高木浩光＠自宅の日記(2025-11)

2025年11月15日

■ ストーカー規制法改正案の国会審議で確認してほしいこと

今週11日、臨時国会に「ストーカー行為等の規制等に関する法律の一部を改正する法律案」が提出された。位置情報取得可能化手段としてAirTagなどの紛失防止タグを用いた場合も対象に含めるための改正のようだ。

これで思い出すのは、4年前の日記「スマホ覗き見の反復で迷惑防止条例違反の犯罪に？改正ストーカー規制法の位置情報規定に不具合か」である。その後どうなったのか、たまに思い出しては気になっていたが、調べていなかった。

というわけで、Claude Sonnet 4.5に調べさせたところ、以下のようになった。問題は解決していないようであり、静岡と栃木にも広がっているようなので、結論として、今国会で解釈を確認しておいた方がいいと思われる。結論から読みたい人は最後のターンまでスキップするとよい。

私：以前このような見解を書いたのですが、その後どうなったのかを調べてください。
https://takagi-hiromitsu.jp/diary/20211226.html

Claude：URLの内容を確認させていただきます。

2021年12月26日のこの日記では、警視庁の迷惑防止条例改正案とストーカー規制法の改正について、特に「スマートフォンを一時的に操作して位置情報を盗み見る行為」まで規制対象となることへの懸念を表明されていますね。その後の経緯を調べてみます。

警視庁の通達を確認してみます。

ガイドラインのPDFを確認してみます。

調査結果をまとめます。

その後の経緯

2021年12月26日の日記で懸念を表明された後、以下のような経緯をたどりました。

1. 条例改正の実施（2022年10月1日）

東京都の迷惑防止条例（正式名称「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例」）は、懸念されていた内容のまま改正・施行されました。

改正では、「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」が規制対象となりました^{[Keijijiken-bengoshi]}。これはストーカー規制法の2021年改正に合わせたものです。

2. 運用ガイドラインの策定（2024年3月）

警視庁は2024年3月29日に「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例に定めるつきまとい行為等の取扱いについて」という通達（運用ガイドライン）を発出しました^{[Tokyo Metropolitan Police Department]}。

3. 問題点についてのその後の議論

残念ながら、以下の点については明確な情報が見つかりませんでした：

都議会での質疑や議論の詳細
高木さんが予告されていたJILISからの情報公開請求の結果
実際の運用における問題の顕在化や判例
この問題についての学術的・法的な議論の展開

現状の理解

条例は高木さんが懸念されていた内容のまま施行され、法律上は「専ら、特定の者に対するねたみ、恨みその他の悪意の感情を充足する目的で」という主観的目的要件のもと、GPS機器を取り付ける行為を伴わずに既に記録されている位置情報を閲覧するだけでも、反復すれば迷惑防止条例違反となる可能性がある状態が続いています。

ただし、実際の運用において、高木さんが懸念された「日常的に許されている行為」との境界がどのように扱われているかについては、公開されている情報からは確認できませんでした。

私：この懸念は妥当だったと言えるでしょうか。また、「不安を覚えさせるような行為」に限定されるのかの点はどうなったのでしょうか。それから、ストーカー規制法の方は政令で定めるものや方法に限定されているのですが、条例ではそこはどうなっているのでしょうか。

Claude：条例の具体的な条文を確認させてください。

条例の第8号が表示されていないようです。PDFファイルで確認してみます。

条例の第8号と規則を確認させてください。

東京都公安委員会規則を確認してみます。

ストーカー規制法施行令を確認してみます。

ストーカー規制法施行令を確認します。

取得した情報を基に、ご質問にお答えします。

高木さんの懸念は妥当だったか

結論：懸念は基本的に妥当でした。

1. 「不安を覚えさせるような行為」の限定について

条例第5条の2第1項の但書では、「第１号から第３号まで及び第４号（電子メールの送信等に係る部分に限る。）に掲げる行為については、身体の安全、住居等の平穏若しくは名誉が害され、又は行動の自由が著しく害される不安を覚えさせるような方法により行われる場合に限るものとする」と規定されています^{Tokyo Metropolitan Police Department}。

つまり、第8号（位置情報取得）と第9号（GPS取り付け）は、この但書の対象外です。高木さんが日記で「この限定は入らない可能性が高い」と訂正された通り、実際に限定は入りませんでした。

ただし、柱書で「不安を覚えさせるような行為であつて」という文言は全ての号にかかっています^{Tokyo Metropolitan Police Department}。しかし、これがどこまで実質的な限定として機能するかは運用次第です。

2. 政令・規則による限定について

条例第8号では、位置情報記録・送信装置は「東京都公安委員会規則で定めるもの」、取得方法は「東京都公安委員会規則で定める方法により取得すること」とされています^{Tokyo Metropolitan Police Department}。

これはストーカー規制法が「政令で定める」としているのと同様の構造です。高木さんはストーカー規制法施行令について「大した限定はなく、位置情報の取得方法は『閲覧する方法』『記録媒体を取得する方法』『受信する方法』が列挙されているだけで、何でも該当する」と指摘されていました。

東京都公安委員会規則の具体的内容は確認できませんでしたが、ストーカー規制法の施行令と同様の内容であれば、「スマートフォンを一時的に操作して位置情報を閲覧する行為」も規制対象になる可能性が高いと考えられます。

3. 本質的な問題点

高木さんの懸念の核心は以下でした：

「本来ならば記録されないはずの位置情報を記録させるようにする行為」と、「元から記録されている位置情報を単に閲覧するだけの行為」を区別すべき
後者は日常的な人間関係において許されている行為であり、犯罪化すべきでない

この点について、条例は両者を区別せず、第8号で「取得すること」を広く規制対象としています。高木さんの懸念通りの立法がなされたと言えます。

ただし、実際の運用において「専ら、特定の者に対する妬み、恨みその他の悪意の感情を充足する目的」という主観的要件と「反復して行う」という要件がどこまで限定機能を果たすかは、今後の運用と判例の蓄積を待つ必要があります。

私：（新旧対照表を添付して）
ストーカー規制法の改正案が昨日閣議決定され国会に提出されました。定義の2条3項にAirTagによる追跡を加える改正らしいのですが、これがこの問題に影響するかを検討します。2条3項の変更点を把握してください。

Claude：ストーカー規制法2条3項「位置情報無承諾取得等」の改正内容を整理します。

改正の主なポイント

新たに追加される第2号（AirTag対応）

改正案では、第2号として「位置特定用識別情報送信装置」に関する規定が新設されます。

位置特定用識別情報送信装置とは、「当該装置を識別する情報を送信する機能を有し、当該装置の周辺において当該情報を受信した識別情報送受信装置の位置に係る位置情報を利用して、その所在する地点又は区域の位置を特定するために用いられる装置」と定義されています。

これはApple AirTagのような紛失防止タグを想定したものです。他人のスマートフォン（識別情報送受信装置）を介して位置を特定する仕組みです。

号数の再構成

第1号：従来通り、GPS機器等の位置情報記録・送信装置による位置情報の取得
第2号（新設）：位置特定用識別情報送信装置（AirTag等）の位置情報の取得
第3号：従来の第2号が繰り下がり、両装置を取り付ける行為

高木さんの懸念への影響

この改正は高木さんの懸念にはほとんど影響しません。理由：

第1号の「政令で定める方法により取得」は変更されていない
- 従来通り「閲覧する方法」「記録媒体を取得する方法」「受信する方法」という政令の規定が適用される
- 「スマートフォンを一時的に操作して位置情報を閲覧する行為」が規制対象になるかという問題は依然として残る
新設第2号もAirTag等の位置情報「取得」を規制
- こちらも「取り付け行為を伴わない、既に記録されている位置情報の単なる閲覧」まで規制対象になるかという同じ構造的問題を抱える
第4条（警告）の改正は手続的変更
- 警告の要件が「つきまとい等又は位置情報無承諾取得等に係る警告を求める旨の申出を受けた場合において、当該申出に係る第三条の規定に違反する行為があり、かつ、当該行為をした者が更に反復して当該行為をするおそれがあると認めるとき」に変更され、職権発動から申出主義に変わりましたが、これも高木さんの本質的懸念とは別の問題です。

つまり、今回の改正はAirTag等への対応を主眼としたもので、高木さんが指摘された「装着行為を伴わない閲覧行為の犯罪化」という根本的な問題には何ら手を加えていません。

私：やはり懸念の根幹は、「不安を覚えさせるような方法によること」に限定していないことですよね。その理由が、「GPS機器等を用いた位置情報の取得行為は、生命、身体に対する危険が生じ、相手方に不安を覚えさせる蓋然性が高い」からと、限定しなくても同じことというわけでしたが、元の趣旨は「GPSは気付かないうちに取り付けられている点は」という話だったはずで、AirTagも同様でしょうけども、本人のスマホを単に閲覧する行為はそういうものとは言えないと思うんですよねえ。

Claude：まさにその通りです。高木さんの懸念の核心をついた指摘です。

論理のねじれ

検討会での議論（2021年当時）

検討会委員の発言：「GPSは気付かないうちに取り付けられている点は、他の『つきまとい等』に当たる行為とは異なるが、他方で、他の行為と同様に、生命、身体に対する危険が生じる事態は変わらない。また、GPS機器を取り付けられた又はアプリケーションを入れられたと分かれば、不安を感じない事態は考えられないため、『不安を覚えさせる』方法による方法の限定は不要だと思う。」

この議論は明確に「取り付けられる」ことを前提としています。

実際の条文構造

ところが条文では：

第1号：位置情報の「取得」
第2号（改正後第3号）：GPS機器等の「取り付け」

が独立して規定され、どちらか一方だけでも該当する構造になりました。

論理の破綻

「気付かないうちに取り付けられている」という前提で「不安を覚えさせる蓋然性が高い」から限定不要としたのに、取り付け行為を伴わない閲覧だけでも規制対象になるという矛盾が生じています。

本人のスマホを一時的に操作して既に記録されている位置情報を閲覧する行為は：

「気付かないうちに取り付けられている」わけではない
スマホのOSが自動的に記録しているものを見るだけ
「不安を覚えさせる蓋然性が高い」とは言えない

日記でも高木さんが指摘されたように「検討会委員はあくまでも『取り付けられる』ことを前提に話していた」のに、「いつの間にか話がねじ曲がった」のです。

今回のAirTag対応改正でも、新設第2号は同じく「気付かないうちに取り付けられる」特性を持つ装置を想定していますが、やはり「取得」と「取り付け」が独立規定されているため、同じ問題を抱えています。

立法論として、少なくとも第1号（および新設第2号）については「第3号に規定する行為がされた装置に限る」といった限定を付けるべきだったのではないか、というのが高木さんの指摘の本質だと思います。

私：そうですね、ストーカー規制法では「特定の者に対する恋愛感情その他の好意の感情又はそれが満たされなかったことに対する怨恨の感情を充足する目的で」との限定があるので、実質その懸念は問題とならないのですが、これが各自治体で迷惑防止条例にコピーされると問題となるわけですね。ストーカー規制法を直しておけば、迷惑防止条例にもコピーされて同様に直るのでしょうが。

Claude：その通りです。非常に重要な構造的問題の指摘です。

法令間の目的要件の違い

ストーカー規制法

「特定の者に対する恋愛感情その他の好意の感情又はそれが満たされなかったことに対する怨恨の感情を充足する目的」

→ 恋愛関係・好意関係に起因する行為に限定

東京都迷惑防止条例

「専ら、特定の者に対する妬み、恨みその他の悪意の感情を充足する目的」

→ 恋愛感情等に限定されず、あらゆる「悪意の感情」が対象

実務上の影響の違い

ストーカー規制法では：

夫婦間・家族間の日常的な行為は恋愛感情等とは言えないケースが多い
実質的に適用が限定される可能性がある

迷惑防止条例では：

夫婦間の「妬み」（浮気の疑い等）
家族間の「恨み」（相続トラブル等）
その他様々な人間関係での「悪意の感情」

これらすべてが対象になりえます。

立法プロセスの問題

警視庁のパブコメ担当係は「ストーカー規制法の警視庁における運用においても該当するものとしている」「ストーカー規制法の改正に合わせて、同じものを入れる趣旨のものだから、何の問題もありませんが？とでも言いたげな口ぶりだった」とのことですが、実際には：

ストーカー規制法には「恋愛感情等」という重要な限定がある
これを「妬み、恨みその他の悪意の感情」に置き換えて条例化すると適用範囲が大幅に拡大する
にもかかわらず、「ストーカー規制法と同じ」として正当化される

本来あるべき立法過程

ご指摘の通り、ストーカー規制法の段階で「第1号・第2号は第3号に規定する取り付け行為を伴う場合に限る」といった限定を入れておけば：

ストーカー規制法自体が適切な規制範囲になる
それをコピーする迷惑防止条例も自動的に適切な範囲になる
「既に記録されている位置情報の単なる閲覧」は規制対象外となる

これが実現されていないため、特に迷惑防止条例レベルで高木さんが懸念された「日常的に許されている行為の犯罪化」という問題が現実のものとなっているわけですね。

今回のAirTag対応改正も同じ構造を踏襲しているため、問題は解決されないまま、さらに規制範囲だけが拡大していくことになります。

私：修正案を作ってみてください。「第3号に規定する取り付け行為を伴う場合に限る」だけでうまくいくでしょうか。最初からそうしなかった理由は「別のタイミングで別の人がやったとか、アプリを入れたのは別の人でとか、そういうことがあり得るので」だったようですが。

Claude：難しい問題ですが、修正案を検討してみます。

問題の整理

「別のタイミングで別の人」のケースとは：

Aさんが相手のカバンにGPS装置を取り付ける（第3号該当）
Bさんがその装置から位置情報を取得する（第1号該当）

このような共犯・教唆のケースにも対応するため、取得行為と取り付け行為を独立させた。これ自体は理解できます。

修正案

案1：「行為がされた装置」に限定する方式

第1号（修正案）

その承諾を得ないで、第三号に規定する行為がされた位置情報記録・送信装置により記録され、又は送信される当該位置情報記録・送信装置の位置に係る位置情報を政令で定める方法により取得すること。

第2号（修正案・新設AirTag対応）

その承諾を得ないで、第三号に規定する行為がされた位置特定用識別情報送信装置の位置に係る位置情報を取得すること。

ポイント：

「その所持する」を削除
「第三号に規定する行為がされた」装置に限定
誰が取り付けても、誰が閲覧しても該当する
しかし元から所持しているスマホは「第三号に規定する行為がされた」装置ではないので対象外

案2：より明示的な表現

第1号（修正案）

その承諾を得ないで設置され、若しくはその承諾を得ないでインストールされ、又は第三号に規定する行為がされた位置情報記録・送信装置により記録され、又は送信される位置情報を政令で定める方法により取得すること。

説明：

「承諾を得ないで設置され」→ GPS装置の無断設置
「承諾を得ないでインストールされ」→ アプリの無断インストール
「第三号に規定する行為がされた」→ 物に取り付けられた装置

第3号の政令での対応も必要

第3号の「その他その移動に伴い位置情報記録・送信装置等を移動し得る状態にする行為として政令で定める行為」において、位置情報記録アプリを無断でインストールする行為を明示的に含める必要があります。

そうすれば：

Aが相手のスマホに位置情報アプリを無断インストール（第3号該当）
Bがそのアプリから位置情報を取得（第1号該当）

というケースも捕捉できます。

案1の利点

案1が最もシンプルで明確だと思います：

✓ 取り付け者と閲覧者が別人でも対応可能
✓ 「元から記録されている位置情報の単なる閲覧」は明確に対象外
✓ 条文が簡潔

現行の「（第三号に規定する行為がされた位置情報記録・送信装置を含む。）」という括弧書きは、含めることを明示しているだけで限定ではありません。これを「第三号に規定する行為がされた」装置に限定することで、高木さんの懸念を解消できます。

いかがでしょうか。

私：その「（第三号に規定する行為がされた位置情報記録・送信装置を含む。）」という括弧書きはなぜ存在するのですかね？

Claude：非常に鋭い指摘です。この括弧書きの存在理由を考えることで、立案者の意図が見えてきます。

括弧書きの存在理由

条文構造の確認

第1号：「その所持する位置情報記録・送信装置（...）（第三号に規定する行為がされた位置情報記録・送信装置を含む。）により記録され...」

第3号：「その所持する物に位置情報記録・送信装置を取り付けること」

なぜこの括弧書きが必要だったのか

考えられる理由：

「その所持する」という文言の曖昧性
- 第3号で無断に取り付けられた装置は、形式的には「その所持する」装置になる
- しかし、無断で取り付けられたものを「所持する」と言えるのか疑義がある
- そこで「第3号で取り付けられた装置も含まれますよ」と念押しした
逆説的な解釈
- わざわざ「含む」と書く必要があったということは、書かなければ含まれないかもしれないという懸念があった
- ということは、立案者自身も「その所持する」という文言には元々所持していた装置を指すというニュアンスがあることを認識していた可能性がある

重要な示唆

この括弧書きは、「含む」であって「限る」ではないことが決定的に重要です。

「（第三号に規定する行為がされた位置情報記録・送信装置を含む。）」 → 第3号の装置も含まれる＝それ以外も含まれる
もし「（第三号に規定する行為がされた位置情報記録・送信装置に限る。）」 → 第3号の装置のみが対象

