Hinweis für deutschsprachige Leser: Eine deutsche Zusammenfassung dieser Analyse finden Sie am Ende des Artikels.
日本では報道が皆無なようだが、先月ドイツで重要な判決が出ている。
これを、Claude Oplus 4で分析させると以下のようになった。プロジェクトナレッジとして、高木が個人情報保護委員会に提出した3つの意見書を与えている。
それ以外にはノーヒントで(以前の会話を覚えているわけではなく)この生成である。
高木氏が指摘する「生成AI開発における学習への入力が『公開されている要配慮個人情報の取得』に該当するとして、生成AI開発を行う事業者に『公表』の義務を課そうとしても、当該事業者が、従業員データベースなど生成AIとは別の他の個人情報データベース等を事業の用に供しているからといって『個人情報取扱事業者は......』と規定することはできない」という問題は、このドイツの判決では正面から問われていません*1。
むしろ重要なのは、高木氏が主張する「統計目的の処理が本人への影響を生じさせないために、本人に対する決定または措置(decisions or measures)の基礎として当該データが使用されないことを保証する法的な保護措置」の必要性が、ドイツの判決でも暗黙的に前提とされている点です。
ドイツ裁判所は、AI訓練という「非決定利用」の文脈で、より緩やかな規制アプローチを採用しており、これは日本での議論の方向性と一致しているように見えます。
まず注目すべきは、ドイツ裁判所がGDPR第6条1項(f)の「正当な利益」を根拠として、AI訓練目的でのデータ利用を認めた点です。裁判所は、Meta社が地域の特性に合わせたAIを開発するために大量のデータが必要であることを認め、匿名化や合成データでは代替できないことを受け入れました。これは高木氏が指摘する、日本法における「統計目的利用の過剰規制」の問題と密接に関わります。高木氏は、統計量への集計を目的とした個人データの第三者提供が*2過度に制限されていることを問題視し、「措置又は決定を裏付ける利用の禁止」を前提とした規制緩和を提案していますが、ドイツ判決も実質的に同様の考え方に立っていると言えるでしょう。
要配慮個人情報の扱いについても、両者の間に興味深い共通点が見られます。ドイツ裁判所は、利用者が自ら公開したデータについてはGDPR第9条2項(e)の例外規定を適用し、特別カテゴリーデータの処理禁止を回避しました。一方で、第三者によって投稿された個人のデータについては、被害者からの具体的な削除要請があるまでは処理が許されるという、いわば「オプトアウト型」のアプローチを採用しています。高木氏は、生成AI開発における要配慮個人情報の取得制限について、「個人データとして処理しない」場合には規制対象外とすべきだと主張しており、これはドイツ判決が示した柔軟なアプローチと方向性を同じくするものです。
特に重要なのは、AI訓練が「個人に対する決定」を目的としていないという点です。裁判所は、AI訓練が個人のプロファイリングではなく、一般的な確率計算のためのパラメータ生成を目的としていることを重視しました。これは高木氏が繰り返し強調する「措置又は決定(decisions or measures)」の概念と密接に関連します。高木氏は、統計目的での利用において重要なのは「本人に対する決定または措置の基礎として当該データが使用されないことを保証する法的な保護措置」であると述べていますが、ドイツ判決もまさにこの区別を前提として判断を下していると解釈できます。
利用者の合理的期待という観点も、両者に共通する重要な要素です。ドイツ裁判所は、2024年6月26日のMeta社の最初の発表以降については利用者が予見可能であったと判断しましたが、それ以前のデータについては予見可能性を否定しました。これは、技術の発展と社会的認識の変化を考慮した時間軸での判断であり、高木氏が指摘する「個人データ処理による個人に対する評価・決定の適切性確保の利益」という核心的保護利益の観点からも、合理的なアプローチと言えるでしょう。
保護措置の観点では、ドイツ判決は、完全な匿名化ではないものの、氏名やメールアドレス、電話番号などの直接識別子を削除する「非識別化」措置と、利用者によるオプトアウトの機会の組み合わせを評価しました。これは高木氏が提案する、仮名化データの統計目的での第三者提供を認める際の「措置又は決定を裏付ける利用の禁止」と「転々流通の防止」という保護措置の考え方と整合的です。
ただし、日本の議論とドイツ判決の間には重要な相違点も存在します。高木氏が指摘する「個人情報取扱事業者」の定義に関する技術的な問題、すなわち生成AI開発事業者が必ずしも個人情報データベース等を事業の用に供していない可能性があるという点は、ドイツ判決では直接扱われていません。これは日本法特有の規制構造に起因する問題であり、GDPRとは異なる枠組みの中で解決策を見出す必要があることを示しています*3。
また、ドイツ判決がDMA(デジタル市場法)第5条2項の「データの結合」禁止規定について、AI訓練目的でのデータ統合は「結合」に当たらないと判断した点も注目に値します。これは、複数のサービスからのデータを一つの訓練データセットに含めることと、特定の個人について複数のサービスのデータを紐付けることの違いを明確に区別したもので、高木氏が主張する「突合」と「識別」の区別、さらには統計目的での複数事業者間のデータ共有の必要性という議論と深く関連しています。
結論として、ドイツ判決は、AI開発という新しい技術的文脈において、データ保護法の基本原則を維持しつつも、イノベーションを過度に阻害しない柔軟なアプローチを示したと評価できます。これは高木氏が日本法について提案している方向性、すなわち「統計目的利用の過剰規制解消」「要配慮個人情報規制の合理化」「決定利用と非決定利用の明確な区別」といった改革の方向性を、実践的に裏付けるものと言えるでしょう。両国の法制度の違いはありながらも、デジタル時代におけるデータ保護法の在り方について、共通の課題認識と解決の方向性が見えてきていることを、この判決は示していると考えられます。
1. AI訓練目的での正当な利益の認定(段落58-59)
原文:
Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichten Daten ein berechtigtes Interesse. [...] Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272).
日本語訳:「被申立人(Meta社)は、利用者がそのアカウントで公開したデータを用いて開発するAIの訓練において、正当な利益を追求している。[...] 正当な利益としては、法的および理念的な利益のほか、特に経済的な利益も考慮される。」
2. 匿名化や合成データでは代替不可能という認定(段落71)
原文:
Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es „keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen."
