デジタルオムニバスでGDPRに追加・修正される条文（仮訳）

Digital OmnibusでGDPRに追加・修正することが提案されている条文のうち、特別カテゴリデータ、自動決定、Cookie、同意管理、AIの箇所の仮訳です。下線部が差分です。

 

•  
• 条文
  • 9条 特別なカテゴリの個人データの処理
  • 22条 自動化された個人に対する決定（プロファイリングを含む）
  • 88a条 自然人の端末機器における個人データの処理
  • 88b条 自然人の端末機器における個人データの処理に関するデータサブジェクトの選択の自動化された機械可読な表示
  • 88c条 AIの開発及び運用の文脈における処理
• Recitals
  • AI関係
  • バイオメトリックデータ（ローカル生体認証）関係
  • 自動決定関係
  • Cookie関係
  • 同意管理関係
  • ePrivacy指令の改正等
• メモ

 

条文

9条 特別なカテゴリの個人データの処理

1. 個人データのうち、人種的または民族的出自、政治的意見、宗教的または哲学的信条、または労働組合への所属を明らかにするもの、並びに遺伝データ、自然人を一意に識別する目的でのバイオメトリックデータ、健康に関するデータ、自然人の性生活または性的指向に関するデータの処理は、禁止される。
2. 第1項は、以下のいずれかに該当する場合には適用されない。
   • (a) データサブジェクトが、特定された一つ以上の目的のために当該個人データの処理について明示的な同意を与えている場合。ただし、連合法又は加盟国法が第1項に言及される禁止がデータサブジェクトによって解除されてはならないと定める場合を除く。
   • (b) 処理が、連合法又は加盟国法に基づき、または加盟国法に従う団体協約に基づいて、適切な保障措置を提供しつつ、雇用、社会保障及び社会保護法の分野において、コントローラーまたはデータサブジェクトの義務の履行及び特定の権利の行使を目的として必要である場合。
   • (c) 処理が、データサブジェクトが身体的又は法的に同意を与えることができない場合に、データサブジェクトまたは他の自然人の重要な利益を保護するために必要である場合。
   • (d) 処理が、政治的、哲学的、宗教的または労働組合目的を有する財団、協会その他の非営利団体によって、その正当な活動の過程で適切な保障措置とともに行われ、当該処理が当該団体の構成員または元構成員、もしくはその目的に関連して当該団体と定期的に接触する者のみに関係し、データサブジェクトの同意なく当該団体外に個人データが開示されない場合。
   • (e) 処理が、データサブジェクトにより明らかに公にされた個人データに関係する場合。
   • (f) 処理が、法的請求の立証、行使または防御のため、または裁判所がその司法機能を行使する場合に必要である場合。
   • (g) 処理が、連合法又は加盟国法に基づき、追求される目的に比例し、データ保護の権利の本質を尊重し、かつデータサブジェクトの基本的権利及び利益を保障するための適切かつ具体的な措置を定めるものとして、重大な公共の利益の理由により必要である場合。
   • (h) 処理が、連合法又は加盟国法に基づき、または医療専門家との契約に基づき、第3項に言及される条件及び保障措置の下で、予防医療又は職業医学、従業員の勤務適性の評価、医療診断、医療または社会ケアの提供又は治療、または医療または社会ケアの制度及びサービスの管理を目的として必要である場合。
   • (i) 処理が、連合法又は加盟国法に基づき、データサブジェクトの権利及び自由を保障するための適切かつ具体的措置を定め、特に専門上の秘密保持義務を確保するものとして、公衆衛生の分野における公共の利益の理由、例えば重大な国境を越える健康脅威からの保護、または医療や医薬品または医療機器の品質及び安全性の高い基準の確保のために必要である場合。
   • (j) 処理が、連合法又は加盟国法に基づき、追求される目的に比例し、データ保護の権利の本質を尊重し、かつデータサブジェクトの基本的権利及び利益を保障するための適切かつ具体的措置を提供するものとして、公的利益のための保存目的、科学的または歴史的研究目的、または統計目的のために必要である場合。
   • (k) 処理が、規則(EU)2024/1689第3条(1)に定義されるAIシステムまたはAIモデルの開発及び運用の文脈において行われ、かつ第5項に規定される条件に従う場合。
   • (l) 処理が、データサブジェクトのアイデンティティを確認する目的（検証）のために必要であり、バイオメトリックデータまたは検証に必要な手段がデータサブジェクトの単独の管理下にある場合。
3. 第1項に言及される個人データは、それらのデータが連合法又は加盟国法に基づく専門上の秘密保持義務に服する専門家、または加盟国の権限ある機関によって定められた規則に従う専門家の責任において、もしくは同様の秘密保持義務に服する他の者によって処理される場合、第2項(h)の目的のために処理することができる。
4. 加盟国は、遺伝データ、バイオメトリックデータまたは健康に関するデータの処理に関して、追加の条件を維持または導入することができる。
5. 第2項(k)に言及される処理については、特別カテゴリの個人データの収集及びその他の処理を回避するために、適切な組織的及び技術的措置を実施するものとする。これらの措置の実施にもかかわらず、コントローラーが、訓練、テスト又は検証に使用されるデータセット、またはAIシステムもしくはAIモデルにおいて特別カテゴリの個人データを特定した場合、当該データを削除するものとする。当該データの削除が不釣り合いな労力を必要とする場合、コントローラーは、いかなる遅滞もなく、当該データが出力生成に使用されること、第三者に開示されることまたはその他の方法で利用可能とされることを防止するための効果的な保護を行うものとする。

