DMA:EUの新しい反トラスト法がもたらすセキュリティへの影響
デジタル市場法 vs ゲートキーパー - バランスの取り方
少数の大手ハイテク企業が世界中のデジタル市場を支配しており、中小企業が市場に参入することを困難にしています。EUは、デジタル市場法(DMA)を通じて、彼らの独占を抑制し、EU市民が自分のデータをよりコントロールできるようにするという困難な課題に直面していますが、そこにはキャッチがあります...。
デジタル市場法とは?
デジタル市場法(DMA)は、欧州委員会が定めた一連の規制です。欧州連合内のデジタルビジネス事業者で、ゲートキーパーとして認定される基準を満たした事業者に適用されます。この規制の目的は、欧州単一市場でサービスを提供するためにゲートキーパーに依存する事業者に、より公平な環境を提供することにあります。
簡単に言うとゲートキーパーとされる大手ハイテク企業は、より公平な競争のために、自社のプラットフォームを中小の競合他社に開放しなければならない。
この新しい法律は、技術系新興企業が、プラットフォームが課す不公正な条件に従うことなく、オンラインプラットフォーム環境で競争し、イノベーションを起こせるようにすることを意図しています。このような条件は、企業の発展を制限し、消費者に製品を届ける機会を減少させることになります。一部の人間の手にあまりにも大きな力があると、イノベーションが阻害され、公正な競争が制限されます。
同時に、欧州委員会は、この新しい措置が、より健全な競争環境の結果として、消費者が選択できる選択肢を増やし、サービスへの直接アクセスを可能にし、価格をより公正にし、プロバイダーを変更しようと思えばより多くの機会を与えることにつながると確信している。
欧州委員会は、ゲートキーパーが現在持っている技術革新や新サービス提供の機会をすべて維持できるようにしながら、これを達成することを目標としている。しかし、ゲートキーパーは、ビジネスユーザーに対しても、ゲートキーパーに依存している顧客に対しても、自分たちに有利なように不公正な慣行を用いることはもはや許されないだろう。また、EUにおける現在の規制の分断は、国境を越えて活動するプラットフォームにとって、しばしばコンプライアンスコストの増大を意味するが、新しい統一法はこの問題の解決にも役立ち、ゲートキーパーにとってより法的確実性をもたらすことになるであろう。
デジタルサービス法とは?
新しいデジタルサービス法(DSA)は、EU全域に適用される単一のルールであり、欧州委員会と加盟国がそれぞれの行動を調整できる仕組みになっています。その主な目的は、オンラインで流通している違法な商品、コンテンツ、サービスに対処することです。その内容は以下の通りです:
- ユーザーがそのようなコンテンツにフラグを立て、プラットフォームが「信頼できるフラグ作成者」と協力するための措置。
- オンラインマーケットプレイスにおけるビジネスユーザーのトレーサビリティに関する新たな義務。
- プラットフォームのコンテンツモデレーション決定に対する異議申し立ての可能性を含む、ユーザーに対する効果的なセーフガード
- EU人口の10%以上にリーチする超大型プラットフォームに対する、システムの悪用防止義務
- 障害者のためのプラットフォームのアクセシビリティ向上
- オンラインプラットフォームにおける子供向け(またはユーザーの特別な特徴に基づく)ターゲット広告の禁止
- オンライン広告のユーザー向け透明性、推薦に使用されるアルゴリズムに関する透明性など、オンラインプラットフォームに対する透明性対策。さらに、当局や研究者は、主要なプラットフォームに関するデータにアクセスし、その仕組みを精査することができるようになる。
- オンライン空間の複雑さに見合った監視体制。加盟国は、デジタルサービスに関する新しい欧州委員会(European Board for Digital Services)の支援を受けながら、主要な役割を担う。非常に大規模なプラットフォームについては、欧州委員会が監督と執行を行う。
- 小規模および零細企業は、最もコストのかかる義務を免除されるが、競争上有利なベストプラクティスを適用することは自由である。
- プラットフォームやその他の仲介者は、違法行為に気づいていてそれを削除しなかった場合を除き、ユーザーの違法行為に対して責任を負うことはない。
ゲートキーパーに該当するのは誰か?
