■ Das Ende des Datensparsamkeits-mythos? Das Urteil des OLG Köln vom 23. Mai 2025 zur nicht-entscheidungsbezogenen Datenverarbeitung und seine Bedeutung für die japanische Datenschutzreformdiskussion(データ倹約神話の終焉? ケルン高等裁判所判決(2025年5月23日)における非決定利用の規制アプローチと日本の個人情報保護法改正議論への示唆)
Hinweis für deutschsprachige Leser: Eine deutsche Zusammenfassung dieser Analyse finden Sie am Ende des Artikels.
日本では報道が皆無なようだが、先月ドイツで重要な判決が出ている。
これを、Claude Oplus 4で分析させると以下のようになった。プロジェクトナレッジとして、高木が個人情報保護委員会に提出した3つの意見書を与えている。
- 高木浩光「個人情報保護法3年ごと見直し令和6年に対する意見」2024年6月12日(資料1-2)
- 高木浩光「「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」に対する意見」2024年11月21日(参考資料1-2、69枚目〜)
- 高木浩光「「本人関与に係る規律の在り方」に対する意見」2025年2月25日(「「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見、24枚目〜)
それ以外にはノーヒントで(以前の会話を覚えているわけではなく)この生成である。
Claude:この判決は、2025年5月23日のケルン高等裁判所による、Meta社のAI訓練のためのデータ利用に関する重要な判断ですね。日本の個人情報保護法の議論と照らし合わせると、いくつか興味深い点があります。
主要な判断内容
- AI訓練目的でのデータ利用の適法性
- 裁判所は、FacebookとInstagramの公開投稿データをAI訓練に使用することを、GDPR第6条1項(f)の「正当な利益」として認めた
- これは高木氏が指摘する「統計目的利用の過剰規制解消」の議論と関連
- 要配慮個人情報の扱い
- 公開データについては、GDPR第9条2項(e)の例外(本人が明らかに公開したデータ)を適用
- 高木氏の「生成AI開発における要配慮個人情報の取得制限は過剰」という主張と整合的
- 利用者の期待と保護措置
- 2024年6月26日以降のデータについては利用者の予見可能性を認定
- オプトアウトの機会提供、非識別化措置などの保護措置を評価
日本の議論への示唆
高木氏が指摘する「生成AI開発における学習への入力が『公開されている要配慮個人情報の取得』に該当するとして、生成AI開発を行う事業者に『公表』の義務を課そうとしても、当該事業者が、従業員データベースなど生成AIとは別の他の個人情報データベース等を事業の用に供しているからといって『個人情報取扱事業者は......』と規定することはできない」という問題は、このドイツの判決では正面から問われていません。
むしろ重要なのは、高木氏が主張する「統計目的の処理が本人への影響を生じさせないために、本人に対する決定または措置(decisions or measures)の基礎として当該データが使用されないことを保証する法的な保護措置」の必要性が、ドイツの判決でも暗黙的に前提とされている点です。
ドイツ裁判所は、AI訓練という「非決定利用」の文脈で、より緩やかな規制アプローチを採用しており、これは日本での議論の方向性と一致しているように見えます。
私:詳しく論述してください。箇条書きは使いません。
Claude:ケルン高等裁判所の判決は、Meta社が計画していたFacebookとInstagramの公開投稿データを用いたAI訓練について、一定の条件下で適法と判断したもので、日本における個人情報保護法の3年ごと見直しの議論、特に高木浩光氏が提起している論点と深い関連性を持っています。
まず注目すべきは、ドイツ裁判所がGDPR第6条1項(f)の「正当な利益」を根拠として、AI訓練目的でのデータ利用を認めた点です。裁判所は、Meta社が地域の特性に合わせたAIを開発するために大量のデータが必要であることを認め、匿名化や合成データでは代替できないことを受け入れました。これは高木氏が指摘する、日本法における「統計目的利用の過剰規制」の問題と密接に関わります。高木氏は、統計量への集計を目的とした個人データの第三者提供が過度に制限されていることを問題視し、「措置又は決定を裏付ける利用の禁止」を前提とした規制緩和を提案していますが、ドイツ判決も実質的に同様の考え方に立っていると言えるでしょう。
