HOME
著書/論文
GDPRの改正提案を含む欧州委員会によるDigital Omnibusの公表

Publication

ニュースレター

2025年12月

GDPRの改正提案を含む欧州委員会によるDigital Omnibusの公表

著者等: 森大樹、早川健（共著）

全文ダウンロード（PDF）

出版社: 長島・大野・常松法律事務所

書籍名・掲載誌: NO&T Data Protection Legal Update ～個人情報保護・データプライバシーニュースレター～No.62（2025年12月）

関連情報: 特集
個人情報保護・データプロテクション

業務分野

キーワード

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日（作成日）時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

　欧州では、GDPR（General Data Protection Regulation: 一般データ保護規則）やAI法（Artificial Intelligence Act）をはじめとしてデジタル領域における広範な立法を通じたルール作りが進められてきていますが、その一方で、規制が複雑であることによる欧州におけるビジネスの競争力への悪影響の懸念もあり、このため、規制の目的を損なうことなく事業者のコンプライアンスを促進するための規制の適用の最適化が課題となっています。

　このような状況下で、2025年11月19日、欧州委員会により、デジタルに関する様々な法令について規則遵守のコスト削減、規制の目標を達成する確実性の向上、企業にとって競争優位性につながることを目的としたDigital Omnibusの提案が公表されました※1。

　Digital Omnibus※2は、GDPRのみならずその他の法令の改正提案を含んでおり、Digital Omnibusの一部として別途AI法の改正提案もなされています※3が、以下では、2018年5月の適用開始以来、実務上の対応が浸透してきたGDPRについての改正提案の内容を主に紹介します。

Digital Omnibusにおける主なGDPRの改正提案の内容

1. 「個人データ」該当性についてエンティティ毎に判断すべきこと（3条1項(a)）

[現行の規定]

GDPR4条(1)では「個人データ」の定義を「識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。」と規定しています。

[改正提案]

Digital Omnibusでは、「個人データ」の該当性について、情報を処理するエンティティにおいて利用可能な手段を考慮して該当性を判断すべきことの明確化、すなわち、個人データの当該定義の後に、あるエンティティが、ある情報について、合理的に用いうる手段を考慮して当該情報に関連する自然人を識別することができない場合、たとえ潜在的なその後の取得者が自然人を識別することができる方法を有しているとしても当該情報は当該エンティティにとって個人データとみなされない旨を追加することが提案されています。

当該提案は、「個人データ」の定義の自然人の識別性そのものについての判断基準を変更するわけではないと考えられるものの、近時の欧州司法裁判所による仮名化の処理に係る個人データの該当性についてエンティティ毎に判断する旨を判示した判決※4を念頭に置いており、情報を処理するエンティティにおいて自身にとって利用可能な手段によって個人データの該当性を判断すべきという点は、情報を複数エンティティ間で共有する際の個人データの該当性に係る判断の明確化にもつながりうると考えられます※5。

2. 特別な種類のデータの処理に係るGDPR9条の例外要件（AIシステム・モデル※6及び生体データについて）（3条3項）

[現行の規定]

GDPR9条1項は、「人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの処理、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータの処理は、禁止される」と定め、同項で掲げる特別な種類の個人データの処理については、同条2項各号で定めるデータ主体の明確な同意がある場合等の限定的な場合に限り認めています。

[改正提案]

Digital Omnibusでは、このような特別な種類のデータの処理が許される場合について、二つの規定を追加することを提案しています。

AIシステム又はAIモデルの開発及び運用のために特別な種類の個人データを処理する場合であって、特別な種類の個人データの収集やその他の処理をしないことについての適切な組織的及び技術的措置がとられているとき（ただし、この場合でも、管理者は、使用されるデータセットやAIシステム・AIモデルに特別な種類の個人データが含まれることが判明したときの削除義務や、削除に過大な負担を要する場合に第三者へ利用可能にならないように効果的に保護する義務を負います。）
自然人を一意に識別することを目的とする生体データの処理について、データ主体の身元を確認するために必要であり、かつその確認のためのデータと手段がそのデータ主体のみの管理下にある場合

