2025年11月19日、欧州委員会は、Digital Omnibusを公表しました。欧州では、一般データ保護規則（General Data Protection Regulation：GDPR）、AI法（AI Act）、データ法（Data Act）等、数多くのデジタル規制が施行されていますが、これら規制が欧州域内の事業者の競争力に悪影響を与えているとの懸念も示されていました¹。Digital Omnibusは、これらデジタル規制を、より費用対効果が高く、イノベーションに親和的なものにすることを提案するもので、事業者の規制遵守コストを削減し、もって事業者の競争力を高めることを目的としています。

具体的に、Digital Omnibusは、2つの規則案から構成されています。一つは、GDPR、eプライバシー指令、NIS2指令、データ法等の複数の法令を改正する「Digital Omnibus²」、もう一つは、AI法を改正する「Digital Omnibus on AI³」です。今後、これらの規則案は、欧州議会（European Parliament）及びEU理事会（Council of the EU）で審議されることになり、双方が同一のテキストに合意してはじめて改正規則として成立することとなります。ただ、既に、エストニア、フランス、オーストリア、スロベニア等の一部の加盟国は本提案に慎重な姿勢を示していると報道されている他、NOYB – European Center for Digital Rights、European Digital Rights（EDRi）、The European Consumer Organisation（BEUC）等の市民団体・消費者団体も、デジタル規制の形骸化に繋がると本提案を強く批判していることからすると、今後の審議は難航することが予想され、最終的なテキストは現時点の案から相当程度修正される可能性も否定できないといえます。

本ニュースレターでは、このうち、Digital Omnibusが提案しているGDPRの改正事項を概説します。なお、次回ニュースレターでは、AI法及びデータ法の改正提案について概説する予定です。
 

GDPR4条1項は、「個人データ（personal data）」を、「識別された自然人又は識別可能な自然人に関する情報」と定義した上で、GDPRの前文26は、識別可能性の判断にあたり、「自然人を直接又は間接に識別するために管理者（controller）又はそれ以外の者によって用いられる合理的な可能性のある全ての手段を考慮に入れなければならない」としています。

改正案は、欧州連合司法裁判所（The Court of Justice of the European Union）の近時の判決（C-413/23）を踏まえ、「個人データ」該当性について、エンティティ毎に判断すべきことを明確化しています。具体的には、データαのエンティティAにおける「個人データ」該当性を判断するにあたっては、Aによって用いられる合理的な可能性のある手段を考慮すべきこと、他のエンティティB（潜在的な当該データの取得者等）がデータαに係るデータ主体を識別するための合理的な手段を有していたとしても、これのみをもって、エンティティAとの関係でもデータαが「個人データ」に該当すると判断するべきではないことを明確化しています。

さらに、改正案は、欧州委員会に対して、仮名化されたデータにつき、どのような手段や基準の下で「個人データ」に該当しなくなるかを示す実施細則（implementing acts）を定める権限を付与しています。

本改正案によって「個人データ」の解釈が明確化することになりますが、どのような状況であればデータ主体を「識別」できるといえるか、処理者（processor）における「個人データ」該当性はどう判断すべきか（管理者（controller）による識別可能性を考慮すべきか）等、実務的にはなお悩ましい問題が多く残っているといえます。

「科学的研究（scientific research）」を目的として個人データを処理する場合、当初の収集目的と適合する処理として二次利用が許容され（GDPR5条1項b）、さらに、特別カテゴリーデータを処理することが許容される（GDPR9条2項j）等の例外的なルールが適用されることになりますが、GDPRは「科学的研究」の定義規定を置いていませんでした。

改正案は、「科学的研究」の定義を追加しています。具体的には、イノベーションを支える研究を含むあらゆる研究であって、既存の科学的知識に貢献し、又は既存の知識を新たな方法で適用するものであり、社会全体の一般的な知識及び福祉の向上に資することを目的として行われ、かつ、当該研究分野における倫理基準を遵守するものと定義されています。その上で、商業的利益の追求を目的とする研究も「科学的研究」に該当し得ると明確化しています。さらに、改正案は前文において、科学的研究を目的とする個人データの処理について、「正当な利益」を処理の適法化根拠（GDPR6条1項f）とすることができる旨を明確化しています。

本改正案は、従前議論があった「科学的研究」の範囲を明確化するものですが、相当広範囲の研究をカバーし得る定義であり、特に、商業的利益の追求をも目的とする研究もこれに該当し得ると明確化したことの意義は大きいといえます。

AIシステム／モデル開発のための個人データの処理について、GDPRは特別の適法化根拠を定めていませんが、実務上は、「正当な利益」（GDPR6条1項f）を処理の適法化根拠として選択することが多い状況でした。加えて、開発用のデータセットに特別カテゴリーデータ（人種、宗教、健康等に関するデータ）が含まれる場合、特別カテゴリーデータについては、原則処理禁止の枠組みの下、「正当な利益」を処理の適法化根拠とすることはできず、データ主体の同意等の限定的な適法化根拠を選択し得るのみであることから（GDPR9条）、その取扱いが課題とされてきました。

