この記事のポイント
- EUが「デジタル・オムニバス」でGDPRとAI法を一括改正する提案を発表
- AIシステム開発における「正当な利益」拡大で、個人データのAI学習利用が容易に
- 133の市民社会団体が「GDPR骨抜き」「ビッグテック優遇」と欧州議会に抗議書簡
- AI法の高リスク義務適用が最大16ヶ月延期、2027年12月までの猶予
- NOYBやARTICLE 19など人権団体が、EUの個人情報保護思想の後退を強く警告
GDPRを「書き換える」と批判される改正の核心
欧州委員会が提案しているGDPR改正の中で最も問題視されているのが、AIシステムの開発・展開における「正当な利益(Legitimate Interest)」法的根拠の拡大だ。現行GDPRでは、個人データを処理するためには本人の明示的な同意など、厳格な根拠が必要だ。しかし改正案では、AIシステムを開発・展開するために個人データを処理する場合、より柔軟な「正当な利益」という根拠に依拠できるようにする。
これはつまり、ビッグテック企業がユーザーの個人データをAIモデルの学習に使用する際に、従来求められてきた個別同意を得なくて済む可能性があるということだ。加えて「個人データ」の定義そのものを見直す提案も含まれており、何が保護対象になるかという根本的な境界線が変わりうる。
プライバシー擁護団体のNOYBは「欧州委員会はGDPRの根本原則を壊そうとしている。ほとんどのEU加盟国が明示的にGDPRの再開を求めていないにもかかわらず、この改正を強行しようとしている」と批判した。NOYBはGDPRの施行においてMetaやGoogleに多数の制裁を課してきた団体であり、その批判は重みを持つ。
133の市民社会団体が欧州議会に訴えた内容
ARTICLE 19を含む40のパートナー人権・デジタル権利団体が欧州議会に書簡を送り、「AI Omnibus(AIオムニバス)はAI法を骨抜きにし、高リスクAIシステムから人々を守れなくなる」と警告した。生体認証識別を含む高リスクAIシステムへの義務規定が弱体化するリスクが、特に強調されている。
さらに133の市民社会団体・専門家グループが欧州委員会に対し「AI法の再開を求めていない」という共同書簡を提出していた経緯がある。それにもかかわらず改正提案が進んでいることへの批判は根強く、「産業ロビーに欧州委員会が屈した」という見方も広がっている。
EU AI法の高リスク義務適用が2027年12月まで延期される方向で協議が進んでいることも重なり、ヨーロッパのAI規制全体が後退しているとの懸念が市民社会から表明されている。AI技術の発展スピードに規制が追いつかないという問題と、産業界への過度な配慮という別の問題が混在しているのが現状だ。
AI法の高リスク義務延期とオムニバスの相乗効果
デジタル・オムニバスには、AI法の高リスクAIシステムへの義務適用を最大16ヶ月延期するという提案も含まれている。本来2026年8月に適用予定だったこの義務は、委員会が「適切なコンプライアンス支援が確認された後にのみ」発効するという条件付き延期の形をとる。
この延期の背景には、EU加盟国の規制当局が企業の対応準備状況を評価しきれていないという現実的な問題もある。しかし批判者からは「企業のロビー活動に押された結果」という見方もある。AI法の本来の設計では、雇用判断・医療診断・信用評価などの高リスク領域でのAI利用に対し、透明性・人間監督・文書化などを義務付ける予定だった。GDPRの弱体化とAI法の高リスク義務延期が組み合わさることで、ヨーロッパのAI規制の実効性が大幅に低下するという懸念は、法律専門家の間でも共有されている。
法務・ポリシー視点——EUの規制哲学が揺らぐ意味
法務・ポリシーの観点から見ると、このデジタル・オムニバスをめぐる議論は、EUの「テクノロジー規制先進地域」としてのポジションが試されている局面だ。GDPRは2018年に施行されて以来、世界各国のプライバシー法制に大きな影響を与えてきた。カリフォルニア州のCCPA、日本の個人情報保護法改正など、多くの法律がGDPRを参考にしている。
