top of page
検索

GDPR改正で個人データの扱いが変わる?EU「Digital Omnibus」の10大ポイント解説

2025年11月、EU(欧州連合)は「Digital Omnibus(デジタル・オムニバス)」という大きな法改正案を発表しました。


これは、個人情報保護(GDPR)、AI規制、サイバーセキュリティ、クラウドサービスに関わる複数の法律を一括で見直す、非常に大規模な改革です。


また、今回の改正案は、複雑だったデジタル規制を整理し、中小企業にも対応しやすくする意図があるのも特徴です。


一見、日本企業には関係なさそうに思えるかもしれませんが、実はEUと取引がある、またはEU在住者の個人情報を扱う日本の中小企業にも少なからず影響があります。


今回は、行政書士の視点から、中小企業が知っておくべき「Digital Omnibus」の注目ポイントを10項目にまとめてわかりやすく解説します。


①EU「Digital Omnibus」って何?


Digital Omnibusとは、EUが進めるデジタル規制の現代化プロジェクトで、以下のような法律の改正が含まれています:


  • GDPR(一般データ保護規則)

  • EU AI Act(EUAI規制法)

  • eプライバシー規則

  • NIS2指令(サイバーセキュリティ)

  • データ法(Data Act)など


目的は、AI・クラウド・データが急速に進化している今の時代に合わせて、現実的で使いやすいルールを作ることです。


②「個人データ」の定義が現実的に


新たな案では、企業が保持する情報について「特定の個人を識別する手段が現実的でない場合」は、個人データとは見なされないと明記されました。


たとえば、匿名化や仮名化されたデータを他の情報と結びつけずに利用している場合、それはGDPR上の「個人データ」ではなくなる可能性があります。


これは、AIやデータ活用を進めたい企業にとっては大きな前進です。


③AI開発がしやすくなる?


AI開発においても、個人データの処理に「正当な利益」という法的根拠が使えると明記されました。


さらに、一定条件のもとでは、健康情報などのセンシティブな情報も処理可能とされます。


条件には「必要最小限のデータだけを使う」「説明責任を果たす」「本人の異議申し立て権を保障する」などが含まれています。


中小企業がAIを導入しやすくなる可能性があります。


④情報開示請求への対応が柔軟に


GDPRでは、個人が自分のデータについて企業に情報開示を請求できます。


今回の改正案では、この権利を「濫用している」と判断された場合、企業が対応を拒否できるようになります。


たとえば、営業目的のしつこい請求や嫌がらせ的な問い合わせに対して、企業が無理に対応する必要がなくなります。


⑤プライバシー通知の省略が可能に


通常、個人データを取得する際には、誰が・なぜ・どのように使うのかを説明する義務があります。ですが、新たな案では、


  • その利用が低リスクである

  • 相手が企業のことやデータの使い道をすでに知っていると合理的に考えられる


という2つの条件がそろえば、通知を省略できるようになります。


⑥Cookieの規制が一部緩和


現在のEUでは、ほとんどのCookie利用にユーザーの同意が必要ですが、同意バナーの煩雑さが問題視されています。


今回の案では、以下の目的で使うCookieは、同意なしで利用可能にすることが検討されています:


  • サイトの安全性を保つ

  • ユーザー数をざっくり把握する(アクセス解析)


これにより、Web運用の手間が少し軽くなるかもしれません。


⑦インシデント報告の一本化と期限緩和


GDPRやNIS2など、複数の法律にまたがる「サイバー攻撃や情報漏えいの報告」が、今後は一本化され、1つの窓口で対応できるようになる見込みです。


また、個人データ漏えいの報告期限も「72時間以内」から「96時間以内」へと延長されます。


中小企業にとっては、実務負担の軽減につながる改正です。


⑧中小クラウド事業者への配慮


クラウドサービスを他社へ乗り換えることをスムーズにする「スイッチ義務」が緩和されます。


スイッチ義務とは、クラウドサービスを使っている企業が、他社のサービスにスムーズに乗り換えられるように、クラウド提供側が協力しなければならないというルールです。


たとえば「今使っているクラウドから、もっと安くて便利なサービスに変えたい!」と思ったときに、技術的・契約的に乗り換えができないのでは困りますよね。つまりこのスイッチ義務は、クラウド利用者の自由な選択を守るための仕組みです。


今回の提案では、「カスタマイズが必要なクラウドサービス」、 「中小企業やスタートアップが提供するクラウドサービス」は、このスイッチ義務が緩和されます。


これにより、小規模なクラウド事業者でも持続的なビジネス運営がしやすくなります。


⑨高リスクAI規制の適用時期が延期に?


もともとEUでは、2026年8月から「高リスクAI」に対する規制が始まる予定でした。しかし、今回の提案では、その適用時期に少し余裕を持たせる方向で見直しが進められています。


たとえば、教育や警察などの分野で使われるAIについては、EUが技術的なルールを正式に決定してから6か月後に規制が始まる見通しです。また、それ以外の高リスクAIについては、同じ決定日から12か月後に施行されることが想定されています。


このように、実際の開始時期が「いつ決定されるか」によって変わる仕組みになっており、最も遅いケースでは、2027年末から2028年夏頃にずれ込む可能性も出てきました。


⑩AIオフィスの設立で大手AIに集中監視


EUは、新たに「AIオフィス」という監督機関を設置する予定です。この機関は特にChatGPTのような汎用AIモデルや、GoogleやMetaのような大規模プラットフォームに組み込まれたAIシステムを対象に監視・指導を行います。


中小企業が直接監視対象になるわけではありませんが、今後のAI関連規制の流れを見極めるうえで、重要な動きです。


まとめ:日本の中小企業が今すべきこと


今回の「Digital Omnibus」は、あくまで提案の段階であり、今後大きな修正が加えられる可能性もありますが、行政書士として、以下のような対応が今後必要になるであろうと考えています。


  • 個人データの管理体制の見直し

  • AIやクラウド活用に関する社内ルールの整備

  • プライバシーポリシー・クッキーポリシーのアップデート


EU域内の規制ではありますが、「EU企業と取引している」、「海外のクラウドやサービスを使っている」、「AI活用を検討している」といった中小企業にとっては、無関係ではありません。


まずは、自社のリスクや活用の可能性を整理してみることをおすすめします。「何から始めていいかわからない…」という方は、ぜひ専門家にご相談ください。

bottom of page