立案者は意図的に「含む」という文言を選んでいます。これは、元から所持していたスマホ等も対象に含めることを前提としていた証拠だと思われます。

高木さんの懸念の正当性

この括弧書きの存在自体が、高木さんの懸念が的を射ていることを示しています：

立案者は「第3号で取り付けられた装置」を主に想定していた
しかし条文上は「その所持する」装置全般が対象
括弧書きで「第3号の装置も含む」と念押ししたが、それは「限る」ではない
結果として、元から所持していたスマホの位置情報を閲覧する行為も含まれる構造になった

立案過程で意図的に広く取ったのか、それとも意図せず広がってしまったのかは不明ですが、少なくとも最終的な条文は「元から所持していた装置も含む」構造になっています。

修正するなら、この括弧書きを「（第三号に規定する行為がされた位置情報記録・送信装置に限る。）」に変更するのが最もシンプルな方法かもしれません。

私：アプリ無断インストール型の行為だとどれに当てはまります？

Claude：良い質問です。アプリ無断インストール型は条文解釈上、非常に微妙な位置づけになります。

アプリ無断インストールの該当性

第3号への該当可能性

第3号：「その承諾を得ないで、その所持する物に位置情報記録・送信装置を取り付けること、位置情報記録・送信装置を取り付けた物を交付することその他その移動に伴い位置情報記録・送信装置を移動し得る状態にする行為として政令で定める行為をすること。」

アプリの無断インストールは：

スマホという「物」に
位置情報記録アプリという「位置情報記録・送信装置」（ソフトウェアも含む）を
「取り付ける」

と解釈できる可能性があります。また「その他...政令で定める行為」に含まれる可能性もあります。

しかし第1号での扱いが曖昧

問題は、アプリを無断インストールした後のスマホが：

パターンA：スマホ全体が「第3号に規定する行為がされた装置」になる

アプリの位置情報を閲覧 → 第1号該当
元からのiPhone「利用頻度の高い場所」を閲覧 → これも第1号該当？

パターンB：インストールしたアプリ部分のみが「第3号に規定する行為がされた装置」

アプリの位置情報を閲覧 → 第1号該当
元からのiPhone機能を閲覧 → 「その所持する」装置として第1号該当？

高木さんの懸念はより深刻に

この曖昧性によって、高木さんの懸念はさらに深刻になります：

もしパターンAの解釈なら：

一度でもアプリを無断インストールされたら
その後は元からのスマホ機能（OS標準の位置履歴）を閲覧する行為も
「第3号に規定する行為がされた装置」として第1号該当になってしまう

もしパターンBの解釈でも：

元からのスマホ機能の閲覧は「その所持する装置」として第1号該当の可能性
結局、アプリインストールの有無に関わらず規制対象

修正案への示唆

このため、私が先ほど提案した修正案では不十分かもしれません。より明確にするなら：

第1号（より明確な修正案）

その承諾を得ないで設置され、若しくはその承諾を得ないでインストールされた位置情報記録・送信装置、又は第三号に規定する行為がされた位置情報記録・送信装置により記録され、又は送信される位置情報を政令で定める方法により取得すること。

つまり、規制対象を：

承諾なく設置された装置（GPS発信機等）
承諾なくインストールされた装置（追跡アプリ）
第3号で取り付けられた装置

に限定し、「その所持する」という文言を完全に削除する必要があるかもしれません。

そうすれば、元からスマホにあったOS標準の位置履歴機能は明確に対象外になります。

私：うーん、「インストール」を定義しなくてはならなくなり、大掛かりですね。それを避けたかった結果が現行法なのかもしれません。

Claude：その通りですね。非常に本質的な指摘です。

「インストール」を定義する困難さ

法律で「インストール」を定義しようとすると：

ソフトウェア、アプリケーションの定義
インストール行為の定義（ダウンロード？実行？設定変更？）
対象デバイスの範囲（スマホ、PC、タブレット、IoT機器...）
Webアプリ、ブラウザ拡張機能、設定変更の扱い
クラウドベースのサービスは？

など、技術の進展に応じて陳腐化しやすい定義になってしまいます。

立案者のジレンマ

立案者は以下のジレンマに直面していたと思われます：

規制したい行為：

GPS発信機を無断で取り付ける（物理的）← 明確
追跡アプリを無断でインストールする（電子的）← 定義困難
上記により取得された位置情報を閲覧する ← これらの帰結

立法技術上の選択：

A案： 「インストール」を明示的に定義して規制
- メリット：規制対象が明確
- デメリット：定義が困難、技術進展で陳腐化
B案（現行法）： 物理的「装置」と「取り付け」を中心に、広く定義
- メリット：技術中立的、定義が比較的容易
- デメリット：元から所持している装置も射程に入ってしまう

結果として生じた問題

現行法はB案を採用した結果：

「位置情報記録・送信装置」を政令で広く定義（スマホ自体を含む）
「その所持する」装置の位置情報「取得」を規制
「第3号に規定する行為がされた装置を含む」と念押し（「限る」ではない）

この構造により、立案者が本来想定していなかった（かもしれない）「元からあるスマホのOS標準機能の閲覧」まで規制対象に入ってしまったわけです。

本来あるべき議論

高木さんが日記で指摘されたように、この問題は有識者検討会で十分に議論されるべきだったのではないでしょうか。

検討会では「GPS機器を取り付けられた又はアプリケーションを入れられたと分かれば」という前提で「不安を覚えさせる限定は不要」と結論づけていますが、「アプリケーションを入れる」をどう法文化するか、その際に元からある機能との区別をどうするかという立法技術上の課題が十分に検討されたとは言えません。

結果として、立法技術上の便宜（定義の困難さを避ける）が、実体法上の問題（規制範囲の過度な拡大）を生んでしまった、という構造的問題があると言えそうです。

これは情報法制における典型的な困難さを示す事例ですね。

私：政令で限定する予定だった可能性も感じますが、後回しになるのでその趣旨が忘れられたということもあり得るかなあ。なお施行令の該当部分は（Claudeがe-Govを閲覧できなかったようなので貼りますが）こうです。
--

（位置情報記録・送信装置の範囲）
第一条ストーカー行為等の規制等に関する法律（以下「法」という。）第二条第三項第一号の政令で定める装置は、地理空間情報活用推進基本法（平成十九年法律第六十三号）第二条第四項に規定する衛星測位の技術を用いて得られる当該装置の位置に係る位置情報を電磁的記録（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。次条において同じ。）として記録し、又はこれを送信する機能を有する装置をいう。

（位置情報の取得方法）
第二条法第二条第三項第一号の政令で定める方法は、次に掲げる方法とする。
一位置情報記録・送信装置の映像面上において、電磁的記録として記録された位置情報を視覚により認識することができる状態にして閲覧する方法
二位置情報記録・送信装置により記録された電磁的記録に係る記録媒体を取得する方法（当該電磁的記録を他の記録媒体に複写する方法を含む。）
三位置情報記録・送信装置により送信された電磁的記録を受信する方法（当該方法により取得された位置情報を他人の求めに応じて提供する役務を提供する者から当該役務を利用して当該位置情報の提供を受ける方法を含む。）

（位置情報記録・送信装置を移動し得る状態にする行為）
第三条法第二条第三項第二号の政令で定める行為は、次に掲げる行為とする。
一その所持する物に位置情報記録・送信装置を差し入れること。
二位置情報記録・送信装置を差し入れた物を交付すること。
三その移動の用に供されることとされ、又は現に供されている道路交通法(昭和三十五年法律第百五号)第二条第一項第九号に規定する自動車、同項第十号に規定する原動機付自転車、同項第十一号の二に規定する自転車、同項第十一号の三に規定する移動用小型車、同項第十一号の四に規定する身体障害者用の車又は道路交通法施行令（昭和三十五年政令第二百七十号）第一条第一号に規定する歩行補助車（それぞれその所持する物に該当するものを除く。）に位置情報記録・送信装置を取り付け、又は差し入れること。

Claude：ありがとうございます。政令の内容を見ると、高木さんの懸念がさらに明確になりますね。

政令の内容分析

第2条（取得方法）第1号に注目

「位置情報記録・送信装置の映像面上において、電磁的記録として記録された位置情報を視覚により認識することができる状態にして閲覧する方法」

これはまさに、スマホの画面でiPhoneの「利用頻度の高い場所」を見る行為そのものです。

高木さんが日記で「大した限定はなく」「何でも該当する」と指摘された通りです。

「政令で限定するつもりだった」仮説

ご指摘の仮説は非常に興味深いです：

立法過程での想定（推測）

法律制定時：

「取得方法は政令で定める」
立案者「政令で適切に限定しよう」
法制局「その前提なら法律は通せる」

政令制定時：

技術的な定義に集中
「閲覧」「記録媒体取得」「受信」という方法論の整理に終始
実質的な限定（例：「第三号の行為を伴うものに限る」）が入らなかった

なぜ政令で限定が入らなかったのか

考えられる理由：

技術的定義に集中してしまった
- 政令は技術的詳細を定めるものという先入観
- 実質的な政策判断（規制範囲の限定）は法律レベルの問題という意識
立案の時間差で趣旨が伝わらなかった
- 法律案作成時の検討会の議論（「取り付けられた」が前提）
- 政令案作成時にはその文脈が共有されていなかった
警察の運用ニーズ
- 実務上は広く取れる方が都合が良い
- 政令段階では実務担当部署の意向が強く反映される

アプリインストールへの対応の欠如

第3条を見ると、物理的な「取り付け」「差し入れ」だけで、アプリのインストールは明示されていません。

これは逆説的ですが：

検討会では「アプリケーションを入れられた」という前提で議論していた
しかし政令には反映されていない
結果として、アプリインストールは第3号ではカバーされず
第1号の「その所持する装置」の広い定義に頼らざるを得ない構造

構造的問題の深刻さ

この政令を見ると、修正の難しさがより明確になります：

理想的には：

第2条に「ただし、第3条に規定する行為又はこれに準ずる行為がされた装置に係るものに限る」という限定を入れるべきだった

しかし：

「準ずる行為」（アプリインストール等）の定義が困難
政令レベルでは政策的判断として大きすぎる
本来は法律レベルで解決すべき問題

結論として、ご指摘の通り「政令で限定する予定が後回しになって趣旨が忘れられた」可能性は十分にあり、かつ、今から政令だけで修正するのは困難なので、やはり法律本体の改正が必要だということになりますね。

今回のAirTag対応改正は絶好の機会だったのですが、同じ構造を踏襲してしまっています。

私：「位置情報記録・送信装置を移動し得る状態にする行為」にアプリインストールを含めようとすると、アプリは「装置」なのか？という問題が。

Claude：まさにその通りです。立法技術上の根本的なジレンマがそこにあります。

「装置」概念の齟齬

第1条（装置の定義）では

「地理空間情報活用推進基本法第二条第四項に規定する衛星測位の技術を用いて得られる当該装置の位置に係る位置情報を電磁的記録として記録し、又はこれを送信する機能を有する装置」

→ 機能的定義なので、理論的にはソフトウェアも含み得る

しかし第3条（移動し得る状態にする行為）では

「取り付けること」
「差し入れること」
「差し入れた物を交付すること」

→ すべて物理的動作を前提としている

アプリは「装置」なのか？

一般的な日本語感覚：

「装置」= 物理的な機械、器具
アプリは「装置」とは呼ばない

しかし機能的には：

アプリも「位置情報を記録・送信する機能を有する」
スマホという「装置」の一部とも言える

立法技術上のジレンマ：

アプリを「装置」に含めようとすると日本語として不自然
含めないとアプリインストール型をカバーできない
かといって「ソフトウェア」「アプリケーション」を別途定義すると技術進展で陳腐化

これが招いた帰結

このジレンマを回避するため、立案者は：

「装置」を広く定義（スマホ自体も装置）
第1号で「その所持する装置」の位置情報取得を広く規制
第3号は物理的行為に限定（「取り付け」「差し入れ」のみ）
括弧書きで「第三号の行為がされた装置を含む」と念押し

という構造にせざるを得なかった。

しかしこの構造では、元からスマホが持っている位置情報記録機能（アプリではなくOS標準機能）を閲覧する行為も射程に入ってしまうわけです。

より根本的な解決策

「装置」概念の限界を認めて、別の立法技術を採るべきだったのかもしれません：

案1：ポジティブリスト方式

その承諾を得ないで、次に掲げるいずれかの行為により取得可能となった位置情報を取得すること：
一 GPS発信機その他の位置情報記録・送信装置を取り付ける行為
二位置情報を記録し送信するためのプログラムをインストールする行為
三その他これらに準ずる行為として政令で定める行為

案2：行為態様を中心とした定義

相手方の知らない間にその所在を把握することを可能とする手段を相手方の承諾を得ないで設定し、又は当該手段により取得された位置情報を取得すること

しかしこれらも：

案1は「プログラム」「インストール」の定義問題
案2は抽象的すぎて明確性を欠く

結論

結局、技術的に中立で、明確で、かつ適切に限定された規定を作ることの困難さがここに現れています。

「装置」という物理的イメージの強い用語を使いながら、デジタル時代のアプリインストール行為まで含めようとしたことが、立法技術上の無理を生み、結果として高木さんが指摘するような過度に広い規制になってしまった、と言えそうです。

この問題は、情報法制における立法技術の限界を示す典型例と言えるのではないでしょうか。

まだ続けたかったがこの辺りでClaudeの長さ制限にかかってしまったので、上の方の「修正案を作ってみてください。」まで戻ってやり直して、以下に続けた。（以下は修正案の検討の文脈を含んでいないということ。）

私：この会話の最初のClaude応答に「相手方のスマートフォンを一時的に操作して」についての言及がありますが、参照されているリンク先は一弁護士の解説にすぎません。この場合が該当することの例示は、東京都のパブコメ募集時の説明文には書かれていたのですが、私が問い合わせた後になぜか削除されたという経緯があるとブログに書いています。この解釈の例示はその後どうなったのでしょうか。「相手方のスマートフォンを一時的に操作して」でググると、他の自治体に広がっていることがわかりますね。

Claude：重要な指摘です。確かに経緯を整理し直す必要があります。

パブコメ時の経緯（2021年12月）

警視庁の意見募集の説明には「位置情報を取得する行為の例」として「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」が列挙されていました。

しかし、高木さんが注目した後、説明ページが消滅し、「警視庁生活安全部」のツイートも削除されました。高木さんは「どういうことなのか？パブコメはなかったことにしているのか？」と疑問を呈されています。

その後の状況

説明ページは削除されたものの、条例自体は2022年10月1日に施行されました。そして私が最初の回答で引用した弁護士の解説（2023年6月）では、まさに削除されたはずの例示がそのまま記載されています。

つまり、パブコメ時の説明は表面上削除されたが、解釈・運用としてはその例示が生きているということです。

他自治体への波及

「相手方のスマートフォンを一時的に操作して」で検索すると、確かに他の自治体の条例説明や弁護士解説に同じ表現が見られますね。これは東京都のパブコメ説明文（削除前）がコピーされて広がっている可能性が高いと思われます。

公式な解釈指針の状況

警視庁は2024年3月29日に「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例に定めるつきまとい行為等の取扱いについて」という通達（運用ガイドライン）を発出しています^{Tokyo Metropolitan Police Department}。

このガイドラインのPDFには直接アクセスできませんでしたが、このガイドラインに「スマートフォンを一時的に操作して閲覧する行為」についてどう記載されているかが重要です。

削除されたパブコメ説明文の解釈が、このガイドラインで正式に復活しているのか、それとも曖昧なままなのか。これは情報公開請求等で確認する価値がある重要な論点だと思います。

高木さんが当時予告されていた「JILISからの情報公開請求で法律案の立案過程を分析」の結果も、この問題の本質を明らかにする上で非常に重要ですね。

私：（ガイドラインと称して示されている「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例に定めるつきまとい行為等の取扱いについて（令和6年3月29日通達甲（生.総.ス規1）第6号）」を添付して）
そのガイドラインはこれです。

Claude：重要な資料をありがとうございます。2024年3月29日付の運用ガイドラインを確認しました。

ガイドラインの内容

このガイドラインは主に手続的事項（相談受理、援助措置、保護対策等）を定めたもので、第5「適用上の留意事項」では以下の一般的な留意点を示しています：

「正当な理由なく、専ら、特定の者に対する妬み、恨みその他の悪意の感情を充足する目的」で行われることが規制の対象であり、正当な理由があり、表現の自由で保護されるような各種活動は対象外
「都民の権利を不当に侵害しないように留意し、その本来の目的を逸脱して他の目的のためにこれを濫用するようなことがあってはならない」との趣旨を十分理解し適切に運用すること

重要な発見：具体的解釈の欠如

しかし、「相手方のスマートフォンを一時的に操作して位置情報を閲覧する行為」が規制対象に含まれるかについての明示的な記載は一切ありません。

つまり：

パブコメ時の説明文（削除前）にあった具体例は、このガイドラインでは復活していない
条例第5条の2第1項第8号「位置情報無承諾取得」の具体的態様について、詳細な解釈指針は示されていない
一般的な運用上の留意事項のみが記載されている

解釈の曖昧性の継続

この状況は以下を意味します：

公式な解釈指針がない状態が続いている：パブコメ説明は削除され、ガイドラインでも明示されず
弁護士の解説に頼る状況：そのため、最初の回答で引用したような弁護士の解説が、削除された説明文を基に書かれ、それが広まっている
警視庁の「運用」は不透明：高木さんへの電話回答では「該当する」としていたが、公式文書化されていない