要配慮個人情報の扱いについても、両者の間に興味深い共通点が見られます。ドイツ裁判所は、利用者が自ら公開したデータについてはGDPR第9条2項(e)の例外規定を適用し、特別カテゴリーデータの処理禁止を回避しました。一方で、第三者によって投稿された個人のデータについては、被害者からの具体的な削除要請があるまでは処理が許されるという、いわば「オプトアウト型」のアプローチを採用しています。高木氏は、生成AI開発における要配慮個人情報の取得制限について、「個人データとして処理しない」場合には規制対象外とすべきだと主張しており、これはドイツ判決が示した柔軟なアプローチと方向性を同じくするものです。
特に重要なのは、AI訓練が「個人に対する決定」を目的としていないという点です。裁判所は、AI訓練が個人のプロファイリングではなく、一般的な確率計算のためのパラメータ生成を目的としていることを重視しました。これは高木氏が繰り返し強調する「措置又は決定(decisions or measures)」の概念と密接に関連します。高木氏は、統計目的での利用において重要なのは「本人に対する決定または措置の基礎として当該データが使用されないことを保証する法的な保護措置」であると述べていますが、ドイツ判決もまさにこの区別を前提として判断を下していると解釈できます。
利用者の合理的期待という観点も、両者に共通する重要な要素です。ドイツ裁判所は、2024年6月26日のMeta社の最初の発表以降については利用者が予見可能であったと判断しましたが、それ以前のデータについては予見可能性を否定しました。これは、技術の発展と社会的認識の変化を考慮した時間軸での判断であり、高木氏が指摘する「個人データ処理による個人に対する評価・決定の適切性確保の利益」という核心的保護利益の観点からも、合理的なアプローチと言えるでしょう。
保護措置の観点では、ドイツ判決は、完全な匿名化ではないものの、氏名やメールアドレス、電話番号などの直接識別子を削除する「非識別化」措置と、利用者によるオプトアウトの機会の組み合わせを評価しました。これは高木氏が提案する、仮名化データの統計目的での第三者提供を認める際の「措置又は決定を裏付ける利用の禁止」と「転々流通の防止」という保護措置の考え方と整合的です。
ただし、日本の議論とドイツ判決の間には重要な相違点も存在します。高木氏が指摘する「個人情報取扱事業者」の定義に関する技術的な問題、すなわち生成AI開発事業者が必ずしも個人情報データベース等を事業の用に供していない可能性があるという点は、ドイツ判決では直接扱われていません。これは日本法特有の規制構造に起因する問題であり、GDPRとは異なる枠組みの中で解決策を見出す必要があることを示しています。
また、ドイツ判決がDMA(デジタル市場法)第5条2項の「データの結合」禁止規定について、AI訓練目的でのデータ統合は「結合」に当たらないと判断した点も注目に値します。これは、複数のサービスからのデータを一つの訓練データセットに含めることと、特定の個人について複数のサービスのデータを紐付けることの違いを明確に区別したもので、高木氏が主張する「突合」と「識別」の区別、さらには統計目的での複数事業者間のデータ共有の必要性という議論と深く関連しています。
結論として、ドイツ判決は、AI開発という新しい技術的文脈において、データ保護法の基本原則を維持しつつも、イノベーションを過度に阻害しない柔軟なアプローチを示したと評価できます。これは高木氏が日本法について提案している方向性、すなわち「統計目的利用の過剰規制解消」「要配慮個人情報規制の合理化」「決定利用と非決定利用の明確な区別」といった改革の方向性を、実践的に裏付けるものと言えるでしょう。両国の法制度の違いはありながらも、デジタル時代におけるデータ保護法の在り方について、共通の課題認識と解決の方向性が見えてきていることを、この判決は示していると考えられます。
私:その論述で参照している今回の判決の該当箇所をそれぞれ引用して邦訳を添えてください。
Claude:私の論述で参照した判決の主要な箇所について、以下に原文引用と日本語訳を示します。
1. AI訓練目的での正当な利益の認定(段落58-59)
原文:
Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichten Daten ein berechtigtes Interesse. [...] Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272).