もしEUがGDPRの核心部分を修正すれば、そのインパクトはヨーロッパにとどまらない。「GDPR基準を満たせば世界中で事業できる」という国際的なコンプライアンスの前提が崩れ、企業は各地域の法律への個別対応を迫られる。また、EU発の規制がどのくらいの「厳しさ」を維持するかという政治的シグナルが、世界の規制当局に向けて発信される。
一方で、欧州委員会が規制の「簡素化」を求める産業界の声に耳を傾けるのにも理由がある。EU内のスタートアップや中小企業がGDPRやAI法のコンプライアンスコストに苦しんでいる現実があり、競争力の観点からは規制の合理化が求められる側面もある。この緊張関係は、規制と革新のバランスをめぐるグローバルな議論そのものだ。
日本への示唆——GDPR基準からの乖離がもたらすリスク
日本の企業や規制当局にとっても、EUのGDPR改正は注視すべき動きだ。日本の個人情報保護法は、GDPRとの「十分性認定」を基盤に、EU域内の個人データを日本に移転できる仕組みを持っている。GDPRの保護水準が下がれば、日本の法律との整合性が変化し、データ移転スキームの再検討が必要になる可能性がある。
また、生成AI企業が学習データを収集する際の法的根拠についても、EUでの議論は日本での政策立案に参考にされることが多い。「AIのためなら個人データを広く使える」という方向性が欧州で採用されれば、日本でも同様の議論が活発化する可能性がある。対米関係では米国が対中AIチップ輸出規制を軟化させた動きもあり、AI時代のデータ・半導体・規制という三つの文脈が複雑に絡み合っている。
今後の注目点——三者協議の行方と市民社会の粘り腰
欧州委員会・欧州議会・EU加盟国政府による三者協議(トリローグ)で最終的な内容が確定するが、市民社会の強い反発がどこまで議論に影響するかが注目される。欧州議会では、AI法の弱体化に反対する議員グループが力をつけており、委員会の提案がそのまま通るとは限らない。
デジタル時代の個人情報保護という理念と、AI技術の競争力強化というビジネスの現実——その間でEUがどんな答えを出すか。その選択は、インターネット時代の権利のあり方を決める歴史的な節目になるかもしれない。あなたは自分の個人データがAIの学習に使われることに、どこまで同意できるだろうか。
ソース:
- How EU proposals to "simplify" tech laws will roll back our rights — Amnesty International(2026年4月)
- Digital Omnibus: EU Commission wants to wreck core GDPR principles — NOYB(2026年4月)
- EU Digital Omnibus: Analysis of key changes — IAPP(2026年4月)
- EU: Safeguard the AI Act — ARTICLE 19(2026年4月)
よくある質問
Q. デジタル・オムニバスとは何か
A. 欧州委員会が2025年11月に発表した、GDPR・AI法・主要デジタル規制を一括で改正する提案パッケージだ。「規制の簡素化」を掲げるが、内容はGDPRの根幹に踏み込むものとなっている。
Q. 正当な利益の拡大とは何を意味するか
A. AI開発のために個人データを処理する際、本人の明示的同意ではなく柔軟な「正当な利益」根拠に依拠できるようにする改正だ。ビッグテックがユーザーデータをAI学習に使いやすくなる。
Q. AI法の高リスク義務適用はいつか
A. 本来2026年8月に適用予定だったが、最大16ヶ月延期され2027年12月までの猶予が提案されている。「適切なコンプライアンス支援が確認された後にのみ」発効する条件付きだ。
## 関連記事 - [Claude(クロード)の料金プラン完全比較|Free・Pro・Max・API の違いと選び方【2026年最新】](/articles/10000196) - [AIコーディングエージェント徹底比較|Claude Code・Cursor・Devin・Copilot・Windsurf——2026年の最適解は](/articles/10000212) - [BtoB、BtoCの次は「BtoA」。AIエージェントに商品を買ってもらう時代が来た](/articles/10000338)
