ニュース
2025年11月10日5分
政府法律と規制市場
プライバシー団体は、これらの変更が中核的な保護を損なう可能性があると警告する一方、欧州委員会は、コンプライアンスの簡素化とイノベーションの支援を主張しています。
欧州委員会は、クッキートラッキングからAIモデルの学習に至るまで、企業が個人データを取り扱う方法を再定義する可能性のある、一般データ保護規則(GDPR)の大幅な改正を準備しています。プライバシー擁護者は、これによりEUのプライバシー基盤が弱体化する恐れがあると警告しています。
ドイツのアドボカシー団体Netzpolitik.orgが報じた流出草案によると、委員会の今後の「デジタル・オムニバス」パッケージでは、ウェブサイトがトラッキングクッキーを設定する前に明示的な同意を求める義務を廃止し、企業の「正当な利益」によって正当化される場合には、個人データによるAI学習を明示的に認めるとされています。
この提案は、11月19日に正式発表される見込みです。
草案では、GDPRに「端末機器上および端末機器からの個人データの処理」を対象とする第88a条を導入し、クッキー規制をeプライバシー指令からGDPR本体に移すことになります。
現在、eプライバシー指令第5条第3項は、ウェブサイトがユーザーのデバイスに必須でないクッキーを保存またはアクセスする前に明示的な同意を得ることを義務付けています。委員会は、これにより法的な不確実性や、各国当局による重複した監督による「高いコンプライアンスコスト」が発生していると主張しています。
提案された変更の下では、ウェブサイトは「リスクの低い目的の閉じたリスト」またはGDPRのいずれかの法的根拠(正当な利益を含む)に基づいてクッキーによるデータを処理できるようになります。これは、オプトインからオプトアウト型のトラッキングへの大きな転換となります。
ユーザーに事前に許可を求める代わりに、企業はデフォルトでユーザーをトラッキングできるようになり、個人は後から異議を唱えることになります。
「同意はデータ主体のコントロールを確保するために必要ですが、その後の処理においては常に最も適切な法的根拠とは限りません」と草案は述べています。「さらに、eプライバシーとGDPRの二重体制により、2つの法的枠組みの規則を監督する権限が異なる国の当局に分かれていました。」
プライバシー団体は、委員会が「クッキー疲れ」を口実にプライバシー基準を緩和しようとしていると指摘しています。
「GDPR、eプライバシー枠組み、AI法はイノベーションの障害ではなく、ヨーロッパの人間中心のデジタルモデルの基盤です」とEuropean Digital Rights(EDRi)は10月のブログで書いています。「しかし、整合性を口実に、委員会はeプライバシー保護を弱める用意があるようです。」
草案はまた、第88b条を概説しており、技術基準が定義され次第、ブラウザやオペレーティングシステムがユーザーの同意設定を自動的に送信することを義務付け、現在のクッキーバナーの波を段階的に廃止する可能性があります。
ただし、メディア企業には例外があります。報道機関は明示的な同意を引き続き求めることができ、委員会はこれをジャーナリズムの「経済的基盤」を守るためと正当化しています。
AI学習にゴーサイン
この提案は、EUのプライバシー法で最も議論を呼んでいる問題の一つ、すなわち企業が個人データを使ってAIシステムを学習させることができるかどうかに直接言及しています。
草案では、AIの学習、テスト、検証は、企業がデータ最小化、透明性、無条件の異議申し立て権などの保護策を講じる限り、GDPRの「正当な利益」根拠で実施できるとしています。
「AI学習のための個人データの処理は、したがって正当な利益の目的で実施することができます」と草案は述べ、開発者はその学習が「データ主体および社会全体にとって有益」であることを保証しなければならないと付け加えています。
委員会は、バイアスの検出や正確なモデル出力の確保などを「有益な」目的の例として挙げています。
しかし、プライバシー弁護士は、AI処理に正当な利益を適用することで、個別の同意なしに大規模なデータマイニングが可能になり、GDPRが本来防ごうとしていた事態が起こりうると指摘しています。
草案はまた、AIデータセットに偶発的に含まれる特別カテゴリー(機微)データについて、除去に「過度な労力」が必要な場合は、その利用や開示を防ぐ保護措置の下で保持できるという限定的な例外も導入しています。
機微データ保護の範囲が縮小
もう一つの議論を呼ぶ変更として、この提案はGDPR第9条における機微データの定義を狭めるものです。より強い保護は、人種、宗教、健康などの特性を直接明らかにする情報にのみ適用され、分析や推論によってそれらの特性が示唆されるデータは除外されます。
「第9条第1項に列挙されたほとんどの種類の個人データについては、データ自体が本質的に機微でない場合、重大なリスクはありません」と草案は述べています。
批評家は、これにより企業が一見中立的なデータから性的指向や政治的意見などの保護対象特性を推論しても、高度な法的保護が発動されなくなる可能性があると警告しています。
欧州法研究所は、10月14日のフィードバックで、GDPRの限定的な更新が必要な場合もあると認めつつ、「改善は基本的権利の保護を犠牲にしてはならない」と警告しました。
提案された変更は、ヨーロッパ全体の企業のデータガバナンスを大きく変える可能性があります。企業は、ほとんどのトラッキングクッキーに対して同意管理システムを必要としなくなりますが、「正当な利益」に基づく処理を正当化するための詳細な文書化が求められるようになります。
European Digital Rightsネットワークは、この協議を「設計による排除」と批判し、「極めて短い」スケジュールと「ほぼ業界の声だけに焦点を当てた」現実的な検証しかなかったと述べています。
委員会はコメントの要請にすぐには応じませんでした。