日本語訳:「被申立人(Meta社)は、利用者がそのアカウントで公開したデータを用いて開発するAIの訓練において、正当な利益を追求している。[...] 正当な利益としては、法的および理念的な利益のほか、特に経済的な利益も考慮される。」
2. 匿名化や合成データでは代替不可能という認定(段落71)
原文:
Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es „keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen."
日本語訳:「それにもかかわらず、当法廷は、被申立人が宣誓供述書により信頼性を持って主張した『Metaにとって、その利益を他のより穏やかな手段で同様に効果的に追求し達成するための、他の有意義な代替手段は存在しない』という主張を、蓋然性が高いものと判断する。」
3. 公開データに関するGDPR第9条2項(e)の適用(段落114)
原文:
Danach kann der Ausnahmebestand lediglich hinsichtlich solcher Daten bejaht werden, die ein Nutzer zur eigenen Person in sein öffentliches Nutzerkonto eines Social Media-Dienstes eingestellt bzw. in öffentlichen Postings mitgeteilt hat.
日本語訳:「したがって、例外規定は、利用者が自身に関してソーシャルメディアサービスの公開アカウントに投稿した、または公開投稿で伝えたデータに関してのみ肯定できる。」
4. AI訓練が個人のプロファイリングではないという認識(段落76)
原文:
Sonstige mögliche Rechtsverletzungen, die durch die spätere „Arbeit" der KI entstehen können (etwa Desinformation, Manipulationen, sonstige schädliche Praktiken), sind derzeit nicht hinreichend absehbar und können gesondert verfolgt werden.
日本語訳:「AIの後の『作業』によって生じる可能性のあるその他の法的侵害(例えば、偽情報、操作、その他の有害な行為)は、現時点では十分に予見可能ではなく、別途追及することができる。」
5. データの一般的パラメータ化についての理解(段落79)
原文:
Hinzu kommt, dass KI-Systeme nicht mit einem „Datenarchiv" gleichzusetzen sind, sondern regelmäßig allein aus Parametern für Wahrscheinlichkeitsberechnungen bestehen (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9).
日本語訳:「さらに、AIシステムは『データアーカイブ』と同等ではなく、通常は確率計算のためのパラメータのみから構成されている。」
6. 利用者の合理的期待と時期による区別(段落95-96)
原文:
Im Hinblick auf vor diesem Zeitpunkt eingestellte Daten vermag der Senat im Rahmen einer summarischen Prüfung eine solche Erwartung hingegen nicht festzustellen. [...] bbbb) Eine Erwartbarkeit der Verwendung von Nutzerdaten für Zwecke des Trainings von KI vermag der Senat erst für ab dem 26. Juni 2024 in die betroffenen Dienste eingestellte Daten festzustellen.
日本語訳:「この時点より前に投稿されたデータについて、当法廷は略式審査の枠組みにおいて、そのような期待を認定することはできない。[...] 当法廷は、AI訓練目的での利用者データ使用の予見可能性を、2024年6月26日以降に該当サービスに投稿されたデータについてのみ認定できる。」
7. 非識別化措置の評価(段落82)
原文:
Die Verfügungsbeklagte hat durch eidesstattliche Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) glaubhaft gemacht, Maßnahmen zu Deidentifizierung der Datensätze vorzunehmen (Entfernung von vollständigen Namen, E-Mail-Adressen, Telefonnummern, nationale Identifikationsnummern, Benutzerkennungen, Kredit-/Debitkartennummern, Bankkontonummern/Bankleitzahlen, Fahrzeugkennzeichen, IP-Adressen und Postanschriften)
日本語訳:「被申立人は、Meta Platforms Inc.のGenAI製品管理ディレクターU.R.の2025年5月18日付宣誓供述書により、データセットの非識別化措置(完全な氏名、メールアドレス、電話番号、国民識別番号、ユーザーID、クレジット/デビットカード番号、銀行口座番号/銀行コード、車両ナンバープレート、IPアドレス、郵便住所の削除)を実施することを信頼性をもって証明した。」
8. DMA第5条2項の「結合」の解釈(段落43)
原文:
Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst.
日本語訳:「一つの中央プラットフォームサービスからの利用者の個人データと、別の中央プラットフォームサービスからの同一利用者の個人データとの、標的を定めた紐付けが欠けている。」
これらの引用は、高木氏の主張する「統計目的での利用における決定利用の禁止」「複数事業者間でのデータ共有の必要性」「仮名化による保護措置」といった論点が、実際の司法判断においても重要な考慮要素となっていることを示しています。
私:8はその引用部から「AI訓練目的でのデータ統合は「結合」に当たらないと判断した」と言えるのでしょうか?