改正案は、まず、AIシステム／モデルの開発及び運用のための個人データの処理について、「正当な利益」を適法化根拠とすることができる旨を明確化しています。ただし、バランシングテストを通じて処理の必要性及び均衡性を立証すること、適切な組織的・技術的措置及びセーフガードを講じること（データ最小化の原則の尊重、AIシステム／モデルに残存するデータが開示されないようすること、データ主体に対する透明性を高めること、データ主体に無条件の異議申立権を付与することを含む）が必要であるとしています。

加えて、改正案は、GDPR9条に新たに適法化根拠を追加し、AIシステム／モデルの開発及び運用のために特別カテゴリーデータを処理することを適法としています。ただし、①特別カテゴリーデータの収集その他の処理を回避するために適切な組織的及び技術的措置を講ずること、②①の回避措置によってもなお開発用のデータセットに特別カテゴリーデータが存在することを把握した場合には当該データを削除すること、③当該データの削除に不釣り合いな負担を要する場合には、かかるデータが第三者に利用されることがないよう、遅滞なく効果的な保護措置を講ずることを条件とするとされています。

本改正案によって、AI開発にあたって管理者（controller）が講ずべき措置が明確化され、GDPRの下で適法にAI開発を行うための環境が整備されることになります。ただ、例えば、データ主体が異議申立権を行使した場合に、データセットから同データ主体に関する個人データを全て削除することはできるか、データ最小化／特別カテゴリーデータの処理回避のために具体的にどのような措置を講ずることができるか（どこまでの措置を講ずれば足りるか）等、改正案が成立したとしても、実務的には悩ましい問題が残ると考えられます。

GDPRは、自然人と一意に識別することを目的とする生体データ（顔画像、指紋データ等）についても、特別カテゴリーデータとして、原則処理禁止としています。

改正案は、生体データについて新たに適法化根拠を追加し、データ主体の身元を確認（認証）するために必要であり、かつその確認のためのデータと手段がそのデータ主体のみの管理下にある場合には、これを処理することを適法としています。

本改正案により、管理者（controller）においては、データ主体の同意等のハードルの高い例外事由に依拠せず、顔画像等の生体データを利用して利用者の本人認証を行うことが可能になるといえます。

データ主体は、管理者（controller）に対し、所定の情報（個人データの処理目的、個人データの種類等）にアクセスする権利を行使することができますが、管理者（controller）は、請求に明らかに根拠がないか又は請求が過剰であること（拒否事由）を立証した場合には、合理的な手数料を請求するか、又は請求を拒否することができます（GDPR12条5項）。

改正案は、データ主体が「個人データ保護」以外の目的のためにこれを行使している場合には、上記の拒否事由に当たるとして、手数料請求又は請求拒否ができる旨を明確化しています。さらに、管理者（controller）は、請求が過剰であることについて、そうであると信じる合理的根拠があることを立証できれば足りるとして、拒否事由の立証負担を下げています。

本改正案によって、管理者（controller）は、データ主体によるアクセス権の濫用に効果的に対処することができるようになると考えられます。ただし、どのような目的でのアクセス権行使が「個人データ保護」目的に該当するか必ずしも明らかではないため、この点については今後明確化されることが期待されます。

管理者（controller）は、データ主体から個人データを取得するにあたり、データ主体に対して所定の情報（個人データの処理目的、法的根拠等）を提供する義務を負っていますが、データ主体がすでに当該情報を保有している場合には、この義務を免れます（GDPR13条5項）。

改正案は、この例外を拡充し、①データ主体と管理者（controller）との間に明確かつ限定された関係が存在し、②管理者（controller）がインテンシブなデータ処理を行わない場合（少量の個人データを取得して、複雑ではない処理を行う場合）には、データ主体が情報提供義務の対象となる情報を保有していると合理的に推定できる範囲において、情報提供義務を免れるとしています。ただし、管理者（controller）が第三者に対してデータを提供する場合、データを第三国に移転する場合、プロファイリングを含む自動的な意思決定を行う場合、データ主体の権利及び自由に対する高いリスクをもたらす可能性がある場合には、この例外に依拠できないとされています。

加えて、改正案は、新たに科学的研究目的で個人データを処理する場合について、情報提供義務の例外を追加しています。すなわち、科学的研究目的で個人データを処理する場合において、情報提供が不可能又は不釣り合いな負担を要する場合、あるいは処理目的達成を不可能又は著しく妨げるおそれがある場合には、適切な保護措置（当該情報を公開すること等）を講ずることを条件に、データ主体に対する情報提供義務を免れることができるとしています。