DMAは、強い経済的地位を持ち、域内市場に大きな影響を与え、複数のEU諸国で活動する(EUに拠点を置くかどうかにかかわらず)大規模なオンラインプラットフォームをゲートキーパーと定義しており、大規模なユーザーベースと多数の企業を結び付けている。さらに、このようなプラットフォームは、長期的に安定している場合のみゲートキーパーとして認定されます。つまり、過去3年間の各会計年度において、以前の基準を満たしていることを意味します。
当然ながら、この基準を満たすのは、市場に不釣り合いな影響を与える一握りのビッグテック・プラットフォームだけです。
Google / Alphabet Inc.、Apple、Microsoft、Amazon、Metaといった企業がゲートキーパーとして認定されることになります。
例えば、DMAの下では、Amazonは、プラットフォームがホストしている独立したベンダーの製品よりも自社の製品を優先することを止めなければなりませんし、Googleは、ユーザーの明確な同意なしに、マップやYouTubeなどのサービスからデータを収集し、Google検索のデータと組み合わせることを許されなくなるのです。
DMAの現状はどうなっているのか?
**DMAは2023年5月に発効する予定です。**その後、4ヶ月の間に、コアプラットフォームサービスを提供する企業は、ゲートキーパーに該当するかどうかを欧州委員会に明らかにし、基準を満たした企業は、決定を受け取ってからさらに6ヶ月間、DMAに記載された義務の遵守を確認することになります。相反するニーズのバランスを取るため、欧州委員会は、ゲートキーパーのコンプライアンスについて利害関係者から意見を得るための技術ワークショップを開催している。
**ゲートキーパーが6ヶ月の猶予期間を経て新規制を遵守しない場合、全世界の年間総売上高の10%、または違反が繰り返される場合は20%の罰金が課され、1日の平均売上高の5%を上限とする定期的な罰金支払いが発生する可能性があります。**さらに、組織的な侵害の場合、市場調査の後、ケースバイケースでゲートキーパーに他の救済措置が課されることもあり、これには事業(の一部)の売却などの構造的な救済措置が含まれます。
欧州議会と欧州理事会の交渉担当者が暫定的に合意した文書は、ソーシャルネットワーク、メッセンジャー、ブラウザ、検索エンジンなど、いわゆる「コアプラットフォームサービス」を提供し、時価総額750億ユーロ以上、過去3年間の欧州売上高75億ユーロ以上、コアプラットフォームが4500万欧州ユーザーを数える大企業を対象としています。
ゲートキーパーにとって、新しいルールはどのような意味を持つのでしょうか?
ゲートキーパーは次のことをしなければなりません。
- 特定の状況において、第三者がゲートキーパー自身のサービスと相互運用することを許可する。
- 自社のビジネスユーザーが、プラットフォーム上で生成した利用データにアクセスできるようにする。
- プラットフォーム上の広告主や出版社が、自らのコンテンツをよりコントロールできるようにする。
- ゲートキーパーのビジネス・ユーザーが、ゲートキーパーのプラットフォームの外で、自社製品の販売促進や顧客との契約締結を行うことができるようにする。
また同時に、ゲートキーパーは、自社の製品やサービスを、自社のプラットフォーム上でホストされている独立したセラーが提供するものよりもランキングの面で優遇したり、ユーザーがプリインストールされたアプリやソフトウェアをアンインストールできないようにしたり、自社の様々な部門からデータをプールしたりすることができなくなり、プライバシーという観点から最も重要なのは、エンドユーザーの明確な同意なしにゲートキーパーがプラットフォーム外でターゲット広告用にトラッキングすることができなくなることです。
規制一式は欧州連合官報に掲載され、多言語で閲覧可能です。
セキュリティへの影響は?