(1)については、AIシステムやAIモデルの開発・運用においては個人データを収集・利用する場合に特別な種類の個人データが含まれうることを念頭に、一定の対策をとることによってAIシステムやAIモデルの開発・運用がGDPRに抵触しないことを明確化するという点で実務上の対応に配慮しようとする趣旨と考えられます。もっとも、どのような措置をとれば適切な組織的及び技術的措置といえるかについては必ずしも明確ではなく、また、使用されるデータセットやAIシステム・AIモデルに特別な種類の個人データが含まれることが判明した場合の対応に係る義務が実務上遵守可能なものであるのかといった点が課題になりうると考えられます。(2)については、本人認証目的で生体データを利用することへの実務上の対応に配慮しようとする趣旨と考えられます。

3. データ主体の権利行使が「明らかに根拠のない/過剰」である場合の明確化（3条4項）

[現行の規定]

GDPR12条5項は、GDPRに基づくデータ主体の権利行使については、無償で行うことができることを定めつつ、明らかに根拠のない場合又は過剰な性質のものである場合には、合理的な手数料を徴収すること及び要求された行為を拒むことができると定めています。

[改正提案]

Digital Omnibusでは、上記の「明らかに根拠のない場合又は過剰な性質のものである場合」として、アクセス権の行使について自身のデータの保護以外の目的で濫用している場合を追加する旨を提案しています。

当該提案は、データ主体の権利行使に対応する事業者の負担に配慮したものと考えられます。

4. 本人への情報提供義務の例外（3条5項）

[現行の規定]

GDPR13条1項から3項では、データ主体から個人データを直接取得する場合の管理者の身元・連絡先、予定している個人データの処理の目的等の情報提供義務を規定しているところ、同条4項は、同条1項から3項の義務について、データ主体が既にその情報を有している場合にはその範囲で適用されないと規定しています。

[改正提案]

Digital Omnibusでは、GDPR13条4項を改正し、管理者による収集がデータ主体と管理者との間の明確で限定された関係で行われ、かつ、管理者がデータ集約的な活動を行っていない場合であって、データ主体が同条1項(a)から(c)の情報を既に有していると合理的に推測できる状況では情報提供義務を適用除外とすること、ただし、管理者がデータを他の取得者に送信する場合、データを第三国に移転する場合、自動化された意思決定を行う場合、又はその処理がデータ主体の権利に高いリスクをもたらす可能性がある場合については適用除外に含まないとすること※7を提案しています。

当該提案は、GDPR13条4項の適用除外の場面について、データ主体の権利利益と管理者の負担とのバランスに配慮しようとしているものと考えられます。

5. プロファイリングを含む個人に対する自動化された意思決定に係る要件の明確化（3条7項）

[現行の規定]

GDPR22条は、1項で、データ主体が、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された処理に基づいた決定の対象とされない権利を有すると規定し、2項で、当該権利の対象とならない場合として、①データ主体とデータの管理者の間の契約の締結又はその履行のために必要となる場合（同項(a)）、②EU法又は加盟国の国内法によって認められる場合（同項(b)）及び③データ主体の明示的な同意に基づく場合（同項(c)）を掲げています。

[改正提案]

Digital Omnibusでは、GDPR22条に基づく個人に対する自動化された意思決定が上記①から③の場合にのみ行うことができる旨の規定を維持しつつ、上記①のデータ主体とデータの管理者の間の契約の締結又はその履行のために必要となる場合について、その「必要性」の要件が、意思決定が完全に自動化された手段以外の方法で行われうるかどうかにかかわらず適用される旨の規定を提案しています。

当該提案は、GDPR22条について現行の規定がデータ主体の権利の建て付けになっているのに対して、データの管理者/処理者における処理が許容される場合としての性質を明確化すると共に、自動化された手段以外で個人に対する意思決定を行うことができる場合であっても上記①に依拠できることを明確化しようとしていると考えられます。

