【2025年2月最新】EU Digital Omnibus完全解説|GDPR・AI Act改正がデータ保護に与える衝撃

スポンサーリンク

【2025年2月最新】EU Digital Omnibus完全解説|GDPR・AI Act改正がデータ保護に与える衝撃

はじめに:デジタル規制の大転換点

2025年11月19日、欧州委員会は「Digital Omnibus」パッケージを公開しました。これは、GDPR、AI Act、Data Actを含むEUデジタル法制の大幅な見直しを提案するもので、企業のコンプライアンス要件に大きな影響を与える可能性があります。

本記事では、White & CaseIAPPの分析を基に、提案されている変更内容と、企業が今から準備すべきことを詳しく解説します。

Digital Omnibusの概要

White & Caseによると、Digital Omnibusの主な目的は、重複する規制の簡素化、企業のコンプライアンス負担の軽減、EU全体での法的明確性の向上です。

“The main drivers behind this initiative were the need to simplify overlapping regulations, reduce compliance burdens for businesses, and ensure greater legal clarity across the European Union.”
(このイニシアチブの主な推進力は、重複する規制の簡素化、企業のコンプライアンス負担の軽減、EU全体でのより大きな法的明確性の確保の必要性だった)

パッケージは、Data Act、GDPR、AI Actの3つの主要規制の改正を含んでいます。

GDPR改正案の詳細

個人データの定義の明確化

個人データの「識別可能性」が「合理的に使用される可能性のある手段」に基づいて判断されるようになります。欧州委員会は、匿名化された出力がいつ個人データでなくなるかを明確にする権限を持つことになります。

AI処理に関する正当な利益

Crowell & Moringによると、AIシステムとモデルの開発・展開のために個人データを処理するコントローラーに関するルールを明確にする2つの重要な修正が提案されています。

“A new provision would explicitly recognize such processing as a legitimate interest under the GDPR.”
(新しい条項は、そのような処理をGDPRに基づく正当な利益として明示的に認めることになる)

これにより、AI開発のための個人データ処理に関する法的根拠が明確になります。

中小企業向け緩和措置

処理活動記録(Records of Processing Activities)の免除対象が、従業員250人未満から750人未満の組織に拡大されます。リスク閾値も「あらゆるリスク」から「高リスク」に引き上げられます。

データ侵害通知の変更

通知の閾値が「高リスク」インシデントに引き上げられ、報告期限が72時間から96時間に延長されます。複数のフレームワーク(NIS2、GDPR、DORA、eIDAS、CER)にまたがる重複報告を削減する単一エントリーポイントが導入されます。

Cookie規制の変更

ePrivacy規制がGDPRに統合され、ユーザーは同意を拒否した後、少なくとも6ヶ月間再度質問されない権利を得ます。

AI Act改正案の詳細

適用時期の変更

IAPPによると、AI Actの高リスク処理に関する要件は、2026年8月に発効予定でしたが、変更が提案されています。

要件は現在、固定日ではなく整合規格の利用可能性にリンクされ、2027年12月または2028年8月を最終期限としています。欧州委員会が必要な規格と「サポートツール」が利用可能であることを確認した後、組織はコンプライアンス達成まで6ヶ月の猶予があります。

AIリテラシー義務の廃止

2025年2月2日から有効となっていた、AIシステムを使用する者にAIリテラシーを教える義務が廃止されます。代わりに、EU委員会と加盟国が全体的な政策の一部としてこの責任を負います。

バイアス検出のためのデータ処理

特別カテゴリーの個人データ処理の「法的根拠」が、高リスク分類だけでなく、すべてのAIシステムに適用されるようになります。これにより、AIプロバイダーとデプロイヤーはバイアスを発見し修正するために機密性の高い個人データを処理できます。

