2024年12月17日、欧州データ保護委員会（EDPB）は、AIモデルの訓練および展開における個人データの使用に関するEDPB意見書28/2024を採択しました。この意見書は、アイルランドのデータ保護当局（DPA）からの要請に応じたものです。 

MetaやOpenAIを含む、EU域内でAIモデルを提供する大規模モデル開発企業は、EUの政策立案者および規制当局による精査の対象となってきました。これらの開発企業、その製品を利用する企業、ならびにEU各国の規制当局は、GDPRに違反することなく個人データを用いてAIモデルを訓練・展開する方法について、明確な指針を求めてきました。

EDPB意見書28/2024は、これらの論点に関する指針を示しています。本意見書は企業を法的に拘束するものではありませんが、DPAはGDPRの解釈や執行措置の優先順位付けにおいて、本意見書の指針に沿う可能性が高いと考えられます。 

モデルはいつ匿名とみなされ、したがってGDPRの適用対象外となるのでしょうか？

匿名のAIモデルはGDPRの対象外ですが、これまでのところ、学習済みの基盤AIモデルが匿名であるかどうかについては、分析者の見解が分かれていました。

EDPB意見書28/2024によれば、そのようなモデルは、「(1) モデルの作成に使用されたデータに含まれる個人を直接的または間接的に特定できる可能性、および (2) クエリを通じて当該個人データをモデルから抽出できる可能性」が低い場合、匿名とみなされ得ます。同意見書は、この分析は個別事案ごとに行う必要があり、匿名性の実現に資する方法として、規範的でも排他的でもない手法の一覧を示していると指摘しています。

AI開発者はいつ個人データを処理できるのでしょうか？

GDPRに基づき、企業が個人データを処理するには法的根拠が必要です。分析者は、利用可能な法的根拠のうち、主要開発企業による基盤AIモデルの訓練方法に関連し得るのは「正当な利益」のみであると指摘してきました。EDPB意見書28/2024は、三つの要素を分析したうえで、企業が個人データを用いてAIモデルを訓練する法的根拠として「正当な利益」を用いることができると確認しています。 

目的: 当該利益が適法であり、明確かつ正確に示され、現実的かつ現在進行中であるかどうか;

必要性: 目的を達成するために個人データが必要であるかどうか;

衡量: データが処理される個人に関する便益、不利益、および期待を分析したうえで、当該個人の利益および権利が企業の正当な利益を上回らないかどうか

また、EDPB意見書28/2024は、GDPRに違反して個人データに基づいて開発されたAIモデルについて、展開されない場合や、評価および保護措置を条件として限定的に展開される場合があることも説明しています。

今後の展望

EUは、大規模モデル開発企業が引き続き優れた新モデルを発表する中でも、GDPR、EU AI Act（AIA）、およびその他のEU法が基盤AIモデルにどのように適用されるかについて、引き続き解釈と指針を提供していく見込みです。

EDPB意見書28/2024は、プライバシー・バイ・デザインや、ユーザーの精神状態や政治的見解のようなその他の機微な情報の処理を含む、プライバシーとAIの他の多くの交差領域については明確な指針を示していません。

AIシステムを利用する企業は、EUおよび世界各地における規制動向を注意深く監視し、関連する解釈および指針をAIガバナンス・プログラムに組み込むべきです。

Enzaiがサポートします

EnzaiのAI GRCプラットフォームは、EU AI Act、Colorado AI Act、NIST AI RMF、ISO/IEC 42001などのベストプラクティスや新たな規制、標準、フレームワークに準拠した形で、お客様の企業によるAIの導入を支援します。詳細は、こちらからお問い合わせください。

Enzaiは、抽象的な方針から実運用の監督へと組織を移行させることを目的に設計された、業界をリードするエンタープライズAIガバナンスプラットフォームです。弊社のAIリスク管理プラットフォームは、エージェント型AIガバナンスを管理し、包括的なAIインベントリを維持し、EU AI Actへの準拠を確保するために必要な専用インフラを提供します。複雑なワークフローを自動化することで、Enzaiは、ISO 42001やNISTといったグローバル標準との整合性を維持しながら、企業が自信を持ってAI導入を拡大できるよう支援します。