6. データ侵害時の報告義務の緩和（3条8項）

[現行の規定] （下線は筆者による。以下同じ。）

GDPR33条1項では、監督機関に対する個人データ侵害の通知について、「管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72時間以内に、55条に従って所轄監督機関に対し、その個人データ侵害を通知しなければならない。」と規定しています。なお、GDPR34条1項では、データ主体に対する個人データ侵害の連絡について、「個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合」の不当な遅滞なき連絡を規定しています。

[改正提案]

Digital Omnibusでは、GDPR33条に基づきデータの管理者が所轄監督機関に対してデータ侵害を通知する義務について、以下の修正を提案しています。

データ侵害がデータ主体の権利及び自由に対する高いリスクを発生させる可能性がある場合に監督機関への通知が必要とされること
当該通知にあたり、通知の期限を96時間に延長し、NIS2指令※8に従い設置された単一窓口（single-entry point）を通じて通知すること
欧州データ保護会議は、データ侵害通知の共通テンプレート案を作成し、欧州委員会に提出する義務があること

当該提案は、(1)について監督機関に対する個人データ侵害の通知義務が生じる場合を、データ主体に対するデータ侵害の連絡義務が生じる場合と一致させること、また、(2)及び(3)については手続きをシンプルにすることを意図しているといえ、データ侵害が発生した場合の実務上の対応に影響のある提案内容となっています※9。

7. データ保護影響評価が必要な場合のEUレベルでの共通化（3条9項）

[現行の規定]

GDPR35条1項は、データ保護影響評価について、「処理の性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の処理が、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その処理の開始前に、予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない」と規定し、また、同条4項及び5項は、加盟国の監督機関について、当該義務の対象となるべき処理業務の種類のリストを作成・公表すべきこと、及び当該義務の対象とならない処理業務の種類のリストを作成・公表できることを規定しています。

[改正提案]

Digital Omnibusでは、欧州データ保護会議が、上記の加盟国の監督機関が作成すべき/作成することができるとされていたデータ保護影響評価を必要とする処理業務及びデータ保護影響評価を必要としない処理業務のリストを準備すべきこと、また、データ保護影響評価を実施するための共通テンプレート及び共通手法を準備すべきこと、を提案しています。

当該提案によって、これまで加盟国の監督機関毎に作成されていたリストが、欧州データ保護会議により準備されることにより、データ保護影響評価の実施の要否やその実施手法がEUレベルでより明確になることが期待されます。

8. Cookieに係る規定の追加（3条15項）

[現行の規定]

上記1.のとおり、GDPR4条(1)では「個人データ」の定義として、自然人を識別するオンライン識別子についてその定義に含むものの、CookieについてはePrivacy指令においてより具体的な規律がなされています。

[改正提案]

Digital Omnibusは、88a条をGDPRに新設し、GDPR上の規律として、Cookieに関して、自然人の端末機器上での個人データの保存又は保存されている個人データへのアクセスに対して原則としてデータ主体の同意を取得する必要があることを定めると共に※10、その同意に関して、以下の要件を定めることを提案しています。

データ主体がボタンのワンクリック又は同等の手段で簡単かつ分かりやすい方法で同意の要求を拒否できるようにすること
データ主体が同意した場合、管理者はデータ主体の同意に適法に依拠できる期間中、同じ目的のために新たな同意の要求を行ってはならないこと
データ主体が同意の要求を拒否した場合、管理者は少なくとも6か月間、同じ目的のために新たな同意の要求を行ってはならないこと

また、Digital Omnibusは、併せて、88b条を新設し、データ主体が自動かつ機械によって読み取り可能な方法で、同意を与えること、同意の要求を拒むこと及びGDPR21条2項の異議を述べる権利の行使をできるようなオンラインインターフェースを管理者が確保することも提案しています。これらの同意に係る規律は、データ主体におけるCookieに関しての同意疲れにも配慮し、Cookieバナーの使用の削減・簡素化を意図しているものと考えられます。

