AI時代のデータ保護法と法的根拠──世界の規制当局が語る最前線

Panel Session 4: Lawfulness of Processing Personal Data for Purposes of AI
GPA 2025 SEOUL: 47th Global Privacy Assembly 現地レポート[Vol.6]　

この記事は、GPA 2025 SEOUL: 47th Global Privacy Assemblyにおける講演内容をもとに、AIによる自動音声認識および自動翻訳技術を用いて作成されたものです。その性質上、実際の講演内容と異なる表現や解釈が含まれる可能性があり、一部の情報が省略または不正確である場合があります。

この度、株式会社プライバシーテックは、2025年9月に韓国ソウルで開催された国際会議「GPA Seoul 2025」に参加いたしました。本会議では「日常生活における人工知知能(AI)：データとプライバシーの課題」をテーマに、AI時代のデータガバナンスについて活発な議論が交わされました。弊社が聴講した主要セッションの内容を、皆様の実務に役立つ形でお届けします。

◆ この記事でわかること
===
・AI開発における個人データ利用の法的根拠が世界的な課題となっており、既存のデータ保護法をどう適用するかが問われている。　
・欧州や韓国などの規制当局は、企業に法的確実性を提供するため、官民連携などを通じてAIに特化したガイドラインの策定を急いでいる。
・AIの複雑なライフサイクルに対応するため、「目的限定」や「透明性」といった従来のデータ保護原則を、AIの文脈に合わせて再解釈する必要がある。
===

登壇者

転載：GPA SEOUL 2025

Moderator: Bojana Bellamy (President, Centre for Information Policy Leadership)
ロンドン、ワシントンDC、ブリュッセルに拠点を置くグローバルなプライバシーおよびデータ政策のシンクタンクであるCIPLの代表。
彼女は、世界のビジネスおよびテクノロジーのリーダー、規制当局、政策立案者、法律家と協力し、グローバルなデータ政策と実務を形成し、プライバシーと責任あるデータ利用のためのソートリーダーシップとベストプラクティスを開発している。 プライバシーおよびデータ政策とコンプライアンスにおいて25年以上の経験を持ち、いくつかの主要な業界および規制の諮問委員会やパネルに参加している。

Anu Talus (Chairperson, EDPB)
2020年秋よりフィンランドの情報コミッショナーを務めている。
彼女は情報コミッショナー事務局(TSV)の長であり、欧州データ保護委員会(EDPB)の委員長でもある。IMYでの勤務以前は、法務省で10年以上にわたり上級顧問を務めた。
法務省では、彼女はフィンランドにおけるEU GDPRの導入を主導し、EU GDPRの交渉においてフィンランド政府の代表を務めた。 また、欧州委員会に派遣国家専門家として勤務した経験もある。
ヘルシンキ大学で法学博士号と法学修士号を、ヴァーサ大学で文学修士号を取得。

Beatriz de Anchorena (Head, AAIP, Argentina)
第108号条約委員会の委員長であり、アルゼンチンのデータ保護当局(DPA)である情報公開庁(AAIP)の長官。
ブエノスアイレス大学(UBA)で政治学の学位を、ジョージタウン大学で公共政策・開発管理の修士号を取得し、UBAで社会科学の博士候補でもある。

Dale Sunderland (Commissioner, DPC, Ireland)
2024年2月にデータ保護委員に任命された。任命前は、データ保護委員会の監督、ガイダンス、および国際業務を担当する理事兼副委員であった。
2016年5月にDPCに副委員として加わる前は、2002年から2016年までアイルランドの法務省で勤務。法務省在職中、Daleは広報および法人事務局の責任者を務め、アイルランド-イギリス間の移民協力、EUの刑事司法および警察政策、コーポレートガバナンスの監督、ならびに国際、議会、メディア関連業務に関する様々な役職を歴任した。

Byoung Pil Kim (Professor, KAIST)
韓国科学技術院(KAIST)で教鞭をとっている。彼は以前、韓国の大手法律事務所であるBae, Kim & Leeで勤務しており、現在は個人情報保護委員会の官民合同委員会に所属している。
AIとデータプライバシーの専門家として知られ、2024年には個人情報保護功労賞を受賞した。彼の研究は、AI倫理、ガバナンス、およびデータ利用における公平性に焦点を当てている。

