユーザーの安全を確保しつつ、アイデアや商品のためのオープンな市場を維持することです。そのために、この規制はサービスの種類ごとに義務を階層化しています。ネットワークパイプには軽い義務を、アルゴリズムによって公共の議論を左右する巨大企業には重い義務を課しています。EUのユーザーが「対象」となる場合は常に適用されるため、この規則は有名企業だけでなく、グローバルSaaSベンダーやドロップシッピングの副業にも確実に影響を及ぼします。
誰が遵守しなければならないか
- 単なるコンジットサービス(ISP、CDN)、キャッシュプロバイダー、ホスティングサービス、およびユーザーとサードパーティのコンテンツを他のユーザーの目に触れさせる「オンラインプラットフォーム」はすべて範囲内に含まれます。
- 特別な層である超大規模オンライン プラットフォーム (VLOP) と超大規模オンライン検索エンジン (VLOSE) は、EU の月間ユーザー数が 45 万人を超えると開始されます。
- 場所は関係ありません。EU にサービスを提供したり、EU ユーザーの行動を監視したりするプロバイダーは、EU の法定代理人を任命する必要があります。
すべての仲介業者の基本義務
- 誰でも違法コンテンツを報告できる、使いやすい「通知と対応」チャネルを設定します。
- モデレーションの決定、当局からの命令、自動化ツールの使用の詳細を記載した透明性レポートを毎年発行します。
- ユーザーと規制当局の連絡窓口を一元化します。
- 各国の裁判所およびデジタル サービス コーディネーターと迅速に協力します。
オンラインプラットフォームに関する追加ルール
- 消費者への販売を許可する前に、トレーダーを検証します(「ビジネス顧客を知る」)。
- 社内の苦情処理メカニズムと認定された裁判外紛争解決へのアクセスを提供します。
- すべての広告にリアルタイムでラベルを付け、主要なターゲティングパラメータを公開し、機密データに基づく広告や厳格な保護措置のない未成年者を対象とした広告を禁止します。
VLOP/VLOSE義務
- 偽情報、選挙の公正性、子どもの安全を網羅した体系的なリスク評価を毎年実施し、公表します。
- 独立したコンプライアンス担当者の監督下で、外部監査の対象となる緩和計画を実施します。
- 検索可能な API を備えた公開広告リポジトリを維持して、研究者が政治広告や問題に基づく広告を精査できるようにします。
- パンデミックや戦争などの出来事によってオンラインリスクが急増した場合は、危機対応プロトコルを導入します。
責任とセーフハーバーのニュアンス
DSAは、プロバイダーが違法行為を「実際に知らなかった」場合には責任を負わないという古典的なセーフハーバーを維持している(Article 4(原文に誤りがある可能性があります)。しかし、信頼できる通知が届くとハードルが上がります。遅延すれば免責は失われます。重要なのは、この法律が包括的な監視を否定し、プラットフォームの規模に応じた「注意義務」を課している点です。例えば、偽造品のバッグがフラグ付けされた際に速やかに削除したマーケットプレイスは、その保護を維持できます。しかし、繰り返しの通知を無視したマーケットプレイスは、削除命令と世界売上高の最大6%の罰金の両方に直面する可能性があります。
デジタル市場法(DMA):範囲、目標、主要義務
DSAがコンテンツを管理するのに対し、DMAは市場支配力に対処します。これは、少数の「ゲートキーパー」プラットフォームがどのように行動すべきかを事前に定義する、事前の競争ルールブックです。これにより、小規模な企業が顧客へのリーチ、イノベーション、そして収益化を継続できるようになります。罰金は世界売上高の最大10%(再違反者の場合は20%)と非常に高額です。そのため、自らがゲートキーパーであるのか、あるいはゲートキーパーに依存しているのかを把握することが極めて重要です。
「ゲートキーパー」の定義
プロバイダーは、コア プラットフォーム サービスを提供し、次の 3 つの定量的基準をすべて満たしている場合にゲートキーパーであるとみなされます。
- 7.5億ユーロのEEA売上高(過去XNUMX年間) or 時価総額75億ユーロ
- EUにおける月間アクティブエンドユーザー数は少なくとも45万人
- 年間10万人以上のアクティブユーザー ビジネスユーザー
コアプラットフォームサービスには、検索エンジン、ソーシャルネットワーク、オペレーティングシステム、オンラインマーケットプレイス、アプリストア、広告サービス、Webブラウザ、音声アシスタント、クラウドサービスが含まれます。