日本語訳:「それにもかかわらず、当法廷は、被申立人が宣誓供述書により信頼性を持って主張した『Metaにとって、その利益を他のより穏やかな手段で同様に効果的に追求し達成するための、他の有意義な代替手段は存在しない』という主張を、蓋然性が高いものと判断する。」
3. 公開データに関するGDPR第9条2項(e)の適用(段落114)
原文:
Danach kann der Ausnahmebestand lediglich hinsichtlich solcher Daten bejaht werden, die ein Nutzer zur eigenen Person in sein öffentliches Nutzerkonto eines Social Media-Dienstes eingestellt bzw. in öffentlichen Postings mitgeteilt hat.
日本語訳:「したがって、例外規定は、利用者が自身に関してソーシャルメディアサービスの公開アカウントに投稿した、または公開投稿で伝えたデータに関してのみ肯定できる。」
4. AI訓練が個人のプロファイリングではないという認識(段落76)
原文:
Sonstige mögliche Rechtsverletzungen, die durch die spätere „Arbeit" der KI entstehen können (etwa Desinformation, Manipulationen, sonstige schädliche Praktiken), sind derzeit nicht hinreichend absehbar und können gesondert verfolgt werden.
日本語訳:「AIの後の『作業』によって生じる可能性のあるその他の法的侵害(例えば、偽情報、操作、その他の有害な行為)は、現時点では十分に予見可能ではなく、別途追及することができる。」
5. データの一般的パラメータ化についての理解(段落79)
原文:
Hinzu kommt, dass KI-Systeme nicht mit einem „Datenarchiv" gleichzusetzen sind, sondern regelmäßig allein aus Parametern für Wahrscheinlichkeitsberechnungen bestehen (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9).
日本語訳:「さらに、AIシステムは『データアーカイブ』と同等ではなく、通常は確率計算のためのパラメータのみから構成されている。」
6. 利用者の合理的期待と時期による区別(段落95-96)
原文:
Im Hinblick auf vor diesem Zeitpunkt eingestellte Daten vermag der Senat im Rahmen einer summarischen Prüfung eine solche Erwartung hingegen nicht festzustellen. [...] bbbb) Eine Erwartbarkeit der Verwendung von Nutzerdaten für Zwecke des Trainings von KI vermag der Senat erst für ab dem 26. Juni 2024 in die betroffenen Dienste eingestellte Daten festzustellen.
日本語訳:「この時点より前に投稿されたデータについて、当法廷は略式審査の枠組みにおいて、そのような期待を認定することはできない。[...] 当法廷は、AI訓練目的での利用者データ使用の予見可能性を、2024年6月26日以降に該当サービスに投稿されたデータについてのみ認定できる。」
7. 非識別化措置の評価(段落82)
原文:
Die Verfügungsbeklagte hat durch eidesstattliche Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) glaubhaft gemacht, Maßnahmen zu Deidentifizierung der Datensätze vorzunehmen (Entfernung von vollständigen Namen, E-Mail-Adressen, Telefonnummern, nationale Identifikationsnummern, Benutzerkennungen, Kredit-/Debitkartennummern, Bankkontonummern/Bankleitzahlen, Fahrzeugkennzeichen, IP-Adressen und Postanschriften)
日本語訳:「被申立人は、Meta Platforms Inc.のGenAI製品管理ディレクターU.R.の2025年5月18日付宣誓供述書により、データセットの非識別化措置(完全な氏名、メールアドレス、電話番号、国民識別番号、ユーザーID、クレジット/デビットカード番号、銀行口座番号/銀行コード、車両ナンバープレート、IPアドレス、郵便住所の削除)を実施することを信頼性をもって証明した。」
8. DMA第5条2項の「結合」の解釈(段落43)
原文:
Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst.
日本語訳:「一つの中央プラットフォームサービスからの利用者の個人データと、別の中央プラットフォームサービスからの同一利用者の個人データとの、標的を定めた紐付けが欠けている。」
これらの引用は、高木氏の主張する「統計目的での利用における決定利用の禁止」「複数事業者間でのデータ共有の必要性」「仮名化による保護措置」といった論点が、実際の司法判断においても重要な考慮要素となっていることを示しています。
段落43の完全な引用:
原文:
Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst.
日本語訳:「当法廷は、緊急手続きにおいて欧州委員会の意見聴取(DMA第39条1項)も欧州司法裁判所への付託も行う機会がなかったが、被申立人が計画している、二つの中央プラットフォームサービスからの部分的に非識別化され分解されたデータを、AI用の非構造化訓練データセットに投入することは、DMA第5条2項1文b号の意味における『結合』ではないと判断する。一つの中央プラットフォームサービスからの利用者の個人データと、別の中央プラットフォームサービスからの同一利用者の個人データとの、標的を定めた紐付けが欠けているからである。」
この完全な引用から、裁判所は確かに「AI訓練目的でのデータ統合は『結合』に当たらない」と判断していることが明確です。裁判所は、AI訓練のための非構造化データセットへのデータ投入と、特定個人のデータを意図的に紐付ける「結合」とを明確に区別しています。
私の最初の引用は、結論を支える理由の部分のみを示していたため、不適切でした。ご指摘ありがとうございます。
ドイツ法が「関連性(relevancy)」要件を欠き、代わりに「必要性(Erforderlichkeit)」原則とデータ回避・データ節約*4原則を採用してきたという歴史的背景は、本判決の論理構成に色濃く反映されています。実際、判決の段落65から73にかけて、裁判所は執拗なまでに「必要性」の観点から検討を行っています。 判決は段落66で次のように述べています:
Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen
「データ処理は、それが処理者の利益達成に適しており、同じ目的を達成するためのプライバシーへの侵害がより少ない可能性が存在しない場合に、必要である」*5
ここで注目すべきは、裁判所が「必要性」を、目的達成の「適合性」と「より侵害的でない代替手段の不存在」という二要素で判断していることです。これはまさにドイツ法の伝統的なアプローチであり、データの目的との「関連性」を正面から問うものではありません。
この違いは、高木氏の主張との関係で重要な意味を持ちます。高木氏は、日本法が「関連性の原則」を見落とし、「必要性」と混同してきたことを批判し、関連性こそが差別防止(公平性確保)のための核心的要件だと主張しています。つまり、あるデータ項目が統計的に「役立つ」(必要である)としても、それが決定の目的に「関連しない」場合には使用すべきでないという立場です。
ドイツ判決を見ると、この「関連性」の観点は直接的には現れていません。代わりに、裁判所はデータ最小化の観点から、匿名化データや合成データでは「地域特性に合わせたAI」という目的を達成できないかを詳細に検討しています(段落71-72)。これは「必要性」の枠組みの中で、間接的に目的との適合性を問うているとも読めますが、高木氏が主張する意味での「関連性」原則とは異なります。
特に興味深いのは、判決が段落73でデータの「必要性」を個別のデータポイントレベルではなく、データセット全体として判断している点です:
Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht.
