EUのGDPR・AI法改革案、プライバシー活動家は「ビッグテックの思惑に乗るもの」と批判

佐々山 Tacos

2025.11.12

EUのGDPR・AI法改革案、プライバシー活動家は「ビッグテックの思惑に乗るもの」と批判

The Register – Tue 11 Nov 2025

欧州委員会（EC）からリークされたデジタルプライバシー法改正計画をめぐり、プライバシー擁護団体は「GDPRの核となる原則を破壊」するものだと非難し、当局が適切な立法手続きを迂回してビッグテック企業の利益を優先させていることについても批判しているという。

ECは11月19日に「デジタルオムニバス」パッケージを正式に発表する計画で、GDPRの改正も同パッケージの一部。デジタルオムニバスは、AI、サイバーセキュリティ、データ保護、プライバシーに関する法運用や規制の簡素化を目指すもので、中小企業に課せられる管理・運営上の負担を軽減することが目的の1つであるとされている。

デジタルオムニバスの枠組みの中でECの提案するGDPR改正案は多岐にわたるが、プライバシー活動団体NOYBの見解では、これらの改正により現行規則に多くの「穴が開く」ことになり、GDPRを「ほとんどのケースで全体的に使用不能にする」ことになる恐れがあるという。

NOYBはリークされた改正案概要をPDFで共有しており、提案されている改正案は、解釈次第では以下のような懸念に繋がるとしている。

①「仮名」や「ID」による新たなGDPRの抜け穴が生まれることに？

現行のGDPRでは、個人データが仮名化されたユーザー（例：「John Doe」が「User12345」に変更されている場合など）やランダムなID番号に関連付けられている場合でも、当該データは特定可能な自然人に属するものとして扱われ、データ保護規則が適用されることが規定されている。しかし新法案ではこの規定が適用されなくなり、データ管理者がユーザーの個人データ保護を緩める可能性が生じるという。「この変更はほぼすべてのオンライン追跡、オンライン広告、また大半のデータブローカーに適用され得る」とNOYBは指摘している。

またNOYBによれば、ECは「個人データ」の定義を大幅に狭めようとしているものとみられ、この結果GDPRが多くのケースで適用されなくなる恐れがあるとされる。

②データ主体による権利行使の「目的」が「データ保護」のみに限定されることに

個人（データ主体）は、組織や企業に保有されている自らの個人データへアクセスしたり、このデータを訂正・削除したりする権利を有している。しかしドイツの要求により導入された新提案のもとでは、データ主体は「データ保護目的」でしかこの権利を行使できないようになる見込みだという。このためデータ管理者（企業や組織）は権利行使リクエストを拒否しやすくなるであろうことをNOYBは危惧しており、例えば従業員が企業側との労使紛争において、「給与が未払いの勤務時間の記録を取得するため」などの目的で当該データへのアクセス請求を行った場合、雇用主はこれを権利の「濫用」であるとして拒否できるようになる、といったことも想定されるとした。

③性的指向などのセンシティブなデータは「直接的に開示されている」場合にしか保護対象にならない？

現行のGDPR第9条は、性的指向、健康状態、政治的見解といった機微なデータの保護を特に強める内容となっているが、新たに提案された改正案によれば、この特別な保護は、例えば「自分はゲイである」「自分は妊娠中である」といった機微なデータが「直接的に開示されている」場合にしか適用されなくなる見込みだという。NOYBはこれについて、例えば雇用主が「ビッグデータ」を使用してある女性が妊娠中であろうことを「推測」し、社会保障などの支払いを避けるためにこの女性を解雇する、といったことも起こり得ると警鐘を鳴らしている。

AI規制の緩和も？

EUのAI規制法が昨年成立し、部分的に適用され始めて以降、ビッグテック企業やその他のEU企業は同法を弱体化させるようEUに対するロビー活動を続けてきた。こうした企業の主張の核心は、規制がイノベーションに対して過度に制限的であるという点にあり、またAI法の改正によりAIシステムに特別な免除が認められ、本来は正当な法的根拠を必要とするデータであっても処理することが許されるようになるかもしれないという点にある。

そんな中でデジタルオムニバス法案の一環として提案される改正案には、GDPR第6条第1項および9条第2項に変更を加え、AI関連の個人データ処理を可能にする案が盛り込まれているとされる。これにより例えばExcelシートや一般的なソフトウェアなどを通じて個人データを処理する際には、当該企業は第6条第1項にしたがって処理のための法的根拠を見つける必要があるが、AIシステムを通じて同様の処理を行おうとする場合、これは同条項における「(f) 正当な利益」のためとみなされることになる。NOYBはこれについて、AIという特定のテクノロジーに対してデータ処理の特権が与えられ、「GDPRの『技術的中立性（テックニュートラル）』というアプローチに反する」ことになると指摘した。

中小企業の救済に見せかけ、実際は巨大テック企業や広告大手が得をするだけ？

ECの提案ではこのほかにも、データ管理者にAIモデルトレーニング目的で個人データを使用することを許可しつつ、データ保護法へより容易に準拠することを可能にするような改正を盛り込むことが目指されている。加えて、現行のeプライバシー指令第5条第3項により、ユーザーはコンピューターやスマートフォンなどの「端末機器」に保存されたデータへの遠隔アクセスから保護され、企業がこうしたデバイスを「遠隔検索」できないことが保証されている。しかしNOYBの解釈によれば、ECの提案する改正により、最大10もの法的根拠に基づき、個人の端末から情報を取得したり、端末に追跡技術（Cookieなど）を設置することが許可されることも見込まれるという。

NOYBの創設者であるMax Schrems氏は、ECの提案が中小企業を救済するための措置に見せかけて、実際にはテクノロジーや広告関連の大手企業を優遇するためのものだと非難。加えて、ECのアプローチを米トランプ政権の戦術になぞらえ、「欧州委員会（EC）の一部は、良き立法のルールを無視し、ブリュッセルのほかのすべての関係者を押しのけようとしているようだ」とも批判した。

一方でECの報道官はThe Register紙の取材に対し、デジタルオムニバス法案について「積極的に取り組んでいるところ」であり、11月19日に詳細が公表される予定だと回答。「簡素化が当委員会の優先課題」、「この取り組みの一環として、GDPRの特定条項改正の可能性が議論されている。目的はGDPRを弱体化させることではなく、運用性を高めることにある」などと述べたとのこと。