多くの市民社会組織は、EU委員会が一般データ保護規則(GDPR)を再び見直す計画に不満を示しており、この文書はEUのデジタル規則体系の礎として位置づけられるべきだと主張している。
2025年3月、民主主義・司法・法の支配・消費者保護担当のEU委員(コミッショナー)であるマイケル・マクグラス氏は、小規模事業者の負担を軽減するため、委員会がGDPRの簡素化を検討していると発表した。
同委員は、今後の簡素化の取り組みは、GDPRの基本原則を維持しつつ、従業員500人未満の中小企業(SME)および同様の組織に対する記録保持義務の軽減を狙うものだと述べた。
年内後半に発表される予定のこの取り組みは、現在交渉中の、GDPRの執行手続を変更することを目的とした別の一連の提案とは異なる。
この取り組みは、シンクタンクである欧州政策研究センター(Centre for European Policy Studies)など一部の欧州組織から歓迎され、同センターは2025年2月のブログ投稿で、「個人情報の保護と、イノベーションおよび社会的便益のためにデータを活用する必要性とのバランスを取る、実務的な改正」を求めた。
しかし、この簡素化は多くの他の関係者から強い批判も受けている。
市民社会はGDPR再開に反対して闘う
マクグラス委員および、技術主権・安全保障・民主主義担当のEU委員会執行副委員長であるヘンナ・ヴィルックネン氏宛ての公開書簡で、108の団体および個人が、GDPRに手を付けないよう求めた。
5月19日に公表されたこの書簡の署名者には、市民社会組織(Access Now、アムネスティ・インターナショナル、European Digital Rights、Noyb…)、企業(Mozilla、Proton、Tuta Mail…)、学術関係者、労働組合が含まれていた。
書簡の中で、108の署名者は、中小規模の組織を支援するためにGDPR内の一部規定を修正するという考えは「理論上は良い」と認めた。
しかし、改正がGDPRの中核にある説明責任の原則を損なうリスクがあることを懸念している。
「実際には、[提案されている変更]により、一部の企業が、従業員数や売上高だけを根拠に、(特別カテゴリーのデータを取り扱っている場合であっても)データ処理の記録を保持しないで済むようになり得る」と著者らは警告した。「この転換は、しばしばGDPRの『リスクベース・アプローチ』と呼ばれるもの、すなわち企業規模ではなく、人々の権利と自由に対する潜在的な害に応じて義務を調整する仕組みを損なう。」
基本的人権としての個人データ保護
書簡は、提案されている変更が、GDPRの下で現在認められている基本的人権としての個人データの重要性を低下させるおそれがあることへの懸念を示した。
「管理者が小規模であってもデータの権利が重要でなくなるわけではなく、人々が害を受けやすいという脆弱性もそれに応じて小さくなるわけではない」と著者らは強調した。「競争力は重要だが、それを中核的な保護からの適用除外を正当化する理由として用いることは、憂慮すべきメッセージを送る。すなわち、経済的利益がかかると人々の権利は使い捨てにできる、ということだ。」
最後に署名者らは、GDPRを再び開くことが、将来の規制緩和へとつながる滑りやすい坂道を招き、規則の強度をさらに弱める可能性があると警告した。彼らは経験上、規制緩和の取り組みは小さな微調整で止まることはまれで、むしろ規則の有効性を損なうより大きな変更につながり得ると注意を促した。
法令を再び開くのではなく、公開書簡の著者らは、EU委員会が「現在の実施上の課題は、規制緩和ではなく、明確さを伴う効果的な執行によって解決できる」ことを認識するよう勧告した。
「GDPRは単なる規則ではない。EUのデジタル規則体系の背骨であり、高い基準を定め、データ駆動の世界において人々の尊厳を守る、苦闘の末に勝ち取られた立法上の成果だ。その影響はEUの国境をはるかに超えて及び、世界のデジタル・ガバナンスに影響を与えている」と彼らは付け加えた。
翻訳元: https://www.infosecurity-magazine.com/news/civil-society-defends-gdpr-data/
