법무법인(유) 린

LIN News

[Tech Legal Insights] 自動運転技術とデータ規制

自動運転技術は私たちの生活に安全と利便性をもたらしますが、膨大に収集されるデータに関連して、個人情報などのデータの保護と活用という課題があります。今回のTech Legal Insightsでは、自動運転技術とデータ規制の観点から国内外の動向を紹介します。１. 韓国の規制動向 • 移動型映像情報処理機器の規制：2023年9月に施行された改正「個人情報保護法」は、業務を目的として移動型映像情報処理機器を運営し、個人情報に該当する人またはその人と関連する物の映像データを収集することについて、明確な規制根拠を設けました（法第25条の2）。 • 自動運転関連個人情報原データ活用規制：自動運転自動車の商用化促進及び支援に関する法律（略称：自動運転自動車法）第20条によれば、自動運転自動車を運行する過程で収集した個人情報（位置情報を含む）の全部または一部を削除または代替し、他の情報と結合する場合においても、もはや特定の個人を識別できないように匿名処理して情報を活用する場合には、「個人情報保護法」、「位置情報の保護及び利用等に関する法律」及び「情報通信網利用促進及び情報保護等に関する法律」の適用を受けません。しかし、匿名処理という要件により、AIアルゴリズム開発に不可欠な原データの利用は依然として制限的であるため、規制サンドボックスを通じて原データの利用が許可されています。一方、昨年1月に発議され現在国会に係属中の改正案（個人情報保護法一部改正法律案、ミン・ビョンドク議員など10名）は、強化された安全措置及び情報主体の権利保障方案などを整備し、個人情報保護委員会の審議・議決を経た場合には、適法に収集した個人情報を人工知能技術の開発及び性能改善のために活用できるように許可する内容を盛り込んでおり、また、情報主体の権利侵害が発生しないよう、個人情報処理方針を通じて処理状況を事前公開し、一定規模以上の敏感情報・固有識別情報等が含まれる場合にはリスク要因評価の実施を義務付け、事後的に個人情報保護委員会が定期的に履行を点検するなど、厳格な管理・監督を行う内容を盛り込んでいます。 • 個人情報移転要求権の導入：2025年3月から個人情報移転要求権が施行され、個人が自身の情報を他の機関や企業へ直接移転するよう要求できるようになりました。これは車両データだけでなく、モビリティサービス関連の全ての個人情報に適用される可能性があります。 • 人工知能の発展と信頼基盤の構築等に関する基本法（略称：人工知能基本法）：人工知能基本法は2025年1月21日に制定され、2026年1月22日から施行されます。この法律は、AI産業の振興と信頼確保を目的として、研究開発（R&D）支援、データセンター構築、人材育成、国際協力などの産業活性化政策を推進することを規定すると同時に、高影響AI（生命・安全などに重大な影響を及ぼすAI）に対して透明性告知、安全性確保、データ記録義務を課し、違反時には最大3,000万ウォンの過怠金を規定しています。人工知能基本法は、自動運転技術企業に対し、R&D資金、データインフラ、人材育成などの政府支援を通じて技術開発と市場競争力を強化する機会を提供します。しかし、高影響AIに分類された自動運転システムは、透明性（例：AI使用告知）、安全性（例：事故予防システム）、データ記録義務を遵守しなければならないため、財政的・行政的負担として作用するでしょう。現在、施行令制定手続きが進行中です。 • 自動車サイバーセキュリティ管理システム（Cybersecurity Management System, CSMS）認証制度：自動運転車とコネクティッドカーをハッキング及びサイバー脅威から保護するために、自動車管理法（2024年2月改正、法律第18744号）に基づき導入されました。この制度は、車両メーカーが設計、生産、アフターケア段階において、リスク分析、セキュリティチップ設置、データ保管、侵害事故即時報告などを遵守するよう要求します。国際標準（UN R155、ISO/SAE 21434）に基づく韓国型CSMSとして、2024年7月から新規車種、2026年7月から全車両に適用され、2025年8月14日国土交通部令（自動車管理法施行規則一部改正、国土交通部令第1495号）により詳細基準が確定し、近く詳細な手順及び運営基準を規定する告示が制定される予定です。 2. 示唆点及び我が企業の対応戦略グローバルな自動運転の規制は、EUの包括的な事前規制、米国の市場中心的なアプローチ、そしてカリフォルニア州のような州別監督強化により、規制の断片化（Regulatory Fragmentation）現象が深刻化しています。イ．EU 1) データ法（Data Act） 2025年9月から施行予定のデータ法[Regulation (EU) 2023/2845 of the European Parliament and of the Council of 13 December 2023 on harmonized rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828]は、データのアクセス可能性と利用可能性の向上を目的としており、そのためにデータの価値を公平に分配することを中核的な内容としています。また、クラウド市場の公平性と競争を強化し、データ共有に関連する不公正な取引条件から企業を保護する措置を規定しています。データ法は個人情報と非個人情報の両方を包括する概念である「データ（data）」全体を規制対象としており、コネクテッド製品及び関連サービスの性能、利用及び環境に関するデータが含まれると明記されていることから、自動運転車企業が直接的な適用対象となることがわかります。また、企業の国籍や本社所在地ではなく、EU市場内での経済活動を基準に適用されることを規定した域外適用条項を含んでおり（第1条第3項）、韓国の自動運転車企業がEUに自動車を販売し関連データを処理する場合、EUデータ法の規定を遵守しなければなりません。