管理者（controller）は、データ主体に対して法的効果又はこれと同様の重大な影響を及ぼす決定については、原則として、プロファイリングを含む専ら自動化された処理のみに基づいて行うことが許容されず、ただ例外として、データ主体と管理者（controller）との間の契約締結又は履行のために必要である場合にこれを行うことができるのみとされています（GDPR22条）。

改正案は、この例外の範囲を明確化し、契約締結又は履行のために必要であれば、仮に専ら自動化された処理以外の方法に基づき当該決定を行うことができる場合（例えば、人が手動で当該決定を行うことができる）であっても、専ら自動化された処理のみに基づく決定を行うことができる旨を明確化しています。

管理者（controller）は、個人データ侵害が発生した場合、それがデータ主体の権利及び自由に対するリスクを発生させるおそれがない場合を除き、これを把握してから72時間以内に監督機関にデータ侵害を報告する必要があります（GDPR33条）。

改正案は、このデータ侵害報告義務を緩和しています。まず、報告対象事態について、データ主体の権利及び自由に対して高いリスクをもたらすおそれのあるデータ侵害に限定し、高リスクでないデータ侵害を報告義務の対象外としています。加えて、報告の時間的制限についても、72時間から96時間に延長しています。その上で、欧州データ保護会議（EDPB）に対して、報告義務の対象となる高リスクのデータ侵害のリスト及び各国共通のデータ侵害報告様式を作成することを求めています。

加えて、改正案は、単一の報告窓口（single-entry point）の設置を提案しており、管理者（controller）は、同窓口の設置後には、データ侵害その他のインシデントが発生した場合、GDPR、NIS2指令、デジタル業務レジリエンス法（Digital Operational Resilience Act）、重要主体レジリエンス指令（Critical Entities Resilience Directive）及びサイバーレジリエンス法（Cyber Resilience Act）等に基づく各監督機関への報告については、上記の窓口宛に報告すれば足りる（各監督機関宛に別々に報告する必要はない）としています。

管理者（controller）は、データ主体の権利及び自由に対する高いリスクを発生させるおそれがある処理を行う場合には、データ保護影響評価（DPIA）を行う必要があります（GDPR35条）。現行法の下では、加盟国の各監督機関がDPIAの必要／不要な処理業務のリストを作成・公表することとなっていました。

改正案は、欧州データ保護会議（EDPB）が監督機関に代わって上記のリストを作成すること、EDPBがDPIAを実施するための共通の様式を作成すること、さらに、欧州委員会がこれらを実施細則（implementing acts）として定めることを提案しています。

eプライバシー指令（これを実施する各加盟国の国内法）の下、いわゆるCookie等の仕組みを用いて、利用者の端末機器に情報を保存し、又は端末機器に保存されている情報にアクセスするにあたっては、利用者が明示的に求めたサービスを提供するために厳格に必要な場合等の一部の例外を除いて、利用者の同意を得ることが必要でした。

改正案は、まず、利用者が自然人であって、端末機器で保存又はアクセスされる情報が個人データに該当する場合には、eプライバシー指令は適用されないとしています。その上で、GDPRに新たに規律を追加し、端末機器に個人データを保存又は端末機器に保存された個人データにアクセスする場合には、原則として、GDPRに従ってデータ主体の同意を得る必要があるとしています。改正案は、eプライバシー指令の規律の一部（個人データに該当する部分）をGDPRに移すものですが、GDPRにおいては、以下のようなルールが追加されています。
 

• 同意原則の例外の追加
  eプライバシー指令で定められている同意原則の例外に加えて、①オンラインサービスの利用状況について集計情報を作成してオーディエンス測定を行うために必要な場合、②データ主体が求めたサービス又はその提供のために用いられる端末機器のセキュリティ確保のために必要な場合においても、データ主体の同意を得る必要がないとされています。
• 同意の取得方法に関するルールの追加
  同意の取得方法に関するルールが追加され、①管理者（controller）は、データ主体が単一のクリックボタンにより、容易かつ分かりやすい方法で同意を拒否できる仕組みを設ける必要がある、②管理者（controller）は、データ主体が同意をした場合、これに適法に依拠できる期間は同一の目的について新たに同意を求めてはならない、③管理者（controller）は、データ主体が同意を拒否した場合、少なくとも6か月間は同一の目的について新たに同意を求めてはならない、とされています。
   

加えて、改正案は、管理者（controller）に対し、データ主体が自動化され機械判読可能なシグナルで、同意／同意拒否の選択をし、また異議申立権を行使できるようにオンラインインターフェースを整備することを求め、さらに、ウェブブラウザの提供者に対しては、データ主体が、管理者（controller）に対してかかる選好シグナルを送信できるよう、必要な技術的手段を提供することを義務付けています。この選好シグナルについては、欧州標準化機関が具体的な技術仕様を策定することとなっています。