 

22条 自動化された個人に対する決定（プロファイリングを含む）

1. データサブジェクトに法的効果を生じ、または同様に重大な影響を及ぼす決定は、当該決定が以下のいずれかに該当する場合に限り、プロファイリングを含む専ら自動化された処理に基づいで行うことができる。
   
   • (a) 当該決定を専ら自動化された手段以外の手段によって行うことが可能であるかどうかにかかわらず、当該決定が、データサブジェクトとコントローラーとの間の契約の締結または履行のために必要である場合。
   • (b) 当該決定が、コントローラーが従う連合法又は加盟国法によって認められており、かつ当該法がデータサブジェクトの権利及び自由並びに正当な利益を保護するための適切な措置を定めている場合。
   • (c) 当該決定が、データサブジェクトの明示的な同意に基づく場合。
2. 第2項(a)及び(c)の場合、コントローラーは、データサブジェクトの権利及び自由並びに正当な利益を保護するための適切な措置を実施しなければならず、少なくとも、コントローラーによる人による関与を得る権利、自身の見解を表明する権利、及び当該決定に異議を述べる権利を確保しなければならない。
3. 第2項に言及される決定は、特別カテゴリの個人データ（第9条第1項に言及されるもの）に基づいてはならず、ただし第9条第2項(a)又は(g)が適用され、かつデータサブジェクトの権利及び自由並びに正当な利益を保障するための適切な措置が講じられている場合を除く。

 

88a条 自然人の端末機器における個人データの処理

1. 自然人の端末機器に個人データを保存する行為、または既に保存されている個人データへのアクセスを取得する行為は、当該自然人が本規則に従って同意を与えている場合に限り許容される。
2. 第1項は、個人データの保存、または自然人の端末機器に既に保存されている個人データへのアクセス取得を、連合法又は加盟国法に基づき、かつ第6条の意味及び条件に従い、第23条第1項に言及される目的を保護するために行うことを妨げない。
3. 自然人の同意なく自然人の端末機器に個人データを保存する行為、または既に保存されている個人データへのアクセス取得を行い、その後に処理を行うことは、以下のいずれかに必要な範囲において適法となる。
   