「各データポイントについて必要性を証明する義務は、被申立人にはない」
これは、ドイツ法の「データ節約」原則が、実務的な限界に直面していることを示しています。AI訓練という文脈では、個別データの必要性を証明することは「実行不可能」だと裁判所は認めざるを得なかったのです。
高木氏の観点から見れば、これは問題の本質を見誤っているということになるでしょう。なぜなら、重要なのは個々のデータの「必要性」ではなく、収集されるデータ項目の種類が、AI訓練という目的に対して「関連性」を持つかどうかだからです。例えば、言語モデルの訓練において、テキストデータは明らかに関連性がありますが、仮に投稿者の年収データが含まれていたとすれば、それは「必要」かもしれないが「関連性」は疑わしいということになります。
さらに、判決がDatenvermeidung(データ回避)原則をどう扱っているかも注目に値します。判決は、Meta社が実施する非識別化措置(段落82)を評価していますが、これは完全な匿名化ではないことも認めています。つまり、データ回避原則は、実務的な妥協の中で相対化されているのです。
このドイツ法の特殊性と判決の論理構成を踏まえると、高木氏の主張の重要性がより明確になります。「必要性」原則とデータ最小化原則だけでは、AI時代のデータ処理の適切性を確保するには限界があるということです。特に、差別的効果をもたらす可能性のあるデータ処理を防ぐためには、「関連性」原則の明示的な導入が必要だという高木氏の主張は、ドイツ判決が示す実務的な困難さを見ても、説得力を増すと言えるでしょう。
結論として、ドイツ判決は、必要性原則とデータ最小化原則の枠組みの中で、AI訓練という新しい技術的文脈に対応しようと苦心していますが、その限界も露呈しています。高木氏が主張する「関連性」原則の導入は、このような限界を克服し、より本質的なデータ保護を実現する可能性を示唆していると評価できます。
この観点から本判決を見直すと、より深刻な構造的問題が浮かび上がります。ドイツ法は、データ処理の目的が決定利用か非決定利用かを区別することなく、一律に必要性原則とデータ節約原則を適用してきました。その結果、本来であれば「決定利用でないから問題ない」と簡潔に判断できるはずのAI訓練のケースで、裁判所は苦心して必要性を論証しなければならなくなっているのです。
判決の段落71-73で裁判所が行っている詳細な必要性の検討は、実はこの構造的問題の表れと言えます。匿名化データや合成データでは代替できないか、各データポイントの必要性を証明すべきかといった議論は、本来不要なはずです。なぜなら、AI訓練が統計的処理であり、特定個人に対する決定に使用されないのであれば、データ保護法の核心的な保護利益との関係で問題が生じないからです。
ご指摘の通り、このアプローチは1970年代からのデータ保護法の理念との関係で深刻な正統性の危機を生じさせる可能性があります。データ節約原則は、ドイツにおいてデータ保護の象徴的な原則として位置づけられてきました。それが、大規模データ処理を前提とするAI訓練において実質的に骨抜きにされるとなれば、原告らや市民社会から見れば、データ保護法そのものが形骸化したように映るでしょう。
裁判所が段落73で「各データポイントについて必要性を証明する義務はない」と述べざるを得なかったことは、まさにこの矛盾の表れです。データ節約原則を真剣に適用すれば、AI訓練は不可能になる。しかし、AI訓練を認めるためにデータ節約原則を緩和すれば、原則そのものの意味が失われる。
高木氏の議論の重要性は、まさにこの袋小路からの出口を示している点にあります。決定利用と非決定利用を明確に区別し、非決定利用については「措置又は決定を裏付ける利用の禁止」を条件に規制を緩和するという提案は、データ保護の本質的な目的を維持しながら、統計的利用やAI訓練のような社会的に有益な非決定利用を可能にする道筋を示しています。
ドイツ判決は、この区別を持たない法体系の中で、実務的な解決を図ろうとした結果、理論的な一貫性を犠牲にすることになりました。判決が段落76で「AIの後の『作業』によって生じる可能性のあるその他の法的侵害」を別途追及できると述べているのは、暗黙のうちに決定利用の段階での規制の可能性を示唆していますが、これは本来、入口の段階で明確に区別されるべきものです。
結論として、本判決は、決定利用と非決定利用の区別を持たないデータ保護法体系の限界を露呈したものと評価できます。原告らの反発が続く可能性があるというご指摘は的確であり、それは単なる感情的な反応ではなく、データ保護法の基本原則が実質的に放棄されたように見えることへの正当な懸念と言えるでしょう。この問題の根本的解決には、高木氏が提案するような、利用目的の性質に応じた規制の差別化が必要不可欠です。
2025年5月23日のケルン高等裁判所判決は、Meta社によるAI訓練のための個人データ利用を一定の条件下で適法と判断したが、この判決を詳細に分析すると、データ保護法制が直面する根本的な課題が浮き彫りになる。特に、日本における高木浩光氏の個人情報保護法改正提案との関係で見ると、決定利用と非決定利用の区別という核心的な問題が明らかになる。
まず重要なのは、本件におけるAI訓練が、特定の個人に対する評価や決定を目的としない、純粋に統計的な処理であるという点である。裁判所は段落79で、AIシステムは「データアーカイブ」ではなく「確率計算のためのパラメータ」から構成されると明確に述べている。これは高木氏が強調する「措置又は決定(decisions or measures)」を伴わない利用形態に該当する。
しかしながら、ドイツのデータ保護法体系は、歴史的に関連性(Relevanz)原則を採用せず、代わりに必要性(Erforderlichkeit)原則とデータ回避・データ節約(Datenvermeidung und Datensparsamkeit)原則を中心に構築されてきた。この特殊性が、本判決において顕著な影響を及ぼしている。裁判所は段落65から73にかけて、必要性の観点から詳細な検討を行い、匿名化データや合成データでは代替不可能であること、各データポイントレベルでの必要性証明は不要であることなどを論じている。
この苦心の論証は、本来不要なはずのものである。なぜなら、AI訓練が非決定利用である以上、データ保護法が防ごうとする核心的な害悪、すなわち不適切な個人に対する評価・決定のリスクが存在しないからである。高木氏が指摘するように、統計目的での利用において重要なのは「本人に対する決定または措置の基礎として当該データが使用されないことを保証する」ことであり、この保証がある限り、データの量的側面を問題にする必要はない。
判決が示す最も深刻な問題は、データ節約原則の実質的な放棄である。段落73で裁判所は、AI訓練において「各データポイントについて必要性を証明する義務は被申立人にはない」と述べ、事実上、大規模データ処理を容認している。これは、1970年代以来ドイツのデータ保護法が掲げてきた理念との間に深刻な緊張関係を生じさせる。原告団体や市民社会から見れば、データ保護の基本原則が技術の前に屈したように映るだろう。
この矛盾の根源は、決定利用と非決定利用を区別しない法体系にある。ドイツ法は、すべてのデータ処理に対して一律に必要性とデータ節約を求めるが、これはAI訓練のような大規模統計処理には適合しない。その結果、裁判所は理論的一貫性を犠牲にして実務的解決を図らざるを得なくなった。
