2026年4月29日、欧州委員会は[DPP登録簿に関する実施規則案](https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14382-Digital-product-passport-rules-for-service-providers_en)を公表するとともに、4週間にわたる意見募集期間を開始しました。 2026年5月27日まで、EU内外のあらゆる個人および組織が、「Have Your Say」ポータルを通じて意見を提出することができます。提出された意見は公開され、それぞれに氏名または組織名が明記されており、規則の最終版に正式に反映されます。
当ブログでは、この草案についてすでに詳しく取り上げてきました。本記事では、私たちが欧州委員会にどのような意見を提出したかについて解説します。
なぜ4件の別々の意見提出を行ったのか
このポータルでは、1件あたりの投稿文字数制限が4,000文字となっています。すべての論点を1つの長い投稿に詰め込むことも可能でした。 しかし、5月に数十件もの意見書を精査する委員会の担当者にとって、それは読みづらく、引用も困難だったでしょう。4件の個別の意見書であれば、公開リスト上でそれぞれ個別に検索可能であり、他の論点に影響を与えることなく、各意見書に対して個別に回答(あるいは却下)を行うことができます。
私たちは以下の4つのテーマを提出しました:
1. DPPサービスプロバイダーに対する最低要件の定義
規則案は、 分散型モデルを正しく規定しています: DPPデータは事業者またはそのDPPサービスプロバイダーが管理し、欧州委員会の登録簿には参照情報のみが保存されます。DPPサービスプロバイダー(ESPR第2条第32項)については、認可されたプロバイダーの公式リストが設けられています。
欠けているのは、サービスプロバイダーがこのリストに掲載され、かつその地位を維持するために実際にどのような要件を満たさなければならないかという規定である。おそらく、実質的な義務については、ESPR基本規則第4条に基づく委任法令で規定されることになるだろう。しかし、登録簿の運用は、この法令が公布される前に開始される。
私たちの提案は、この実施規則にサービスプロバイダー向けの最低基準を直接明記するか、あるいは委任法規が提出されるまでの拘束力のある期限を明示することです。提案される最低要件には、以下のものが含まれます:
- 公開DPP読み取りインターフェースの月間可用性が99.5%以上であること
- 新しいDPPバージョンがバックアップに反映されるまでの所要時間を定めたサービスレベル契約(提案:24時間以内、または技術的に可能な場合はリアルタイム)
- サービスプロバイダーによる受信バージョンの暗号学的検証の義務化
- 経済主体の公開鍵を標準化されたパス(RFC 8615、提案:
/.well-known/dpp-keys/)の下で公開すること - プロバイダーのサービス停止時に、DPPデータが秩序立てて別のプロバイダーへ移行できるよう、明確な切り替えおよび破産処理プロセスを定義すること
これらの義務は、信頼できるプロバイダーにとってはコストを要しない(そもそも当然満たしているものだから)が、安価なプロバイダー間の過度な価格競争を防ぎ、結果としてリストの信頼性を損なう事態を回避する。
2. 登録済みDPPの長期的な検証可能性
第9条(4)は、登録証明書の有効期間を90暦日と定めている。この期間内であれば、登録機関は要請に応じて証明書を再発行する。 これは日常の運用上は問題ないが、その背景にあるDPP義務のライフサイクルとは整合しない。第10条(3)は、標準的な保存期間を登録日から10年間と定めており、セクターごとの法令ではこれより長い期間を要求する場合もある。
2032年の時点で、市場監視当局、税関職員、リサイクル業者、あるいは研究者は、2026年に登録されたDPPが実際に登録されていたことを、元の経済主体が依然として存在し、新たな証明書を請求できることに依存することなく、確認できるべきである。
以下の2つの提案は、実施上の負担が軽いものです:
- 委員会によって適格に封印された証明バイトについて、経済主体またはサービスプロバイダーによる一時保存、アーカイブ、および再配布が許可されていることを明示的に明確化する。 eIDAS規則第35条(2)に基づく適格な電子印章は、バイトがどこに保存されているかに関わらず、完全性および出所の推定を伴います。
- 登録機関に、登録IDに対して署名付き応答を返す、公開された非認証の検証エンドポイントを設けること。現在、第三者による検証を行うには、経済主体が能動的に行動することが前提となっていますが、これは発行者よりも長く存続しなければならない証明文書としては不適切な形式です。
さらに、 ハッシュ生成を決定論的に規定することを提案した: ハッシュ関数としてSHA-256、シリアライゼーションとしてJSON Canonicalization Scheme (RFC 8785)を採用し、署名ブロックの外側に配置する。 W3Cエコシステムにおいて、これはCryptosuite eddsa-jcs-2022に相当し、TranspareoはこのCryptosuiteを使用して直接署名を行います。 このピンニングの指定がなければ、2つのサービスプロバイダーが同じDPPを異なるハッシュにシリアライズすることになり、登録証明書内のハッシュフィールドは再現不可能となります。
3. 第17条は、公開DPPデータへのアクセスを制限してはならない
第17条は、登録簿の悪用例として「大量のデータダウンロード」を挙げている。登録簿自体に含まれる管理メタデータ(ID、ログ、監査証跡)については、その指摘は正しい。これらは大量ダウンロードの対象となるべきではない。
しかし、 製造業者やサービスプロバイダーが保有する公開DPPデータこそが、ESPRが広くアクセス可能にしようとしている領域そのものです。製品群に関する組成データを抽出するリサイクル業者、持続可能性に関する主張を横断的に評価する研究、 比較分析を行う市場監視――これらはすべて、公開DPP層に対する「大規模データダウンロード」の一形態であり、同規則が制定された目的そのものである。
私たちの提案は、第17条に明確化のための文言を追加し、適用範囲を登録データに限定するとともに、DPPデータについては各セクター固有の委任法令に言及することです。 そうしなければ、サービスプロバイダーはサービス開始時に選択を迫られることになる。安全を期して公開アクセスに厳しいアクセス制限を設け、消費者体験を損なうか、あるいはアクセスを開放したままにし、後に第17条の意味での「悪用」とみなされるリスクを負うかのどちらかである。
4. サービス開始前にOpenAPI仕様とサンドボックスを公開する
第3条(b)は、登録用のAPIを義務付けている。第8条(5)は、これを登録のための2つのチャネルのうちの1つとしている。しかし、この規則では、API契約がいつ公開されるかについては何も規定されていない。
登録ワークフローを自動化する者――大規模なカタログを持つすべてのサービスプロバイダーや経済主体――は、実装を行い、実際のエンドポイントに対してテストを行うために、サービス開始のかなり前にAPI仕様書が必要となる。 施行の1週間前に仕様書が公開されることになれば、統合に伴うリスクはエコシステム内のすべてのプロバイダーに転嫁されることになる。
そこで、我々は以下の提案を行いました:
-施行の少なくとも8週間前までに OpenAPI 3.1仕様を公開すること――2026年7月19日の開始の場合、2026年5月24日まで - サービスプロバイダーやメーカーが並行して統合を行い、第8条(6)に基づく自動検証をテストできる サンドボックス環境の提供 - Semverに基づく バージョン管理ポリシー、および少なくとも18ヶ月の廃止予告期間の設定
その他の設計上の提案:登録呼び出しにおけるイデポテンシーキー、大規模なカタログ向けのバッチ登録、Webhookコールバックを用いた非同期登録、および自動検証のエラーケースに対する機械可読なエラーコード。
なぜこれを行うのか
パブリックコンサルテーションは、単にポイントを稼ぐためのゲームではありません。提出された意見の一つひとつが、最終版における単一の文をより正確にすることに貢献できれば、その目的は達成されたことになります。 委員会は実際にこれらの投稿を読んでいます。ESPRプロセス自体の経験からも、技術的に裏付けられた意見が最終的な文書に反映されることが頻繁にあることが分かっています。
いずれにせよ、登録手続きが公表され次第、私たちはDPPサービスプロバイダーのリストへの登録を申請する予定です。 したがって、私たちが参加する上でのルールが明確であり、公平な競争の場が定義されることは、私たちにとって直接的な利益となります。これら4件の意見提出は、リストが単なるマーケティング上のラベルに堕することのないよう確保するための、私たちの具体的な取り組みです。
参加をご希望の方へ
フィードバックの受付期間は2026年5月27日までです。意見はEUの公用語のいずれかで提出可能ですが、ポータルへの登録が必要であり、提出された内容は公開されます。 DPPを発行または検証する主体(製造業者、サービスプロバイダー、リサイクル業者、行政機関など)は、少なくとも一度はHave Your Say を通じて、このイニシアチブについて少なくとも一度は目を通すべきです。簡潔で専門的に正確な意見も、大きな助けとなります。
当社の検証ツール Transpareo Time Machine は、ちなみに、項目2で触れた検証の必要性を、オープンソースの実践の場ですでに解決しています。Transpareo-DPPを独立して検証したい場合は、欧州委員会の登録簿に正式に確立された検証エンドポイントを待つことなく、このツールを使って今すぐ検証を行うことができます。