   • (a) 電子通信ネットワーク上で電子通信の伝送を実施すること。
   • (b) データサブジェクトが明示的に要求したサービスを提供すること。
   • (c) オンラインサービスの利用に関する集約情報を作成して当該サービスの視聴者数を測定すること。ただし、当該オンラインサービスのコントローラーが自らの利用のためにのみ実施する場合に限る。
   • (d) コントローラーが提供し、データサブジェクトが要求したサービス、または当該サービスの提供に使用される端末機器の安全性を維持し又は回復すること。
4. 自然人の端末機器に個人データを保存する行為、または既に保存されている個人データへのアクセス取得が同意に基づく場合には、以下が適用される。
   • (a) データサブジェクトは、単一のクリックボタン又は同等の手段により、同意の要請を容易かつ理解可能な方法で拒否することができる。
   • (b) データサブジェクトが同意を与えた場合、コントローラーは、当該コントローラーがデータサブジェクトの同意に適法に依拠できる期間中、同一の目的について新たな同意要請を行ってはならない。
   • (c) データサブジェクトが同意要請を拒否した場合、コントローラーは、同一の目的について少なくとも6か月間新たな同意要請を行ってはならない。
   • 本項は、同意に基づく個人データの後続処理にも適用される。
5. 本条は、【規則発効の6か月後】から適用される。

 

88b条 自然人の端末機器における個人データの処理に関するデータサブジェクトの選択の自動化された機械可読な表示

1. コントローラーは、自らのオンラインインターフェースがデータサブジェクトに以下を可能とすることを確保しなければならない。
   1. (a) 本規則に定める同意の条件が満たされていることを前提として、自動化された機械可読手段によって同意を与えること。
   2. (b) 自動化された機械可読手段によって、同意要請を拒否し、第21条第2項に従って異議権を行使すること。
2. コントローラーは、第1項に従ってデータサブジェクトが行った選択を尊重しなければならない。
3. 第1項及び第2項は、メディアサービスを提供する際のメディアサービス提供者であるコントローラーには適用されない。
4. 委員会は、規則(EU)1025/2012第10条第1項に従い、機械可読のデータサブジェクトの選択の表示の解釈のための標準を策定するよう、一つ以上の欧州標準化機関に要請するものとする。
   コントローラーのオンラインインターフェースが、欧州連合官報にリファレンスが掲載された調和標準又はその一部に適合している場合、当該オンラインインターフェースは第1項に定める要件に適合しているものと推定される。
5. 第1項及び第2項は、【規則発効の24か月後】から適用される。
6. 中小企業ではないウェブブラウザの提供者は、第1項に言及される自動化された機械可読手段を用いて、データサブジェクトが同意を与えること、同意要請を拒否すること、及び第21条第2項に従って異議を行使することを可能とする技術的手段を提供しなければならない。これは本条第2項から第5項を適用して実施される。
7. 第6項は、【規則発効の48か月後】から適用される。

 

88c条 AIの開発及び運用の文脈における処理

AIシステム（規則(EU)2024/1689第3条(1)に定義されるもの）又はAIモデルの開発及び運用の文脈において、コントローラーの利益のために個人データの処理が必要な場合、適切な場合には、規則(EU)2016/679第6条第1項(f)の意味における正当な利益のために当該処理を追求することができる。ただし、他の連合法又は国内法が明示的に同意を要求する場合、または当該利益が、データサブジェクトの利益又は個人データの保護を必要とするデータサブジェクトの基本的権利及び自由によって優越される場合は例外とする。特にデータサブジェクトが子どもである場合が該当する。

当該処理は、情報源の選択段階及びAIシステム又はAIモデルの訓練及びテストの段階においてデータ最小化を確保すること、AIシステム又はAIモデルに残留的に保持されるデータの不開示を確保すること、データサブジェクトに対する透明性を強化すること、及びデータサブジェクトに自己の個人データの処理に対して無条件で異議を述べる権利を付与することなど、データサブジェクトの権利及び自由のための適切な組織的・技術的措置及び保障措置の対象とならなければならない。

 