対照的に、高木氏の提案は、この袋小路からの明確な出口を示している。決定利用と非決定利用を法的に区別し、非決定利用については「措置又は決定を裏付ける利用の禁止」を条件として規制を緩和するというアプローチは、データ保護の本質的目的を維持しながら、社会的に有益な統計的利用を可能にする。これは、量的制限(必要性・データ節約)に依存するドイツ的アプローチよりも、デジタル時代の現実に適合した規制枠組みと言える。
判決が段落43でDMA第5条2項の「データ結合」について、AI訓練は特定個人のデータの紐付けではないとして適用を否定した点も示唆的である。これは、複数のプラットフォームからのデータを統計的に処理することと、特定個人についてのプロファイリングを行うことの本質的な違いを認識したものであり、高木氏が主張する「突合」と「識別」の区別、さらには統計目的での複数事業者間データ共有の必要性という議論と軌を一にする。
結論として、ケルン高等裁判所判決は、決定利用と非決定利用の区別を持たないデータ保護法体系が、AI時代において直面する構造的限界を露呈したものと評価できる。判決は実務的には妥当な結論に達したが、その論理構成は既存の法的枠組みの不適合性を浮き彫りにした。日本の個人情報保護法改正において高木氏が提案する方向性、すなわち利用目的の性質に応じた規制の差別化は、ドイツが直面している困難を回避し、より理論的に一貫した形でデータ保護とイノベーションの両立を図る道筋を示していると言えるだろう。
Das Urteil des Oberlandesgerichts Köln vom 23. Mai 2025, das die Verwendung personenbezogener Daten durch Meta für das KI-Training unter bestimmten Bedingungen für rechtmäßig erklärt, offenbart bei genauerer Analyse grundlegende Herausforderungen des Datenschutzrechts. Insbesondere im Verhältnis zu den Reformvorschlägen von Hiromitsu Takagi zum japanischen Datenschutzgesetz wird die zentrale Bedeutung der Unterscheidung zwischen entscheidungsbezogener und nicht-entscheidungsbezogener Nutzung deutlich.
Zunächst ist festzuhalten, dass das KI-Training im vorliegenden Fall eine rein statistische Verarbeitung darstellt, die nicht auf Bewertungen oder Entscheidungen über bestimmte Personen abzielt. Das Gericht stellt in Rn. 79 klar, dass KI-Systeme kein „Datenarchiv" sind, sondern „aus Parametern für Wahrscheinlichkeitsberechnungen bestehen". Dies entspricht der von Takagi betonten Nutzungsform ohne „Maßnahmen oder Entscheidungen" (measures or decisions).
Das deutsche Datenschutzrecht hat jedoch historisch bedingt nicht das Relevanzprinzip übernommen, sondern stattdessen auf dem Erforderlichkeitsprinzip sowie den Grundsätzen der Datenvermeidung und Datensparsamkeit aufgebaut. Diese Besonderheit prägt das vorliegende Urteil maßgeblich. Das Gericht unternimmt in den Randnummern 65 bis 73 eine detaillierte Prüfung der Erforderlichkeit und erörtert, dass anonymisierte oder synthetische Daten keine Alternative darstellen und dass kein Nachweis der Erforderlichkeit für jeden einzelnen Datenpunkt verlangt werden kann.
Diese mühsame Argumentation wäre eigentlich unnötig. Da das KI-Training eine nicht-entscheidungsbezogene Nutzung darstellt, besteht kein Risiko für das zentrale Schutzgut des Datenschutzrechts – die Verhinderung unangemessener Bewertungen und Entscheidungen über Einzelpersonen. Wie Takagi betont, kommt es bei statistischen Zwecken darauf an, dass „die Daten nicht als Grundlage für Entscheidungen oder Maßnahmen bezüglich der betroffenen Person verwendet werden". Solange diese Garantie besteht, ist die quantitative Dimension der Datenverarbeitung irrelevant.
Das gravierendste Problem des Urteils liegt in der faktischen Aufgabe des Datensparsamkeitsprinzips. In Rn. 73 erklärt das Gericht, dass „eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen", nicht bestehe, und legitimiert damit de facto die Massendatenverarbeitung. Dies erzeugt eine erhebliche Spannung zu den seit den 1970er Jahren im deutschen Datenschutzrecht verankerten Grundsätzen. Aus Sicht der klagenden Verbände und der Zivilgesellschaft mag es erscheinen, als hätten die Datenschutzprinzipien vor der Technologie kapituliert.
