プライバシー擁護者たちは、欧州委員会によるデジタルプライバシー法改正計画のリークを非難し、当局が適切な立法手続きを回避してビッグテックの利益を優先していると主張しています。
プライバシー団体Noybの創設者マックス・シュレムス氏は、警告しました。「欧州委員会(EC)の一部は、ブリュッセルの他のすべてを押しのけ、良い立法のルールを無視し、潜在的にひどい結果をもたらすような行動を取っているようだ」と述べました。
彼はこのアプローチをトランプ政権の戦術になぞらえ、提案は中小企業支援を装いながら、実際にはテックや広告大手に利益をもたらすものだと主張しました。
MLexが最初に報じたように、ECの提案する法改正は多岐にわたり、Noybの見解では、これにより既存のルールに多くの抜け穴が生じ、「[GDPR]がほとんどの場合において使い物にならなくなる」としています。
ECは11月19日に「デジタル・オムニバス」パッケージを導入し、AI規制、サイバーセキュリティ、データ保護、プライバシーをカバーする法令の改正を提案する予定です。
Noybが共有したリークされた提案[PDF]の概要には、既存の法律や規制に最も大きな影響を与える可能性のあるアイデアの詳細が含まれています。
提案されている変更の一つはGDPRの改正であり、プライバシー団体によれば、これにより企業が商業的利益のために個人データをより自由に利用できる抜け穴が生まれるとしています。
現行のGDPRでは、たとえ個人データが仮名化されたユーザー(例:「ジョン・ドウ」が「User12345」に変更されるなど)に紐づいていても、そのデータは識別可能な自然人のものとして扱われ、データ保護規則が適用されると定められています。
新たな提案の下では、この規定がもはや強制されず、データ管理者がユーザーの個人データ保護に対してより緩くなる可能性があります。「これはほぼすべてのオンライン追跡、オンライン広告、そしてほとんどのデータブローカーに適用される可能性がある」とNoybは述べています。
ECはまた、データアクセス権に「目的限定」を提案する可能性があり、個人が組織や企業が保有する自分のデータにアクセス、修正、削除する権利を妨げることになります。
Noybの解釈によれば、データ管理者はデータアクセス要求を拒否する権限が強化されます。「つまり、従業員が未払い労働時間を巡る労働争議でアクセス要求を使い、自分の労働時間の記録を得ようとした場合、雇用主はそれを『濫用的』として拒否できるようになります。ジャーナリストや研究者にも同じことが当てはまります。」
提案はGDPR第9条の機微データ保護(性的指向、健康状態、政治的見解など)を弱体化させ、「直接的に明らかになった場合」にのみ適用されるようにします。企業は他の情報源からこれらのデータを推測しても保護の対象外となります。
Noybは、これにより雇用主が妊娠を推測して法的保護が適用される前に従業員を解雇したり、推測された性的指向に基づいて差別したりできるようになると警告しています。
これらの措置はすべて、ECによって中小企業への行政負担軽減の手段として位置付けられていますが、シュレムス氏はこれを「世論の支持を得るための目くらまし」と呼んでいます。
これらの提案が本当に世論の支持を集めるかどうかは、ECがそれらを可決させるために必要であり、ヨーロッパ以外の政策決定にも影響を及ぼす可能性があります。
現在の米国政権は、AIなどの技術規制においてよりイノベーション推進的なアプローチを取っていますが、今月後半にECの提案がどのように受け止められるかが、将来的に同様の政策決定に影響を与えることも考えられます(少なくとも州レベルでは、過去にもそうした例があります)。
例えば、2018年に導入されたGDPRは、同年に可決され2020年に施行されたカリフォルニア州消費者プライバシー法(CCPA)に影響を与えました。
AI改革
ビッグテックやその他のEU企業は、AI法の弱体化をEUに働きかけており、昨年一部施行された後もその動きが続いています。
彼らの主張の核心は、規制がイノベーションに対して厳しすぎるというものであり、改革によってAIシステムに特別な例外が認められ、本来は正当な法的根拠が必要なデータ処理が可能になるかもしれません。
Noybの解釈によれば、「これによりグロテスクな状況が生じます。個人データが従来のデータベースやExcelシート、ソフトウェアで処理される場合、企業はGDPR第6条1項に基づく法的根拠を見つけなければなりません。しかし、同じ処理がAIシステムで行われた場合、第6条1項(f)の『正当な利益』として認められる可能性があります。」
同団体はさらに、「これは一つの(リスクの高い)技術を他のすべてのデータ処理形態よりも優遇することになり、GDPRの『技術中立』のアプローチに反する」と述べています。
提案はさらに、データ管理者がデータ保護法に準拠しやすくする一方で、人々のデータをモデルの訓練に利用できるようにする改正も盛り込まれています。
リークされた草案には、データ最小化やセーフガードの実施義務など、さまざまな保護策が盛り込まれていますが、この文脈でセーフガードが何を意味するのかは明記されていません。
Noybはまた、提案の特定の解釈によっては、企業がユーザーの個人デバイスからより多くのデータを収集し、それをビッグテックのAIモデルの訓練に利用できるようになる可能性があるとも述べています。
このようなデータは現在、GDPR第5条3項によって保護されており、これは欧州連合基本権憲章第7条(私的・家族生活、住居、通信の尊重)に裏付けられています。
「セキュリティ目的」や「集約情報」に関連するデータ収集に対する正当な利益保護が厳格に定義されなければ、AI企業によって広く解釈され、データ主体のデバイスに対する過剰な検索につながる可能性があると、プライバシー活動家たちは主張しています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/11/eu_leaked_gdpr_ai_reforms/