規制案のほとんどは素晴らしいニュースですが、セキュリティ上の懸念を抱かせる2つの対策案があります:DMAの相互運用性要件とDSAの透明性要件です。
DMAの相互運用要件とDSAの透明性要件です。- また、どのようなデータを共有する必要があるのかも不明です。相互運用性については、「特定の状況において」という曖昧な表現があるものの、WhatsAppやFacebook Messengerなどのメッセージングアプリは、Signalなどのサービスと相互運用性を持たなければならず、エンドユーザーがメッセージを交換したり、ファイルを送信したり、電話をかけたりできるようにしなければならないということです。当然ながら、これらのサービス間には暗号化プロトコルやプライバシーポリシーの面で大きな違いがあるため、Signalのユーザーがクロスプラットフォームのメッセージや通話を送受信する場合、これまで享受してきたエンドツーエンドの暗号化やPerfect Forward Secrecyを損なうことになるのではないかとの声が多く聞かれます。共同立法者は、将来的にソーシャルネットワークの相互運用義務も評価することで合意しました。
また、ゲートキーパーのアプリストアが、これらのプラットフォームを通じてアプリを配布することを許可された開発者の審査を弱めざるを得ないという意図せざる結果も考えられます。Positive Technologiesのレポートでは、現在の標準が適用されている場合でも、iOSアプリの38%、Androidアプリの43%に「高リスク」に分類される脆弱性があることが判明しています。これらの脆弱性は、プライバシーリスクだけでなく、民間または国家が運営する悪意のあるハッカーに対して、ユーザーをより脆弱にするものです。
適切な検討なしにデジタルプラットフォームを開放し、データ共有を強制すれば、「悪意のある主体」が「経済的、あるいはさらに悪いことに軍事的なサイバー戦争を仕掛ける」ことが可能になるとの懸念も表明されている。文脈上、引用した著者であるビョルン・ルンドクヴィスト教授は著名な競争法学者であるが、CEPAはDMAのターゲットであるAmazon Web Services、Google、Microsoftといった複数の組織から資金提供を受けていることに留意する必要がある。しかし、だからといって、こうした懸念が否定されるわけではありません。
セキュリティリスクの多くは、この法律の「ビジネスユーザー」の定義に起因する。この定義は現在非常に広範で、コアプラットフォームを通じてビジネスを拡大しようとする小規模事業者だけでなく、データアクセス規則を利用してゲートキーパーからデータを取得できる非友好的な法域に由来する企業や政府さえも含まれるのである。
現行バージョンのDMAがどのように利用されるかを示す最悪のシナリオとしては、GoogleがロシアのYandexや中国のAlibabaを含むライバルとヨーロッパの検索データを共有することを余儀なくされることが挙げられます。アマゾンのクラウドサービスやアレクサ、アップルやアンドロイドのカーシステムで収集されるすべてのデータを考慮すると、リスクはさらに高くなる。そもそも、どの企業もこれだけのユーザーデータを収集し、保持することを許していること自体、とんでもないことだとも言えそうですが...。
こうしたリスクを軽減するための第一歩は、データアクセスルールを利用できる人をより明確にし、エンドユーザーや中小企業だけに力を与えるようにすることです。理想的な世界では、ゲートキーパーが保存できるデータの種類に制限を課すことで、悪意のあるアクターがそのデータにアクセスする場合のセキュリティリスクも低くなります。
DMAは、エンドツーエンドの暗号化を維持すべきとしているが、暗号を破らずに相互運用性を実現する技術的な解決策を見つけるには時間がかかる(Metaは2019年3月にWhatsAppとMessengerを相互接続したいと発表したがまだできていない)ので、欧州委員会はこれが正しく行われるように、期限を適宜調整する必要がある。
さらに、ロシアや中国のメッセージングアプリからの要求のように、ユーザーのセキュリティを危うくするような相互運用性の要求に対して、ゲートキーパーが正当な異議を申し立てる方法を確保する必要がある。現行法では、公共の安全という特定の理由による免除が規定されていますが、この免除が必要なスピードと柔軟性をもって適用されるようにすることが極めて重要なのです。
また、電子フロンティア財団が助言しているように、DMAは**「クライアント側のアプリでメッセージをスキャンしたり、チャットに『ゴースト』参加者を追加したりするなど、あらゆる手段でエンドツーエンド暗号化の約束を破る」メッセージングサービスが「相互運用性を要求**」できるように明示的に禁止する必要があります。
現行の法律では、ゲートキーパーはセキュリティを維持するために「厳密に必要かつ適切な」措置を講じることができる。欧州委員会は、一連の技術ワークショップを通じて、現行の法文に対する意見を得ることを目的としている。技術的なレベルで最終決定し、弁護士や言語学者によるチェックを受けた後、議会と理事会の双方による承認が必要となる。
自分たちの利益に影響する規制を遅らせたり回避したりしたいだけのデジタルゲートキーパーの要求に抵抗することと、正当なセキュリティ上の懸念に対処することの間で、適切なバランスが取れることを願っている。
