2024年12月17日、欧州データ保護委員会（EDPB）は、AIモデルの訓練および展開における個人データの使用に関するEDPB意見28/2024を採択しました。この意見は、アイルランドのデータ保護当局（DPA）からの要請に応じたものです。 

MetaやOpenAIを含むAIモデルをEU内で提供する大規模モデル開発者は、EUの政策立案者や規制当局の厳しい審査を受けています。これらの開発者、製品を使用する企業、EU諸国の規制当局は皆、GDPRに違反することなく個人データを使用してAIモデルを訓練し展開する方法についての明確な指針を求めてきました。

EDPB意見28/2024はこれらの問題に関する指針を提供します。企業を拘束するものではありませんが、DPAsがGDPRを解釈し、執行措置を優先する際には、その指導に沿う可能性が高いです。 

モデルが匿名と見なされる場合、それはGDPRの対象外になりますか？

匿名のAIモデルはGDPRの対象外ですが、これまでのところ、基礎AIモデルが匿名であるかどうかについては分析者の意見が分かれていました。

EDPB意見28/2024は、そのようなモデルが次のような条件で匿名と見なされることができると述べています。「(1) モデルの作成に使用された個人を直接または間接的に特定する可能性が低いこと、(2) クエリを通じてモデルからそのような個人データを抽出する可能性が低いこと。」この意見は、ケースバイケースで分析が行われ、匿名性を達成するための非処方的かつ排他的でない方法のリストを含んでいます。

AI開発者が個人データを処理することができる場合はいつですか？

GDPRに従い、企業は個人データを処理するための法的根拠を必要とします。分析者は、利用可能な法的根拠の中で、唯一「正当な利益」が主要な開発者が基礎AIモデルを訓練する方法に関連していると指摘しています。EDPB意見28/2024は、3つの要因の分析後、企業が「正当な利益」を基にして個人データを使用してAIモデルを訓練することができると確認しています。 

目的：利益が合法であり、明確かつ正確に述べられ、実際に存在すること。

必要性：目的を達成するために個人データが必要であるか。

バランス：処理されるデータの利益、欠点、そして個人の期待に基づいた分析により、個人の利益および権利が企業の正当な利益を上回らないかどうか。

EDPB意見28/2024は、GDPRに違反して開発されたAIモデルが、展開されないか、制限された方法で展開される場合があることを説明しています。

次に何が起こるのか？

EUは、大規模モデル開発者が印象的な新しいモデルをリリースし続ける中でも、基礎AIモデルに適用されるGDPR、EU AI法（AIA）およびその他のEU法律をどのように解釈し指導するかを引き続き提供することでしょう。

EDPB意見28/2024は、プライバシー設計や他の敏感情報（ユーザーの精神状態や政治的な見解など）の処理を含むプライバシーとAIの多くの交差点に対する明確な指針を提供していません。

AIシステムを利用する企業は、EUおよび世界中の規制の進展を慎重に監視し、自社のAIガバナンスプログラムに関連する解釈と指導を組み込むべきです。

Enzaiがサポートします

EnzaiのAI GRCプラットフォームは、EU AI法、コロラドAI法、NIST AI RMF、ISO/IEC 42001などのベストプラクティスや新興の規制、標準、フレームワークに従ってAIを展開する上で、御社の支援が可能です。詳細については、こちらでお問い合わせください。