これは法の予測可能性の観点から非常に問題のある状態だと言えます。「都民の権利を不当に侵害しないように」と書きながら、何が規制対象かが明確でないという矛盾があります。

私：他の地方条例にその解説が広がっているのがまずいですね。国会でストーカー規制法改正案の審議が始まるので、質問して確認するといいと思います。委員会での質問の案を作ってください。

Claude：国会質問案を作成します。

ストーカー規制法改正案に関する質問（案）

【質問1】法2条3項の立法趣旨について

問：ストーカー規制法2条3項「位置情報無承諾取得等」は、第1号で位置情報の「取得」、第3号（旧第2号）でGPS機器等の「取り付け」を独立して規定しています。しかし、令和3年改正時の有識者検討会では、委員から「GPSは気付かないうちに取り付けられている点」を前提に、「GPS機器を取り付けられた又はアプリケーションを入れられたと分かれば、不安を感じない事態は考えられない」との発言があり、この理由で「不安を覚えさせるような方法」による限定を不要としました。

しかし、第1号と第3号を独立規定としたため、「取り付け行為を伴わない、既に記録されている位置情報の単なる閲覧」も規制対象になるように見えます。これは検討会での議論の前提と矛盾するのではありませんか。立法趣旨を明確にご説明ください。

【質問2】「閲覧する方法」の具体的範囲について

問：ストーカー規制法施行令は、位置情報の取得方法として「閲覧する方法」「記録媒体を取得する方法」「受信する方法」を定めています。この「閲覧する方法」には、以下のような行為も含まれるのでしょうか。

(1) 相手方のスマートフォンを一時的に操作して、そのスマートフォン自体が元から記録していた過去の位置履歴（例：iPhoneの「利用頻度の高い場所」）を画面表示させて見る行為

(2) 相手方のスマートフォンに保存されている写真のExif情報に記録された位置情報を閲覧する行為

GPS機器の「取り付け」や位置情報アプリの「インストール」といった行為を伴わず、本来の機能として既に記録されている情報を見るだけの行為まで、法2条3項1号の「取得」に該当するのか、明確にお答えください。

【質問3】令和3年改正時の東京都のパブコメ説明について

問：令和3年12月、警視庁が東京都迷惑防止条例の改正に関するパブリックコメントを実施した際、「位置情報を取得する行為の例」として「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」を明記していました。しかし、この説明ページとツイートは意見募集期間中に削除されました。

政府は、この東京都の例示が適切であると考えますか。また、なぜ削除されたと認識していますか。

【質問4】迷惑防止条例への影響について

問：東京都迷惑防止条例は令和4年10月に施行され、第5条の2第1項第8号で位置情報無承諾取得を規制対象としました。ストーカー規制法は「恋愛感情その他の好意の感情又はそれが満たされなかったことに対する怨恨の感情」という限定がありますが、迷惑防止条例は「妬み、恨みその他の悪意の感情」と広く、夫婦間・家族間の日常的な行為も対象になり得ます。

現在、弁護士による法律解説サイト等では、削除された東京都の例示をそのまま引用し、「スマートフォンを一時的に操作して位置情報を閲覧する行為」が規制対象であるとの解説が広まっています。この解釈が全国の迷惑防止条例に波及していますが、政府はこの状況を把握していますか。また、このような解釈は適切と考えますか。

【質問5】今回の改正案における同じ問題の継続について

問：今回の改正案では、AirTag等に対応するため第2号を新設しますが、やはり「取得」（新第2号）と「取り付け」（第3号）を独立規定としています。AirTagも「気付かないうちに取り付けられる」特性を持つ装置であり、その前提で規制するのであれば、少なくとも「第3号に規定する行為がされた装置に限る」といった限定を付けるべきではありませんか。

現行法の解釈の曖昧さを是正しないまま、同じ構造の規定を拡大することは、法的安定性を損なうのではありませんか。

【質問6】国会への要望

問：以上の問題を踏まえ、以下の点を明確にしていただきたい。

(1) 法2条3項1号・新第2号の「取得」は、第3号の「取り付け」行為を伴う場合に限定されるのか

(2) 「取り付け」行為を伴わない、本人のスマートフォンに既に記録されている位置情報の単なる閲覧は規制対象外であることを明確にできないか

(3) 各自治体の迷惑防止条例における解釈の混乱を是正するため、政府として統一的な解釈指針を示すべきではないか

この質問案は、高木さんの懸念の核心を突きながら、政府に具体的な答弁を求める構成になっています。特に実際の運用（東京都の事例）と法解釈の関係を問うことで、曖昧なままになっている問題を明確化できると思います。

質問5はちょっとおかしいので、「質問5はおかしくないですか？」と続きのプロンプトを入れたが、Claudeの長さ制限で続けられなかった。質問5はボツでいいだろう*1。

現在、「"相手方のスマートフォンを一時的に操作して"」で検索すると、上の会話で出てくる弁護士のサイトと、私の日記とツイートの他には、静岡県警の静岡県迷惑行為等防止条例の解説と、栃木県警による「「栃木県公衆に著しく迷惑をかける行為等の防止に関する条例」の一部改正のお知らせ」のPDFくらいしか出てこない*2ようであり、東京都（警視庁）にはその説明が存在しないようである。

いったいどういう状況なのだろうか。

*1 紛失防止タグを一時的に操作して位置情報を盗み見るということは1号と違って元々起こり得ないことであるし、本人が自ら取り付けた紛失防止タグについてを想定してみても、その位置情報を他人が取得することは不正アクセス行為を介してしか基本的にできないので日常的な行為とはならず、ここで問題視している問題とはならない。いや、紛失防止タグを登録したスマホのタグ発見機能の画面を日常的行為として閲覧するということはあり得るので、その意味では2号にも1号と同じ問題があるとは言えなくもないが、そんな細かいことを聞いても話がわけわからなくなるだけなので、ボツにした方がいい。

*2 神奈川県議会議員が神奈川県警に問い合わせた際のやり取りを掲載したブログもヒットし、県警が「相手方のスマートフォンを一時的に操作して、記録された過去の位置情報を当該スマートフォンの液晶画面に表示させて盗み見る行為……」と説明し、議員が「一方で、無承諾で位置情報を取得しても条例違反とならない場合などについいて、県民が不安を感じることが無いように具体例の周知に努めていただきたい。」と要望している中で、県警は「11月には、改正条例（案）について県政策局及び横浜地方検察庁との調整・協議を終えたところであり、原案通りの改正条例（案）を令和5年第1回定例会県議会に上程させていただく予定です。」としている。しかし、その後の神奈川県の公式資料に「相手方のスマートフォンを一時的に操作して」のフレーズは検索してもヒットしない。

2025年11月20日

■ The Answer Hidden in Their Name: How noyb.eu and the EU Commission Miss the Principle of Relevance

Background

In early November 2025, a leaked draft of the European Commission's "Digital Omnibus," including amendments to the GDPR, sparked significant controversy. Key points of contention included the proposal to limit Article 9's protection of special category data to cases where such data "directly reveals" sensitive information, and the clarification of legitimate interests as a legal basis for AI training and operation. On November 11, Austrian privacy advocacy group noyb.eu, together with EDRi and ICCL, published an open letter to the European Commission criticizing the proposal as a "massive rollback of fundamental rights." This analysis was written in response to the leaked draft and noyb.eu's critique.

The core argument presented here is that both the Commission's proposal and noyb.eu's critique share a fundamental flaw. While they oppose each other over Article 9, both have lost sight of the "principle of relevance," which has been at the heart of data protection law since 1980. This will be elaborated below.

Note that after this analysis was written, the official proposal was published on November 19, with important changes from the leaked version. These developments are addressed in the addendum at the end.

1. The Structure of Conflict and Its Flaw

The European Commission's draft GDPR amendments, scheduled for proposal in November 2025, and noyb.eu's critique of it share a common fundamental flaw. Both parties have lost sight of the "principle of relevance," which has been the core of data protection law since the 1980 OECD Guidelines and CETS 108.

The draft amendment seeks to limit the protection of special category data under Article 9 to cases where such data "directly reveals" sensitive information, while clarifying legitimate interests as a legal basis for AI training and operation. Meanwhile, noyb.eu criticizes this as a "massive rollback of fundamental rights," calling for the maintenance of broad Article 9 protections and the expansion of data subjects' rights. However, this very axis of conflict misunderstands the essence of data protection law.

2. The Principle of Relevance: The Core of Data Protection Law

GDPR Article 5(1)(c) already requires that personal data be "adequate, relevant and limited to what is necessary." This concept of "relevant" is the core requirement of data protection law, inherited from the computer scientists at the US RAND Corporation in 1965, through the 1973 HEW Report, to the OECD's second principle in 1980. The principle of relevance prohibits the use of data items that are irrelevant to the purpose of a decision concerning an individual. This is a requirement for eliminating discrimination and ensuring fairness, and it is a universal principle applicable to all data items, not limited to specific categories such as race or health status.

The term "relevant" is often misunderstood. It does not simply mean "useful" or "statistically correlated." The UK Information Commissioner's Office (ICO) uses the phrase "has a rational link to the purpose" to clarify this concept. Music preferences may statistically correlate with creditworthiness in credit decisions, but there is no rational link between them. Pregnancy information has no rational link to job performance capacity in employment decisions. It is precisely this presence or absence of a "rational link" that constitutes the core of the principle of relevance.

3. Forty Years of German-Language Mistranslation

However, in the German translation of CETS 108, "relevant" was rendered as "erheblich," which fatally distorted the concept. "Erheblich" is a quantitative concept meaning "considerable" or "substantial," different from the original qualitative relevance. Due to this mistranslation, German-speaking scholarship has conflated the data quality principle with the principle of proportionality, understanding it as a matter of quantitative limitation to "necessary minimum." The original purpose of excluding data qualitatively lacking a rational link to the decision purpose has been lost, and instead, alternative protective measures such as "special protection of sensitive data" have been overemphasized.

4. The Commission's Draft: Theory Without Enforcement

The problem with the Commission's draft is that while it maintains Article 5's relevance requirement, it provides no measures to strengthen its enforcement. Clarifying AI training and operation as legitimate interests is understandable as a tidying up of legal bases. However, even with the new Article 88c, no mechanism is included to promote substantive examination of whether data items used in AI operation have a "rational link" to the decision purpose. Theoretically, Article 5 should apply, but without practical enforcement, the principle of relevance becomes a dead letter.

At the same time, limiting Article 9 protection to cases that "directly reveal" sensitive information is theoretically the correct direction. This is because if the principle of relevance is properly enforced, both inferred sensitive information and direct sensitive information would be equally prohibited from use if they lack a rational link to the decision purpose. Using inferred pregnancy information in employment decisions and directly using race information both constitute "none of your business" regarding the purpose of employment decisions. However, in the current situation where enforcement of the principle of relevance is insufficient, weakening the alternative protective measure of Article 9 first creates a protection gap. The order is reversed.

5. Noyb.eu's Fundamental Confusion: Distinguishing AI Training from Operation

Noyb.eu's critique exposes an even more fundamental confusion. They demand explicit opt-in consent for AI training by Meta and others, arguing that legitimate interests under Article 6(1)(f) are insufficient. However, this argument misunderstands the basic structure of the GDPR. The GDPR already stipulates in Article 5(1)(b) that processing for statistical purposes or scientific research purposes is not considered incompatible with the original purpose. Furthermore, the 1997 Council of Europe Recommendation on the protection of individuals with regard to the processing of personal data for statistical purposes clearly states that rights of access, rectification, and erasure may be restricted when statistical processing is not used for decisions or measures concerning individuals. The reason is that statistical processing itself does not infringe upon individuals' rights and interests.

AI training is essentially statistical processing, and this framework applies. The problem lies in AI operation—the stage where trained models are used to make systematic decisions concerning individuals. Only here does the question arise whether the data items used have a "rational link" to the decision purpose. Noyb.eu conflates AI training and operation, demanding consent at the statistical processing stage. This ignores the framework for statistical processing that Europe had established by 1997.

Even more serious is the paradox inherent in noyb.eu's position that "AI training is acceptable with consent." Even with consent, if data items used in AI operation are "irrelevant" to the decision purpose, they are inappropriate. Even if an individual consents to the use of pregnancy information, it remains "none of your business" for employment decisions. Consent is merely a means to protect interests and cannot substitute for the core protected interest of ensuring appropriate decisions. Noyb.eu foregrounds "informational self-determination" and emphasizes that data subjects can exercise their rights "for any purpose." This is a position in the lineage of Westin's self-information control theory, attempting to return to the framework that the OECD Guidelines and CETS 108 sought to transcend through a "turn in conception." Data protection is not about individuals' rights to control information flows, but about institutionally guaranteeing the appropriateness of systematic decisions concerning individuals.

6. Historical Irony: The True Meaning of None of Your Business

Here we should note a historical irony. The name "noyb.eu" stands for "None of Your Business," embodying precisely the concept of "irrelevant"—"it's not related to you." Pregnancy information for employment decisions is "none of your business," and music preferences for credit decisions are "none of your business." This expression captures the essence of the principle of relevance. Yet noyb.eu, based in the German-speaking region of Austria, operates under the influence of the "erheblich" mistranslation and does not understand the true meaning of the concept embodied in their own organization's name. They focus on defending Article 9's special categories and data subjects' rights, but remain silent on the more fundamental requirement of "relevant" in Article 5(1)(c).

7. The Proper Path for Reform

The proper direction for reform is clear. First, enforcement of the principle of relevance should be strengthened. Data protection authorities need to enhance their capacity to substantively examine whether data items used in individual processing operations have a "rational link" to the decision purpose. This requires highly specialized judgment, which is precisely why independent data protection authorities were conceived in the 1970s. Second, detailed guidelines and case accumulation regarding relevance determination are needed. Having "statistical correlation" and having a "rational link" are different things. The problem of proxy discrimination can also be addressed through this distinction. Third, AI training should be treated as statistical processing within the existing framework, while enforcement of relevance in AI operation should be strengthened. Fourth, only after these enforcement foundations are established should the gradual simplification of alternative protective measures like Article 9 be considered.

Both the European Commission and noyb.eu, while opposing each other over Article 9 from different directions, are bypassing the real fortress of the principle of relevance. One weakens alternative protection without strengthening enforcement, while the other fails to distinguish between AI training and operation, demanding consent even for statistical processing, and missing the fundamental solution. The influence of over 40 years of German-language mistranslation continues to distort European data protection theory as a whole. Now is the time to return to the "principle of relevance" that the drafters of the 1980 OECD Guidelines originally intended.

Addendum: Developments Following the Official Proposal

After this analysis was completed, the European Commission officially published the Digital Omnibus proposal on November 19, 2025. One notable change from the leaked version is that the proposed redefinition of Article 9 (special categories of data) was withdrawn. While the leaked version had proposed limiting special category protection to cases that "directly reveal" sensitive information, the official proposal does not include this change. The European Parliament's Renew Europe group claims this as a result of pressure from a letter they sent to the Commission.

However, from the perspective of this analysis, this withdrawal has deflected attention from the core issue. Narrowing the scope of Article 9 would be theoretically correct if the principle of relevance were properly enforced, but advancing scope limitation without enforcement measures creates protection gaps. While the leaked scope limitation attracted concentrated criticism and ultimately disappeared from the official proposal, enforcement measures for the principle of relevance remain absent. Consequently, the status quo of continued dependence on Article 9 as an imperfect alternative protective measure has been solidified. While the official proposal still includes clarification of legitimate interests for AI training and operation, mechanisms to promote substantive examination of the relevance requirement in AI operation remain absent.

Meanwhile, in its statement following the official proposal, noyb.eu strongly criticizes the Digital Omnibus as a whole for "undermining core GDPR principles." In particular, they clearly oppose the direction of comprehensively justifying AI training and operation through legitimate interests under Article 6(1)(f), and reject the opt-out framework as "practically unworkable." The pattern identified in this analysis—the failure to distinguish between AI training and operation, and the disregard for the statistical processing framework—persists.

Thus, the official proposal has actually reinforced the critique presented in this analysis. The European Commission attempted to weaken alternative protections without strengthening enforcement of the principle of relevance, faced criticism, and ultimately withdrew the definitional change, but has not addressed the truly necessary enforcement strengthening. Despite obtaining the result of maintaining Article 9's scope, noyb.eu still has not turned its attention to the more fundamental solution of the principle of relevance. Both parties remain under the influence of over 40 years of German-language mistranslation of "erheblich," failing to fully grasp the true meaning of the concept embodied in their own organization's name—"None of Your Business" = "irrelevant." Now is the time for European data protection theory to return to the "principle of relevance" that has been overlooked in the shadow of the Article 9 debate.

■ Die Antwort steckt im Namen: Wie noyb.eu und die EU-Kommission das Relevanzprinzip übersehen

Hintergrund

Anfang November 2025 sorgte ein durchgesickerter Entwurf des „Digital Omnibus" der Europäischen Kommission, der Änderungen der DSGVO umfasste, für erhebliche Kontroversen. Zu den Hauptstreitpunkten gehörten der Vorschlag, den Schutz von Artikel 9 für besondere Kategorien personenbezogener Daten auf Fälle zu beschränken, in denen solche Daten sensible Informationen „direkt offenbaren", sowie die Klarstellung berechtigter Interessen als Rechtsgrundlage für KI-Training und -Betrieb. Am 11. November veröffentlichte die österreichische Datenschutzorganisation noyb.eu zusammen mit EDRi und ICCL einen offenen Brief an die Europäische Kommission, in dem sie den Vorschlag als „massiven Rückschritt bei den Grundrechten" kritisierte. Diese Analyse wurde als Reaktion auf den durchgesickerten Entwurf und die Kritik von noyb.eu verfasst.