Recitals

AI関係

(30) 信頼できるAIは、経済成長を実現し、社会的に有益な成果を伴う革新を支援する上で重要である。大規模言語モデルや生成動画モデルなどの基盤モデルを含むAIシステムの開発及び使用は、AIライフサイクルの各段階、例えば訓練、テスト及び検証の段階において個人データを含むデータに依拠し、個人データがAIシステムまたはAIモデル内に保持される場合がある。この文脈における個人データの処理は、適切な場合には、規則(EU)2016/679第6条の意味における正当な利益の目的のために実施することができる。これは、特定の文脈または特定の目的におけるAIの開発または使用（配備）が他の連合法または国内法に適合すること、またはその使用が法により明示的に禁止されている場合に適合性を確保することについてのコントローラーの義務に影響を与えるものではない。また、規則(EU)2016/679第6条第1項(f)のその他すべての条件並びに当該規則のその他すべての要件及び原則が満たされることを確保する義務にも影響を与えるものではない。

(31) コントローラーが、本規則に基づく義務の拡張性を支えるリスクベースのアプローチに照らし、コントローラーまたは第三者が追求する正当な利益とデータサブジェクトの利益、権利及び自由とのバランスを取る際には、コントローラーが追求する利益がデータサブジェクト及び社会全体に有益であるかどうかを考慮すべきである。例えば、個人データの処理が偏りを検出し除去するために必要であり、そのことでデータサブジェクトを差別から保護する場合、または個人データの処理が、特定のサービスへのアクセス向上など有益な利用のために正確で安全な出力を確保することを目的としている場合などが該当する。また、データサブジェクトとコントローラーとの関係に基づく合理的な期待、データサブジェクトに対する透明性の強化を提供すること、データサブジェクトに自己の個人データの処理に対して無条件の異議権を付与すること、第三者によるAI開発のためのデータ利用を制限するサービスに組み込まれた技術的指示を尊重すること、AI訓練のための他の最先端のプライバシー保護技術を使用すること、回帰、データ漏えいその他の意図された又は予見可能な行為に伴うリスクを効果的に最小化するための適切な技術的措置など、データサブジェクトの権利への影響を最小化するための適切な保障措置などを考慮すべきである。

(33) 特定のAIシステム及びAIモデルの開発には、個人データ及びその特別カテゴリを含む大量のデータの収集が伴う場合がある。特別カテゴリの個人データは、処理の目的に必要ない場合であっても、訓練、テスト又は検証データセットに残留的に存在したり、AIシステム又はAIモデル内に保持されたりする可能性がある。AIの開発及び運用を過度に妨げず、かつコントローラーが特別カテゴリの個人データを識別し除去する能力を考慮するため、規則(EU)2016/679第9条第2項に基づく特別カテゴリの個人データ処理禁止からの例外を認めるべきである。この例外は、コントローラーが当該データの処理を回避するための適切な技術的及び組織的措置を有効に実施し、AIシステム又はAIモデルのライフサイクル全体を通じて適切な措置を講じ、当該データを識別した際には効果的に除去する場合に限って適用される。除去が不均衡な努力を要する場合、特にAIシステム又はAIモデルに記憶された特別カテゴリのデータを除去するために再設計が必要となる場合には、コントローラーは、当該データが出力の推定、開示その他第三者への提供に使用されないよう効果的に保護しなければならない。この例外は、特別カテゴリの個人データの処理が処理目的に必要である場合には適用されず、その場合にはコントローラーは規則(EU)2016/679第9条第2項(a)から(j)までの例外規定に依拠しなければならない。

 