AIサンドボックスの拡大

実世界でのテストとAI規制サンドボックスがより広く使用され、AI Officeが管理するEUレベルのサンドボックスが設置されます。

Data Act改正案

統合フレームワーク

非個人データの自由な流通に関する規制、データガバナンス法、オープンデータ指令がData Actの枠組みに統合されます。

営業秘密保護

データ保持者は、より弱い保護を持つ第三国のエンティティによる違法な取得の重大なリスクがある場合、ケースバイケースで開示を拒否できます。

クラウドスイッチング

中小企業は2025年9月12日以前の契約に対する早期終了手数料の限定的な免除を得ます。必須のスマートコントラクト要件は削除されます。

インシデント報告の統一

NIS2、GDPR、DORA、eIDAS、CERの各フレームワークにまたがるインシデントをルーティングする統一通知システムが導入されます。共通テンプレートと調和されたプロセスにより、重複報告が排除されます。

これは企業にとって大きな負担軽減となります。現在は複数の規制当局に個別に報告する必要がありますが、単一のエントリーポイントから報告が可能になります。

市民団体と業界の反応

IAPPによると、反応は二極化しています。

NOYBのMax Schrems氏は、提案が「ヨーロッパ人の保護を大幅に低下させる」と批判しました。

“A gift to U.S. Big Tech as they open up many loopholes for the law departments to exploit.”
(法務部門が悪用できる多くの抜け穴を開くため、米国ビッグテックへの贈り物だ)

一方、Computer & Communications Industry Associationは、パッケージが「複雑なEU規制環境を簡素化するための歓迎すべきステップ」としながらも、「より大胆な行動がまだ必要」と述べています。

パブリックコンサルテーション

欧州委員会は、Omnibus提案と同日にパブリックコンサルテーションを開始しました。2026年3月11日まで開放され、デジタル規則全体のEU競争力、価値観、基本的権利への累積的影響を評価するための完全なデジタルフィットネスチェックを可能にします。

今後のタイムライン

両Omnibusパッケージは、欧州議会とEU理事会との三者協議に入るという長い道のりがあります。交渉が完了するまで少なくとも数ヶ月かかると予想されます。

企業は現在の規制要件を遵守しながら、提案された変更を注視し、準備を進める必要があります。

FAQ:よくある質問と回答

Q1: Digital Omnibusはいつ発効しますか?

現時点では提案段階であり、発効時期は未定です。欧州議会とEU理事会との交渉が完了するまで少なくとも数ヶ月かかり、その後も移行期間が設けられる可能性があります。

Q2: AI Actのリテラシー義務はどうなりますか?

2025年2月2日から有効となっていた義務は廃止が提案されています。ただし、これは提案段階であり、現時点ではまだ義務が有効です。

Q3: 日本企業への影響はありますか?

EUに製品・サービスを提供する、またはEU居住者のデータを処理する日本企業は影響を受けます。GDPRの域外適用は引き続き有効であり、改正が成立した場合は新要件への対応が必要です。

Q4: GDPR違反の罰則は変更されますか?

Digital Omnibus提案には罰則の大幅な変更は含まれていません。最大で全世界年間売上高の4%または2,000万ユーロの罰金という現行の枠組みは維持される見込みです。

Q5: AI開発のためのデータ処理は本当に容易になりますか?

提案が成立すれば、「正当な利益」としてAI開発目的のデータ処理が明示的に認められ、法的不確実性が軽減されます。ただし、適切なセーフガードの実施は引き続き必要です。

まとめ:不確実性の中での準備

Digital Omnibusは、EUデジタル規制の方向性に大きな変化をもたらす可能性があります。企業のコンプライアンス負担軽減とAI開発促進を目指す一方で、プライバシー保護の後退を懸念する声もあります。

現時点での推奨事項として、まず現行規制の遵守を継続することが重要です。GDPR、AI Actの現行要件は引き続き有効であり、提案が採択されるまで変更はありません。

次に、提案の動向を注視してください。パブリックコンサルテーション(2026年3月11日まで)の結果と三者協議の進展を追跡してください。

また、柔軟なコンプライアンス体制の構築も推奨されます。規制変更に迅速に対応できるよう、プロセスとシステムの柔軟性を確保してください。

最後に、AI開発の法的根拠を文書化することを検討してください。現在のAI開発活動について、正当な利益その他の法的根拠を明確に文書化しておくことで、将来の規制変更への対応が容易になります。

参考資料

コメント

タイトルとURLをコピーしました