GDPR & AI — データ保護を理解する
AIは膨大なデータを処理します — 多くの場合、それを知らない人々に関するものです。GDPRはあなたに影響を受ける者としての権利を与えます。運用者としては義務があります。両方を知ることは、責任あるAIの活用の基本条件です。
あなたは6つのGDPRの原則を理解し、データ主体としての権利を知っており、AIの使用において発生するデータ保護義務を把握しています。
GDPRとAI — 基礎知識
~15 MinDSGVOとAI — 基礎
個人情報とは何か
個人情報 = 特定の個人に関連するすべての情報。
名前やEメールだけでなく、以下も含まれます: IPアドレス、位置情報、購買行動、クリックパターン、デバイス識別子 — および識別につながる可能性のあるすべての組み合わせ。
AIシステムはほぼ常に個人情報を処理します。 DSGVOが適用されます。
6つの基本原則 — 簡潔に
| 原則 | 要求されること | AI関連性 |
|---|---|---|
| 適法性 | すべての処理に法的根拠 | 同意、契約または正当な利益を明示的に設定 |
| 目的制限 | 指定された目的のみに使用 | AIトレーニング ≠ 他の目的での使用権 |
| データ最小化 | データの最小限化 | 特徴エンジニアリング:関連する変数のみ |
| 正確性 | データを最新に保つ | 古いトレーニングデータ → 古い差別 |
| 保存制限 | 必要以上に長く保存しない | トレーニングデータの保持ポリシー |
| 完全性と機密性 | 不正使用からの保護 | アクセス制御、暗号化 |
関係者としてのあなたの権利
| 権利 | Art. | 要求できること |
|---|---|---|
| 情報提供 | 15 | どのデータ?何のために?どのくらいの期間? |
| 訂正 | 16 | 誤ったデータの修正 |
| 消去 | 17 | 「忘れられる権利」 |
| 制限 | 18 | 処理の一時停止 |
| 異議 | 21 | 処理に対する異議 |
| 完全自動化の禁止 | 22 | 重要な決定における人間による確認 |
Art. 22はAIに特に関連があります: 個人に重大な影響を与える自動化された決定 (クレジット拒否、就職拒否、保険料)には異議申し立てが可能でなければなりません。
特別なデータカテゴリ — 強化された保護
これらのデータは基本的に処理してはなりません — 明示的な同意がある場合を除く:
- 健康データ
- 民族的出自
- 政治的意見
- 宗教的信念
- 労働組合の所属
- 生体認証データ
- 性的指向
AI開発者向け: トレーニングデータがこれらのカテゴリに関する推測を暗黙的に可能にする場合 — リスクが高まります。
次へ: 運用者の義務 →
簡易チェック
1. どのGDPRの原則が、必要なデータのみを収集することを要求していますか?
2. GDPR Art. 22とは何を意味しますか?
GDPRの概要
- 6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
- Art. 15: Du kannst fragen welche Daten gespeichert sind
- Art. 16: Du kannst falsche Daten korrigieren lassen
- Art. 17: Du kannst Löschung beantragen
- Art. 22: Automatische Entscheidungen können angefochten werden
GDPRにおけるAIの活用 — オペレーターの義務
~15 MinDSGVOにおけるAI利用の義務
開始前: 三つの義務
1. 法的根拠を定める
根拠なしにデータ処理は行えません。AIにおける主な根拠:
| 根拠 | 適用時期 | 注意点 |
|---|---|---|
| 同意 (Art. 6 Abs. 1 a) | 明確に自発的、特定の目的 | いつでも撤回可能であること |
| 契約 (Art. 6 Abs. 1 b) | 契約履行にAIが必要 | 本当に必要な場合のみ |
| 正当な利益 (Art. 6 Abs. 1 f) | 内部最適化 | 利益衡量を文書化すること |
注意: 「AIを改善したい」 は自動的に適用される正当な利益ではありません。 文書化された利益衡量が必要です。
2. DPIAの確認 — 義務となる場合は?
データ保護影響評価 (DPIA) はArt. 35 DSGVOに基づき以下の場合に義務です:
- 人物の体系的なプロファイリング
- 特別なデータカテゴリの処理 (→ モジュール1)
- 重大な影響を持つ自動化された決定
- AIを用いた従業員の監視
どの程度の範囲で? DPIAは以下を文書化します: 何が処理されるか? なぜか? どのようなリスクが生じるか? どのような保護措置が講じられるか?