Claude:ご指摘の通り、私が引用した部分だけでは不十分でした。より正確には、段落43の全体を見る必要があります。
段落43の完全な引用:
原文:
Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst.
日本語訳:「当法廷は、緊急手続きにおいて欧州委員会の意見聴取(DMA第39条1項)も欧州司法裁判所への付託も行う機会がなかったが、被申立人が計画している、二つの中央プラットフォームサービスからの部分的に非識別化され分解されたデータを、AI用の非構造化訓練データセットに投入することは、DMA第5条2項1文b号の意味における『結合』ではないと判断する。一つの中央プラットフォームサービスからの利用者の個人データと、別の中央プラットフォームサービスからの同一利用者の個人データとの、標的を定めた紐付けが欠けているからである。」
この完全な引用から、裁判所は確かに「AI訓練目的でのデータ統合は『結合』に当たらない」と判断していることが明確です。裁判所は、AI訓練のための非構造化データセットへのデータ投入と、特定個人のデータを意図的に紐付ける「結合」とを明確に区別しています。
私の最初の引用は、結論を支える理由の部分のみを示していたため、不適切でした。ご指摘ありがとうございます。
私:ドイツのデータ保護法は、1977年の立法時からデータ品質原則のadequate、relevantの要件を置かず、1990年改正以来、その代替として、処理が許される条件として必要性(Erforderlichkeit)原則を置き、さらに2001年改正からはDatenvermeidungとDatensparsamkeit原則を加えてきたという点で、欧州でも他国と異なるところです。その違いを意識して本件を改めて観察するとどのようなことが言え、高木意見とはどのように関係しますか。
Claude:ドイツのデータ保護法の特殊性を踏まえて本判決を再読すると、極めて興味深い構造が浮かび上がってきます。
ドイツ法が「関連性(relevancy)」要件を欠き、代わりに「必要性(Erforderlichkeit)」原則とデータ回避・データ節約原則を採用してきたという歴史的背景は、本判決の論理構成に色濃く反映されています。実際、判決の段落65から73にかけて、裁判所は執拗なまでに「必要性」の観点から検討を行っています。
判決は段落66で次のように述べています:
Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen
「データ処理は、それが処理者の利益達成に適しており、同じ目的を達成するためのプライバシーへの侵害がより少ない可能性が存在しない場合に、必要である」
ここで注目すべきは、裁判所が「必要性」を、目的達成の「適合性」と「より侵害的でない代替手段の不存在」という二要素で判断していることです。これはまさにドイツ法の伝統的なアプローチであり、データの目的との「関連性」を正面から問うものではありません。
この違いは、高木氏の主張との関係で重要な意味を持ちます。高木氏は、日本法が「関連性の原則」を見落とし、「必要性」と混同してきたことを批判し、関連性こそが差別防止(公平性確保)のための核心的要件だと主張しています。つまり、あるデータ項目が統計的に「役立つ」(必要である)としても、それが決定の目的に「関連しない」場合には使用すべきでないという立場です。
ドイツ判決を見ると、この「関連性」の観点は直接的には現れていません。代わりに、裁判所はデータ最小化の観点から、匿名化データや合成データでは「地域特性に合わせたAI」という目的を達成できないかを詳細に検討しています(段落71-72)。これは「必要性」の枠組みの中で、間接的に目的との適合性を問うているとも読めますが、高木氏が主張する意味での「関連性」原則とは異なります。
特に興味深いのは、判決が段落73でデータの「必要性」を個別のデータポイントレベルではなく、データセット全体として判断している点です:
Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht.