具体的には、ユーザーがコネクティッド製品である車両からデータに直接アクセスできない場合、データ保有者である製造メーカーはユーザーの要求に応じて遅滞なくデータを提供しなければならず（第4条）、ユーザーが要求した場合、製造メーカーは必ず独立整備所、保険会社などユーザーが指定した第三者と関連データを共有しなければなりません。ただし、「ゲートキーパー」に指定されたプラットフォーム企業との共有は制限されます（第5条）。 2) AI法 EU AI法は包括的なAI規制法であり、AIシステムを危険度に基づき4段階に分類し、自動運転システムは最も厳しい規制を受ける「高リスク(high-risk)」AIに分類されます。ただし自動運転車の場合は、他の分野のようにAI法のハイリスクAI関連条項が直接適用されるわけではありません。これはAI法が分野別に特化した適用方式を取っているためであり、以下の通りAI法の特定条項及び付属書に明示された論理的段階を通じて確認できます。 • まず、第2条では、高リスクAIシステムのうち付属書IのセクションBに列挙された調和法の適用対象となる製品に関連する場合には、第112条（評価及び検討）のみが適用され、その他の高リスクAIシステム関連の要件は、既存の調和法の改正を通じて当該要件が統合される方式で適用されるよう規定されています。 • 付属書IのセクションBに列挙された調和法規制のうち、TAFR [Type Approval Framework Regulation, Regulation (EU) 2018/858]과 GSR [General Safety Regulation, Regulation (EU) 2019/2144]が自動運転車関連企業に適用されます。 • TAFR（車両型式承認基本法規制）は、自動車モデルがEUの全ての行政・技術基準を満たすかを事前に審査・承認する包括的な「基本枠組み」を規定し、GSR（一般安全規制）はその枠組みの中で、全ての新車に緊急制動システムや車線維持支援などの先進安全技術（ADAS）の搭載を法的に義務付ける具体的な「安全詳細規則」です。これは不必要な二重規制を回避し、既存の自動車産業の安全体制を尊重するためと見られ、結局、自動運転車関連企業はAI法の一般条項ではなく、今後TAFRとGSRに高リスクAIシステム関連要件がどのように具体化され、統合されるかに焦点を当て、これに備える必要があるでしょう。ロ. アメリカアメリカは連邦政府レベルで包括的な事前規制よりも市場主導の革新を奨励し、安全問題が発生した場合に事後的に介入する柔軟なアプローチを取っています。 1) AI実行計画 2025年7月、トランプ政権が発表した米国の「AI実行計画（America’s AI Action Plan）」は、イノベーション加速化を核心目標の一つとして明記し、AI開発及び展開を阻害する不必要な連邦規制の撤廃（Removing onerous Federal regulations）を具体的政策に含むなど、AI技術覇権競争における優位確保のため、市場主導的アプローチを一層強化していると見られます。 2) NHTSAの新たなAVフレームワーク（2025年4月発表）連邦運輸省傘下の高速道路交通安全局（NHTSA）は2025年4月、米国の革新を促進し中国との技術競争で優位を占めるための新たな自動運転車（AV）フレームワークを発表しました。ショーン・P・ダフィー運輸長官は、このフレームワークが「不要な形式的手続き（red tape）を大幅に減らし、革新を促進し安全を最優先する単一の国家基準」に向けた重要な一歩であると述べました。このフレームワークは、1) 公共道路で進行中の自律走行車運行の安全最優先事項（Prioritize Safety）、2) 不要な規制障壁の撤廃によるイノベーション促進（Unleash Innovation）、3) 米国国民の安全とモビリティ向上のための商用化の支援（Enable Commercial Deployment）という3つの核心原則に基づいています。これらの原則を実施するための最初の措置は以下の通りです。 • 衝突報告の常時一般命令（SGO）の簡素化：NHTSAは、先進運転支援システム（ADAS）および自動運転システム（ADS）を搭載した車両の衝突事故報告義務を維持しつつ、不要かつ重複する要件を排除し、核心的な安全情報に集中できるよう報告手続きを簡素化する予定です。 • 免除プログラムの国内生産車両への拡大：最大の変化は、自動運転車免除プログラム（Automated Vehicle Exemption Program, AVEP）を米国国内で生産された車両にまで拡大したことです。従来は輸入車のみに適用されていたこのプログラムは、企業が既存の安全基準を満たしていない革新的な車両を米国の道路で運行することを許可してきました。今回の措置は、米国製車両に対する規制障壁を取り除き、輸入車と対等な競争の場を設けることで、米国内の自動車技術開発を加速化するためのものです。 3. 示唆点及び韓国企業の対応戦略自動運転技術に関連するデータ規制環境は、もはや単なる参入障壁ではありません。企業は、規制の断片化が深刻化する複雑な規制環境の中で、法的リスクを最小限に抑え、技術開発段階から規制の変化に機敏に対応しなければなりません。また、規制を遵守して信頼性を高め、新たな競争優位へと転換することで初めて持続可能な成長を実現できます。 *** 法務法人(有) 麟(LIN) TMT・情報保護グループモビリティテックチームは、国内企業の規制課題に対し戦略的なワンストップ(one-stop)トータルソリューション(total solution)を提供しています。上記内容についてご質問がございましたら、いつでも法務法人(有) 麟(LIN)のTMT・情報保護グループモビリティテックチーム(Tel. 02-3477-8695)までお問い合わせください。

2025.09.08