欧州委員会は依然として、定性テスト(「定着した永続的な」市場支配力)を通じて企業をゲートキーパーと指定することができるが、企業はそのような力がないと証明すれば指定に反論することができる。
ゲートキーパーが果たすべき義務
ゲートキーパーは指定後 6 か月以内に次のことを行う必要があります。
- エンドユーザーがプリロードされたアプリをアンインストールし、デフォルトを簡単に変更できるようにします。
- リアルタイムのデータ移植性を有効にし、ビジネス ユーザーにパフォーマンス メトリックへのアクセス権を付与します。
- 基本的なメッセージング機能 (テキスト、音声、ビデオ) の相互運用性を確保します。
- 広告主とパブリッシャーに、すべての広告インプレッションに対する透明な価格設定を提供し、調整ツールを提供します。
- アプリ ストア、決済サービス、検索ランキング データへのアクセスには、FRAND ベースの条件を使用します。
厳しく禁止されている行為
- ランキングや結果において自社の製品やサービスを優先すること。
- アンチステアリング条項や「必須」サービスのバンドルを通じてビジネスユーザーを囲い込む。
- あるサービスから収集した個人データを、明示的な許可なく別のサービスに再利用すること
GDPR同意。 - サードパーティの開発者が外部の支払いまたは ID ソリューションを使用することを制限します。
コンプライアンスプロセスと報告
正式な流れは、指定通知 → 5ヶ月間の実施期限 → 包括的なコンプライアンス報告書です。ゲートキーパーは、独立したコンプライアンス担当者を任命し、年次監査を受け、ビジネスユーザー向けの内部告発チャネルを運営し、実施した措置の詳細な記録を保持する必要があります。コンプライアンス違反があった場合、定期的に日次売上高のXNUMX%に相当する罰金が課せられる可能性があり、最終手段としては、事業売却などの構造的な救済措置が講じられる可能性があります。
競争法との関わり
DMAは、TFEU第101条および102条と並行して存在します。DMAは、個別案件ごとの独占禁止法訴訟に代わるものではなく、委員会のDMAタスクフォースによって一元的に執行される明確な事前ルールを提供するものであり、各国の競争当局は証拠収集と監視を支援します。これらが一体となって、EU全域において競争可能で公正なデジタル市場を確保することを目指しています。
DSA vs. DMA: 比較
どちらの法律もブリュッセルの同じ枠組みから生まれたものですが、それぞれ異なる問題に取り組んでいます。デジタルサービス法(DSA)はコンテンツの流通とモデレーションを規制し、デジタル市場法(DMA)は少数の「ゲートキーパー」プラットフォームの経済力を規律します。以下のマトリックスは、コンプライアンス義務をマッピングする際に知っておくべき主要な役割分担を示しています。
目的と中核
- DSA: ユーザーの安全コンテンツ ガバナンスにおけるセキュリティ、透明性、説明責任。
- DMA: ゲートキーパーの自己取引を抑制することで、競争可能かつ公正なデジタル市場を実現します。
対象となる団体
- DSA: 趣味のフォーラムから CDN まで、あらゆるオンライン仲介者には VLOP/VLOSE 用の追加レイヤーが備わっています。
- DMA: コアプラットフォームサービスを提供するゲートキーパーとして指定された企業のみ。
監督機関と権限
- DSA: 国家デジタルサービスコーディネーターと EU 理事会。削除と監査を命令する権限。
- DMA: 欧州委員会の DMA タスクフォースは、夜間捜査を実施し、構造的救済措置を課すことができます。
タイムラインと締め切り
- DSA: 17 年 2024 月 XNUMX 日から完全に適用され、VLOP の継続的な年間義務となります。
- DMA: ゲートキーパーの指定により、6 か月以内に遵守して最初のレポートを提出する必要があります。
罰則と執行ツール
- DSA: 全世界の売上高の最大 6 % の罰金、遅延の場合は 1 日あたり XNUMX %、システムリスクの場合はサービスの停止。
- DMA: 最高10%の罰金(20%を繰り返す)が科せられ、最終的には強制的に売却される。
中小企業と消費者への予想される影響
- 中小企業: プラットフォーム データへのアクセスが拡大し、ランキングもより公平になりますが、DSA に基づく販売者検証のための新たな書類が必要になります。
- 消費者: 詐欺や不透明なランキングが減り、データやデフォルトのアプリに対する制御が強化されます。両者が連携して機能すれば、双方にメリットがあります。
誰が遵守する必要があるのか、そしてどのように準備するのか