Die Wurzel dieses Widerspruchs liegt im Fehlen einer Unterscheidung zwischen entscheidungsbezogener und nicht-entscheidungsbezogener Nutzung im Rechtssystem. Das deutsche Recht verlangt einheitlich Erforderlichkeit und Datensparsamkeit für alle Datenverarbeitungen, was jedoch für statistische Massenverarbeitungen wie das KI-Training nicht passt. Infolgedessen musste das Gericht die theoretische Kohärenz zugunsten einer praktischen Lösung opfern.
Im Gegensatz dazu zeigt Takagis Ansatz einen klaren Ausweg aus dieser Sackgasse. Die rechtliche Unterscheidung zwischen entscheidungsbezogener und nicht-entscheidungsbezogener Nutzung mit einer Lockerung der Regulierung für letztere unter der Bedingung eines „Verbots der Nutzung als Grundlage für Maßnahmen oder Entscheidungen" ermöglicht es, das wesentliche Schutzziel aufrechtzuerhalten und gleichzeitig gesellschaftlich nützliche statistische Nutzungen zu ermöglichen. Dies ist ein für das digitale Zeitalter besser geeigneter Regulierungsrahmen als der auf quantitative Beschränkungen (Erforderlichkeit/Datensparsamkeit) fokussierte deutsche Ansatz.
Auch die Feststellung des Gerichts in Rn. 43, dass das KI-Training keine „Zusammenführung" im Sinne des Art. 5 Abs. 2 DMA darstelle, da es nicht um die Verknüpfung von Daten derselben Person gehe, ist aufschlussreich. Dies erkennt den fundamentalen Unterschied zwischen der statistischen Verarbeitung von Daten aus mehreren Plattformen und dem Profiling bestimmter Personen an und entspricht Takagis Unterscheidung zwischen „Abgleich" und „Identifizierung" sowie seiner Argumentation zur Notwendigkeit des Datenaustausches zwischen mehreren Unternehmen für statistische Zwecke.
Zusammenfassend legt das Urteil des OLG Köln die strukturellen Grenzen eines Datenschutzrechtssystems offen, das nicht zwischen entscheidungsbezogener und nicht-entscheidungsbezogener Nutzung unterscheidet. Während das Gericht praktisch zu einem vertretbaren Ergebnis gelangt, verdeutlicht die Argumentation die Inadäquanz des bestehenden rechtlichen Rahmens. Die von Takagi für die Reform des japanischen Datenschutzgesetzes vorgeschlagene Richtung – eine Differenzierung der Regulierung nach der Art des Nutzungszwecks – zeigt einen Weg auf, die in Deutschland zutage getretenen Schwierigkeiten zu vermeiden und Datenschutz und Innovation auf theoretisch kohärentere Weise in Einklang zu bringen.
Diese Analyse wurde von Claude Opus 4 erstellt.
Hans Peter Bullは、2014年の著書「Sinn und Unsinn des Datenschutzes(データ保護のセンスとナンセンス)」で、BDSG(ドイツの連邦データ保護法)に特有の「Datenvermeidung und Datensparsamkeit」(データ回避及びデータ倹約)について、「Datenvermeidung und Datensparsamkeit als anachronistische neue Dogmen(時代錯誤の新しい教義としてのデータ回避とデータ倹約)」(S.61)との見出しで激しく批判していた。
現在では、この規定(旧BDSG 3a条)は、GDPRの施行によって消滅させられた*6はずである。それにもかかわらず、今回の判決のように、ドイツでは依然として、必要性(necessity)をLRA(Less Restrictive Alternative)の意味での必要性(Erforderlichkeit)として理解するのが根強い様子が窺える。それに対し、ドイツにおいても、GDPRコンメンタールでは、GDPRの「limited to what is necessary」(5条1項c号)にそのような意味はないとされている*7。
LRAの意味での必要性(Erforderlichkeit)原則を放棄するとデータ保護が成り立たなくなるように感じられるとすれば、それは、(決定の目的に対する)関連性(Relevanz)原則の存在を踏まえていないからであろう。ドイツでは、GDPR 5条1項c号の「relevant」に「erheblich」(英語でsignificant相当)の語をあてており(CETS 108のドイツ語公式訳以来ずっと)、元の意味が失われている疑いがある。