はじめに：データ保護法はAIイノベーションの推進力となるか

Bojana: 皆様、本日の最終セッションへようこそ。このセッションのテーマは「AIにおける個人データ処理の法的根拠」という、一見すると非常に技術的で難解なものに聞こえるかもしれません。しかし、その本質は技術的な議論にとどまるものではありません。

これは、私たちが社会として、情報やデータをいかにして賢明に活用し、より良い意思決定に役立てていくかという、極めて重要かつ普遍的なテーマなのです。

AIを開発し、社会に利益をもたらす高度に調整されたシステムを展開する上で、私たちはどのようなデータ保護の基本原則を適用し、どのような法的根拠に基づけばよいのでしょうか。

AI革命という大きな時代のうねりの中で、個人データもまた、その貴重な活用資源の一部となります。そして、AIアプリケーションの開発、設計、そして利用を目指すすべての者が、最初に参照すべき法制度は、私たちが長年にわたり築き上げ、運用してきたデータ保護法であるべきです。この共通認識こそが、あらゆる議論の出発点となります。

世界各国のデータ保護当局は、この本質的な問題を強く認識しており、企業や開発者に対して、明確で実用的な指針を提供する必要性を自覚しています。

本日は、規制の最前線に立つ当局の皆様、そして学術界の専門家をお迎えし、各国の最新の状況や、AI開発における個人データ活用の法的根拠について、多角的な視点から議論を深めていきたいと思います。

まず最初に、この分野における先駆者の一人と言える、アイルランドのデータ保護委員会(DPC)のDale Sunderland氏からお話を伺います。

アイルランドDPCの先進的な取り組みと欧州の協調

Dale: 私たち規制当局に課せられた重要な役割は、個人の基本的な権利が尊重され、安全で責任ある関係が維持される環境の中で、イノベーションが健全に花開くことを許容する、その絶妙なバランスを見出すことです。

そして今、私たちはAIという技術がもたらす、重大な歴史的分岐点に立っています。私たち規制当局は、急速に進化するAI技術の発展に対し、これまで以上に深く、そして早期に関与していく必要があります。

私たちアイルランドのDPCは、EU市場でサービスを展開する主要なグローバルテック企業と日々対話し、彼らがGDPRをはじめとする法律を遵守し、個人にもたらされうるリスクを十分に評価し、軽減しているかを確認しています。この地道な対話こそが、AIがもたらす計り知れない利益を、社会全体が安全に享受し続けるために不可欠な基盤となるのです。

昨年、私たちはGoogle、Meta、そしてOpenAIといった多くの企業と、特に大規模言語モデル(LLM)の訓練におけるデータ利用のあり方について、集中的な議論を重ねました。その中で、組織がGDPRに完全に準拠した形でデータをどう活用すべきかという点について、数多くの複雑な疑問が浮かび上がってきました。

この問題はアイルランド一国にとどまるものではなく、欧州全体に関わる共通の課題であると私たちは認識しました。そこで、私たちは欧州データ保護委員会(EDPB)に対して、AIモデルの訓練に関する欧州統一の見解を策定するよう、正式に要請したのです。

企業が規制当局から何を期待されているかを明確に知り、この新しい技術の基盤を正しく築くことが、今まさに求められています。

EDPBの見解：AI法とGDPRの補完関係

Bojana: 規制当局が開発の早い段階から関与することは、企業に法的な確実性を提供し、健全な事業計画の立案を助ける上で非常に重要ですね。EDPBは最終的にどのような見解を示したのでしょうか。Anu Talus委員長、ご説明をお願いします。

Anu: AIは、何もない真空状態から突然現れたわけではありません。欧州においては、新たなAI法が、GDPRという既存の強力なデータ保護法の教訓を基盤として構築されています。

新しい法律を導入する際には、それが既存の法律といかに連携し、整合性を保つかを確保することが極めて重要です。AIが社会の全ての人々に利益をもたらすためには、その運用が倫理的であり、EUが掲げる民主主義や基本的人権といった基本的な価値観が、技術の隅々にまで尊重されなければなりません。

私たちは、アイルランドのDPCからの要請を真摯に受け止め、AIに関する包括的な意見書を作成しました。その中で、AIモデルの訓練における適切な法的根拠のあり方や、万が一、違法に処理されたデータが利用された場合にどのような影響が生じるかなどについて、詳細な分析を行いました。