たとえブリュッセルにロゴを飾ったことがなくても、デジタルサービス法(DSA)とデジタル市場法(DMA)があなたの机に届く可能性があります。どちらの規則も、あなたのオンライン活動の内容に左右されるものであり、法人所在地ではありません。綿密な露出チェックと、それに続く簡潔で反復的なプロジェクト計画によって、作業負荷を管理しやすく、監査担当者の満足度も高まります。
ビジネスモデル別の露出マッピング
| ビジネスモデル | DSAレイヤー | DMA関連性 | 典型的な「トリガー」 |
|---|---|---|---|
| ISP / CDN | 単なる導管 | なし | EUへのネットワークトラフィック |
| SaaS / クラウドホスティング | ホスティング | なし | ユーザーファイルを保存または処理します |
| マーケットプレイス / アプリストア | オンラインプラットフォーム → VLOP、ユーザー数45万人 | ゲートキーパーの可能性 | サードパーティの販売業者を利用する |
| ソーシャルメディア、検索 | オンラインプラットフォーム / VLOP | コアプラットフォームサービス | ユーザー生成コンテンツをキュレートする |
| フィンテック / 銀行API | ホスティング + データプロセッサ | ロー | アカウント集約を提供 |
EU ユーザーをターゲットとする非 EU 企業も、例外なく EU の法定代理人を任命する必要があります。
ステップバイステップのコンプライアンスロードマップ
- すべてのサービス、データフロー、ユーザータッチポイントをインベントリします。
- 経営責任者を任命し、予算を割り当て、6 か月のタイムラインを設定します。
- DSA のベースライン義務と、該当する場合は DMA ゲートキーパー付録に対してギャップ分析を実行します。
- 利用規約、広告ラベル、社内苦情ポリシーを作成または更新します。
- スタッフをトレーニングし、技術ツールを導入し、最初の透明性レポートをスケジュールします。
ガバナンス、ドキュメント、レポート
以下の内容を含むライブ ドキュメントを保管します。
- 年次透明性報告書とシステムリスク評価
- 受信した通知とアクションのタイムスタンプ
- アルゴリズムの変更ログと監査証明書
- ゲートキーパーコンプライアンスレポート(指定されている場合)
技術的および組織的管理チェックリスト
- 24時間対応のユーザーフラグダッシュボード SLA
- 年齢と販売者確認モジュール
- データ移植性のための API (JSON/CSV エクスポート)
- パブリック検索エンドポイントを備えた個別の広告リポジトリ
- オンコールエンジニアに紐づいた危機対応プレイブック
予算編成と資源計画
中小企業は通常、法務関連の草案作成とツール整備に20万~60万ユーロを計上しています。ゲートキーパーは、主に監査と相互運用性構築にXNUMX桁台前半の費用を想定する必要があります。「構築か購入か」を早期に判断しましょう。モデレーションやコンプライアンス関連のSaaSをアウトソーシングすれば、継続的なコストを半減させながら、チームのスリム化を維持できます。
執行、罰則、救済メカニズム
規制は違反者が痛感を味わうことで初めて効果を発揮する。だからこそEUは、DSAとDMAを多層的な監視ネットワークと組み合わせ、1兆ドル規模の企業でさえも驚かせるほどの巨額の罰金を科したのだ。
監視アーキテクチャ
デジタルサービスコーディネーター(DSA)は、国境を越えた事案と政策の一貫性確保のため、EU理事会の支援を受けながら、国レベルでDSAのほとんどの任務を統括しています。委員会は、夜間捜査権限、聴取命令、リアルタイムデータアクセス命令を行使し、すべてのDMA調査とVLOP/VLOSEの監督を主導しています。
DSAの罰金と罰則
- 違反6件あたり世界売上高の最大XNUMX%
- 定期的な罰金は1日の収益のXNUMX%に制限されます
- 持続的なシステムリスクに対するサービスの停止またはアクセスのブロック
- 将来の監査を可能にするために、5年間の記録保存が義務付けられています
DMA罰金および構造的救済措置
ゲートキーパーは全世界の売上高の10%、そして常習犯の場合は20%のリスクを負う。金銭的な制裁が効力を発揮しない場合、欧州委員会は行動規範を課し、相互運用性APIの導入を要求し、あるいは鉄槌として事業ラインの構造的分離を命じる可能性がある。
苦情とユーザー救済
ユーザー、トレーダー、内部告発者は、プラットフォームのダッシュボード、認定ADR機関、または規制当局に直接苦情を申し立てることができます。プラットフォームは、苦情申立人に費用負担をかけず、迅速かつ適切に対応する必要があります。消費者団体は、EU集団救済指令に基づき、複数の請求を一括して申し立てることができます。