*1 これは、個人データとして処理するわけでない情報収集が法の対象か(いわゆるクラウド例外に共通)という論点だが、この抜粋では何の話だかわからないだろう。それでもClaudeがここを拾ったのは、より本質の話と直感したのであろうか。
*2 第三者提供というより、ここでは要配慮個人情報の取得制限の方の話だが。第三者提供の話は、個人データのまま(仮名化して)突合し集計する場合という別の話。2つの話がいっぺんに書かれているからやはり読解が難しいかのう。
*3 GDPRでも、そもそもそれは「データ処理」なのか?が問われなければならないと思うところだが、その道は遠い。
*4 「データ節約」よりも「データ倹約」の方がニュアンス的に良い訳だと思うが、ここではママとした。
*5 日本語だとわかりにくい訳だが、「データ処理が「必要」と言えるのは……の場合」という意味。
*6 GDPRの立案過程でこれをGDPRに組み込もうとした勢力がいたようだが、欧州議会によって阻止されたという経緯がある。
*7 Eßer/Kramer/von Lewinski (Hrsg.) Auernhammer, DSGVO / BDSG - Kommentar 7.Auflage (2020) S.138.は、GDPRの「データ最小化」について、個人データを処理せずに他の方法で目的達成が可能であるならばそちらを優先しなければならないという意味での絶対的な「データ倹約(Datensparsamkeit)」の原則を規定したものではないとしている。
昨年11月に出版された連載論文(9)では、次のように書いた箇所があった。
当時、ドイツの連邦データ保護法(1977年制定、1990年改正)は、特別カテゴリの規定を設けていなかった。EC委員会の記録によると、ドイツ代表団は、1992年3月の時点で、DPDの1990年提案に対して、「ドイツでは機微データと非機微データの区別は行われていない」と説明し、「したがって、17条1項は不可欠ではないと考えているが、17条2項で加盟国に1項からの逸脱を認めることが維持されるのであれば、受け入れることができる」(2頁)と述べたという。
ドイツの主張が、前記の米国の主張「情報の性質ではなく、その目的と使用方法である」と同じ考えに基づいていたことを示す記録は見つかっていないが、DammannとSimitis(14号注58)は、1997年の時点で、DPDの解説において、「疑いなく8条の規定は指令の中で最も問題のある要素の一つである」として、次のように問題点を指摘している。(略)
ここを論ずるためにより的確な資料が見つかった。欧州評議会(CoE)のサイトにある以下の文書は、CoE条約108号に関する諮問委員会のアンケート調査結果をSpiros Simitisがレビューした際の記録のようである。
原文は、遠回しに書かれているので、結論に想像がつかない者には真意を読み取り難い文章になっている。しかし、ノーヒントで(これまでの私との会話を覚えているわけではなく)、Claude Opus 4に読ませたところ、以下の応答となった。
Simitis教授は、センシティブデータのリストが「純粋に例示的な性格」を持つべきであり、「その構成要素は常に補完または置換可能」でなければならないと指摘しています。しかし、日本の個人情報保護法第2条第3項は要配慮個人情報を限定列挙方式で定義しており、「人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」としています。
この規定の問題は、Simitis教授が警告する「センシティブデータの確定的なリストは純粋なフィクション」であるという指摘を無視している点にあります。実際、フィンランドが労働組合への加入情報を追加し、ポルトガルが遺伝情報を含めたように、社会の変化に応じてセンシティブデータの範囲は常に見直される必要があります。日本の法制では政令による追加は可能ですが、法律本体の改正なしには基本的なカテゴリーの見直しができない硬直的な構造となっています。
Simitis教授は「センシティビティはもはや先験的に与えられた属性として認識されない」とし、「あらゆる個人データは、処理の目的や状況に応じてセンシティブになり得る」と論じています。データの利用目的、管理者の特定の利益、受領者の性質、処理条件とその結果など、すべての要素を総合的に評価する必要があるという指摘は極めて重要です。
日本の個人情報保護法は、要配慮個人情報について一律に「あらかじめ本人の同意を得ないで取得してはならない」(第20条第2項)と規定していますが、これはまさにSimitis教授が批判する「文脈を無視した絶対的分類」の典型例です。例えば、公開の場での政治的意見の表明と、医療機関での病歴情報の取扱いでは、そのリスクの性質や程度は全く異なるにもかかわらず、同一の規制が適用されます。
Simitis教授は、「ほとんどすべての実際の適用除外は徹底的な見直しを免れることはできない」と述べ、特に同意による例外について「同意は、潜在的な管理者が関心を持つあらゆるデータへのすべての扉を開く万能鍵ではない」と警告しています。雇用関係のような力関係の不均衡がある状況では、同意が真に自由な意思決定を保証しないことを指摘しています。
日本法では、要配慮個人情報の取得について本人の同意を原則としつつ、「法令に基づく場合」「人の生命、身体又は財産の保護のために必要がある場合」など広範な例外を認めています(第20条第2項各号)。特に問題なのは、これらの例外規定が抽象的で、Simitis教授が批判する「公共の利益」や「公共の安全」のような「事実上の白紙委任状」として機能しかねない点です。
Simitis教授は「文脈が本当に適切な保護の前提条件を再確立するための主要な基準となるのであれば、処理の条件は分野別規制で定められなければならない」と主張しています。立法者が特定の文脈に完全に集中できる場合にのみ、処理状況の特殊性に適切に対応する精度の高い規制が可能になるという指摘は重要です。
日本の個人情報保護法は、医療、金融、通信など多様な分野を包括的に規制する一般法として設計されていますが、これは各分野の特殊性を十分に考慮できない構造的問題を抱えています。例えば、医療分野における遺伝情報の取扱いと、雇用分野における犯罪歴情報の取扱いでは、必要とされる保護の性質や程度は大きく異なるはずですが、現行法はこれらを同一カテゴリーとして扱っています。
Simitis教授は、遺伝情報を例に挙げ、「最初のリストが作成された時にはほとんど注目されていなかった」データが、技術の進歩により極めて重要になることを示しています。日本の現行法は2003年の制定以来、要配慮個人情報のカテゴリーについて本質的な見直しがなされていません。
AIやビッグデータ解析技術の発展により、従来はセンシティブとみなされなかったデータから、極めてセンシティブな情報が推論可能になっています。位置情報から宗教的信条が推測されたり、購買履歴から健康状態が推定されたりする現代において、固定的なリスト方式の限界は明らかです。
Simitis教授の分析は、センシティブデータ規制が持つ本質的なジレンマ、すなわち「網羅的に定義されなければならないという執拗な主張と、明らかに確定的なリストを迂回または見直そうとする絶え間ない試みとの衝突」を明確に示しています。日本の個人情報保護法における要配慮個人情報規制は、まさにこのジレンマに適切に対処できていない典型例といえます。