また、現在、新たなAI法とGDPRが具体的にどのように相互作用し、補完し合うのかについての詳細なガイドラインや、AIのデータ収集で問題となるウェブスクレイピングに関するガイドラインの策定も進めています。時代の変化に迅速に対応すべく、数多くのプロジェクトが同時並行で進められています。

グローバルな視点：人権を基盤とするアルゼンチンの取り組み

Bojana: ありがとうございます。イノベーションの推進、リスクの管理、そして私たちがどのような価値観を持つ技術を社会に展開したいのか、という根本的な問いを考えさせられます。

次に、欧州の外に目を向けてみましょう。Beatriz de Anchorena長官、アルゼンチンではこの問題にどのように取り組んでいますか？

Beatriz: AIの台頭は、私たちの社会構造や政府の仕組みそのものを、根本から変えつつあります。ここで重要なのは、AIが技術的に何を成し得るか、という点だけではなく、私たち人間が、AIという強力なツールを使って何を成し遂げたいのか、という明確なビジョンを持つことです。

規制はイノベーションの障害ではなく、むしろそれを正しい方向へと導き、社会からの信頼を得るための推進力となるべきです。

アルゼンチンでは、AIの責任ある利用に関する国家的なガイドラインを策定しました。このガイドラインは、AIシステムの構想から廃棄に至るライフサイクル全体をカバーし、透明性の確保、公平性の担保、そして利用されるデータの品質の重要性を強調しています。

また、私たちは、あらゆる規模の組織が、自社のデータ保護対策の成熟度を自己評価できるような実践的なツールも開発中です。データ保護という基本的人権が、AIのバリューチェーン全体において、本来あるべき重要な位置を占めるよう、私たちは全力で取り組みを進めています。

官民連携で進む韓国の協調的アプローチ

Bojana: データ保護をイノベーションの前提とすることで、初めて安全なデータ活用が可能になるということですね。開催国である韓国の状況について、Byoung Pil Kim教授にお伺いします。

Byoung: 韓国の個人情報保護委員会(PIPC)は、AIに関連するガイドラインを世界に先駆けて積極的に公表してきました。昨年7月には、AI開発企業がインターネット上などで公開されているデータ（ウェブデータなど）を収集・利用する際に、企業の正当な利益と個人の権利のバランスをどう取るべきか、その利益衡量に関する詳細なガイドラインを発表しました。

さらに12月には、企業が自社で保有するデータ（ファーストパーティデータ）を安全にAI開発に活用するための具体的な手順を示した「AIプライバシーリスク管理フレームワーク」も公開しています。

これらのガイドラインを策定する上での韓国の際立った特徴は、規制当局だけでなく、産業界、学術界、市民社会から多様な専門家が参画する「AIプライバシー官民共同コミュニティ」を設立した点にあります。

これにより、韓国はトップダウンではない協調的なアプローチを採用し、理論的であるだけでなく、実用的かつ技術環境の変化にも柔軟に対応可能な、生きた指針を示すことができています。

議論の深化：AI時代におけるデータ保護原則の再解釈

Bojana: 皆様、ありがとうございます。議論をさらに一歩深めたいと思います。AIの開発において、データ保護の根幹をなす「目的限定の原則」を、私たちは今後どのように解釈していくべきでしょうか。

また、性的指向や信条といった「機微な個人データ」の取り扱い、そして「透明性」や「公平性」といった他の重要なデータ保護原則は、この新しいAIの文脈でどのように適用されるべきでしょうか。

Dale: 目的を明確に特定することは、GDPRの中核をなす原則です。しかし、AIの持つ複雑性を考慮すると、目的の定義にはある程度の柔軟性も必要となるでしょう。

ここで重要になるのは、データセットの匿名化や仮名化を徹底すること、そして収集するデータの範囲を必要最小限に抑えるといったリスク軽減策を、組織が総合的に評価し、確実に実行することです。透明性の確保もまた不可欠であり、個人が自身のデータがどのように利用されているかを理解できなければ、異議を申し立てたり、訂正を求めたりする権利も、実質的に行使することができません。

Byoung: 将来の高度なAIシステムにおいては、モデルの訓練時に使われた過去のデータよりも、AIが稼働中にリアルタイムで参照するデータ（ランタイムデータ）がもたらすプライバシーリスクの方が、より重要になると私は考えています。

