EUがGDPRを簡素化？2025年改革の実務的インパクトとは

欧州委員会が2025年5月21日に発表した「第4次包括パッケージ（Fourth Omnibus Package）」は、規制簡素化に向けたEUの第一歩と位置づけられています。本パッケージにより、企業の事務負担が年間4億ユーロ削減されると見込まれています。

改革の中心となるのは、新たに導入される企業カテゴリ「スモール・ミッドキャップ企業（SMC）」で、従業員750人未満、かつ売上高1億5,000万ユーロ以下、または資産額1億2,900万ユーロ以下の企業が対象となります。この改革は、従業員数250人を超えると急激に規制負担が増す「崖っぷち効果（cliff-edge）」の是正を目的としています。

EU域内で事業を展開する企業はもちろん、EU市場を対象とする非EU企業にとっても、データ保護対応の戦略的見直しが求められる重要な動きです。本記事では、その影響を詳しく解説します。

今回のGDPR改正案、何が変わる？

欧州委員会はGDPRを全面改正するのではなく、データ処理のリスクレベルに応じて主要義務を部分的に調整する方針を示しています。目的は、高いデータ保護水準を維持しつつ、過剰な事務負担を軽減することです。主な内容は以下の通りです：

• 急成長企業が「250人の壁」で過剰な規制に直面する状況の是正
• リスクの低いデータ処理活動に関する記録義務の簡素化
• 紙ベース業務からデジタルへの移行の加速化

主な改正点と実務との整合性：

1. 第30条におけるリスクベースの記録義務

これまでのGDPRでは、従業員が250人未満の企業は「一律に」第30条の記録義務を免除されていました。今回の改正案では、このルールをより現実的で柔軟な基準に見直しています：

「従業員750人未満のSMEs（中小企業）およびSMCs（スモール・ミッドキャップ企業）は、個人データの処理がGDPR上“高リスク”に該当する場合のみ、記録の作成が義務付けられる」

この改正により、リスクが低い処理に対する不要な記録義務が削減される一方で、データ主体の権利が特に脆弱となる場面では保護が維持されます。規制の焦点を実務上の現実に近づけるという、欧州委員会の「スマート規制」方針が反映された内容です。

2. Codes of Conduct Now Include SMCs

Separately, the European Commission proposes reforms to the GDPR provisions on codes of conduct (current Article 40).

Under present rules, EU institutions and national data protection authorities are required to encourage the development of sector-specific frameworks for responsible data handling — especially by associations representing controllers and processors. The proposed changes aim to ensure that the “specific needs” of Small Mid-Cap Enterprises (SMCs) are explicitly considered in these efforts.

3. Certification Mechanisms Do Too

The proposed changes also include refinements to certification mechanisms (current Article 42). These certification mechanisms were intended to be a significant change to help the market, but they failed to deliver this intended benefit. Therefore, the EU Commission has moved to simplify and provide easier access to certification mechanisms under the GDPR.

From Red Tape to Real Efficiency

The Fourth Omnibus Package is one component of the broader simplification initiative. In the Commission’s own words, this package is designed “to make EU regulation simpler, faster and better for everyone”.

For GDPR compliance, the key takeaway is that some obligations are shifting from being driven by organisation size or turnover, to being driven by the risk of the data processing activities. This better aligns with the original intent of the GDPR — to protect individuals' data rights while enabling responsible data-driven innovation.

Opinion: The Problem Isn’t the Regulation Itself.

While these changes are welcome and are positive, they aren’t a fundamental solution. That’s because the regulation itself isn’t the issue — it’s the complexity brought by authorities — and the way that they handle the GDPR — that is.

This is especially true for non-EU companies, who unlike those in the EU do not have the benefit of a lead authority to deal with. Instead, they’re required to deal with over 40 different regulators for matters relating to GDPR compliance — whether that’s to appoint a DPO, notify stakeholders of a data breach, or any number of reasons in between.

A solution is to strengthen the role of the Representative under the GDPR — making them a one-stop shop to coordinate between stakeholders. By doing this, organisations can remove the complexity while remaining confident that they are fulfilling their obligations under the GDPR.

Reinforcing the Need for Smarter Data Protection Compliance

The European Commission’s Fourth Omnibus Package is a clear signal: the EU is listening to businesses that scale quickly but can’t absorb the compliance overhead of large enterprises. By easing blanket obligations and promoting proportionality, the GDPR amendments empower SMCs to grow confidently without compromising on data protection.

At Prighter, we help you stay ahead — not just of regulation, but of risk. Whether you're grappling to understand your obligations today, or are preparing for tomorrow, we’re your trusted partner in ensuring proactive and scalable data protection compliance.

Discover the benefits of proactive data protection compliance today. Book a free consultation and find out how Prighter can help your organisation take a smarter approach to data protection compliance.