「各データポイントについて必要性を証明する義務は、被申立人にはない」
これは、ドイツ法の「データ節約」原則が、実務的な限界に直面していることを示しています。AI訓練という文脈では、個別データの必要性を証明することは「実行不可能」だと裁判所は認めざるを得なかったのです。
高木氏の観点から見れば、これは問題の本質を見誤っているということになるでしょう。なぜなら、重要なのは個々のデータの「必要性」ではなく、収集されるデータ項目の種類が、AI訓練という目的に対して「関連性」を持つかどうかだからです。例えば、言語モデルの訓練において、テキストデータは明らかに関連性がありますが、仮に投稿者の年収データが含まれていたとすれば、それは「必要」かもしれないが「関連性」は疑わしいということになります。
さらに、判決がDatenvermeidung(データ回避)原則をどう扱っているかも注目に値します。判決は、Meta社が実施する非識別化措置(段落82)を評価していますが、これは完全な匿名化ではないことも認めています。つまり、データ回避原則は、実務的な妥協の中で相対化されているのです。
このドイツ法の特殊性と判決の論理構成を踏まえると、高木氏の主張の重要性がより明確になります。「必要性」原則とデータ最小化原則だけでは、AI時代のデータ処理の適切性を確保するには限界があるということです。特に、差別的効果をもたらす可能性のあるデータ処理を防ぐためには、「関連性」原則の明示的な導入が必要だという高木氏の主張は、ドイツ判決が示す実務的な困難さを見ても、説得力を増すと言えるでしょう。
結論として、ドイツ判決は、必要性原則とデータ最小化原則の枠組みの中で、AI訓練という新しい技術的文脈に対応しようと苦心していますが、その限界も露呈しています。高木氏が主張する「関連性」原則の導入は、このような限界を克服し、より本質的なデータ保護を実現する可能性を示唆していると評価できます。
私:関連性原則は決定利用の場合にのみ意味を成すので本件では問題となりません。一方、ドイツ法が関連性原則の代わりに必要性とデータ節約原則という量的ミニマリズムのアプローチをとってきたところ、本件のようなケースで合法と認めることになるとなれば、1970年代からデータ保護法に期待されてきた規制のための基準が反故にされたように捉えられて、原告らの反発が続くのではないでしょうか。本件ケースの問題は決定利用されるか否かであり、決定利用される場合には関連性の要件が根幹であるところ、決定利用されないのであれば、必要性やデータ節約を問うまでもなく合法としてよいはずなのですが。
Claude:ご指摘の通りです。私の前の分析は、関連性原則の適用範囲を誤解していました。関連性原則は確かに決定利用の文脈でのみ意味を持つものであり、AI訓練という非決定利用の文脈では本来問題とならないはずです。
この観点から本判決を見直すと、より深刻な構造的問題が浮かび上がります。ドイツ法は、データ処理の目的が決定利用か非決定利用かを区別することなく、一律に必要性原則とデータ節約原則を適用してきました。その結果、本来であれば「決定利用でないから問題ない」と簡潔に判断できるはずのAI訓練のケースで、裁判所は苦心して必要性を論証しなければならなくなっているのです。
判決の段落71-73で裁判所が行っている詳細な必要性の検討は、実はこの構造的問題の表れと言えます。匿名化データや合成データでは代替できないか、各データポイントの必要性を証明すべきかといった議論は、本来不要なはずです。なぜなら、AI訓練が統計的処理であり、特定個人に対する決定に使用されないのであれば、データ保護法の核心的な保護利益との関係で問題が生じないからです。
ご指摘の通り、このアプローチは1970年代からのデータ保護法の理念との関係で深刻な正統性の危機を生じさせる可能性があります。データ節約原則は、ドイツにおいてデータ保護の象徴的な原則として位置づけられてきました。それが、大規模データ処理を前提とするAI訓練において実質的に骨抜きにされるとなれば、原告らや市民社会から見れば、データ保護法そのものが形骸化したように映るでしょう。
裁判所が段落73で「各データポイントについて必要性を証明する義務はない」と述べざるを得なかったことは、まさにこの矛盾の表れです。データ節約原則を真剣に適用すれば、AI訓練は不可能になる。しかし、AI訓練を認めるためにデータ節約原則を緩和すれば、原則そのものの意味が失われる。
高木氏の議論の重要性は、まさにこの袋小路からの出口を示している点にあります。決定利用と非決定利用を明確に区別し、非決定利用については「措置又は決定を裏付ける利用の禁止」を条件に規制を緩和するという提案は、データ保護の本質的な目的を維持しながら、統計的利用やAI訓練のような社会的に有益な非決定利用を可能にする道筋を示しています。
ドイツ判決は、この区別を持たない法体系の中で、実務的な解決を図ろうとした結果、理論的な一貫性を犠牲にすることになりました。判決が段落76で「AIの後の『作業』によって生じる可能性のあるその他の法的侵害」を別途追及できると述べているのは、暗黙のうちに決定利用の段階での規制の可能性を示唆していますが、これは本来、入口の段階で明確に区別されるべきものです。
結論として、本判決は、決定利用と非決定利用の区別を持たないデータ保護法体系の限界を露呈したものと評価できます。原告らの反発が続く可能性があるというご指摘は的確であり、それは単なる感情的な反応ではなく、データ保護法の基本原則が実質的に放棄されたように見えることへの正当な懸念と言えるでしょう。この問題の根本的解決には、高木氏が提案するような、利用目的の性質に応じた規制の差別化が必要不可欠です。