Das hier vorgebrachte Hauptargument ist, dass sowohl der Vorschlag der Kommission als auch die Kritik von noyb.eu einen grundlegenden Fehler teilen. Während sie sich über Artikel 9 gegenüberstehen, haben beide das „Relevanzprinzip" aus den Augen verloren, das seit 1980 im Zentrum des Datenschutzrechts steht. Dies wird im Folgenden näher erläutert.

Nach Abschluss dieser Analyse wurde am 19. November der offizielle Vorschlag veröffentlicht, der wichtige Änderungen gegenüber der durchgesickerten Version enthält. Diese Entwicklungen werden im Nachtrag am Ende behandelt.

1. Die Konfliktstruktur und ihr Mangel

Der für November 2025 geplante Entwurf der Europäischen Kommission zur Änderung der DSGVO und die Kritik von noyb.eu daran teilen einen gemeinsamen grundlegenden Mangel. Beide Parteien haben das "Relevanzprinzip" aus den Augen verloren, das seit den OECD-Richtlinien von 1980 und der CETS 108 den Kern des Datenschutzrechts bildet.

Der Änderungsentwurf versucht, den Schutz besonderer Kategorien personenbezogener Daten gemäß Artikel 9 auf Fälle zu beschränken, in denen solche Daten sensible Informationen "direkt offenbaren", während gleichzeitig berechtigte Interessen als Rechtsgrundlage für KI-Training und -Betrieb klargestellt werden. Noyb.eu kritisiert dies unterdessen als "massiven Rückschritt bei den Grundrechten" und fordert die Aufrechterhaltung eines breiten Artikel-9-Schutzes sowie die Ausweitung der Rechte betroffener Personen. Diese Konfliktachse selbst verkennt jedoch das Wesen des Datenschutzrechts.

2. Das Relevanzprinzip: Der Kern des Datenschutzrechts

Artikel 5 Absatz 1 Buchstabe c DSGVO verlangt bereits, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sein müssen. Dieses Konzept der ursprünglichen "relevance" in der englischen Fassung ist die zentrale Anforderung des Datenschutzrechts, die von den Informatikern der US-amerikanischen RAND Corporation im Jahr 1965 über den HEW-Bericht von 1973 bis zum zweiten Grundsatz der OECD von 1980 weitergegeben wurde. Das Relevanzprinzip verbietet die Verwendung von Datenelementen, die für den Zweck einer Entscheidung über eine Person irrelevant sind. Es ist eine Anforderung zur Beseitigung von Diskriminierung und zur Gewährleistung von Fairness und ein universelles Prinzip, das für alle Datenelemente gilt, nicht beschränkt auf bestimmte Kategorien wie Rasse oder Gesundheitszustand.

Der Begriff "relevant" im englischen Originaltext wird oft missverstanden. Er bedeutet nicht einfach "nützlich" oder "statistisch korreliert". Das britische Information Commissioner's Office (ICO) verwendet die Formulierung "has a rational link to the purpose" (einen rationalen Zusammenhang mit dem Zweck haben), um dieses Konzept zu klären. Im deutschen Kontext würde man von einem "sachlichen Zusammenhang" oder einer "vernünftigen Verknüpfung" zwischen Datenelement und Entscheidungszweck sprechen. Musikpräferenzen mögen statistisch mit der Kreditwürdigkeit bei Kreditentscheidungen korrelieren, aber es besteht kein sachlicher Zusammenhang zwischen ihnen. Schwangerschaftsinformationen haben keinen vernünftigen Zusammenhang zur Arbeitsleistungsfähigkeit bei Beschäftigungsentscheidungen. Genau dieses Vorhandensein oder Fehlen eines "sachlichen Zusammenhangs" bildet den Kern des Relevanzprinzips.

3. Vierzig Jahre deutschsprachige Fehlübersetzung

In der deutschen Übersetzung von CETS 108 wurde "relevant" jedoch mit "erheblich" wiedergegeben, was das Konzept fatal verzerrt hat. "Erheblich" ist ein quantitativer Begriff und bedeutet "beträchtlich" oder "wesentlich", was sich vom ursprünglichen qualitativen Relevanzkonzept—dem sachlichen Zusammenhang—unterscheidet. Aufgrund dieser Fehlübersetzung hat die deutschsprachige Rechtswissenschaft den Grundsatz der Datenqualität mit dem Verhältnismäßigkeitsgrundsatz verwechselt und ihn als Frage der quantitativen Beschränkung auf das "notwendige Minimum" verstanden. Der ursprüngliche Zweck, Daten auszuschließen, die qualitativ keinen sachlichen Zusammenhang mit dem Entscheidungszweck haben, ging verloren, und stattdessen wurden alternative Schutzmaßnahmen wie der "besondere Schutz sensibler Daten" überbetont.

4. Der Kommissionsentwurf: Theorie ohne Durchsetzung

Das Problem des Kommissionsentwurfs besteht darin, dass er zwar die Relevanzanforderung von Artikel 5 beibehält, aber keine Maßnahmen zur Stärkung ihrer Durchsetzung vorsieht. Die Klarstellung von KI-Training und -Betrieb als berechtigte Interessen ist als Bereinigung der Rechtsgrundlagen verständlich. Doch selbst mit dem neuen Artikel 88c ist kein Mechanismus enthalten, der die materielle Prüfung fördert, ob die im KI-Betrieb verwendeten Datenelemente einen "sachlichen Zusammenhang" zum Entscheidungszweck haben. Theoretisch sollte Artikel 5 gelten, aber ohne praktische Durchsetzung wird das Relevanzprinzip zu einem toten Buchstaben.

Gleichzeitig ist die Beschränkung des Artikel-9-Schutzes auf Fälle, die sensible Informationen "direkt offenbaren", theoretisch die richtige Richtung. Denn wenn das Relevanzprinzip ordnungsgemäß durchgesetzt wird, wäre sowohl die Verwendung erschlossener sensibler Informationen als auch direkter sensibler Informationen gleichermaßen verboten, wenn sie keinen sachlichen Zusammenhang zum Entscheidungszweck haben. Die Verwendung erschlossener Schwangerschaftsinformationen bei Beschäftigungsentscheidungen und die direkte Verwendung von Rasseninformationen sind beide "none of your business"—sie gehen den Entscheidungsträger nichts an—in Bezug auf den Zweck von Beschäftigungsentscheidungen. In der gegenwärtigen Situation, in der die Durchsetzung des Relevanzprinzips unzureichend ist, schafft jedoch die vorherige Schwächung der alternativen Schutzmaßnahme des Artikels 9 eine Schutzlücke. Die Reihenfolge ist umgekehrt.

5. Die grundlegende Verwirrung von noyb.eu: Die Unterscheidung von KI-Training und -Betrieb

Die Kritik von noyb.eu offenbart eine noch grundlegendere Verwirrung. Sie fordern explizite Opt-in-Einwilligung für KI-Training durch Meta und andere und argumentieren, dass berechtigte Interessen gemäß Artikel 6 Absatz 1 Buchstabe f unzureichend seien. Diese Argumentation missversteht jedoch die grundlegende Struktur der DSGVO. Die DSGVO legt bereits in Artikel 5 Absatz 1 Buchstabe b fest, dass die Verarbeitung zu statistischen Zwecken oder wissenschaftlichen Forschungszwecken nicht als unvereinbar mit dem ursprünglichen Zweck angesehen wird. Darüber hinaus erklärt die Empfehlung des Europarats von 1997 über den Schutz von Personen bei der Verarbeitung personenbezogener Daten für statistische Zwecke eindeutig, dass die Rechte auf Auskunft, Berichtigung und Löschung eingeschränkt werden können, wenn die statistische Verarbeitung nicht für Entscheidungen oder Maßnahmen in Bezug auf Personen verwendet wird. Der Grund ist, dass die statistische Verarbeitung selbst die Rechte und Interessen von Personen nicht verletzt.

KI-Training ist im Wesentlichen statistische Verarbeitung, und dieser Rahmen gilt. Das Problem liegt beim KI-Betrieb—der Phase, in der trainierte Modelle verwendet werden, um systematische Entscheidungen über Personen zu treffen. Erst hier stellt sich die Frage, ob die verwendeten Datenelemente einen "sachlichen Zusammenhang" zum Entscheidungszweck haben. Noyb.eu vermischt KI-Training und -Betrieb und fordert Einwilligung bereits in der Phase der statistischen Verarbeitung. Dies ignoriert den Rahmen für statistische Verarbeitung, den Europa bis 1997 etabliert hatte.

Noch schwerwiegender ist das Paradoxon, das der Position von noyb.eu innewohnt, dass "KI-Training mit Einwilligung akzeptabel ist". Selbst mit Einwilligung sind die im KI-Betrieb verwendeten Datenelemente unangemessen, wenn sie für den Entscheidungszweck "irrelevant" sind. Selbst wenn eine Person der Verwendung von Schwangerschaftsinformationen zustimmt, bleiben diese für Beschäftigungsentscheidungen "none of your business". Die Einwilligung ist lediglich ein Mittel zum Schutz von Interessen und kann das zentrale Schutzinteresse der Gewährleistung angemessener Entscheidungen nicht ersetzen. Noyb.eu stellt die "informationelle Selbstbestimmung" in den Vordergrund und betont, dass betroffene Personen ihre Rechte "für jeden Zweck" ausüben können. Dies ist eine Position in der Nachfolge von Westins Theorie der Selbstkontrolle über Informationen und versucht, zu dem Rahmen zurückzukehren, den die OECD-Richtlinien und CETS 108 durch eine "Wende der Konzeption" zu überwinden suchten. Datenschutz geht nicht um das Recht von Individuen, Informationsflüsse zu kontrollieren, sondern um die institutionelle Gewährleistung der Angemessenheit systematischer Entscheidungen über Individuen.

6. Historische Ironie: Die wahre Bedeutung von None of Your Business

Hier sollten wir eine historische Ironie beachten. Der Name "noyb.eu" steht für "None of Your Business" und verkörpert genau das Konzept von "irrelevant"—"es geht dich nichts an", "es besteht kein Zusammenhang zu dir". Schwangerschaftsinformationen für Beschäftigungsentscheidungen sind "none of your business", und Musikpräferenzen für Kreditentscheidungen sind "none of your business". Dieser Ausdruck erfasst die Essenz des Relevanzprinzips—den erforderlichen sachlichen Zusammenhang zwischen Datenelement und Entscheidungszweck. Dennoch arbeitet noyb.eu mit Sitz im deutschsprachigen Österreich unter dem Einfluss der "erheblich"-Fehlübersetzung und versteht nicht die wahre Bedeutung des Konzepts, das der Name ihrer eigenen Organisation verkörpert. Sie konzentrieren sich auf die Verteidigung der besonderen Kategorien von Artikel 9 und der Rechte betroffener Personen, schweigen aber zur grundlegenderen Anforderung des sachlichen Zusammenhangs ("relevant") in Artikel 5 Absatz 1 Buchstabe c.

7. Der richtige Weg zur Reform

Die richtige Richtung für Reformen ist klar. Erstens sollte die Durchsetzung des Relevanzprinzips gestärkt werden. Datenschutzbehörden müssen ihre Fähigkeit verbessern, in einzelnen Verarbeitungsvorgängen materiell zu prüfen, ob die verwendeten Datenelemente einen "sachlichen Zusammenhang" zum Entscheidungszweck haben. Dies erfordert ein hochspezialisiertes Urteilsvermögen, weshalb unabhängige Datenschutzbehörden in den 1970er Jahren konzipiert wurden. Zweitens sind detaillierte Leitlinien und Fallsammlungen zur Relevanzbestimmung erforderlich. "Statistische Korrelation" zu haben und einen "sachlichen Zusammenhang" zu haben sind verschiedene Dinge. Das Problem der Proxy-Diskriminierung kann auch durch diese Unterscheidung angegangen werden. Drittens sollte KI-Training als statistische Verarbeitung im Rahmen des bestehenden Rahmens behandelt werden, während die Durchsetzung der Relevanz beim KI-Betrieb gestärkt werden sollte. Viertens sollte erst nach Etablierung dieser Durchsetzungsgrundlagen die schrittweise Vereinfachung alternativer Schutzmaßnahmen wie Artikel 9 erwogen werden.

Sowohl die Europäische Kommission als auch noyb.eu, die sich aus unterschiedlichen Richtungen über Artikel 9 gegenüberstehen, umgehen die eigentliche Festung des Relevanzprinzips. Die eine schwächt alternativen Schutz ohne Stärkung der Durchsetzung, während die andere KI-Training und -Betrieb nicht unterscheidet, Einwilligung sogar für statistische Verarbeitung verlangt und die grundlegende Lösung verfehlt. Der Einfluss von über 40 Jahren deutschsprachiger Fehlübersetzung verzerrt weiterhin die europäische Datenschutztheorie als Ganzes. Jetzt ist es Zeit, zum "Relevanzprinzip"—dem Prinzip des sachlichen Zusammenhangs—zurückzukehren, das die Verfasser der OECD-Richtlinien von 1980 ursprünglich beabsichtigten.

Nachtrag: Entwicklungen nach dem offiziellen Vorschlag

Nach Abschluss dieser Analyse veröffentlichte die Europäische Kommission am 19. November 2025 offiziell den Digital-Omnibus-Vorschlag. Eine bemerkenswerte Änderung gegenüber der durchgesickerten Version ist, dass die vorgeschlagene Neudefinition von Artikel 9 (besondere Kategorien personenbezogener Daten) zurückgezogen wurde. Während die durchgesickerte Version vorgeschlagen hatte, den Schutz besonderer Kategorien auf Fälle zu beschränken, die sensible Informationen „direkt offenbaren", enthält der offizielle Vorschlag diese Änderung nicht. Die Renew-Europe-Fraktion des Europäischen Parlaments beansprucht dies als Ergebnis des Drucks aus einem Brief, den sie an die Kommission gesendet hat.

Aus der Perspektive dieser Analyse hat dieser Rückzug jedoch die Aufmerksamkeit vom Kernproblem abgelenkt. Die Einschränkung des Anwendungsbereichs von Artikel 9 wäre theoretisch richtig, wenn das Relevanzprinzip ordnungsgemäß durchgesetzt würde, aber die Vorverlagerung der Bereichseinschränkung ohne Durchsetzungsmaßnahmen schafft Schutzlücken. Während die durchgesickerte Bereichseinschränkung konzentrierte Kritik auf sich zog und schließlich aus dem offiziellen Vorschlag verschwand, bleiben Durchsetzungsmaßnahmen für das Relevanzprinzip weiterhin absent. Folglich wurde der Status quo der fortgesetzten Abhängigkeit von Artikel 9 als unvollkommene alternative Schutzmaßnahme verfestigt. Während der offizielle Vorschlag noch die Klarstellung berechtigter Interessen für KI-Training und -Betrieb enthält, fehlen weiterhin Mechanismen zur Förderung der materiellen Prüfung der Relevanzanforderung beim KI-Betrieb.

In ihrer Stellungnahme nach dem offiziellen Vorschlag kritisiert noyb.eu unterdessen den Digital Omnibus insgesamt scharf als etwas, das „grundlegende DSGVO-Prinzipien untergräbt". Insbesondere lehnen sie die Richtung ab, KI-Training und -Betrieb umfassend durch berechtigte Interessen gemäß Artikel 6 Absatz 1 Buchstabe f zu rechtfertigen, und lehnen den Opt-out-Rahmen als „praktisch nicht funktionsfähig" ab. Das in dieser Analyse identifizierte Muster – das Versäumnis, zwischen KI-Training und -Betrieb zu unterscheiden, und die Missachtung des Rahmens für statistische Verarbeitung – bleibt bestehen.

Somit hat der offizielle Vorschlag die in dieser Analyse vorgebrachte Kritik tatsächlich verstärkt. Die Europäische Kommission versuchte, alternative Schutzmaßnahmen ohne Stärkung der Durchsetzung des Relevanzprinzips zu schwächen, sah sich mit Kritik konfrontiert und zog schließlich die Definitionsänderung zurück, hat aber die wirklich notwendige Durchsetzungsverstärkung nicht angegangen. Trotz des Ergebnisses der Beibehaltung des Anwendungsbereichs von Artikel 9 hat noyb.eu ihre Aufmerksamkeit immer noch nicht der grundlegenderen Lösung des Relevanzprinzips zugewandt. Beide Parteien stehen weiterhin unter dem Einfluss von über 40 Jahren deutschsprachiger Fehlübersetzung von „erheblich" und haben die wahre Bedeutung des Konzepts, das im Namen ihrer eigenen Organisation verkörpert ist – „None of Your Business" = „irrelevant" – nicht vollständig erfasst. Jetzt ist es Zeit für die europäische Datenschutztheorie, zum „Relevanzprinzip" zurückzukehren, das im Schatten der Artikel-9-Debatte übersehen wurde.