Digital Omnibusにおけるその他の改正提案の内容（AI法）※11

　Digital Omnibusにおいては、上記のGDPRに係る改正提案の他にも、例えば、AI法について、①ハイリスクAIについてのルールの適用のタイムラインを見直すこと※12、②簡素化した技術文書の要件を含む中小企業（small and medium-sized enterprises: SMEs）向けの簡素化の規定の適用対象について、中規模の事業者（small mid-cap enterprises: SMCs）にも拡大すること、③AIオフィスも特定のAIシステムについてEUレベルでの規制のサンドボックスを創設できるようにし、また実環境テストを利用できるAIシステムを拡大すること、④AIオフィスの権限を強化し汎用目的AIモデルのAIシステムの監督を集権化すること等も提案しています。

今後に向けて

　今回公表されたDigital Omnibusは、欧州委員会による提案の位置付けであり、法律として成立するためには、EU理事会・欧州議会・欧州委員会の各代表による「三者対話（trilogue）」を経るなどしてEU理事会と欧州議会による共同採択を経る必要があるため、その内容は今後の手続の中で大きく変わる可能性があります。

　もっとも、今回公表されたDigital Omnibusの他にもデジタル規制については改正提案がなされていくことも見込まれるため、日本企業においても今回の提案内容を含めて状況を注視していく必要があり、当事務所としても、引き続き、日本企業の皆さまのご参考になる情報発信をして参りたいと考えております。

脚注一覧

※1
https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2718

※2
https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal

※3
https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal

※4
CJEU, Case C-413/23P (SRB v. EDPS), 2025年9月4日
https://curia.europa.eu/juris/document/document.jsf;jsessionid=16C018E9F2893C3E0C4A571DB193AF08?text=&docid=303863&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=11181678

※5
なお、仮名化に関しては、Digital Omnibusにおいて、欧州委員会が、欧州データ保護会議と共に、仮名化された情報があるエンティティにとって個人データを構成しないかどうかについての方法及び基準を特定することも提案しています（3条10項）。

※6
Digital Omnibusでは、AIシステム及びAIモデルについて、GDPR9条の特別な種類の個人データに係る規律以外にも、GDPR88c条として、個人データの処理につきGDPR6条1項(f)の正当な利益に依拠しうる旨の条項の加筆も提案しています。

※7
この他にも、Digital Omnibusでは、学術研究目的での処理の場合の例外規定も提案されています（3条6項）。

※8
Directive (EU) 2022/2555
https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng

※9
また、Digital Omnibusでは、Network and Information Security II Directive (NIS2指令)、Digital Operational Resilience Act、eIDAS Regulation及びCritical Entities Resilience Directiveに基づく報告も一元化することが提案されています。

※10
Digital Omnibusでは、同意に依拠しなくてよい例外的な場合として、①電子通信ネットワークを介した電子通信の送信を行う場合、②データ主体が明示的に要求したサービスを提供する場合、③オンラインサービスの利用状況に関する集約情報を作成し、そのサービスの視聴者を測定する場合（ただし、オンラインサービスの管理者が自己使用のためのみに行う場合に限る）、④データ主体が要求したサービスやそのサービスの提供に使用される端末機器のセキュリティを維持又は回復する場合、を提案しています。

※11
この他にも、Digital Omnibusでは、Data Actについての提案もされています。

※12
具体的には、①AI法6条2項及びANNEX IIIのハイリスクAIシステムについては、欧州委員会が遵守を支援するための適切な措置が利用可能であることを確認する決定を採択した後6か月、又は遅くとも2027年12月2日、また、②AI法6条1項及びANNEX IのハイリスクAIシステムについては、欧州委員会が遵守を支援するための適切な措置が利用可能であることを確認する決定を採択した後12か月、又は遅くとも2028年8月2日、と提案しています。また、2026年8月2日までに市場に置かれた汎用目的AIシステムについては2027年2月2日までにAI法50条2項を遵守する措置を講じるべき旨の条項の加筆も提案されています。

2025年12月2日

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。

全文ダウンロード（PDF）