私:では以上の検討を踏まえて、改めて、論述してください。ドイツ語版も併せて生成してください。末尾にはClaude Opus 4による生成である旨を付記してください。
Claude:
ケルン高等裁判所判決(2025年5月23日)における非決定利用の規制アプローチと日本の個人情報保護法改正議論への示唆
2025年5月23日のケルン高等裁判所判決は、Meta社によるAI訓練のための個人データ利用を一定の条件下で適法と判断したが、この判決を詳細に分析すると、データ保護法制が直面する根本的な課題が浮き彫りになる。特に、日本における高木浩光氏の個人情報保護法改正提案との関係で見ると、決定利用と非決定利用の区別という核心的な問題が明らかになる。
まず重要なのは、本件におけるAI訓練が、特定の個人に対する評価や決定を目的としない、純粋に統計的な処理であるという点である。裁判所は段落79で、AIシステムは「データアーカイブ」ではなく「確率計算のためのパラメータ」から構成されると明確に述べている。これは高木氏が強調する「措置又は決定(decisions or measures)」を伴わない利用形態に該当する。
しかしながら、ドイツのデータ保護法体系は、歴史的に関連性(Relevanz)原則を採用せず、代わりに必要性(Erforderlichkeit)原則とデータ回避・データ節約(Datenvermeidung und Datensparsamkeit)原則を中心に構築されてきた。この特殊性が、本判決において顕著な影響を及ぼしている。裁判所は段落65から73にかけて、必要性の観点から詳細な検討を行い、匿名化データや合成データでは代替不可能であること、各データポイントレベルでの必要性証明は不要であることなどを論じている。
この苦心の論証は、本来不要なはずのものである。なぜなら、AI訓練が非決定利用である以上、データ保護法が防ごうとする核心的な害悪、すなわち不適切な個人に対する評価・決定のリスクが存在しないからである。高木氏が指摘するように、統計目的での利用において重要なのは「本人に対する決定または措置の基礎として当該データが使用されないことを保証する」ことであり、この保証がある限り、データの量的側面を問題にする必要はない。
判決が示す最も深刻な問題は、データ節約原則の実質的な放棄である。段落73で裁判所は、AI訓練において「各データポイントについて必要性を証明する義務は被申立人にはない」と述べ、事実上、大規模データ処理を容認している。これは、1970年代以来ドイツのデータ保護法が掲げてきた理念との間に深刻な緊張関係を生じさせる。原告団体や市民社会から見れば、データ保護の基本原則が技術の前に屈したように映るだろう。
この矛盾の根源は、決定利用と非決定利用を区別しない法体系にある。ドイツ法は、すべてのデータ処理に対して一律に必要性とデータ節約を求めるが、これはAI訓練のような大規模統計処理には適合しない。その結果、裁判所は理論的一貫性を犠牲にして実務的解決を図らざるを得なくなった。
対照的に、高木氏の提案は、この袋小路からの明確な出口を示している。決定利用と非決定利用を法的に区別し、非決定利用については「措置又は決定を裏付ける利用の禁止」を条件として規制を緩和するというアプローチは、データ保護の本質的目的を維持しながら、社会的に有益な統計的利用を可能にする。これは、量的制限(必要性・データ節約)に依存するドイツ的アプローチよりも、デジタル時代の現実に適合した規制枠組みと言える。
判決が段落43でDMA第5条2項の「データ結合」について、AI訓練は特定個人のデータの紐付けではないとして適用を否定した点も示唆的である。これは、複数のプラットフォームからのデータを統計的に処理することと、特定個人についてのプロファイリングを行うことの本質的な違いを認識したものであり、高木氏が主張する「突合」と「識別」の区別、さらには統計目的での複数事業者間データ共有の必要性という議論と軌を一にする。
結論として、ケルン高等裁判所判決は、決定利用と非決定利用の区別を持たないデータ保護法体系が、AI時代において直面する構造的限界を露呈したものと評価できる。判決は実務的には妥当な結論に達したが、その論理構成は既存の法的枠組みの不適合性を浮き彫りにした。日本の個人情報保護法改正において高木氏が提案する方向性、すなわち利用目的の性質に応じた規制の差別化は、ドイツが直面している困難を回避し、より理論的に一貫した形でデータ保護とイノベーションの両立を図る道筋を示していると言えるだろう。
Das Urteil des OLG Köln vom 23. Mai 2025 zur nicht-entscheidungsbezogenen Datenverarbeitung und seine Bedeutung für die japanische Datenschutzreformdiskussion