バイオメトリックデータ（ローカル生体認証）関係

(34) 規則(EU)2016/679第4条(14)で定義されるバイオメトリックデータとは、自然人の特定の特徴を特定の技術的手段によって処理し、当該自然人を一意に識別し又は識別を確認することを可能にするデータを意味する。バイオメトリックデータの概念は、自然人の識別と、主張されたアイデンティティの検証（認証とも呼ばれる）の二つの異なる機能を包含し、両者は異なる技術的プロセスに依拠する。識別プロセスは、データサブジェクトのバイオメトリックデータをデータベース内で「一対多」の検索にかけることに基づく一方、検証プロセスは、データサブジェクトが自身のアイデンティティを主張された際に提供するバイオメトリックデータを「一対一」で比較することに基づく。規則(EU)2016/679第9条第1項の下でのバイオメトリックデータ処理禁止からの例外も、データサブジェクトの主張されたアイデンティティの検証がコントローラーが追求する目的のために必要であり、かつデータサブジェクトが検証プロセスを単独で管理できるような適切な保障措置が適用される場合には認められるべきである。例えば、バイオメトリックデータがデータサブジェクト側にのみ安全に保存されている場合や、コントローラー側に最先端の暗号化形式で安全に保存され、その暗号鍵又は同等の手段がデータサブジェクトのみに保持されている場合には、その処理はデータサブジェクトの基本的権利及び自由に重大なリスクを生じさせる可能性は低い。コントローラーは、バイオメトリックデータについて知識を得ないか、または検証プロセス中のごく短い期間のみ知識を得るにすぎない。

 

自動決定関係

(38) 規則(EU)2016/679第22条は、コントローラーがデータサブジェクトに法的効果を及ぼす、又は同様に重要な影響を与える決定を、純粋に自動化された処理に基づいて行う場合の個人データの処理を規律する規則を定めている。より大きな法的確実性を提供するため、純粋に自動化された処理に基づく決定は、規則(EU)2016/679に定められた特定の条件が満たされる場合には許容されることを明確にすべきである。また、規則(EU)2016/679第22条第2項(a)に定められるように、契約の締結または履行に必要かどうかを評価する際、当該決定が純粋に自動化された処理によってのみ行うことが可能である必要はないことを明確にすべきである。これは、決定が人間によって行うことも可能であるという事実が、コントローラーが純粋に自動化された処理によって決定を行うことを妨げないことを意味する。複数の同等に有効な自動化処理の解決策が存在する場合、コントローラーはより侵害性の低いものを使用すべきである。

 

Cookie関係

(44) 端末機器に個人データを保存する行為、または既に保存されている個人データへのアクセス取得及びその後の処理は、電子通信サービスの加入者または端末機器の利用者が自然人である場合には、単一の法的枠組み、すなわち規則(EU)2016/679の下で規律されるべきである。本規則で提示される改正は、データサブジェクトが自己の権利を行使し、オンライン上で選択を示す際の利便性を簡素化しつつ、引き続き個人データ保護の最高水準を提供するものである。改正は特に、当該端末機器への情報の保存、当該機器からの情報へのアクセスその他の収集に関し、個人データを処理するためにクッキーその他の類似技術を通じて端末機器から情報を取得する行為に関係する。関連する規則は、端末機器が自然人自身によって所有されているか、または他の法人または自然人によって所有されているかに関わらず適用されるべきである。

端末機器に個人データを保存する行為、または既に保存されている個人データへのアクセス取得は、同意に基づく場合に限り引き続き許容されるべきである。指令2002/58/ECのアプローチと同様に、この要件は、規則(EU)2016/679第6条の意味において連合法又は加盟国法に基づく場合であって、当該規定に定められた適法性のすべての条件を満たし、規則(EU)2016/679第23条第1項に定められた目的のために行われる場合には、自然人の端末機器への個人データの保存またはアクセス取得を妨げるものではない。

コンプライアンス負担の軽減及びコントローラーに対する法的明確性の提供を目的とし、また特定の処理目的がデータサブジェクトの権利及び自由に対して低いリスクしかもたらさない場合、または当該処理がデータサブジェクトが要求したサービスの提供に必要である場合があることを踏まえ、同意なしに処理が認められるべき目的の限定的なリストを定義する必要がある。端末機器に個人データを保存する行為、または既に保存されている個人データへのアクセス取得及びその目的に必要な後続処理に関して、本規則は当該処理が適法であることを定めるべきである。メディアサービス提供者のようなコントローラーは、市場調査会社のようなプロセッサーに対し、当該処理を代行させることができる。

