TokyoBlackHatNews

csoonline.com 5分で読了

EU委員会、AIとクッキートラッキングに関するGDPRの緩和を検討

欧州委員会がGDPRの大幅な改正を準備中。データ保護団体が警鐘を鳴らす。

Image
データ保護団体によれば、EU委員会が提案する「デジタル・オムニバス」パッケージによる改正はGDPRを危険にさらす。

Alicia97 – shutterstock.com

ドイツの市民団体Netzpolitik.orgが報じた流出草案によると、EU委員会の「デジタル・オムニバス」パッケージは、一般データ保護規則(GDPR)を大幅に変更することになる。この提案は2025年11月19日に正式発表される予定だ。しかし、データ保護団体はこれがGDPRを弱体化させるのではないかと懸念している。

データ保護法専門家のマックス・シュレムスは、提案されている改革の多くの要素が欧州司法裁判所(ECJ)の判例や欧州条約、欧州基本権憲章に違反すると指摘している。「これはGDPR施行以来、ヨーロッパ市民のプライバシーに対する最も過激な攻撃となるだろう。」

クッキーはGDPRの対象に

草案では、GDPRに第88a条を追加し、「エンドデバイス上およびエンドデバイスからの個人データの処理」をカバーすることになっている。これにより、クッキー規制がeプライバシー指令からGDPRに移行される。

現在、eプライバシー指令第5条第3項は、ウェブサイトがユーザーのデバイスに必須でないクッキーを保存またはアクセスする前に明示的な同意を得ることを義務付けている。

委員会は、これは各国当局の権限が重複することで法的な不確実性や「より高いコンプライアンスコスト」につながったと主張している。

提案された改正後は、ウェブサイトは「リスクの低い限定的な目的のリスト」や、GDPRに基づく他の法的根拠(正当な利益を含む)に基づいて、クッキーで収集されたデータを処理できるようになる。これは、オプトインからオプトアウト型のトラッキングへの大きな転換を意味する。

事前にユーザーの同意を求める代わりに、企業はデフォルトでユーザーをトラッキングし、後から個人が異議を申し立てることができるようになる。

「確かに、同意は関係者のコントロールを保証するために必要だが、その後の処理において常に最適な法的根拠とは限らない」と草案には記されている。「さらに、eプライバシー指令とGDPRの二重体制により、両法枠組みの監督が異なる各国当局の管轄となった。」

データ保護団体は、委員会が「クッキー疲れ」を口実にデータ保護基準を緩和しようとしていると非難している。

「GDPR、eプライバシー枠組み、AI法はイノベーションの障害ではなく、ヨーロッパの人間中心のデジタルモデルの基盤だ」と市民権団体European Digital Rights(EDRi)は2025年10月のブログ投稿で述べている。「しかし、整合性を口実に、委員会はeプライバシー保護を弱体化させる用意があるようだ。」

草案には第88b条も含まれており、技術標準が定義され次第、ブラウザやOSがユーザーの同意設定を自動的に送信することを義務付けている。これにより、現在のクッキーバナーの氾濫が解消される可能性がある。

ただし、メディア企業には例外規定がある。報道機関は引き続き明示的な同意を求めることができ、委員会はこれを「ジャーナリズムの経済的基盤」の保護と説明している。

AIトレーニングにゴーサイン

さらに、改正案はEUデータ保護法で最も議論を呼んでいる問題の一つ、企業が個人データを使ってAIシステムをトレーニングできるかどうかに直接言及している。

草案では、企業がデータ最小化、透明性、無条件の異議申し立て権などの保護措置を講じる限り、「正当な利益」に基づいてAIのトレーニング、テスト、検証が可能になるとしている。

「AIトレーニングのための個人データの処理は、正当な利益の目的で実施できる」と草案には記されており、開発者はトレーニングが「関係者および社会全体にとって有益であること」を保証しなければならないと付け加えている。

委員会は、バイアスの検出や正確なモデル結果の確保が「有益な」目的の例であるとした。

しかしデータ保護弁護士は、AI処理に正当な利益を根拠とすることで、個別の同意なしに大規模なデータマイニングが可能となり、GDPRが本来防ごうとしていた事態を招くと警告している。

草案はまた、AIデータセットに偶発的に含まれる特別カテゴリー(機微)データについて、限定的な例外を設けている。こうしたデータの削除に「過度な負担」がかかる場合、企業はその利用や開示を防ぐ保護措置の下で保持できる。

機微データの保護が制限される

提案のもう一つの議論点は、GDPR第9条における機微データの定義を制限することだ。より強い保護は、情報が直接的に出自、宗教、健康などの属性を明らかにする場合にのみ適用され、分析や推論によってこれらの属性が示唆されるデータは除外される。

「第9条第1項に記載されたほとんどの種類の個人データについては、データが本質的に機微でない限り、そのような重大なリスクは存在しない」と草案には記されている。

批判者は、これにより企業が一見中立的なデータから性的指向や政治的意見などの保護される属性を推定できるようになり、より高い法的保護が適用されなくなると警告している。

European Law Instituteは2025年10月14日の声明で、GDPRの限定的な改正が必要な場合もあると認めつつ、「改善は基本権の保護を犠牲にしてはならない」と警告した。

提案された改正は、欧州全体の企業のデータ管理を大きく変える可能性がある。企業はほとんどのトラッキングクッキーについて同意管理システムを必要としなくなるが、「正当な利益」に基づく処理を正当化するための詳細な記録は維持しなければならない。

European Digital Rights Networkは、この協議が「設計段階から排除的」で「極めて短い」期限と、ほぼ「産業界の声だけに焦点を当てた」現実チェックであったと批判した。

翻訳元: https://www.csoonline.com/article/4088083/eu-kommission-will-dsgvo-fur-ki-und-cookie-tracking-lockern.html

ソース: csoonline.com
#AIデータ保護 #AIと個人情報 #AIプライバシー #AI規制 #außereuropäische Produkte #DSGVO #ePrivacy Directive #クッキートラッキング #欧州委員会 #法改正

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く