訴訟の見通し
DSA/DMAの増加を期待 訴訟 オランダの裁判所では、不完全な削除や自己優先に関する集団訴訟を含む、様々な訴訟が起こされています。詳細なモデレーションログと監査証跡は、防御の成否を左右します。早期の法的審査は、評判と財務状況の両方を守ることにつながります。
重要な日付、マイルストーン、今後のアップデート
ルールブックはすでに施行されていますが、運用上の多くの詳細はまだ確定していません。予算、技術スプリント、取締役会ブリーフィングが適切な週に実施されるよう、以下のチェックポイントに印を付けてください。
立法タイムラインスナップショット
15 年 2020 月 23 日に提案が発表される → 2022 年 27 月 2022 日に政治協定が締結される → 16 年 2022 月 XNUMX 日に官報に文書が掲載される → 両法は XNUMX 年 XNUMX 月 XNUMX 日に発効する。
コンプライアンス期限
VLOP/VLOSE 指定は 25 年 2023 月 17 日に発効しました。DSA は 2024 年 6 月 2024 日以降、全員に適用されます。ゲートキーパーには指定後 XNUMX か月の期間が与えられます。最初の DMA コンプライアンス レポートは XNUMX 年 XNUMX 月 XNUMX 日までに提出する必要があります。
今後の委任行為とガイダンス
4 年第 2025 四半期までに、体系的リスク評価、広告リポジトリ API、認定 ADR 標準に関する委員会テンプレートが発表されるほか、EU 理事会からの定期的な Q&A バッチも予定されています。
レビュー条項と拡張の可能性
体系的なリスクが続く場合、2026 年に正式な XNUMX 年間の見直しが行われ、メタバース ハブ、音声アシスタント、生成 AI サービスまで対象範囲が拡大される可能性があります。
よくある質問へのクイック回答
時間が迫っていますか?以下に、デジタルサービス法(DSA)とデジタル市場法(DMA)を解読しようとしているクライアントから最もよく聞かれる質問について、簡潔に説明します。
デジタルサービス法とは分かりやすく説明されていますか?
透明性とユーザーの安全性に関するルールブック。すべてのウェブサイト、アプリ、ホスティング プロバイダーに、違法コンテンツを簡単に報告できるようにし、報告された内容に迅速に対応し、モデレーション統計を毎年公開することを義務付けます。
デジタル市場法とは分かりやすく説明されていますか?
アプリストア、検索エンジン、ソーシャルネットワークなどの「ゲートキーパー」プラットフォームに、何をしなければならないか(APIを公開する、アンインストールを許可する)と何をしてはいけないか(自己優先、サービスを結びつける)を指示する事前の競争法。
DSA と DMA の主な違いは何ですか?
DSAはユーザー保護のためにコンテンツの取り扱い方を規定し、DMAは公正な競争のために市場力をどのように活用するかを規定します。一方は行為を、もう一方は支配力をターゲットとしています。
DSA/DMA は EU 外でも適用されますか?
はい。EUユーザーをターゲットにしたり、その行動を監視したりする場合は、シリコンバレーやシンガポールに本社を置いている場合でも、EUの法定代理人を任命し、EUの法定代理人を任命する必要があります。
会社が規則を無視するとどうなるでしょうか?
規制当局は、世界売上高の最大 6% (DSA) または 10%/20% (DMA) の罰金を課し、日割り罰金を課し、極端な場合には EU 市場へのアクセスをブロックすることができます。
銀行および金融サービスは対象ですか?
オンライン仲介業者として活動する場合(例:マーケットプレイスやAPIレイヤーの運営)に限ります。PSD2などの業界固有の規則は、引き続き並行して適用されます。
次のステップ
DSAとDMAはすでに施行されており、これを無視すると大きな罰金が科せられる可能性があります。コンプライアンスは、他の製品リリースと同様に、体系的かつ予算を策定し、文書化して遵守する必要があります。
- すべてのデジタル サービスをマッピングし、適用される法律と階層を特定します。
- 迅速なリスクスキャンを実行し、露出度の高い部分については分析を深めます。
- 規制当局から要求される前に、予算、所有者、および 6 か月のタイムラインを割り当てます。
- すべての決定を記録し、苦情の後ではなく、早期に外部の法的レビューを受けてください。
カスタマイズされたサポートが必要ですか? Law & More これらの箇条書きを実行可能な計画に変換します。