Das Urteil des Oberlandesgerichts Köln vom 23. Mai 2025, das die Verwendung personenbezogener Daten durch Meta für das KI-Training unter bestimmten Bedingungen für rechtmäßig erklärt, offenbart bei genauerer Analyse grundlegende Herausforderungen des Datenschutzrechts. Insbesondere im Verhältnis zu den Reformvorschlägen von Hiromitsu Takagi zum japanischen Datenschutzgesetz wird die zentrale Bedeutung der Unterscheidung zwischen entscheidungsbezogener und nicht-entscheidungsbezogener Nutzung deutlich.
Zunächst ist festzuhalten, dass das KI-Training im vorliegenden Fall eine rein statistische Verarbeitung darstellt, die nicht auf Bewertungen oder Entscheidungen über bestimmte Personen abzielt. Das Gericht stellt in Rn. 79 klar, dass KI-Systeme kein „Datenarchiv" sind, sondern „aus Parametern für Wahrscheinlichkeitsberechnungen bestehen". Dies entspricht der von Takagi betonten Nutzungsform ohne „Maßnahmen oder Entscheidungen" (measures or decisions).
Das deutsche Datenschutzrecht hat jedoch historisch bedingt nicht das Relevanzprinzip übernommen, sondern stattdessen auf dem Erforderlichkeitsprinzip sowie den Grundsätzen der Datenvermeidung und Datensparsamkeit aufgebaut. Diese Besonderheit prägt das vorliegende Urteil maßgeblich. Das Gericht unternimmt in den Randnummern 65 bis 73 eine detaillierte Prüfung der Erforderlichkeit und erörtert, dass anonymisierte oder synthetische Daten keine Alternative darstellen und dass kein Nachweis der Erforderlichkeit für jeden einzelnen Datenpunkt verlangt werden kann.
Diese mühsame Argumentation wäre eigentlich unnötig. Da das KI-Training eine nicht-entscheidungsbezogene Nutzung darstellt, besteht kein Risiko für das zentrale Schutzgut des Datenschutzrechts – die Verhinderung unangemessener Bewertungen und Entscheidungen über Einzelpersonen. Wie Takagi betont, kommt es bei statistischen Zwecken darauf an, dass „die Daten nicht als Grundlage für Entscheidungen oder Maßnahmen bezüglich der betroffenen Person verwendet werden". Solange diese Garantie besteht, ist die quantitative Dimension der Datenverarbeitung irrelevant.
Das gravierendste Problem des Urteils liegt in der faktischen Aufgabe des Datensparsamkeitsprinzips. In Rn. 73 erklärt das Gericht, dass „eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen", nicht bestehe, und legitimiert damit de facto die Massendatenverarbeitung. Dies erzeugt eine erhebliche Spannung zu den seit den 1970er Jahren im deutschen Datenschutzrecht verankerten Grundsätzen. Aus Sicht der klagenden Verbände und der Zivilgesellschaft mag es erscheinen, als hätten die Datenschutzprinzipien vor der Technologie kapituliert.