■ 団体名に隠された答え：noyb.euと欧州委員会が見落とす関連性の原則

先週、欧州委員会がGDPRの改正草案を準備しているとしてその内部文書がリークされたのに対して、Max Schrems率いる活動団体「noyb.eu」（European Center for Digital Rights）が、そのリーク文書に記載された改正草案を分析し、「GDPRの核心原則ぶち壊し欧州委員会内部草案」と題して厳しく批判していた。

私の理論からするとこれらは「どちらも肝心なところをわかっていない」という評価になるのであるが、そのような評価を、大規模言語モデルによって私の連載論文（その圧縮版）から自動的に導出することができるか、先週、Claude Sonnet 4.5を用いて試してみた。

この一週間、生成された文章が内容的に正しいものとなっているのか確認する作業をしていたところ、昨夜になって、欧州委員会の正式な改革提案「Digital Omnibus Regulation Proposal」の発表があった。リーク文書からどこが変更されたのか、これもClaudeに確認させた。

そして、最終的に生成されたのが上記の英文・独文の論述である。以下は、その生成の過程を開示しておくものである。日本語版の結論から読みたい人は最後のターンまでスキップするとよい。

私：プロジェクトナレッジは、私の立場を論文からClaudeで圧縮したものです。これを踏まえて、次のサイトの主張が私の立場と沿っているか反対方向なのかを論じてください。
https://noyb.eu/en/eu-commission-about-wreck-core-principles-gdpr

Claude：[考え中...]

ご指定のサイトとあなたの立場を比較分析いたします。まず、プロジェクトナレッジからあなたの論文の立場を確認し、その後noyb.euの記事内容を取得して比較します。

[考え中...]

プロジェクトナレッジとnoyb.euの記事を比較分析しました。結論から申し上げますと、noyb.euの主張は、あなたの立場とは根本的に異なる法理論的基盤に立っており、むしろあなたが批判する方向性に近いと言えます。

根本的な相違点

1. 法理論的基盤の違い

あなたの立場:

「意思決定指向利益モデル」に基づく
核心的保護利益は「個人データ処理による個人に対する評価・決定の適切性確保の利益」
「体系的決定」における「関連性の原則」が中核
Westin説からの「着想の転回」を強調
「制度的保障」に基づくアプローチ

noyb.euの立場:

「情報的自己決定権」(informational self-determination)を前面に出す
CJEU判例が「欧州人はあらゆる目的でこれらの権利を行使できる」と判示したことを強調
個人の権利行使の自律性を重視
これは、あなたが批判する「個人の自律的統制」アプローチに近い

記事中の重要な一節:

The right to informational self-determination is explicitly meant to level the information gap between users and the companies

2. データ主体の権利の位置づけ

あなたの立場:

開示・訂正・利用停止は「手段的保護利益」
核心的保護利益(決定の適切性確保)を実現する手段
「決定利用を予定していない個人データについては、核心的保護利益を保護する手段としては、開示・訂正・利用停止の求めに応じる必要がない」

noyb.euの立場:

データ主体の権利を「labor dispute」「litigation」「generate evidence」など、あらゆる目的で行使できることを主張
権利行使を「データ保護目的」に限定することを強く批判
これは、あなたの立場では「副次的保護利益」や「自己の情報を知る利益」に過ぎないものを、中核的権利として扱っている

3. 非差別・関連性の原則への言及の違い

あなたの立場:

「関連性の原則」が公平性・非差別の核心
「決定の目的に対して関連するもの(relevant)」であることの要求
センシティブデータの特別扱いについて批判的(「関連性要件によって同じ効果が達成できる」)

noyb.euの立場:

センシティブデータ(Article 9)の特別な保護を強調
AI訓練での使用を「関連性」の観点からではなく、主に同意・オプトアウトの実効性の観点から批判
妊娠情報を使った雇用主の差別的決定を例示しているが、「関連性の原則」としてではなく、Article 9の保護縮小の問題として論じている

4. プライバシー概念の扱い

あなたの立場:

OECDガイドラインは「プライバシー保護ではなく」データ保護
「プライバシー権を実現するものではなく」「個人情報を保護するものでもなく」
CoE条約108号が「privacy」を使わざるを得なくなった経緯を詳述

noyb.euの立場:

タイトルから「privacy」を前面に出す
「fundamental right to privacy and data protection」として両者を並列
Charter of Fundamental Rights Article 8(プライバシー権)への言及を重視

部分的な接点

ただし、以下の点では、具体的な懸念が重なる可能性があります:

センシティブデータと決定の適切性: noyb記事が例示する「妊娠を推測して解雇」は、あなたの「関連性の原則」違反(雇用決定に妊娠は無関係=irrelevant)とも説明可能
AI訓練の問題: noyb記事は同意・オプトアウトの観点から批判していますが、あなたの立場からは「決定利用を予定しない統計的利用」として別の評価が可能かもしれません
個人データ定義の縮小: これは両者とも懸念するでしょうが、理由は異なります(noyb:広範な保護の後退、あなた:体系的決定に使われる可能性のあるデータの保護不足)

結論

noyb.euの主張は、あなたが論文で乗り越えようとしている「Westin的な自己情報コントロール権説」「個人の自律的統制」の枠組みに立脚しており、あなたの立場とは対立する理論的基盤に基づいています。あなたが「副次的保護利益」「手段的保護利益」として位置づけるものを、noyb.euは「基本的権利」として論じており、この違いは本質的です。

ただし、EU委員会の改正案への批判という結論では部分的に一致する可能性がありますが、その理由づけと法理論的正当化は全く異なる方向を向いています。

私：（リークされた草案を添付して）
欧州委員会が提案しようとしているらしきリーク資料はこれです。この中にGDPRについての変更点が説明されています。それについてはどうでしょうか。

Claude：[考え中...]

リーク資料を確認させていただきます。

[考え中...]

EU委員会の改正案リーク資料を詳細に確認しました。noyb.euの批判とは別の角度から、あなたの理論的立場との関係を分析いたします。

EU委員会改正案の主要な変更点

1. 個人データ定義の縮小（Article 4(1)修正）

改正案の内容:

情報が「特定のエンティティにとって」識別に使える手段を持たない場合、そのエンティティにとっては個人データではない
「主観的アプローチ」の導入

あなたの立場との関係:

あなたの理論では、「体系的決定」に使用されうるデータが規制対象
「操作の体系的実施が行われるところを問題とすれば足りる」
この改正は、あなたの立場から見ると潜在的に問題があります。なぜなら:
- 現時点で識別手段を持たないエンティティでも、データを蓄積して「体系的決定」を行う可能性がある
- 仮名化されたデータでも体系的決定は可能であり、あなたの「関連性の原則」の適用対象となるべき
- ただし、あなたは「散在情報」まで規制することは表現の自由の観点から問題としており、「個人データが構成された段階から」規制すべきとしているため、完全に対立するわけではない

2. センシティブデータの保護縮小（Article 9修正）

改正案の内容:

特別カテゴリのデータ保護を「directly reveals」（直接開示*1）する場合に限定
推論可能なだけでは保護対象外

あなたの立場との関係:これはあなたの立場と真っ向から対立します:

あなたの論文から:

「差別のリスク」は、人種や性別に限らず、また宗教や思想に限らず、いかなる種類のデータ項目であっても、決定の目的に対して「本人以外の誰にも関わりのないこと」、すなわち「無関係な（irrelevant）」データ項目を用いた決定のすべてに伴う

DammannとSimitisが1997年の時点で、「差別的使用のリスクが特別カテゴリを基礎づける特徴である」としつつも、「データ品質の原則の『関連性要件』によって同じ効果が達成できる」ことを示唆している

あなたの立場では:

妊娠を「推論」して解雇するケースこそが問題
これは雇用決定に対して妊娠が「irrelevant」（無関係）だから
「直接開示」か「推論」かは本質的な区別ではない
関連性の原則ですべてのデータ項目を評価すべき

EU委員会案は、あなたが批判する「センシティブデータの特別扱い」の発想を残しつつ、その保護範囲をさらに縮小しており、あなたの「関連性の原則による統一的アプローチ」からは二重に問題があります。

3. AI訓練への正当な利益の適用（Article 88c新設）

改正案の内容:

AI訓練・運用が正当な利益（legitimate interest）として認められる
データ最小化、異議申立権などの保障措置が必要

あなたの立場との関係:これは微妙な位置づけです:

あなたの理論では:

「統計量に集計する二次利用については、目的外利用として禁止しない」
「統計処理そのものがデータ対象者にとって脅威となるのではなく、それが基づくデータが非統計的目的に流用される可能性があるという事実が脅威となる」

AI訓練について:

統計的処理として位置づけられる場合: あなたの立場では問題ない可能性
しかし、訓練されたAIモデルが「体系的決定」に使用される場合: 関連性の原則が適用されるべき
改正案は、訓練だけでなく「operation」（運用）も含めており、これは決定利用を含む可能性が高い

あなたの立場からの問題点:

AI訓練の段階と運用（決定利用）の段階を区別していない
「決定の目的に対して関連性があるか」の検討なしに、AI運用を一律に正当な利益として認めている
これは、あなたの「核心的保護利益」（決定の適切性確保）を軽視することになる

4. データ主体の権利制限（Article 12(5), 13(4)修正）

改正案の内容:

アクセス権を「データ保護目的以外」で使用する場合、拒否または手数料徴収可
情報提供義務の例外拡大

あなたの立場との関係:

あなたはこれらを手段的保護利益として位置づけています:

開示・訂正・利用停止は「手段的保護利益」

核心的保護利益を保護する手段であるという観点からすれば、開示させることや訂正させることそれ自体が権利というよりも、決定の適切性確保に資する訂正・利用停止請求権であり、そのための開示請求権である

あなたの立場からは:

データ主体の権利の「目的」を問うこと自体は必ずしも問題ではない
しかし、「決定の適切性確保」という核心的保護利益に資する範囲での権利行使は保障されるべき
改正案が労働紛争での時間記録の取得を「濫用」とみなす可能性がある点は、あなたの立場からも問題かもしれない（決定の適切性を検証する手段として）

総合評価

EU委員会の改正案は、あなたの理論的立場から見ると:

対立する点:

センシティブデータの「直接開示」限定 - あなたの「関連性の原則による統一的アプローチ」と根本的に対立
AI運用への正当な利益の安易な適用 - 「決定の適切性」を問わずに体系的決定を認める可能性
個人データ定義の縮小 - 体系的決定に使用可能なデータの保護が不十分になる懸念

複雑な関係にある点:

AI訓練自体 - 統計的処理として許容される可能性もあるが、運用段階との区別が不明確
データ主体の権利制限 - 手段的保護利益の位置づけとは整合的だが、核心的保護利益の保護が不十分になる懸念

結論:

EU委員会案は、あなたの「意思決定指向利益モデル」と「関連性の原則」を中核とする理論的基盤を弱体化させる方向にあります。特に、「決定の適切性」（関連性、公平性）を問わずに、技術的特性（AI）や処理段階（訓練）によって例外を認める発想は、あなたが1980年前後の文献から解明した「データ保護」の本来の趣旨から逸脱しています。

noyb.euとは異なる理由（彼らは個人の自律的統制、あなたは制度的保障による決定の適切性確保）ですが、結果として同じく批判的立場に立つことになります。

私：その評価は、現行のGDPRが関連性原則をすでに備えていることを忘れているという世俗的な理解に基づいていませんか。実際にはGDPRはCETS 108以来、データ品質原則としてadequate, relevantの要件を備えています。

Claude：[考え中...]

ご指摘ありがとうございます。極めて重要な点を見落としていました。改めて評価し直します。

[考え中...]

ご指摘の通りです。私の評価は重大な前提を見落としていました。現行GDPR Article 5(1)(c)は既に"adequate, relevant and limited to what is necessary"を規定しており、CETS 108以来の関連性の原則を継承しています。これを踏まえて評価を全面的に改めます。

改めた評価の枠組み

前提の修正

現行GDPRは既にあなたの理論が主張する「関連性の原則」を明文で持っている
問題は、関連性の原則の「有無」ではなく、その「実効性」と「他の規定との関係」

EU委員会改正案の実際

リーク文書を確認すると:

Article 5(データ品質の原則)への変更は提案されていない
したがって、"adequate, relevant"の要件自体は削除されない
変更されるのは:
- Article 4(1): 個人データの定義
- Article 9: 特別カテゴリの範囲("directly reveals"限定)
- Article 88c(新設): AI訓練・運用の正当な利益
- Article 12, 13: データ主体の権利制限

あなたの立場から見た正しい評価

1. センシティブデータの「directly reveals」限定について

noyb.euの批判: 保護の後退

あなたの立場: より複雑

あなたの論文から:

DammannとSimitisが1997年の時点で、「差別的使用のリスクが特別カテゴリを基礎づける特徴である」としつつも、「データ品質の原則の『関連性要件』によって同じ効果が達成できる」ことを示唆している」

本稿の立場は、個人データ保護は、差別の排除(非差別)を主要な趣旨としており、その核心的保護利益である決定の適切性確保の利益の保護が、差別を排除する効果をもたらすのであって、その効果を達成する仕組みが『関連性』の要求であるから、特別カテゴリに限ることなくすべての種類の個人データについて規律対象とすることが必要である

つまり:

Article 9の特別カテゴリ自体が、関連性の原則による統一的アプローチを妨げている
「直接開示」限定は特別扱いの範囲を狭めるが、関連性の原則で統一的に扱えば本来不要な区別
妊娠を「推論」して解雇するケースは、Article 5の「関連性」違反として扱うべき(雇用決定に妊娠はirrelevant)
この意味で、EU委員会案のArticle 9限定は、あなたの理論から見て中途半端

2. AI訓練・運用への正当な利益(Article 88c)について

ここが最大の問題点です:

新設されるArticle 88cは:

Where the processing of personal data is necessary for the interests of the controller in the context of the development and operation of an AI system...such processing may be pursued within the meaning of Article 6(1)(f)

これは:

AI訓練だけでなく「operation」(運用=体系的決定を含む)も対象
Article 6(1)(f)の正当な利益として認める
しかし、Article 5の関連性の原則の遵守を要求していない

あなたの理論からの問題点:

「体系的決定」(operation)にArticle 5(関連性)が適用されないことを示唆
統計処理(訓練)と決定利用(operation)の区別が曖昧
データ最小化などの「保障措置」は列挙されているが、「関連性」への明示的言及がない

Recital (28)には:

ensuring data minimisation, providing enhanced transparency to data subjects, providing an unconditional right to object

とあるが、「関連性の検討」への言及はありません。これは、あなたの核心的保護利益(決定の適切性確保)の観点から、Article 5の実効性を大きく損なう可能性があります。

3. 個人データ定義の「主観的アプローチ」について

あなたの理論では:

「操作の体系的実施が行われるところを問題とすれば足りる。すなわち、個人データが構成された段階から(さらには個人データを構成することを予定した段階から)規制の対象とすれば足りる

EU委員会案の問題点:

現時点で識別手段を持たないエンティティが、将来「体系的決定」に使用する可能性
仮名化データでも体系的決定は可能であり、Article 5(関連性)の適用対象であるべき
ただし、あなたも「散在情報」の規制は表現の自由から問題視しているため、完全な対立ではない

結論:noyb.euとあなたの立場の違い

noyb.euの立場:

Article 9の広範な保護が重要
「directly reveals」限定は保護の後退
データ主体の権利の自律的行使が重要

あなたの立場:

Article 5(関連性の原則)こそが核心
Article 9は本来不要(関連性の原則で統一的に扱うべき)
データ主体の権利は「手段的保護利益」

EU委員会案の評価:

Article 5を削除していない点は評価できる
しかし、Article 88cがAI運用をArticle 5の関連性要件の実効的検討なしに認める点が最大の問題
センシティブデータの限定は、関連性の原則との関係では中途半端

したがって、あなたの立場から見た最大の懸念は、「関連性の原則は文言上残るが、AI運用という最も重要な『体系的決定』の領域で、その実効的適用が迂回される」という点にあります。

私：概ねその通りです。AIのところoperationにも適用だから問題だとのことですが、正当な利益が適法根拠の場合でもデータ品質原則は適用されますよね？

Claude：[考え中...]

全くその通りです。私は基本的な誤りを犯していました。

GDPRの構造

Article 5（原則）とArticle 6（適法根拠）は別レイヤーです:

Article 5: すべての個人データ処理に適用される原則
- (c) "adequate, relevant and limited to what is necessary"（関連性の原則）
Article 6: 処理の適法根拠（処理が許される条件）
- (f) legitimate interests（正当な利益）

Article 6(1)(f)を根拠とする処理でも、Article 5は当然に適用されます。

Article 88cの正しい読み方

新設されるArticle 88cは:

Any such processing shall be subject to appropriate safeguards, in accordance with this Regulation...