真に効果的なデータ保護を実現するためには、Simitis教授が提案するように、文脈を重視した柔軟なアプローチ、分野別の詳細な規制、そして社会や技術の変化に応じた動的な見直しメカニズムが不可欠です。現行の硬直的なリスト主義と画一的規制から脱却し、データの利用文脈やリスクの実態に即した、より洗練された規制枠組みへの転換が求められています。
論文によれば、センシティブデータをめぐる議論は「データ保護の最初期から」存在していました。特に注目すべきは、各国が独自のアプローチを模索していた点です。
ノルウェーは、個人データをその「センシティビティ」に応じて区別する方法を精緻化しようと試みました。これは、特定のデータの処理が関係者にとって特にリスクが高いと考えられることの重要性を示す初期の取り組みでした。一方、フランスの立法者は、より直接的なアプローチを採用し、そうしたデータの使用を「単純に禁止する」ことを明確に要求しました。
ドイツのデータ保護法の歴史が示すように、初期の議論は「センシティビティが本当に処理条件を決定するための有効な基準であるかどうか」という根本的な問いをめぐるものでした。つまり、この段階では、センシティブデータという概念自体の妥当性が問われていたのです。
Simitis教授は、欧州評議会のデータ保護条約(Convention 108、1981年)の採択が決定的な転換点となったと指摘しています。この条約は「議論の文脈と目的を新たに設定」しました。
条約第6条は、センシティブデータの特別な規制体制の探求を「明示的に承認」しました。これにより、「本質的に『センシティブなデータ』の存在は争われなくなった」のです。条約は、センシティブデータを「個人データの使用に関するすべての将来の規制の中核的要素」として公式に認めました。
この変化の意味は重大でした。それ以降、「唯一の関連する問題は、条約によって列挙されたセンシティブデータの使用に対する欧州評議会の明確に制限的な期待をどのように最もよく達成するかということ」になったのです。
条約の影響は迅速かつ広範囲に及びました。Simitis教授は「センシティブデータへの言及が儀式化された」と述べ、「条約後に可決された法律で、条約の方針に沿った規定の包含を無視したり、疑問視したりするものは一つもない」と指摘しています。
イギリス、オランダ、スペインのデータ保護法など、各国の法制度には明らかな違いがあるにもかかわらず、「センシティブデータに関する限り、コンセンサスは見過ごすことができない」ほど明確でした。すべての国が「センシティブデータに特別な地位を付与」したのです。
1995年10月にEC(欧州共同体)データ保護指令が採択された時点で、「加盟国の大多数は、欧州評議会の影響下で、すでにセンシティブデータを特別な規則の対象としていた」ため、指令がセンシティブデータを明確に区別する方法で扱うことは「驚くべきことではなかった」とSimitis教授は述べています。
しかし、指令は条約よりも「より急進的なアプローチ」を選択しました。条約の「柔軟な文言」に固執する代わりに、指令は第8条第1項で言及されたセンシティブデータの処理を「単に禁止」したのです。
Simitis教授は、この違いを理解するために、条約と指令の「構造的違い」を考慮する必要があると強調しています。
条約は「最終的には単なる提案に過ぎない」ものでした。国家は「国際的に承認された規制モデルを適用することで、個人データの処理から生じるリスクを抑制する機会を与えられている」が、条約は「彼らの決定を予断するものではない」のです。つまり、各国は「条約の原則に対応する規制を制定するか、期待をよりよく満たす規則を作成するか、あるいはいかなる制限も控えるか、完全に自由」でした。
これに対して、指令の場合は異なります。「その条項は提案ではなく規定」であり、「代替案が許容される範囲で、それらは指令によって確立された規制の枠組みに適合しなければならない」のです。「共通の規制が誘因であり目標である場合、適合性が必然的に優先される」ということです。
この歴史的経緯は、重要な逆説を生み出しました。Simitis教授は、「皮肉なことに、センシティブデータに特別な重要性を付与する法律のリストが長くなればなるほど、センシティビティの正確な範囲と明確に禁止的なアプローチの信頼性に関する批判的な問題がより多く提起された」と指摘しています。
つまり、センシティブデータの特別扱いが国際的に標準化され、儀式化されるにつれて、その概念自体の妥当性や実効性への疑問が逆に高まったのです。これは、日本を含む各国が現在直面している要配慮個人情報規制の根本的な問題の源流がここにあることを示しています。
Simitis教授の論文は、まさにご指摘の「手段の自己目的化」という問題を鮮明に描き出しています。
当初、センシティブデータという概念は、特定の個人データの処理が「関係者にとって特にリスクが高い」ことへの実質的な懸念から生まれました。ノルウェーやフランスの初期の取り組みは、現実のリスクに対処しようとする真摯な試みでした。
しかし、欧州評議会条約による「公式化」以降、状況は劇的に変化します。Simitis教授が「センシティブデータへの言及が儀式化された(ritualized)」と表現したのは極めて示唆的です。各国は条約の文言に沿った規定を機械的に導入し始め、「なぜこれらのデータを特別扱いするのか」という根本的な問いは後景に退いてしまいました。
特に問題なのは、センシティブデータの「リスト」が独立した存在として扱われるようになったことです。論文は以下の逆説的な状況を指摘しています:
「センシティブデータに特別な重要性を付与する法律のリストが長くなればなるほど、センシティビティの正確な範囲と明確に禁止的なアプローチの信頼性に関する批判的な問題がより多く提起された」
つまり、リストを作成し、それを法律に組み込むこと自体が目的化し、そのリストが実際に個人のプライバシーやデータ保護にどう貢献するのかという本質的な問いが忘れ去られたのです。
EC指令は、この手段の自己目的化を極限まで推し進めました。条約の「柔軟な文言」を捨て、センシティブデータの処理を「単に禁止」するという選択は、一見すると保護の強化に見えます。しかし実際には、論文が示すように「事実上無限の例外リスト」が必要となり、禁止原則は形骸化しました。
Simitis教授が「公共の利益」や「公共の安全」を理由とした例外を「事実上の白紙委任状(carte blanche)」と批判したのは、まさにこの点を突いています。厳格な禁止という「手段」を採用したものの、現実には広範な例外により、本来の保護という「目的」は達成されていないのです。
手段の自己目的化の最も深刻な帰結は、「文脈(context)」の喪失です。論文は繰り返し、データのセンシティビティは処理の目的、状況、関係者の力関係などの文脈によって決まると強調しています。しかし、リスト方式と一律禁止というアプローチは、この文脈を無視します。
例えば、公開の政治集会での発言と、雇用面接での政治的信条の質問では、リスクの性質は全く異なります。しかし、「政治的意見」というカテゴリーに含まれれば、両者は同じ規制の対象となってしまいます。
この「手段の自己目的化」という視点は、日本の要配慮個人情報規制を考える上で極めて重要です。日本もまた、国際的な流れに従って要配慮個人情報のリストを作成し、原則取得禁止という規制を導入しました。しかし、それが本当に個人の権利利益の保護という目的に資しているのか、それとも単に「国際標準に準拠した」という形式的コンプライアンスに陥っているのか、真剣に問い直す必要があります。