例えば、AIがユーザーのメールの内容をその場で読み込んで、返信文を生成するようなケースです。したがって、訓練データに関してはある程度寛容な解釈を許容しつつ、リアルタイムで扱われるランタイムデータに関しては、より厳格な規律を適用するという、メリハリのついたアプローチが必要になるでしょう。

Anu: 機微な個人データを処理する場合、GDPRは、より強力な法的根拠と、より厳格な安全対策を要求しています。この原則は、AIの文脈においても何ら変わることはありません。

例えば、AIに潜むバイアスを検出し、是正するために機微データを利用することは、既存の法的枠組みの中でも可能ですが、その真の必要性と、それによって個人にもたらされるリスクを、極めて慎重に検討する必要があります。

Beatriz: アクセス権や訂正権といった、データ保護における従来の権利も、AIの文脈に合わせて再解釈されるべきです。例えば、一度学習してしまった機械学習モデルに対して、個人は訂正権をどのように行使するのでしょうか。あるいは、自分のデータが訓練データセットから本当に削除されたことを、どうすれば検証できるのでしょうか。

これらの問いに答えるためには、アルゴリズム監査の導入など、より包括的なコンプライアンスのアプローチが求められます。

結び：責任あるイノベーションに向けた継続的な対話

Bojana: 皆様、本日は示唆に富むご意見を誠にありがとうございました。AIのライフサイクルは非常に複雑であり、その技術は常に進化を続けています。私たち規制当局、企業、そして学術界が、それぞれの垣根を越えて連携し、オープンな姿勢で対話を続けることが、これまで以上に不可欠です。

Dale: 私たち規制当局も、まだ全ての答えを持っているわけではありません。しかし、私たちが目指す方向は明確です。それは、責任あるAIの推進です。

Anu: AIがもたらす大きな恩恵を社会全体で享受するためには、その活用が倫理的かつ安全で、私たちが共有する民主主義の価値観を体現する形で行われることを、確実にしなければなりません。

Beatriz: 個人の権利を保障し、人々の生活を守るために、国家がリーダーシップを発揮し、これらの新技術を社会の利益となる方向へ推進していくという、戦略的な使命があります。

Bojana: 政府、政治家、規制当局、産業界、そして学界が一体となって、誠実な姿勢でこの新たな世界に適応していく必要があります。本日はありがとうございました。

以上

===

◆ 関連記事
[Vol.1]GPA 2025 ソウル 開会セッション ── 基調講演
[Vol.2]AI時代のグローバル･データガバナンス 
[Vo.3]実践における合成データ──機会と課題
[Vol.4]AIが医療サービスとプライバシーに与える影響
[Vol.5]基調講演──EUにおけるAI規制とデータ保護の調和
[Vol.6]AI時代のデータ保護法と法的根拠──世界の規制当局が語る最前線←この記事
[Vol.7]データ保護機関(DPA)の新規設立と制度化
[Vol.8]基調講演──ヒューマン･フラッキングとプライバシーの未来
[Vol.9]AIは「エージェント」の時代へ──未来のプライバシーを考える
[Vol.10]AI時代のルールメイキング──規制とイノベーションの共存
[Vol.11]プライバシーは「人間性の未来」──OpenAIが描くAIとの共存
[Vol.12]越境データ移転における相互運用性の強化
[Vol.13]データ保護における救済と相互運用性──消費者の視点から
[Vol.14]AI時代の健康データ活用とプライバシー──イノベーションと社会的信頼の両立
[Vol.15]AI医療とプライバシー──健康データ「二次利用」の最前線
[Vol.16]AI医療と規制当局──いかにして「公衆の信頼」を築くか

===

＜＜前へ：基調講演──EUにおけるAI規制とデータ保護の調和
＞＞次へ：データ保護機関(DPA)の新規設立と制度化

===

GPA 2025公式サイト：https://gpaseoul.kr/

#AIガバナンス　#AI利活用　#プライバシー　＃GPA　#プライバシーガバナンス　#データガバナンス　#AI　#プライバシー保護　#法的根拠　#個人データ処理　#データ保護当局　#目的限定の原則　#透明性の原則　#大規模言語モデル　#欧州データ保護委員会　#リスク軽減策　#ランタイムデータ　#データ主体の権利　#アルゴリズム監査　#ウェブスクレイピング