3. 関係者への情報提供
処理前に関係者は以下を知っておく必要があります:
- 誰がデータを処理するか (名前、連絡先)
- なぜ (目的と法的根拠)
- どのくらいの期間
- 誰に提供されるか
- 自動化された決定が行われるかどうか (Art. 13 Abs. 2 f)
運用中: 二つの重要な義務
データ漏洩の報告 (Art. 33)
データの紛失、盗難、または不正アクセスがあった場合:
- 72時間以内にデータ保護監督機関に報告
- 関係者に高リスクがある場合: 関係者への直接の情報提供も必要 (Art. 34)
AIシステムに例外はありません。 AIシステムからのデータ漏洩も同じ義務を引き起こします。
保持ポリシーの遵守
AIのトレーニングデータは他の個人データと同様の削除義務に従います。 「再トレーニングのためにデータが必要」は無制限の保存理由にはなりません。
実践例: 学習するチャットボット
顧客サービスのチャットボットが「より良くなるため」にすべての会話を記録します。 会話中に健康データが言及されることがあります。
DSGVO違反:
- 健康データに対する同意の欠如 (Art. 9 — 特別なカテゴリ)
- 目的の制限違反: 顧客対応のための会話 ≠ AIトレーニングへの同意
- 関係者がAI利用について知らされていない
対応策:
- 健康データをトレーニングデータから即時削除
- データ保護監督機関に通知 (重大なリスクがある場合)
- プロセスの調整: トレーニング利用前に同意を取得
まとめ: AIにおけるDSGVOチェックリスト
使用前:
☐ 法的根拠を文書化
☐ DPIAを確認 (必要に応じて実施)
☐ 関係者に情報提供
☐ データカテゴリを確認 (特別なカテゴリ?)
運用中:
☐ 保持ポリシーを定義し実施
☐ アクセス制御を有効化
☐ データ漏洩のプロセスを用意 (72時間以内!)
☐ 関係者の権利プロセスを定義
実例: チャットボットと機密データ
あるカスタマーサービスのチャットボットが「より良くなる」ために会話の履歴を収集しています。あるユーザーが、チャットボットが以前の会話から彼の健康データを知っていることに対して苦情を申し立てました — 彼はこれらのデータが保存されることに明示的に同意したことがないにもかかわらず。
Lösung anzeigen
少なくとも2つのGDPR違反:
- 法的根拠の欠如 (Art. 6): 健康データ(Art. 9 — 特別カテゴリー)には明示的な同意が必要です。「トレーニングデータの収集」は十分な根拠ではありません。
- 目的制限の違反 (Art. 5): 会話からのデータは、トレーニングに無断で使用してはなりません。
企業が行うべきこと:
- 即時: トレーニングデータから健康データを削除
- 関係者に通知 (高リスクの場合はArt. 34)
- 重大な違反の場合はデータ保護当局に報告 (Art. 33, 72時間以内)
- プロセスの調整: トレーニング利用前に同意を取得
あなたのデータ
どのデジタルサービスについて、あなたはそれがあなたについて知りすぎていると感じますか?
- Werbung die zu gut zu meinen Gesprächen passt
- Empfehlungen die zeigen dass mein Verhalten beobachtet wird
- Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben
あなたが得るもの
- Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
- Zweckbindung: Daten nur für den angegebenen Zweck nutzen
- DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
- ⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren