欧州データ保護委員会がAIモデルに関する意見を採択

2024年12月17日、欧州データ保護委員会（EDPB）は、AIモデルのトレーニングと展開のための個人データの使用に関するEDPB意見28/2024を採択しました。この意見は、アイルランドのデータ保護機関 (DPA) からの要請に応えたものです。

MetaやOpenAIなど、EU内でAIモデルを提供する大規模なモデル開発者は、EUの政策立案者や規制当局による精査の対象となっています。これらの開発者、自社製品を使用する企業、EU 諸国の規制当局はすべて、GDPR に違反することなく個人データの AI モデルをトレーニングして展開する方法について、明確なガイダンスを求めてきました。

EDPB意見28/2024は、これらの問題に関するガイダンスを提供しています。DPAは企業を拘束するものではありませんが、GDPRを解釈し、執行措置の優先順位を決める際には、DPAがそのガイダンスに従う可能性が高いでしょう。

モデルが匿名と見なされ、GDPRの対象にならないのはどのような場合ですか？

匿名のAIモデルはGDPRの対象ではありませんが、これまでのアナリストは、トレーニング済みの基盤AIモデルが匿名であるかどうかについてさまざまな意見を持っていました。

EDPB Opinion 28/2024は、「(1) モデルの作成にデータが使用された個人を直接的または間接的に特定し、(2) クエリを通じてモデルからそのような個人データを抽出できる」可能性が低い場合、そのようなモデルは匿名と見なすことができると述べています。この意見では、この分析はケースバイケースで行う必要があり、匿名性を実現するのに役立つ非規範的かつ非独占的な方法のリストが含まれていると指摘しています。

AI 開発者はいつ個人データを処理できますか?

GDPRによると、企業は個人データを処理するための法的根拠を必要としています。アナリストは、入手可能な法的根拠のうち、主要な開発者が基盤となるAIモデルのトレーニング方法に関係するのは「正当な利益」のみであるようだと指摘しています。EDPB Opinion 28/2024は、以下の3つの要因を分析した結果、企業が個人データを使用してAIモデルをトレーニングする根拠として「正当な利益」を利用できることを確認しています。

目的: 利益が合法的で、明確かつ正確に表現されているか、現実的かつ現実的で存在しているかどうか。

必要性: 目的を達成するために個人データが必要かどうか。

バランシング: データを処理する個人の利益、欠点、期待の分析に基づいて、当該個人の利益と権利が会社の正当な利益を上回らないかどうか

また、EDPB Opinion 28/2024には、GDPRに違反して個人データに基づいて開発されたAIモデルが、評価と保護措置の対象として展開されないか、限定的な方法で展開される可能性があることについても記載されています。

次は何？

大規模なモデル開発者が引き続き印象的な新しいモデルをリリースしている中でも、EUは、GDPR、EU AI法（AIA）、およびその他のEU法が基盤となるAIモデルにどのように適用されるかについて、引き続き解釈とガイダンスを提供します。

EDPB Opinion 28/2024は、プライバシー・バイ・デザインやその他の機密情報（ユーザーの心の状態や政治的見解など）の処理など、プライバシーとAIが交差する他の多くの分野について明確に述べていません。

AIシステムを使用する企業は、EUおよび世界中の規制の動向を注意深く監視し、関連する解釈とガイダンスを自社のAIガバナンスプログラムに組み込む必要があります。

エンザイがお手伝いします

EnzaiのAI GRCプラットフォームは、企業がベストプラクティスや、EU AI法、コロラド州人工知能法、NIST AI RMF、ISO/IEC 42001などの新たな規制、標準、フレームワークに従ってAIを導入するのに役立ちます。詳細については、お問い合わせください。 ここに。