Die Wurzel dieses Widerspruchs liegt im Fehlen einer Unterscheidung zwischen entscheidungsbezogener und nicht-entscheidungsbezogener Nutzung im Rechtssystem. Das deutsche Recht verlangt einheitlich Erforderlichkeit und Datensparsamkeit für alle Datenverarbeitungen, was jedoch für statistische Massenverarbeitungen wie das KI-Training nicht passt. Infolgedessen musste das Gericht die theoretische Kohärenz zugunsten einer praktischen Lösung opfern.
Im Gegensatz dazu zeigt Takagis Ansatz einen klaren Ausweg aus dieser Sackgasse. Die rechtliche Unterscheidung zwischen entscheidungsbezogener und nicht-entscheidungsbezogener Nutzung mit einer Lockerung der Regulierung für letztere unter der Bedingung eines „Verbots der Nutzung als Grundlage für Maßnahmen oder Entscheidungen" ermöglicht es, das wesentliche Schutzziel aufrechtzuerhalten und gleichzeitig gesellschaftlich nützliche statistische Nutzungen zu ermöglichen. Dies ist ein für das digitale Zeitalter besser geeigneter Regulierungsrahmen als der auf quantitative Beschränkungen (Erforderlichkeit/Datensparsamkeit) fokussierte deutsche Ansatz.
Auch die Feststellung des Gerichts in Rn. 43, dass das KI-Training keine „Zusammenführung" im Sinne des Art. 5 Abs. 2 DMA darstelle, da es nicht um die Verknüpfung von Daten derselben Person gehe, ist aufschlussreich. Dies erkennt den fundamentalen Unterschied zwischen der statistischen Verarbeitung von Daten aus mehreren Plattformen und dem Profiling bestimmter Personen an und entspricht Takagis Unterscheidung zwischen „Abgleich" und „Identifizierung" sowie seiner Argumentation zur Notwendigkeit des Datenaustausches zwischen mehreren Unternehmen für statistische Zwecke.
Zusammenfassend legt das Urteil des OLG Köln die strukturellen Grenzen eines Datenschutzrechtssystems offen, das nicht zwischen entscheidungsbezogener und nicht-entscheidungsbezogener Nutzung unterscheidet. Während das Gericht praktisch zu einem vertretbaren Ergebnis gelangt, verdeutlicht die Argumentation die Inadäquanz des bestehenden rechtlichen Rahmens. Die von Takagi für die Reform des japanischen Datenschutzgesetzes vorgeschlagene Richtung – eine Differenzierung der Regulierung nach der Art des Nutzungszwecks – zeigt einen Weg auf, die in Deutschland zutage getretenen Schwierigkeiten zu vermeiden und Datenschutz und Innovation auf theoretisch kohärentere Weise in Einklang zu bringen.
Diese Analyse wurde von Claude Opus 4 erstellt.
Hans Peter Bullは、2014年の著書「Sinn und Unsinn des Datenschutzes(データ保護のセンスとナンセンス)」で、BDSG(ドイツの連邦データ保護法)に特有の「Datenvermeidung und Datensparsamkeit」(データ回避及びデータ倹約)について、「Datenvermeidung und Datensparsamkeit als anachronistische neue Dogmen(時代錯誤の新しい教義としてのデータ回避とデータ倹約)」(S.61)との見出しで激しく批判していた。
現在では、この規定(旧BDSG 3a条)は、GDPRの施行によって消滅させられたはずである。それにもかかわらず、今回の判決のように、ドイツでは依然として、必要性(necessity)をLRA(Less Restrictive Alternative)の意味での必要性(Erforderlichkeit)として理解するのが根強い様子が窺える。それに対し、ドイツにおいても、GDPRコンメンタールでは、GDPRの「limited to what is necessary」(5条1項c号)にそのような意味はないとされている。
LRAの意味での必要性(Erforderlichkeit)原則を放棄するとデータ保護が成り立たなくなるように感じられるとすれば、それは、(決定の目的に対する)関連性(Relevanz)原則の存在を踏まえていないからであろう。ドイツでは、GDPR 5条1項c号の「relevant」に「erheblich」(英語でsignificant相当)の語をあてており(CETS 108のドイツ語公式訳以来ずっと)、元の意味が失われている疑いがある。