限定的リストに定義された目的以外の目的での後続処理については、規則(EU)2016/679第6条及び必要に応じて第9条が適用されるべきである。コントローラーは、説明責任の原則に照らし、意図される処理に適した法的根拠を選択する責任を負う。規則(EU)2016/679第6条第1項(f)に基づく正当な利益を後続処理の法的根拠として依拠するためには、コントローラーは、自己または第三者の正当な利益を追求していること、当該正当な利益の目的を達成するために処理が必要であること、及びデータサブジェクトの利益または基本的権利がコントローラーの利益に優越しないことを示さなければならない。この文脈において、コントローラーは次の要素を最大限考慮すべきである。データサブジェクトが子どもであるかどうか、データサブジェクトの合理的期待、処理されるデータの規模または機微性による個人への影響、処理の規模（処理が大量であったり、多様なデータカテゴリに及んだりしてはならないという意味）、処理は必要最小限のデータに基づくべきであり、データサブジェクトのオンライン活動の大部分を監視することに基づくべきではないこと、その他適切な要素等である。当該処理はデータサブジェクトの私生活の継続的監視を引き起こしてはならない。

コントローラーが後続処理の法的根拠として正当な利益に依拠できない場合、処理は規則(EU)2016/679第6条第1項の他の根拠、特に規則(EU)2016/679第6条及び第7条に従った同意に基づいて行われるべきであり、規則(EU)2016/679のすべての原則が満たされなければならない。

 

同意管理関係

(45) 同意要請を拒否したデータサブジェクトは、同一のコントローラーのオンラインサービスに再びアクセスするたびに、新たな同意要請に直面することが多い。これはデータサブジェクトに不利益を及ぼし、要請の繰り返しを避けるためだけに同意してしまう場合がある。したがって、コントローラーは、データサブジェクトが同意要請を拒否した選択を一定期間尊重する義務を負うべきである。

(46) データサブジェクトは、同意の付与、同意要請の拒否、または処理への異議の意思表示を、自動化された機械可読の手段に依拠して行うことができるべきである。これらの手段は最先端技術に従うべきである。これらは、規則(EU)914/2014に定められたEUデジタルIDウォレットや、ウェブブラウザの設定、その他の適切な手段に実装することができる。本規則に定められた規則は、適切なインターフェースを備えた市場主導のソリューションの出現を支援するべきである。標準が利用可能となった場合、コントローラーはデータサブジェクトの自動化された機械可読の選択表示を尊重する義務を負うべきである。民主社会における独立したジャーナリズムの重要性及びその経済基盤を損なわないため、メディアサービス提供者はデータサブジェクトの機械可読の選択表示を尊重する義務を負うべきではない。ウェブブラウザ提供者がデータサブジェクトに対し処理に関する選択を行うための技術手段を提供する義務は、メディアサービス提供者がデータサブジェクトから同意を求める可能性を損なうべきではない。

 

ePrivacy指令の改正等

(47) 2009年に最後に改正された電子通信のプライバシー及び電子通信に関する指令2002/58/EC（「eプライバシー指令」）は、通信の機密性を含むプライバシーの権利を保護する枠組みを提供している。また電子通信サービスの文脈における個人データの処理に関して規則(EU)2016/679を補完している。eプライバシー指令は、そのような通信に使用される加入者または利用者の端末機器のプライバシー及び完全性を保護する。指令2002/58/ECの現行の第5条第3項は、加入者または利用者が自然人でない場合、また保存またはアクセスされた情報が個人データを構成しないか、個人データの処理につながらない場合には、引き続き適用されるべきである。