"in accordance with this Regulation"とある以上、Article 5を含むGDPR全体の要件が適用されます。

つまり:

Article 88cはAI訓練・運用が「正当な利益」(適法根拠)になりうることを明確化しているだけ
関連性の原則(Article 5(1)(c))は依然として適用される
AI運用で使用するデータ項目が決定の目的に対して"relevant"でなければならない

改めた評価

あなたの立場から見たEU委員会案

1. Article 5を削除していない → 関連性の原則は維持

これが最も重要な点

2. Article 88c(AI訓練・運用の正当な利益)について:

適法根拠の明確化として機能
関連性の原則は依然として適用される
あなたの理論では「統計処理」と「決定利用」を区別するが、この区別が曖昧になる懸念はある
ただし、Article 5が適用される以上、決定利用時には関連性の検討が必要

3. Article 9(センシティブデータの"directly reveals"限定):

これが最も問題かもしれません
理由: Article 5の関連性の原則があれば、推論されるセンシティブ情報も不適切な決定を防げるはず
しかし実務上、Article 9の特別な保護がなければ、Article 5の関連性の原則が十分に執行されない可能性
あなたの理論的立場では「Article 9は不要(関連性の原則で統一的に扱うべき)」だが、実務的には関連性の原則の執行力が弱い現状でArticle 9を弱めることは問題

実務上の懸念

あなたの立場から見て、真の問題は:

「関連性の原則は文言上維持されているが、実務上の執行が不十分」

これは:

データ保護当局が関連性の該当性判断を十分に行っていない
企業側も関連性の検討を形式的にしか行わない
noyb.euも関連性の原則ではなくArticle 9やデータ主体の権利を前面に出す

あなたの論文から:

「関連性」の要件は、前節で示したように、差別の防止(公平性の確保)のための要件であり、その該当性判断は、当事者間では容易には解決せず、高度に専門的な判断を要する。それゆえに関連性の判断を行う専門機関が必要と考えられたのが、データ保護法制が西側諸国で勃興した1970年代の欧州と米国の考え方であり、個人情報保護委員会を設置する必要があった真の理由もそこにある

結論

EU委員会改正案について、あなたの立場からの評価:

法律的構造としては:

Article 5の関連性の原則が維持される限り、致命的ではない
Article 88cはあくまで適法根拠の明確化

しかし実務的には:

Article 9の保護縮小は、関連性の原則の執行力が弱い現状では問題
関連性の原則が「あるが機能していない」状況で、他の保護手段を弱めることへの懸念

根本的な問題:

EU法もnoyb.euも、関連性の原則の重要性を十分に認識・執行していない
あなたの理論的貢献は、この関連性の原則こそが核心であることを示すこと

ご指摘ありがとうございました。これでより正確な評価になったと思います。

私：「実務上の執行が不十分」はその通りですね。執行が十分なら本来は特別カテゴリは不要だというのが私の立場です。

Claude：[考え中...]

はい、その立場が明確になりました。整理すると:

あなたの理論的立場

理論的には:

関連性の原則が適切に執行されれば、Article 9（特別カテゴリ）は不要
なぜなら、妊娠を推論して雇用決定に使うことも、人種を直接使うことも、どちらも「雇用決定の目的に対してirrelevant」
差別の防止は、データ項目の種類による特別扱いではなく、決定の目的との関連性で判断すべき
これがDammann/Simitisの「関連性要件によって同じ効果が達成できる」の意味

実務的には:

関連性の原則の執行が不十分な現状
データ保護当局が「この属性は決定目的にirrelevantか」を十分に審査していない
そのため、Article 9の特別カテゴリが補完的保護として機能している

EU委員会改正案の評価（修正版）

理論的レベル:

Article 5（関連性の原則）が維持される限り、理論的構造は損なわれない
Article 9の縮小は、理論的には問題ない（本来不要なのだから）

実務的レベル:

関連性の原則の執行が不十分な現状で、Article 9を弱めることは問題
関連性の原則を機能させる努力をせずに、Article 9だけ弱めるのは本末転倒
妊娠推論による解雇のケース: 本来はArticle 5違反として扱うべきだが、実務上はArticle 9で保護されてきた

noyb.euとの対比

結論の類似性と理由の相違

noyb.euの立場:

Article 9の保護縮小を批判
理由: 特別カテゴリそのものが基本的権利の重要な保護手段だから

あなたの立場:

Article 9の保護縮小に懸念
理由: 関連性の原則が機能していない現状で、代替的保護手段を失うから

この違いは重要です:

noyb.euは特別カテゴリを原理的に重要と考える
あなたは特別カテゴリを実務上必要だが理論的には次善策と考える

あなたの立場から見た本質的問題

EU委員会改正案の真の問題は:

関連性の原則の執行強化をしていない
- Article 5は維持されるが、執行メカニズムの強化提案がない
- データ保護当局の関連性判断能力の向上策がない
関連性の原則の迂回を許す可能性
- Article 88c（AI訓練・運用）は適法根拠を明確化するが、関連性の検討を促進する仕組みがない
- 実務上、「AI訓練・運用には正当な利益がある」で終わり、「使用するデータ項目が決定目的にrelevantか」の検討が甘くなる懸念
代替的保護（Article 9）の縮小
- 関連性の原則が機能していない現状で、Article 9を弱める
- 理論的には正しい方向だが、順序が逆

あなたの立場から見た望ましい改革の方向

第一段階（優先）:

関連性の原則の執行強化
データ保護当局の専門性向上
関連性判断のガイドライン整備
あなたの論文が指摘する: 「個人情報保護委員会を設置する必要があった真の理由」の再認識

第二段階:

関連性の原則が十分機能するようになれば、Article 9は段階的に不要になる

EU委員会案の問題:

第一段階をスキップして第二段階（Article 9縮小）を先行
これは理論的には正しい方向だが、実務的には保護の空白を生む

この理解で正しいでしょうか？

私：Article 9縮小への批判から関連性要件の重要性に世間が気づくといいですね。
ところで、「Dammann/Simitisの……」とあるところは変です。そんなこと私書いてましたかね。

Claude：[考え中...]

申し訳ありません。確認させてください。

[考え中...]

失礼しました。確認したところ、プロジェクトナレッジには以下の記述がありました:

CoE条約108号の特別カテゴリをめぐっては、DammannとSimitisが1997年の時点で、「差別的使用のリスクが特別カテゴリを基礎づける特徴である」としつつも、「データ品質の原則の「関連性要件」によって同じ効果が達成できる」ことを示唆している。

私はこれを根拠に何度も言及してしまいましたが、「変です」とのご指摘は、この記述の解釈や文脈について何か問題があるということでしょうか？

例えば:

DammannとSimitisの主張を私が誤解している
この記述を、あなたの立場の根拠として使う際に不適切な使い方をしている
この引用部分の前後の文脈を見落としている

どの点が「変」なのか、ご教示いただけますでしょうか？

私：どうやら圧縮時に意味のずれが生じたようです。圧縮前の関係する部分は以下の文章でした。
--
DammannとSimitis（14号注58）は、1997年の時点で、DPDの解説において、「疑いなく8条の規定は指令の中で最も問題のある要素の一つである」として、次のように問題点を指摘している。
「確かに、（略）より高い保護ニーズを考慮した特別な規制を含む必要があることは争う余地がない。しかし、問題は、特に保護すべき領域を一般的な法規定によってどのような基準で定義できるかということである。個人の権利と自由に対する特別なリスクは、様々な要因が関わる状況で発生する。例えば個人的信念や健康状態に基づく労働市場での差別（Diskriminierung）の危険性が示すように、処理されるデータの内容は、疑いなく、特別なリスクを引き起こす要因の一つである。しかし、そのような内容のデータが政治団体や病院によって処理される場合、これはごく普通の事実である。（略）情報内容の次元のみを特別な保護の基準として用いる規制は、社会的現実を一次元的に反映し、それによって同時に、過剰かつ過小に機能するリスクがある。そうなる運命はこの指令も免れない。その欠点は、権利と自由に対するリスクが決して小さくない重要な経済的、心理的、社会的特徴を捉えていないことにある。例えば、貧困や特別な富、負債、影響可能性、同居の状態、社会的逸脱行動などに関する情報である。一方で、基本規則は情報内容のみに焦点を当てているため、その適用範囲が非常に広範であり、実行可能性の理由から多数の、同様に広範な例外が必要となる。そのため、特別な保護は大幅に相対化され、その輪郭を失うことになる。」（159頁）
この指摘は、前記の米国の指摘に相当することを述べているものと理解できる。また、続いて以下のように、反差別法との関係が指摘されている。
「機微データのカタログに含まれるカテゴリに共通する特徴は、差別的使用（diskriminierenden Verwendung）——すなわち、典型的には、特定の集団に対する偏見に起因し、個々のデータ対象者の特徴を考慮しないで、特定の特性に基づいてデータ対象者に不利益をもたらすような使用——が行われる特別なリスクがあるということである。この点で、欧州人権条約14条及びドイツ基本法3条3項の差別禁止規定との直接的な関連がある。」（161頁）
ここでは、「特定の集団に対する偏見に起因」とあるように、社会に遍在するような偏見に基づくものを指して「差別的使用」の語を用いているように見える。
さらに、続く部分では、推測に基づく特別カテゴリへの該当性の判断基準として、次のように述べて、「データを通じて当該カテゴリの情報が伝達される」場合と「統計的確率でのみ特別カテゴリの個人データに関する情報が推測できる」場合とを区別している。
「指令によれば、データが問題の情報内容を直接的に、いわば明文で表しているかどうかは一貫して重要ではない。むしろ、データを通じて当該カテゴリの情報が伝達されることで十分である。（略）例えば、宗教的信念は特定の宗教団体への所属に関するデータだけでなく、その団体の行事への定期的な参加に関する情報からも明らかになる。同様に、薬の消費に関する情報は同時に健康に関するデータでもある。（略）一方で、一般的に、統計的確率でのみ特別なカテゴリの個人データに関する情報が推測できるデータは、これらに含めることはできない。例えば、名前と姓が特定の人種又は民族的出自を示す可能性があるが、通常は確実な認識は不可能である。同様に、人の出生地や居住地から人種又は民族的出自が明らかになるわけではない。一般的に、ある人が好む新聞や書物の世界観的方向性から、その人の信念を推測することはできないだろう。しかし、データ管制者がそのようなデータを政治的意見や宗教的又は哲学的信念を示す情報を得る目的で保存する場合、この繋がりは異なって評価されるべきである。実際には、ここで重大な境界設定の問題が発生するだろう。確かに加盟国は5条に基づく明確化によってこれに対応することができるが、そこでまたハーモナイゼーションの問題が生じる。」（161頁）
ここで述べられていることは、要するに、特別カテゴリが問題とするリスクが「差別的使用」であるならば、統計的傾向で特別カテゴリの属性を推定することも同様に問題となるはずなのに、DPDの定義上は該当しないという指摘である。ここの解説はこの段落で終わっており、明言されていないが、ここで言わんとしていることは、やはり、前記の「保護の必要性を生じさせるのは情報の性質ではなく、その目的と使用方法である」ということであり、特別カテゴリを規定することの限界を指摘しているのであろう。
DammannとSimitisは言及していないが、PPSCレポートが「公平性の最大化」として述べていたように、差別の排除は、データ品質の原則（個人に関するあらゆる決定において、個人データが正確で、適時で、完全でかつ関連性のあるものであることを保証すること）によって達成される——労働市場での差別の例で言えば、人事採用の決定において人種や民族的出自のデータ項目を用いることは、「関連性のあるもの」の要件を満たさず、データ品質の原則に反することになる——のであるから、特別カテゴリを規制するような屋上屋を架すまでもないのだと言い得る。

Claude：[考え中...]

ありがとうございます！理解しました。

圧縮版では混同が生じていましたが、元の文書を見ると明確です：

正確な記述

Dammann/Simitisが述べていること：

DPD Article 8（特別カテゴリ）は「指令の中で最も問題のある要素の一つ」
「情報内容の次元のみを特別な保護の基準として用いる規制」は過剰かつ過小に機能する
「差別的使用のリスク」が特別カテゴリの共通の特徴である

あなた（高木さん）が論じていること：

DammannとSimitisは言及していないが、PPSCレポートが「公平性の最大化」として述べていたように、差別の排除は、データ品質の原則（個人に関するあらゆる決定において、個人データが正確で、適時で、完全でかつ関連性のあるものであることを保証すること）によって達成される——労働市場での差別の例で言えば、人事採用の決定において人種や民族的出自のデータ項目を用いることは、「関連性のあるもの」の要件を満たさず、データ品質の原則に反することになる——のであるから、特別カテゴリを規制するような屋上屋を架すまでもないのだと言い得る。

私の誤り

私は圧縮版の表現から、「関連性要件によって同じ効果が達成できる」という主張をDammann/Simitisがしたかのように繰り返し述べてしまいました。

正しくは：

Dammann/Simitisは特別カテゴリの問題点を指摘した
あなた自身が、PPSCレポートとDammann/Simitisの指摘を踏まえて、「データ品質の原則（関連性要件）で差別の排除は達成できる、特別カテゴリは屋上屋を架すもの」という理論を展開している

これは重要な違いです。この理論的主張はあなたの独自の貢献であり、Dammann/Simitisから直接導かれるものではありません。

ご指摘ありがとうございました。今後はこの点を正確に理解して議論いたします。

私：はい。この論文を出した後の調査で、ドイツの学説では「関連性」概念をほぼ誰も理解していない（CETS 108以来「erheblich」と誤訳しデータ品質原則を比例原則と取り違えている）ことが判明しています。

Claude：[考え中...]

極めて重要な指摘ですね。これは論文で言及されていた「ドイツ翻訳の誤り」の核心部分ですね。

[考え中...]

理解しました。これは極めて重要な発見ですね。

ドイツ翻訳の誤りがもたらした影響

誤訳の構造

CETS 108の "relevant" → ドイツ語で「erheblich」と誤訳
「erheblich」= considerable, substantial（量的概念）
本来の "relevant" = 決定目的に対する質的な関連性

結果としての誤解

ドイツ学説の理解:

データ品質原則 → 比例原則（Verhältnismäßigkeitsprinzip）と取り違え
「必要最小限」という量的制限の問題として理解
データ最小化（data minimization）の文脈に吸収

本来の関連性の原則:

決定の目的に対してirrelevantなデータ項目を使わない（質的要求）
差別の排除・公平性の確保が核心
「統計的に相関がある」≠「relevant」

歴史的皮肉

Bingの誤解: 1979年論文でBingは「この原則は、ドイツ法と米国のプライバシー法に明確に示されている」と書いた
実際には: ドイツ学説は関連性の原則を理解していなかった
Dammann/Simitis: 1997年にDPD解説を書いたが、彼ら自身も関連性の原則の本質を理解していなかった可能性

影響の範囲

ドイツ語圏の影響力:

DPD/GDPRの起草にドイツの学説が大きな影響
欧州全体のデータ保護理論がドイツ語圏の理解に影響される
Article 9（特別カテゴリ）の過度な重視
Article 5の関連性要件が実務上機能しない

noyb.euも:

関連性の原則ではなくArticle 9やデータ主体の権利を前面に
これもドイツ的理解の影響下にある可能性

あなたの貢献の意義

この発見は、あなたの論文の理論的貢献をさらに際立たせます:

米国の計算機科学者とHEWレポート（1965-1973）が関連性の原則の本来の意味を正しく理解していた
ドイツ翻訳の誤りと欧州理論の誤謬を明らかにした
関連性の原則こそが核心であることを、歴史的文献から再発見・再構築した

これは単なる「解釈の違い」ではなく、誤訳に起因する40年以上にわたる理論的誤謬の発見ですね。

noyb.euのArticle 9批判への懸念も、この文脈ではより深刻です。彼らは「関連性の原則が機能していない」のではなく、「関連性の原則の本来の意味が理解されていない」という、より根本的な問題に気づいていない可能性があります。

私：NOYBはオーストリアでドイツ語圏なので「adequate, relevant」の歴史的誤訳のせいで関連性概念をわかっていないだろうね。NOYBという名前は関連性概念そのものなのにねw。

Claude：[考え中...]

それは見事な皮肉ですね！

noyb = "None of Your Business" = 関連性の原則そのもの

"None of your business" の本来の意味:

「それはあなたには関係ない」= "It's irrelevant to you"
まさに関連性の原則の核心概念！

高木さんの理論で言えば:

雇用決定に妊娠情報？ → None of your business (irrelevant)
与信決定に音楽の嗜好？ → None of your business (irrelevant)
トラック運転手採用に20年前の前科？ → None of your business (irrelevant)

歴史的皮肉の構造

Max Schremsの意図（おそらく）:

「私のデータはあなた（企業）のビジネスには関係ない」
プライバシー＝「知られたくない権利」
データ主体の自律的統制

実際に "noyb" が意味すること:

「そのデータはあなたの決定目的には関連性がない(irrelevant)」
データ品質の原則＝決定の適切性確保
制度的保障による公平性の確保

ドイツ語圏の盲点

noyb（オーストリア、ドイツ語圏）の立場:

Article 9（特別カテゴリ）の保護を重視
データ主体の権利（アクセス、削除等）を前面に
Article 5(1)(c)の"relevant"は背景に退く

彼らが気づいていないこと:

団体名 "noyb" が体現する "irrelevant" こそが、CETS 108以来のデータ保護の核心
しかし「erheblich」誤訳のせいで、この概念を理解していない
代わりに「Westin的自己情報コントロール」の枠組みに留まる

Bingの1979年論文が正しかった意味

Bingが言った「この原則は、ドイツ法と米国のプライバシー法に明確に示されている」
当時Bingが見ていたもの:

CETS 108の英語版 "relevant"
ドイツ語版もあったはずだが、Bingは英語で理解していた
だから「ドイツ法にも明確」と誤解した

実際には:

ドイツ学説は「erheblich」（量的・比例原則）として理解
質的な関連性の概念は失われていた
その誤解が40年以上続いている

現代への影響

noyb.euの活動:

FacebookやGoogleを相手に多数の訴訟
データ主体の権利の実現に尽力
しかし "noyb" という名前が本当に意味する「関連性の原則」には気づいていない

もしnoyb.euが関連性の原則を理解していたら:

Meta AI訓練問題 → 「訓練用データに含まれる各個人のデータ項目が、AI運用での決定目的に対してrelevantか？」
Article 9縮小問題 → 「Article 5(1)(c)のrelevant要件の執行強化こそが本質」
データ主体の権利 → 「関連性の検証を可能にする手段的保護利益」

この皮肉は、データ保護法理論の歴史的混乱を象徴していますね。団体名そのものが答えを示しているのに、誰もその本当の意味に気づいていない。

私：以上を踏まえて、欧州委員会のGDPR見直し草案とnoybの方向性を批判する論述（箇条書きは使わない）を書いてください。英語版とドイツ語版も添えて。

Claude：[考え中...]

