EUが「デジタル・オムニバス」でGDPRを骨抜きに——133の市民社会団体が反発する個人データ開放とAI学習の正当化（2026年4月）

GDPRを「書き換える」と批判される改正の核心

欧州委員会が提案しているGDPR改正の中で最も問題視されているのが、AIシステムの開発・展開における「正当な利益（Legitimate Interest）」法的根拠の拡大だ。現行GDPRでは、個人データを処理するためには本人の明示的な同意など、厳格な根拠が必要だ。しかし改正案では、AIシステムを開発・展開するために個人データを処理する場合、より柔軟な「正当な利益」という根拠に依拠できるようにする。

これはつまり、ビッグテック企業がユーザーの個人データをAIモデルの学習に使用する際に、従来求められてきた個別同意を得なくて済む可能性があるということだ。加えて「個人データ」の定義そのものを見直す提案も含まれており、何が保護対象になるかという根本的な境界線が変わりうる。

プライバシー擁護団体のNOYBは「欧州委員会はGDPRの根本原則を壊そうとしている。ほとんどのEU加盟国が明示的にGDPRの再開を求めていないにもかかわらず、この改正を強行しようとしている」と批判した。NOYBはGDPRの施行においてMetaやGoogleに多数の制裁を課してきた団体であり、その批判は重みを持つ。

133の市民社会団体が欧州議会に訴えた内容

ARTICLE 19を含む40のパートナー人権・デジタル権利団体が欧州議会に書簡を送り、「AI Omnibus（AIオムニバス）はAI法を骨抜きにし、高リスクAIシステムから人々を守れなくなる」と警告した。生体認証識別を含む高リスクAIシステムへの義務規定が弱体化するリスクが、特に強調されている。

さらに133の市民社会団体・専門家グループが欧州委員会に対し「AI法の再開を求めていない」という共同書簡を提出していた経緯がある。それにもかかわらず改正提案が進んでいることへの批判は根強く、「産業ロビーに欧州委員会が屈した」という見方も広がっている。

EU AI法の高リスク義務適用が2027年12月まで延期される方向で協議が進んでいることも重なり、ヨーロッパのAI規制全体が後退しているとの懸念が市民社会から表明されている。AI技術の発展スピードに規制が追いつかないという問題と、産業界への過度な配慮という別の問題が混在しているのが現状だ。

AI法の高リスク義務延期とオムニバスの相乗効果

デジタル・オムニバスには、AI法の高リスクAIシステムへの義務適用を最大16ヶ月延期するという提案も含まれている。本来2026年8月に適用予定だったこの義務は、委員会が「適切なコンプライアンス支援が確認された後にのみ」発効するという条件付き延期の形をとる。

この延期の背景には、EU加盟国の規制当局が企業の対応準備状況を評価しきれていないという現実的な問題もある。しかし批判者からは「企業のロビー活動に押された結果」という見方もある。AI法の本来の設計では、雇用判断・医療診断・信用評価などの高リスク領域でのAI利用に対し、透明性・人間監督・文書化などを義務付ける予定だった。GDPRの弱体化とAI法の高リスク義務延期が組み合わさることで、ヨーロッパのAI規制の実効性が大幅に低下するという懸念は、法律専門家の間でも共有されている。

法務・ポリシー視点——EUの規制哲学が揺らぐ意味

法務・ポリシーの観点から見ると、このデジタル・オムニバスをめぐる議論は、EUの「テクノロジー規制先進地域」としてのポジションが試されている局面だ。GDPRは2018年に施行されて以来、世界各国のプライバシー法制に大きな影響を与えてきた。カリフォルニア州のCCPA、日本の個人情報保護法改正など、多くの法律がGDPRを参考にしている。

もしEUがGDPRの核心部分を修正すれば、そのインパクトはヨーロッパにとどまらない。「GDPR基準を満たせば世界中で事業できる」という国際的なコンプライアンスの前提が崩れ、企業は各地域の法律への個別対応を迫られる。また、EU発の規制がどのくらいの「厳しさ」を維持するかという政治的シグナルが、世界の規制当局に向けて発信される。

一方で、欧州委員会が規制の「簡素化」を求める産業界の声に耳を傾けるのにも理由がある。EU内のスタートアップや中小企業がGDPRやAI法のコンプライアンスコストに苦しんでいる現実があり、競争力の観点からは規制の合理化が求められる側面もある。この緊張関係は、規制と革新のバランスをめぐるグローバルな議論そのものだ。

日本への示唆——GDPR基準からの乖離がもたらすリスク

日本の企業や規制当局にとっても、EUのGDPR改正は注視すべき動きだ。日本の個人情報保護法は、GDPRとの「十分性認定」を基盤に、EU域内の個人データを日本に移転できる仕組みを持っている。GDPRの保護水準が下がれば、日本の法律との整合性が変化し、データ移転スキームの再検討が必要になる可能性がある。

また、生成AI企業が学習データを収集する際の法的根拠についても、EUでの議論は日本での政策立案に参考にされることが多い。「AIのためなら個人データを広く使える」という方向性が欧州で採用されれば、日本でも同様の議論が活発化する可能性がある。対米関係では米国が対中AIチップ輸出規制を軟化させた動きもあり、AI時代のデータ・半導体・規制という三つの文脈が複雑に絡み合っている。

今後の注目点——三者協議の行方と市民社会の粘り腰

欧州委員会・欧州議会・EU加盟国政府による三者協議（トリローグ）で最終的な内容が確定するが、市民社会の強い反発がどこまで議論に影響するかが注目される。欧州議会では、AI法の弱体化に反対する議員グループが力をつけており、委員会の提案がそのまま通るとは限らない。

デジタル時代の個人情報保護という理念と、AI技術の競争力強化というビジネスの現実——その間でEUがどんな答えを出すか。その選択は、インターネット時代の権利のあり方を決める歴史的な節目になるかもしれない。あなたは自分の個人データがAIの学習に使われることに、どこまで同意できるだろうか。

---

ソース:

• How EU proposals to "simplify" tech laws will roll back our rights — Amnesty International（2026年4月）
• Digital Omnibus: EU Commission wants to wreck core GDPR principles — NOYB（2026年4月）
• EU Digital Omnibus: Analysis of key changes — IAPP（2026年4月）
• EU: Safeguard the AI Act — ARTICLE 19（2026年4月）