2024 年 5 月 6 日、ドイツのデータ保護当局 (DPA) は、GDPR に準拠した人工知能 (AI) アプリケーションの導入に関する詳細なガイダンス ペーパーを発行しました。この記事では、ガイダンスの主要な調査結果を要約し、企業による AI アプリケーションの選択、実装、生産的な使用に関して、企業に役立つ指針を提供します。
AI アプリケーションを、特に GDPR に基づく適用されるデータ保護法の要件に準拠した方法で開発および使用する方法は、以前から欧州の DPA の議題となっており、EU 全域でさまざまなガイダンス、出版物、施行措置が発表されています。この進展は、近年の大規模言語モデル (LLM) の出現によってさらに加速され、AI とデータ保護に関する DPA の活動の焦点となりました。
この傾向に沿って、ドイツのDPAは、ドイツDPAの合同組織(データ保護会議、「DSK」)が2019年に発表したいわゆる「人工知能に関するハンバッハ宣言」やAIシステムの開発と運用に関する技術的および組織的措置に関するガイダンスに始まり、多くのガイダンス文書と立場表明を発表しています。最近では、ドイツ連邦州のいくつかのDPAが、AI全般と特定のAI関連のトピックの両方について独自のガイダンスを個別に発表しています(例:バイエルンDPAのGDPR準拠の人工知能に関するチラシとチェックリスト、ハンブルクDPAのLLMベースのチャットボットの使用に関するチェックリスト、バーデンヴュルテンベルクDPAの人工知能の使用に関するデータ保護の法的根拠に関する論文)。しかし、ドイツの複数の連邦州で事業を展開する企業向けのドイツDPA全体で統一されたガイドラインはなく、地域ごとの不一致や法的不確実性が生じる余地が残されています。
こうした規制活動の寄せ集めを受けて、ドイツのDPAはAIとデータ保護に関する共同ガイダンス(バージョン1.0、2024年5月6日付け)を公開しました。このガイダンスは、企業がデータ保護に準拠した方法でLLMを活用する方法に特に重点を置いており、主にそのようなAIアプリケーションの導入者を対象としています。ただし、ドイツのDPAは、このガイダンスには他の種類のAIアプリケーションや、顧客がどのようなデータ保護管理を必要とするかを念頭に置く必要があるAI開発者にとっても貴重な洞察が含まれていることを強調しています。
本質的に、このガイダンスは、AI 活用の 3 つの段階、つまり AI アプリケーションが企業で積極的に使用される選択/計画段階、実装段階、および実稼働段階に焦点を当てています。以下は、ドイツの DPA が各段階に定義した主な要件の概要です。
ドイツのDPAのガイダンスには驚くべき新しい発見は含まれていませんが、企業やその他の組織によるAIツールの使用に関してドイツのDPAが抱く期待と現在の立場について、いくつかの洞察を提供しています。ドイツのDPAの立場は、フランスのCNILの「AIハウツーシート」に反映されているように、他のヨーロッパのDPAが表明した見解と基本的に一致しています。したがって、企業は組織内でAIシステムを導入する際に、この最新のガイダンスを、一般的なAI戦略とガバナンスプログラムの1つの要素として検討する必要があります。それでも、ガイダンスで取り上げられているいくつかの点は現在も継続して活発な法的議論の対象となっており、異なる立場が生じる可能性があります。ドイツのDPAも示しているように、この最新のガイダンスは、AI分野の新しい開発を考慮して将来更新される予定です。
免責事項: この更新は一般性があるため、ここで提供される情報はすべての状況に当てはまるとは限らず、特定の状況に基づいた具体的な法的助言なしに行動しないでください。
© Hogan Lovells | 弁護士広告
2024年リーダーズチョイスアワードを見る
元記事: https://www.jdsupra.com/legalnews/ai-deployment-german-dpas-issue-6371709/