(48) 指令2002/58/EC第4条は廃止されるべきである。同条は、公衆利用可能な電子通信サービス提供者に対し、サービスの安全確保及び通知義務に関する要件を定めていた。その後、指令(EU)2022/2555が、これらの提供者に対してサイバーセキュリティのリスク管理措置及びインシデント報告に関する新たな要件を定めた。電子通信分野の事業者に重複する義務を課さないようにするため、指令2002/58/EC第4条は廃止されるべきである。指令2002/58/EC第4条(1)及び(1a)に基づく個人データの処理の安全確保並びに同指令第4条(3)から(5)に基づく個人データ侵害の通知については、規則(EU)2016/679が包括的かつ最新の規則を既に提供している。これらの規則は、公衆利用可能な電子通信サービス提供者及び公衆通信ネットワーク提供者に適用されるべきであり、コントローラー及びプロセッサーに単一の制度が適用されることを確保する。

 

メモ

• 9条2項(k)、5項は、LLMの文脈で、学習段階における特別カテゴリデータの処理の禁止を事実上諦め、出力・開示にフォーカスするもので、日本と同じ道を辿っていると言える。背景には、Opinion 28/2024やHmbBfDI Discussion Paper、ケルン高等裁判所決定があるものと思われる。
• 9条2項(l)は、事実上、ローカルでの生体認証を特別カテゴリデータから除外するものである。Recital 34がGuidelines 05/2022を繰り返すようなことを言っているが、要するに、1対Nの「識別」はハイリスクだが、1対1の「認証」（authentication。法文上は検証verificationが採用されている。）はローカルで完結しているのであればそうではないということのようである。もともとbiometric dataは"processing of biometric data for the purpose of uniquely identifying a natural person"という形で規定されており、データのカテゴリだけではなくそれが自然人の一意な識別を目的としているかどうかによる絞りが加えられていたのであるが、今回、さらに絞りが加わることになる。Soloveが昨年、個人データは内容ではなく文脈が重要であり、センシティブデータ規制は誤りである旨主張しているが、それが裏付けられているように思われる。日本では、個情委の3月5日ペーパーが、（EUよりも限定的な形ではあるものの）バイオメトリックデータ規制を提案しており、EUの動きがどのように影響するのか興味深い。また、ほとんど専ら十分性認定を受けるために導入した要配慮個人情報規制についても、EUの動きがどのように影響するのか興味深い。
• 22条1項は、もともと実質的には禁止規定だったのだが、フランス法の影響で権利とされていた。今回正面から禁止規定に書き換えられた（なお、中国法は、最初からGDPR 22条のような規定を禁止規定として書いていた）。また、必要性に関して、LRAとしてマニュアル処理を考慮しないことが明示された。AIの文脈で、Human in the loopの重要性を強調する風潮があり、確かにそれが有効な場面もあるかもしれないが、あくまで選択肢の一つとして、処理の態様とリスクに照らしてそれが適切である場合に採用すれば足りる（したがって他の措置と比べて特段重要というわけではないし、デフォルトであるべきでもない）と考えてきたが、EUでは条文に書かなければならないほどになっているのか、と思った。したがって、改正提案それ自体は合理的だと考えるが、必要性概念（CJEUはそれにはEU法上特別の意味があり、LRAの不存在を意味すると繰り返してきた。）との整合性がどうなるのかは興味深い（Recital 38を見るに、LRA自体は放棄していないようである。）。
• 88条aは、撤回されたePrivacy Regulationを異なる形で復活させたものと言える。「個人データ」と明示しているが、日本の外部送信規律にどのように影響するかは興味深い。
• 88条bは、同意管理に関する規定である。IAB EuropeのTCFを潰して自分たちで設計するということなのだろうか。
• 88条cは、一見ドラスティックだが、実は、balancing testを免除しているわけではない。もっとも、Recital 31が事実上balancing testをクリアするためのセーフガードのリストを提供しており、これに沿って対応すれば正当利益が否定されることはないのだと思われる（Opinion 28/2024からすれば後退している）。もっとも、正当利益の内容やセーフガードの内容を見ると、日本で行われているような保護法益に基づく検討は行われていないようである。