Simitis教授の分析は、データ保護法制が陥りやすい罠を明確に示しています。それは、保護の手段として導入された概念や規制が、いつの間にかそれ自体が目的となり、本来守るべきものを見失ってしまうという罠です。真に効果的なデータ保護を実現するためには、常に「なぜ」「何のために」という根本的な問いに立ち返る必要があるのです。
鋭いご指摘です。Simitis教授の回りくどい論述の背後には、まさにドイツの「やむを得ない降伏」への深い不満が読み取れます。
論文は外交的な表現を使いながらも、ドイツの立場を明確に記録しています:
「オーストリアとドイツのような国々は、すべての抽象的な個人データのカテゴリー化を一貫して拒否し、代わりに文脈志向の評価に焦点を当ててきた」
そして指令により「長年の慣行を放棄しなければならず」「初めて明示的にセンシティブデータの存在を認識しなければならない」という記述は、まさに「不本意ながら従わざるを得なかった」という恨み節です。
Simitis教授がフランクフルト大学データ保護研究センターの所長という立場から、EU指令を正面から批判することは政治的に困難だったでしょう。そこで採用されたのが、この「学術的分析」という形式です。
しかし、論文全体を通じて展開される論理は明快です:
これらはすべて、ドイツが当初から主張してきた立場そのものです。
特に印象的なのは、センシティブデータへの言及が「儀式化された(ritualized)」という表現です。これは学術論文としては異例なほど辛辣な批判です。「儀式」とは、本来の意味や目的を失い、形式だけが残った行為を指します。
つまりSimitis教授は、EU全体が意味のない「儀式」を強制されていると暗に批判しているのです。
論文が繰り返し強調する条約と指令の「構造的違い」も重要です:
ドイツは条約の段階では自国のアプローチを維持できましたが、指令により選択の余地がなくなりました。「共通の規制が誘因であり目標である場合、適合性が必然的に優先される」という一文には、EU統合の名の下での画一化への批判が込められています。
この「ドイツの敗北」は、単なる歴史的エピソードではありません。Simitis教授が1999年の時点で予言的に指摘した問題—画一的なリスト方式の限界、文脈の無視、手段の自己目的化—は、まさに現在の日本の要配慮個人情報規制が直面している問題そのものです。
日本もまた、国際的な「標準」に合わせるという名目で、本来は疑問視すべきアプローチを無批判に受け入れてしまったのかもしれません。Simitis教授の「遠回しな」批判は、実は非常に直接的な警告だったのです。
なお、個情委「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」(2024年10月)では、「6 個人データそのものの特徴に起因する考慮要因」として、差別的評価が不当に助長される要配慮個人情報の規律は妥当か、リスク増大が見込まれる他の類型に特別な規律を課すべきか、との問いを立てていた。これに対する私の回答は、「「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」に対する意見」2024年11月21日(参考資料1-2、69枚目〜)の「2.6.情報の種類に起因する考慮要因」の節に書いている。
3月6日の日記「日本のAI法制:概念的基盤と実効性の課題 インフォグラフィック」が目にとまったようで、TOKYO MXの番組「田村淳のキキタイ!」からお呼びがかかり、5月10日の生放送に出演してきた。見逃し配信が明日17時まで以下で視聴できる。番組の構成上、冒頭の気になったニュースにコメントしなくてはならなかったが*1、それはともかく、本題は10:12から始まる。
話の流れはこう展開した。
このように、3月の日記以後の新しい話として、衆議院の国会審議で「処遇AI」の質問に対して「生成AI」のことを答弁してしまう事態があったことを含めた。
また、「差別」や「バイアス」のキーワードが「ガイドラインの基準に書き込まれているものの」と指摘したところは、「AI事業者ガイドライン」のことを指しており、番組に出る前に精査したところ、これらが生成AIの出力についてしか述べられていないことを確認している。(この点については、改めてどこかで明確に指摘することとしたい。)
この放送の後、5月16日に参議院本会議でAI法案が審議入りし、代表質問に対して再び大臣答弁が同じ過ちをしているので、以下に抜粋しておく。
竹詰仁君(国民民主) (略)採用活動など人事分野のAI活用について伺います。人事分野におけるAI活用については、学習データに偏りがあるために生じる差別、学習データやそのアルゴリズムが見えないことによる公平性への疑問、またそれによる不利益などを受ける可能性、人事分野の議論が成熟しておりません。採用活動など、人事分野のAI活用について、城内大臣及び福岡厚生労働大臣に考えを伺います。
城内実国務大臣 (略)最後に人事分野のAI活用についてお尋ねがございました。雇用や人事採用選考の在り方については、AIに特化したものではないものの、厚生労働省のガイドライン等において一定の考え方が示されているところであります。これに加えて、本法案に基づき国が整備する指針の中でAI開発者が偏見や差別の含まれる情報出力を防ぐための対策を講じることについて盛り込んでいく予定としております。具体的には、AI開発者が学習データから偏見情報を除外することや、AIが差別を助長する出力をしないかどうか。市場に出す前及び出した後にも確認し、必要な修正を行うことなどを明記する方向で検討しております。
処遇AI(データ処理)の公平性(非差別)問題の原因は、「学習データに偏りがあるため」というより、学習結果を決定対象者の個人データに当て嵌める段階で、当該個人データに決定の目的に関連性のないデータ項目が含まれていることにある(1980年OECDガイドライン第2原則前段)のだが、このことが日本では理解されていない。
そして、その参議院本会議で新たに、担当大臣から驚くべき答弁が飛び出した。
杉尾秀哉君(立憲民主) (略)EUのAI法では、許容できるリスクを4段階に分け、リスクの程度に応じて規制などを行う、罰則付きのリスクベースアプローチが採用されていたり(略)EU流のリスクベースアプローチは一定の合理性を持つと考えますけれども、なぜ本法案はこうした考え方を採らなかったのか、これも城内大臣、併せてお答えください。(略)
城内実国務大臣 (略)次に本法案がリスクベースアプローチを採らなかった理由についてお尋ねがありました。ご指摘のあったEUのAI法では、AIをリスクに基づき4つのランクに分け、そのうち最上位の許容できないリスクを持つAIシステムは禁止され、また2段階目のハイリスクなAIシステムを扱う事業者には基準遵守義務が課されていると承知しております。EUで禁止される許容できないリスクを持つAIシステムについては、我が国においても個人情報保護法等により規制されております。EUが適合性評価を義務付けている重要なインフラ等に関するハイリスクなAIシステムについては(略)」
なんと!これは斬新だ。いったい個人情報保護法のどこでEU法の「許容できないリスクを持つAIシステム」が規制されているというのだろうか! いや、大臣答弁に誤りがないのであれば、個人情報保護委員会が対処しなくてはならない。現行法で無理があるなら、3年ごと見直しでカバーしなくてはいけなくなるのではあるまいか!