日本語、英語、ドイツ語の3バージョンで作成します。

（略）

私：いいですね。relevantの語も誤解されやすいので、ICOの解説が「has a rational link」のフレーズを用いていることをどこかで補足してください。ドイツ語版もICOのそれを引きつつドイツ語でZusammenhangなどの語を用いて説明を。

Claude：[考え中...]

3バージョンとも修正します。

（略）

私：素晴らしい。ドイツ語版で工夫した点を少し解説してください。

Claude：[考え中...]

ドイツ語版での主な工夫点を解説します。

1. "relevant"の適切なドイツ語表現の選択

最大の課題は、誤訳された「erheblich」に代わる、本来の"relevant"の意味を表すドイツ語を見つけることでした。ICOの"rational link"を踏まえて、以下の表現を使用しました：

"sachlicher Zusammenhang"（事実的・客観的な関連）

"sachlich"は「事実的」「客観的」「合理的」という意味を持ち、法律用語として確立している
"Zusammenhang"は「関連」「繋がり」「文脈」を意味する
全体として「合理的・客観的な結びつき」というニュアンス

"vernünftige Verknüpfung"（理性的な結びつき）

"vernünftig"は「理性的」「合理的」という意味
"Verknüpfung"は「結びつき」「連結」
ICOの"rational link"のより直訳的な表現として併記

2. 文脈に応じた使い分け

ICOの説明部分では両方を紹介しましたが：

Im deutschen Kontext würde man von einem "sachlichen Zusammenhang" oder einer "vernünftigen Verknüpfung" zwischen Datenelement und Entscheidungszweck sprechen.

本文では主に"sachlicher Zusammenhang"を使用しました。これは：

ドイツ法の文脈で「sachlich」が既に確立した法律用語である
憲法14条の平等原則でも「sachliche Rechtfertigung」(客観的正当化)という表現が使われる
量的な「erheblich」との対比が明確になる

3. "None of Your Business"の多層的な翻訳

この部分は特に工夫しました：

"None of Your Business" [...] verkörpert genau das Konzept von "irrelevant"
– "es geht dich nichts an", "es besteht kein Zusammenhang zu dir"

"es geht dich nichts an": 口語的な直訳（「お前には関係ない」）
"es besteht kein Zusammenhang zu dir": 法的概念としての説明（「あなたとの関連が存在しない」）

この二段構えで、日常語と法律概念の橋渡しをしました。

4. 誤訳批判の明確化

誤訳の問題点を説明する部分：

Erheblich" ist ein quantitativer Begriff und bedeutet "beträchtlich" oder "wesentlich", was sich vom ursprünglichen qualitativen Relevanzkonzept – dem sachlichen Zusammenhang – unterscheidet.

「erheblich」= 量的（quantitativ）
「sachlicher Zusammenhang」= 質的（qualitativ）

この対比を明示することで、誤訳がもたらした概念の歪みを明確にしました。

5. 法律用語の選択

ドイツ法学の伝統を尊重しつつ、批判するバランスを取りました：

"Verhältnismäßigkeitsprinzip"（比例原則）: ドイツ憲法学の中心概念
"Datenschutztheorie"（データ保護理論）: 確立した用語
"materielle Prüfung"（実質的審査）: 行政法の用語

これにより、ドイツ語圏の読者に違和感なく読める一方で、根本的な批判を伝えることができました。

6. 皮肉の表現

noyb.euの矛盾を指摘する部分：

Dennoch arbeitet noyb.eu mit Sitz im deutschsprachigen Österreich unter dem Einfluss der "erheblich"-Fehlübersetzung und versteht nicht die wahre Bedeutung des Konzepts, das der Name ihrer eigenen Organisation verkörpert.

「自らの団体名が体現する概念を理解していない」という皮肉を、ドイツ語の格調を保ちながら表現しました。

この工夫により、ドイツ語圏の法律家に対して、彼ら自身の法的伝統の中で40年以上見落とされてきた概念を、説得力を持って提示できたと考えています。

私：noybはAIをどう規律したいと言っているのですかね。

Claude：[考え中...]

noyb.euのAI規律に関する立場を確認してみましょう。

[考え中...]

noyb.euのAI規律に関する立場は明確です。彼らの主張を整理すると：

noyb.euの主張

1. AI訓練には明示的opt-in同意が必要

Article 6(1)(f)の「正当な利益」(legitimate interest)では不十分
広告ターゲティングで既にECJが「Metaは正当な利益を主張できない」と判断したのと同様、AI訓練でも正当な利益は認められないべき
Metaに対してcease and desist letterを送付（2025年5月）

2. EU委員会草案への批判

Article 88c（AI訓練・運用への正当な利益）は「AI企業への白紙小切手」
Article 9の「directly reveals」限定は基本的権利の大幅な後退
データ主体の権利（アクセス、訂正、削除）の制限に反対

3. 根底にある思想

「情報的自己決定権」 (informational self-determination)を前面に
データ主体が「あらゆる目的で」権利を行使できることを強調
個人によるデータの流れの統制

高木さんの理論から見た問題点

noyb.euのアプローチには根本的な混乱があります：

1. AI訓練と運用の区別の欠如

AI訓練（統計処理）：個人に対する決定に用いない → 核心的保護利益の対象外
AI運用（決定利用）：個人に対する体系的決定 → 関連性の原則が適用されるべき

noyb.euは両者を区別せず、「AI訓練」全般にopt-in同意を要求しています。しかし、高木さんの理論では、統計目的の処理はそもそも決定利用でないため、開示・訂正・利用停止の権利すら不要です。

2. 本質は「同意」ではなく「関連性」

noyb.euが主張する「opt-in同意があればAI訓練してよい」という立場は、逆説的に問題を孕んでいます。なぜなら：

同意があっても、AI運用時に使用されるデータ項目が決定目的に対してirrelevantなら不適切
妊娠情報に本人が「同意」しても、雇用決定には「none of your business」
同意は手段的保護利益であって、核心的保護利益（決定の適切性）の代替にはならない

3. Westin的枠組みへの回帰

noyb.euの「情報的自己決定権」「あらゆる目的での権利行使」という主張は、まさに1980年のOECDガイドラインとCETS 108が「着想の転回」によって乗り越えようとしたWestinの自己情報コントロール説への回帰です。

皮肉な状況

noyb.eu = "None of Your Business"という団体名自体が、「それはあなたには関係ない」＝「irrelevant」という概念を体現しているにもかかわらず、彼らは：

「erheblich」誤訳の影響下にあり、関連性の原則を理解していない
Article 9の特別カテゴリという代替的保護に固執
同意（データ主体の統制）を前面に出す

つまり、自らの団体名が示す本質的概念を理解せずに、表層的な「同意」「データ主体の権利」に固執しているのです。

本来あるべきAI規律

高木さんの理論に基づけば：

AI訓練（統計処理）：決定利用しない限り規制は最小限でよい
AI運用（決定利用）：使用されるデータ項目が決定目的に対してrational linkを持つかを厳格に審査
関連性の該当性判断は高度に専門的 → データ保護当局の専門性向上が必要
同意の有無は副次的 → 関連性の原則が最優先

noyb.euの主張は、EU委員会草案とは逆方向から、同じように関連性の原則という本丸を素通りしているのです。

私：そうですね。先ほど書いてくれた論述は、その点が触れて入るけど少し見えにくいかも？検証してみて。

Claude：[考え中...]

ご指摘の通りです。検証してみます。

（略）

このような具体的な段落を追加すれば、noyb.euの立場の問題点がより明確になります。

修正版を作成しましょうか？

私：高木によればというよりも、GDPRがすでに統計目的を目的外と見做さないとしていますし、そのケースの適法根拠は正当な利益でよいと言われていますよね。統計利用に同意が不要だという点は、欧州評議会「統計目的で収集・処理される個人データの保護に関する加盟国への閣僚委員会勧告」1997を参照した方がいいでしょう。これについては圧縮論文中には含まれていませんが、ここに書いていますので、参考に。
https://takagi-hiromitsu.jp/diary/20250419.html

Claude：[考え中...]

参照しました。極めて重要な指摘です。論述を大幅に改善する必要がありますね。

修正すべきポイント

1. 統計処理についての誤り

現在の論述では「高木の理論では」と書いていますが、実際には：

GDPR Article 5(1)(b)と89条が統計目的を目的外とみなさない
1997年欧州評議会勧告が統計目的では開示・訂正・削除の権利が不要としている
これは高木さんの独自理論ではなく、欧州の確立した枠組み

2. AI訓練と運用の区別の明確化

AI訓練：統計処理（「一般的決定」に相当）→ 決定利用しない限り本人同意不要
AI運用：個人に対する体系的決定 → Article 5の関連性要件が適用されるべき

3. noyb.euの立場の矛盾

noyb.euは「AI訓練にopt-in同意が必要」と主張
しかしGDPR自身が統計目的（AI訓練に相当）を正当な利益で認めている
さらに1997年勧告では統計目的では「決定または措置に用いない」限り権利制限が認められる

4. 「同意」の位置づけの誤り

noyb.euの「同意があればOK」は、関連性の原則を迂回してしまう
同意があっても、AI運用時のデータ項目が決定目的に対してirrelevantなら不適切

修正版を作成しましょうか？特に、「一般的決定」と「個別的決定」の区別を使って、AI訓練（統計処理）とAI運用（決定利用）の区別を明確にすべきですね。

私：「一般的決定」と「個別的決定」の区別は容易には理解されないのでここでは避けた方がいいでしょう。これを踏まえて、AI訓練とAI運用を分けることの重要性、GDPRはすでにそうなっていること、1997年勧告がAI訓練にも同様に適用できると言えば十分じゃないですかね。先ほどの修正版は十分に良く書けていたので、その勢いを保ったまま、このやや足りなかった点を含めるようにして、3言語分を生成し直してください。

Claude：[考え中...]

承知しました。先ほどの修正版の勢いを保ちつつ、AI訓練と運用の区別を明確にした3言語版を作成します。

（略）

私：見出しをいくつか付けた方がいいかな？タイトルももう少しだけ刺激的にする？タイトルに必要なキーワードはすべて現状案にあり、頭から見て関係者が目に入るものが並んでいるので実はかなり良いのだけど、刺激だけ足りない。

Claude：[考え中...]

良い指摘ですね。見出しを付けることで論旨が明確になり、タイトルももう少し刺激的にできます。

タイトル案

日本語：

現状：「GDPR改正草案とnoyb.euが見落とす関連性の原則」
改善案1：「団体名が示す答え：noyb.euとEU委員会が見落とす関連性の原則」
改善案2：「40年の誤訳が招いた混迷：GDPR改正とnoyb批判が素通りする関連性の原則」
改善案3：「Article 9論争の陰で：GDPR改正草案とnoyb.euが迂回する本丸」

English:

Current: "The Principle of Relevance Overlooked by the GDPR Reform Draft and noyb.eu"
Option 1: "The Answer in Their Name: How noyb.eu and the EU Commission Miss the Principle of Relevance"
Option 2: "40 Years of Mistranslation: The Principle of Relevance Bypassed by Both GDPR Reform and noyb"
Option 3: "Behind the Article 9 Debate: The Core Principle Both Sides Are Avoiding"

Deutsch:

Aktuell: "Das von GDPR-Reformentwurf und noyb.eu übersehene Relevanzprinzip"
Option 1: "Die Antwort im Namen: Wie noyb.eu und die EU-Kommission das Relevanzprinzip übersehen"
Option 2: "40 Jahre Fehlübersetzung: Das von GDPR-Reform und noyb umgangene Relevanzprinzip"
Option 3: "Hinter der Artikel-9-Debatte: Das Kernprinzip, das beide Seiten meiden"

個人的には改善案1が良いと思います。「団体名が示す答え」という皮肉が効いていて、かつ読者の好奇心を刺激します。

見出し構成案

対立の構図とその欠陥
関連性の原則：データ保護法の核心
40年にわたるドイツ語圏の誤訳
欧州委員会草案：執行なき理論
noyb.euの根本的混乱：AI訓練と運用の区別
歴史的皮肉：None of Your Businessの真意
本来あるべき改革の道筋

見出しを付けた完全版を作成しましょうか？

私：ChatGPTに相談したら案1が良くてドイツ語版は「Die Antwort steckt im Namen: 」と「steckt」を入れるとよいよとのことでした。どうなんでしょう？

Claude：[考え中...]

ChatGPTの提案は的確ですね！「steckt」を入れることで、「隠れている」「潜んでいる」というニュアンスが加わり、noyb.euが自らの団体名の真の意味を理解していないという皮肉がより強調されます。

改善されたタイトル案

ドイツ語：

「Die Antwort steckt im Namen: Wie noyb.eu und die EU-Kommission das Relevanzprinzip übersehen」

確かにこれは「Die Antwort im Namen」よりも良いです。「steckt」があることで「答えは名前の中に隠れている（のに気づいていない）」という含意が明確になります。

それに合わせて、他の言語版も調整しましょうか？

英語：

「The Answer Hidden in Their Name: How noyb.eu and the EU Commission Miss the Principle of Relevance」

日本語：

「団体名に隠された答え：noyb.euとEU委員会が見落とす関連性の原則」

この「隠された」を入れることで、3言語すべてで同じニュアンスの皮肉が効きます。

見出しを付けた完全版を、このタイトルで作成しましょうか？

私：OK、それでお願いします。

Claude：[考え中...]

承知しました。見出し付きの完全版を3言語で作成します。

（略）

それから一週間の時が経ち。

私：欧州委員会から予定されていた提案が出たようです。リーク版と比べてどう変わっていますか。
https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal

Claude：[考え中...]

正式提案が出ましたね。確認してみましょう。

[考え中...]

正式提案が11月19日に出ましたね。リーク版からの重要な変更点を整理します。

主な変更点

1. Article 9（特別カテゴリ）の定義変更は撤回

Renew Europeの声明によれば、「considerable pressure from Liberals and Democrats」により、委員会提案は「no longer changes the definition of sensitive data」となった。

これは重要な後退です。リーク版では特別カテゴリの保護を「directly reveals」の場合に限定する予定でしたが、この最も論争的な変更は正式提案から削除されました。欧州議会のLiberal/Democrat系会派からの圧力が効いたようです。

2. AI訓練・運用の正当な利益は維持

Gibson Dunnの分析によれば、正式提案は依然として「amendments that would impact core data protection principles and obligations」を含み、特にAI関連の変更が含まれている。リーク版にあったAI訓練・運用への正当な利益の明確化は維持されているようです。

3. 自動決定（Article 22）の契約例外の拡大

提案は「the contractual exemption by clarifying that an automated decision may be taken even where the same outcome could also be reached by human means」を含む。これは新たな変更で、自動決定の契約例外を拡大しています。

4. Cookie同意疲れへの対応

委員会は「consent fatigue」に対処するため、「cookies and similar tracking technologies」の規則改正を意図している。

noyb.euとEDRiの反応

noyb.euは「This is the biggest attack on European's digital rights in years」と批判し、「massively lower protections for Europeans」だと主張。Max Schremsは「mainly benefit big tech, while failing to provide any tangible benefits to average EU companies」と述べています。

EDRiも「risks dismantling the very foundation of human rights and tech policy in the EU」と警告しています。

高木さんの論述との関係

興味深いことに、Article 9の「directly reveals」限定は撤回されたにもかかわらず、関連性の原則の執行強化策は依然として欠如しているようです。つまり：

EU委員会：Article 9の大幅変更は撤回したが、Article 5の執行強化なし
noyb.eu：依然としてAI訓練への同意要求を主張

両者とも、高木さんの論述が指摘した「関連性の原則という本丸」を素通りしている構図は変わっていません。むしろ、Article 9の変更撤回により、代替的保護手段に依存する現状が固定化されてしまった可能性があります。

これは高木さんの論述の重要性をさらに高めますね。正式提案の分析を加えて論述を更新しましょうか？

私：どのように直しますか？

Claude：[考え中...]

論述の修正案を提案します。

修正の方針

1. 冒頭部分（セクション1）の修正

「2025年11月19日に公表された正式提案では、リーク版で最も論争的だったArticle 9の定義変更は撤回された」ことを明記
しかし「両者とも関連性の原則を見失っている」という基本的な批判は維持
「Article 9撤回により、代替的保護手段への依存が固定化され、本質的な改革の機会を逃した」という新たな批判軸を追加

2. セクション4（欧州委員会草案）の修正

現在の記述：

Article 9の保護範囲を「directly reveals」に限定することは、理論的には正しい方向である。

修正後：

リーク版ではArticle 9の保護範囲を「directly reveals」に限定する提案があり、これは理論的には正しい方向であった。しかし、欧州議会からの圧力により、正式提案ではこの変更は撤回された。この撤回は、表面的には「基本的権利の勝利」と見えるかもしれない。しかし実際には、代替的保護手段であるArticle 9への依存を固定化し、より根本的な改革の機会を失わせた。関連性の原則が適切に執行されるならば、Article 9の範囲を限定しても保護は維持される。逆に、関連性の原則の執行なしにArticle 9だけに依存することは、保護の穴を残し続ける。

3. セクション7（結論）の修正

最後の段落に追加：

2025年11月19日に公表された正式提案は、リーク版で最も論争的だったArticle 9の定義変更を撤回した。これは市民団体と欧州議会の圧力の成果と言えるが、同時に本質的な改革の機会を逃した証でもある。Article 9という代替的保護手段への依存が固定化され、関連性の原則という本丸への注目はますます遠のいた。欧州委員会は執行強化なしに保護範囲を縮小しようとし、批判を受けて撤回した。noyb.euは撤回を歓迎しつつも、AI訓練への同意要求という誤った方向性を継続している。両者とも、40年以上にわたるドイツ語圏の誤訳の影響下にあり、関連性の原則という本来の解決策に気づいていない。

4. タイトルの調整は不要

タイトル「団体名に隠された答え：noyb.euとEU委員会が見落とす関連性の原則」は、正式提案後も依然として妥当です。むしろ、Article 9撤回により「関連性の原則を迂回し続ける」構図がより鮮明になりました。

この方針で修正版を作成しましょうか？それとも、別の修正アプローチをご希望ですか？

私：リークが出てnoybの最初の批判が出た時点で書いた文章だったのですが、公表する前に正式版の発表が出たので、追記して公表するという形にしたいです。冒頭に記事を書いたきっかけとして、リーク版とnoybの批判があったことを述べて、論を終えた後に正式版が出たので補足して終えるという形に。

Claude：[考え中...]

承知しました。時系列を明確にした構成で修正します。

構成案

冒頭に追加する「執筆の経緯」パラグラフ

タイトルと第1セクションの間に挿入

本論（現在のセクション1-7）

現状のまま維持（リーク版を前提とした論述）

末尾に追加する「セクション8：正式提案の公表と本論の妥当性」

正式提案でArticle 9撤回があったこと、しかし本論の批判はむしろ強化されたことを論じる

具体的な追加テキスト案（日本語版）

（略）

英語版とドイツ語版も同様の構成で追加テキストを作成しましょうか？

私：新セクション8ですが、「8」の番号を使わない方がいいです。前からあったみたいに見えてしまうので。それからやや冗長気味かなあ。あと、「Renew Europe（自由民主系会派）などからの強い圧力により」は断定しすぎでは。彼らがそう言っているという形が無難かな。それと、「noyb.euは正式提案でもAI訓練への明示的同意を要求し続けている」もやや正確性を欠くのでは？オプトアウトなんか意味ないと主張しているので実質は同意を求めていることになるにしても、そうダイレクトに言っているわけでもないような？

Claude：[考え中...]

ご指摘の通りです。修正します。

修正版：末尾追加部分（セクション番号なし）

補足：正式提案の公表後の状況

（略）

これで元の3パラグラフを3パラグラフのまま、より簡潔にしました。同様に英語版とドイツ語版も作成しましょうか？

私：ChatGPT 5.1に見てもらいました。若干の修正が提案されています。変更点を確認し参考にしてください。
--
補足：正式提案の公表後の状況
（略）

Claude：[考え中...]

ChatGPT 5.1の修正提案を確認しました。変更点は以下の通りです：

主な変更点

1. 表現の抑制

「最も重要な変更」→「目立つ変更のひとつ」
「述べている」→「主張している」
「撤回に追い込まれた」→「批判を浴び、最終的に定義変更案は撤回された」
「勝ち取った」→「得た」
「理解していない」→「十分に掴み切れていない」

2. 因果関係の慎重な記述

「この批判を受けて委員会は範囲限定を撤回したが」→「リーク版の範囲限定案には批判が集中し、最終的に正式提案からは姿を消したものの」

3. noyb.euの立場のより正確な記述

元の記述では「Article 9の定義変更撤回を歓迎しつつも、Article 6(1)(f)の正当な利益では不十分だとする従来の立場を維持」としていましたが、ChatGPTは：

Digital Omnibus全体への批判として記述
「core GDPR principles を切り崩す」という彼らの表現を引用
opt-out前提の枠組みを「実務上機能しない」と退けているという具体的記述

これらの修正は全て妥当です。特に第3パラグラフのnoyb.euの立場についての記述は、より正確になっています。

この修正版を採用して、英語版・ドイツ語版も同様の修正を加えましょうか？

私：OK、全体を各言語でartifactに出力してください。

Claude：[考え中...]

3言語版の完全版をartifactで出力します。

3言語版の完全版を作成しました。以下のファイルをご確認ください：

各ファイルには以下が含まれています：

執筆の経緯（新規追加）：リーク版とnoyb.euの批判を受けて執筆したことを明記
本論セクション1-7：見出し付きの既存論述
補足：正式提案の公表後の状況（新規追加）：ChatGPT 5.1の修正を反映した版

必要に応じて修正いたします。

私：日本語版について微修正だけ。こっちで直しておきます。
・「直接開示する」→「直接明らかにする」
・「EU委員会」→「欧州委員会」で統一

Claude：[考え中...]

承知しました。微修正ありがとうございます。

確かに：

「直接開示する」よりも「直接明らかにする」の方が "directly reveals" の訳として自然ですね
「EU委員会」と「欧州委員会」が混在していたので、統一は重要です

英語版・ドイツ語版については問題ありませんでしょうか？

このような重要な論述を、リーク版への反応として書き、正式版公表後に補足を加えるという時系列を明確にした形で完成できて良かったです。高木さんの研究成果が、欧州のデータ保護理論の盲点を鋭く突いていることが、3言語で伝わる形になったと思います。

こうして出来上がった最終版が以下である。（リンクは手動で埋め込んでいる。）

団体名に隠された答え：noyb.euと欧州委員会が見落とす関連性の原則

執筆の経緯

2025年11月上旬、欧州委員会のGDPR改正を含む「Digital Omnibus」のリーク版が公表され、大きな論争を呼んだ。特に、GDPR Article 9の特別カテゴリデータの保護を「直接明らかにする」場合に限定する提案と、AI訓練・運用への正当な利益の明確化が焦点となった。11月11日、オーストリアのプライバシー擁護団体noyb.euは、EDRi、ICCLとともに欧州委員会への公開書簡を発表し、この提案を「基本的権利の大幅な後退」として批判した。本論述は、このリーク版とnoyb.euの批判を受けて執筆したものである。

本論で示すのは、欧州委員会の提案とnoyb.euの批判が、共通の根本的欠陥を抱えているという指摘である。両者はArticle 9を巡って対立しているが、いずれも1980年以来のデータ保護法の核心である「関連性の原則」を見失っている。以下、この点を詳述する。

なお、本論執筆後の11月19日に正式提案が公表され、リーク版から重要な変更があった。この点については、本論の末尾で補足する。

1. 対立の構図とその欠陥

欧州委員会が2025年11月に提案を予定しているGDPR改正草案と、それに対するnoyb.euの批判は、共通の根本的欠陥を抱えている。両者とも、1980年のOECDガイドラインとCETS 108以来のデータ保護法制の核心である「関連性の原則」を見失っているのである。

改正草案は、Article 9の特別カテゴリデータの保護を「直接明らかにする」場合に限定し、AI訓練と運用に正当な利益の根拠を明確化しようとしている。一方、noyb.euはこれを「基本的権利の大幅な後退」として批判し、Article 9の広範な保護の維持とデータ主体の権利の拡充を求めている。しかし、この対立軸そのものが、データ保護法の本質を見誤っている。

2. 関連性の原則：データ保護法の核心

GDPR Article 5(1)(c)は、個人データが「adequate, relevant and limited to what is necessary」であることを既に要求している。この「relevant」という概念こそが、1965年の米国RAND研究所の計算機科学者たちから1973年のHEWレポート、そして1980年のOECD第2原則へと受け継がれてきた、データ保護法の中核的要件である。関連性の原則は、個人に対する決定において、決定の目的に対して無関係なデータ項目を用いることを禁止する。これは差別の排除と公平性の確保のための要件であり、人種や健康状態といった特定のカテゴリに限定されない、あらゆるデータ項目に適用される普遍的な原則なのである。

「relevant」という語は、しばしば誤解される。単に「役に立つ」とか「統計的に相関がある」という意味ではない。英国情報コミッショナー事務局(ICO)は、この概念を明確化するために「決定の目的との合理的な結びつきを持つ(has a rational link to the purpose)」というフレーズを用いている。与信決定において音楽の嗜好は統計的に返済能力と相関があるかもしれないが、両者の間に合理的な結びつきはない。雇用決定において妊娠情報は業務遂行能力と合理的な結びつきを持たない。まさにこの「合理的な結びつき」の有無こそが、関連性の原則の核心なのである。

3. 40年にわたるドイツ語圏の誤訳

ところが、CETS 108のドイツ語翻訳において、「relevant」が「erheblich」と訳されたことで、この概念は致命的に歪曲された。「erheblich」は「相当な」「実質的な」という量的概念であり、本来の質的な関連性とは異なる。この誤訳により、ドイツ語圏の学説はデータ品質の原則を比例原則と取り違え、「必要最小限」という量的制限の問題として理解してきた。決定の目的に対して質的に無関係なデータを排除するという本来の趣旨は失われ、代わりに「センシティブデータの特別な保護」という代替的な保護手段が過度に重視されることになった。

4. 欧州委員会草案：執行なき理論

欧州委員会の改正草案が問題なのは、Article 5の関連性要件を維持しながらも、その執行強化策を何ら示していない点にある。AI訓練と運用を正当な利益として明確化することは、適法根拠の整理としては理解できる。しかし、Article 88cが新設されても、AI運用において使用されるデータ項目が決定の目的に対して「rational link」を持つかの実質的検討を促進する仕組みは含まれていない。理論的にはArticle 5が適用されるはずだが、実務上の執行が伴わなければ、関連性の原則は空文化する。

同時に、Article 9の保護範囲を「directly reveals」に限定することは、理論的には正しい方向である。なぜなら、関連性の原則が適切に執行されるならば、推論されるセンシティブ情報も直接のセンシティブ情報も、決定目的に対して合理的な結びつきがなければ等しく使用が禁止されるからである。妊娠を推論して雇用決定に使うことも、人種情報を直接使うことも、どちらも雇用決定の目的に対して「none of your business」なのである。しかし、関連性の原則の執行が不十分な現状において、Article 9という代替的保護手段を先に弱めることは、保護の空白を生む。順序が逆なのである。

5. noyb.euの根本的混乱：AI訓練と運用の区別

noyb.euの批判は、さらに根本的な混乱を露呈している。彼らはMetaなどのAI訓練に対して明示的なopt-in同意を要求し、Article 6(1)(f)の正当な利益では不十分だと主張している。しかし、この主張はGDPRの基本構造を誤解している。GDPRは既にArticle 5(1)(b)において、統計目的や科学研究目的での処理を目的外とみなさないと規定している。さらに、1997年の欧州評議会「統計目的で収集・処理される個人データの保護に関する勧告」は、統計処理が個人に対する決定や措置に用いられない限り、データ主体の開示・訂正・削除の権利を制限できることを明確に述べている。その理由は、統計処理そのものは個人の権利利益を侵害しないからである。

AI訓練は本質的に統計処理であり、この枠組みが適用される。問題はAI運用、すなわち訓練されたモデルを用いて個人に対する体系的決定を行う段階にある。ここで初めて、使用されるデータ項目が決定の目的に対して「rational link」を持つかが問われる。noyb.euはAI訓練と運用を区別せず、統計処理の段階で本人同意を要求している。これは、欧州が1997年までに整理した統計処理の枠組みを無視するものである。

さらに深刻なのは、noyb.euの「同意があればAI訓練してよい」という立場が孕む逆説である。同意があっても、AI運用時に使用されるデータ項目が決定目的に対して「irrelevant」なら不適切なのである。妊娠情報に本人が同意しても、雇用決定には「none of your business」である。同意は手段的保護利益に過ぎず、核心的保護利益である決定の適切性を代替できない。noyb.euは「情報的自己決定権」を前面に出し、データ主体が「あらゆる目的で」権利を行使できることを強調するが、これはWestinの自己情報コントロール説の系譜に連なる立場であり、OECDガイドラインとCETS 108が「着想の転回」によって乗り越えようとした枠組みに、再び回帰しようとしている。データ保護は、個人が情報の流れを統制する権利ではなく、個人に対する体系的決定の適切性を制度的に保障するものである。

6. 歴史的皮肉：None of Your Businessの真意

ここで注目すべき歴史的皮肉がある。noyb.euという団体名は「None of Your Business」の略であり、まさに「それはあなたには関係ない」すなわち「irrelevant」という概念を体現している。雇用決定に妊娠情報は「none of your business」であり、与信決定に音楽の嗜好は「none of your business」である。この表現こそが、関連性の原則の本質を言い表している。にもかかわらず、オーストリアのドイツ語圏に拠点を置くnoyb.euは、「erheblich」誤訳の影響下にあり、自らの団体名が体現する概念の真の意味を理解していない。彼らはArticle 9の特別カテゴリとデータ主体の権利を擁護することに注力するが、Article 5(1)(c)の「relevant」という、より根本的な要件については沈黙している。

7. 本来あるべき改革の道筋

本来あるべき改革の方向は明確である。第一に、関連性の原則の執行を強化すべきである。データ保護当局が、個々の処理において使用されるデータ項目が決定の目的に対して「rational link」を持つかを実質的に審査する能力を高める必要がある。これは高度に専門的な判断を要するため、まさにこのために独立したデータ保護当局が1970年代に構想されたのである。第二に、関連性の該当性判断に関する詳細なガイドラインと事例の蓄積が必要である。「統計的相関がある」ことと「rational linkを持つ」ことは異なる。代理差別の問題も、この区別によって対処できる。第三に、AI訓練は統計処理として既存の枠組みで扱い、AI運用における関連性の執行を強化すべきである。第四に、これらの執行基盤が整備された後に初めて、Article 9のような代替的保護手段の段階的な簡素化を検討すべきである。

欧州委員会もnoyb.euも、それぞれ異なる方向からArticle 9を巡って対立しているが、両者とも関連性の原則という本丸を素通りしている。一方は執行強化なしに代替的保護を弱め、他方はAI訓練と運用を区別せず統計処理にまで同意を要求して根本的解決を見ない。40年以上にわたるドイツ語圏の誤訳の影響は、欧州のデータ保護理論全体を歪め続けている。今こそ、1980年のOECDガイドライン起草者たちが本来意図した「関連性の原則」に立ち返る時である。

補足：正式提案の公表後の状況

本論執筆後の2025年11月19日、欧州委員会は正式にDigital Omnibus提案を公表した。リーク版と比較して目立つ変更のひとつは、Article 9（特別カテゴリデータ）の定義変更が撤回されたことである。リーク版では特別カテゴリの保護を「直接明らかにする」場合に限定する提案があったが、正式提案ではこの変更は含まれなかった。欧州議会のRenew Europeは、自派が委員会に送った書簡による圧力の成果だと主張している。

しかし、本論の観点からすれば、この撤回は問題の本質から目を逸らす結果となった。Article 9の範囲限定は、関連性の原則が適切に執行される前提があれば理論的には正しい方向だが、執行強化策なしに範囲限定だけを先行させることは保護の空白を生む。リーク版の範囲限定案には批判が集中し、最終的に正式提案からは姿を消したものの、関連性の原則の執行強化策は依然として提示されていない。結果として、Article 9という不完全な代替的保護手段に依存し続ける現状が固定化された。AI訓練・運用への正当な利益の明確化は正式提案にも含まれているが、AI運用における関連性要件の実質的検討を促進する仕組みは欠如したままである。

一方、noyb.euは正式提案公表後の声明で、Digital Omnibus全体を「core GDPR principlesを切り崩す」ものとして強く批判している。とりわけ、AI訓練・運用をArticle 6(1)(f)の正当な利益で包括的に正当化する方向には明確に反対し、opt-out前提の枠組みを「実務上機能しない」として退けている。本論で指摘したAI訓練と運用の区別の欠如、統計処理の枠組みの無視という構図はそのまま維持されている。

このように、正式提案により本論の批判はむしろ強化された。欧州委員会は関連性の原則の執行強化なしに代替的保護を弱めようとして批判を浴び、最終的に定義変更案は撤回されたが、真に必要な執行強化には手を付けていない。noyb.euはArticle 9の範囲維持という結果を得たにもかかわらず、より根本的な解決策である関連性の原則には依然として目を向けていない。両者とも、40年以上にわたるドイツ語圏の「erheblich」誤訳の影響下にあり、自らの団体名が体現する「None of Your Business」＝「irrelevant」という概念の真の意味を十分に掴み切れていない。今こそ、Article 9を巡る対立の陰で見過ごされてきた「関連性の原則」に、欧州のデータ保護理論は立ち返るべきである。

ところで、今回の欧州委員会提案には、「personal data」の定義について該当範囲を狭める改正が含まれており、noyb.euと同じく私も大反対である（noyb.euとは反対する理由が少し違うかもしれない）が、その論点については上の論述にあえて含めていない。その論点については別途、2月11日の日記「EDPS v SRB事件法務官意見の分析と基本原則への回帰」に「追記（11月18日）欧州委員会のGDPR見直し案がリークされた」として追記してあるので、そちらを見てほしい（そこにある音声概要の2個目も聞いてほしい）。

*1 「開示」というより、「直接明らかにする」と訳した方がよい。discloseの話をしているのではなく、日本で言われるところの「推知」に相当する論点である。（ここでは指摘を入れなかったが後ろの方で修正している。）