スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。
こんにちは、丸山満彦です。
スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD)が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。。。
スペインの個人データ保護庁は、かなり精力的に仕事をしているイメージがあります。文書がスペイン語なので私にはなかなかとっつきにくいのですが、、、そして今度の文書もスペイン語です...(なので、複数の翻訳ソフトと辞書を使いながらの訳です・・・)
● Agencia Española de Protección de Datos: AEPD
・2021.01.12 La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial(AEPDはAIを含むデータ処理監査の要件に関するガイダンスを公表した)
| El documento ofrece orientaciones y criterios objetivos, desde una perspectiva de protección de datos, que deberían incorporarse a las auditorías de tratamientos que incluyen componentes basados en Inteligencia Artificial | この文書は、データ保護の観点から、AIを用いた構成要素を含む処理業務の監査に組み込むべき客観的な指針と基準を提供している。 |
| El impacto que los tratamientos basados en IA podrían tener en los derechos y libertades de los ciudadanos pone de manifiesto la necesidad de establecer modelos de desarrollo maduros en los sistemas y tratamientos en los que se utilicen | AIを用いた処理が市民の権利と自由に与える影響は、それらが使用されるシステムと処理において成熟した開発モデルを確立する必要性を浮き彫りにしている。 |
| La Guía está orientada a responsables y encargados que han de auditar tratamientos que incluyan IA, a desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones, a Delegados de Protección de Datos y a los equipos de auditores encargados de evaluar dichos tratamientos | このガイドは、AIを含む処理業務を監査しなければならない管理者や監督者、製品やソリューションの保証を提供したいと考えている開発者、データ保護責任者、処理業務の評価を担当する監査チームを対象としている。 |
ガイダンスはこちら・・・
ざっとウェブページの内容を意訳すると。。。
ーーーーー
分析や推論に人工知能(AI)を用いた個人データの処理業務を行うためには、品質とプライバシーを保証する成熟した開発モデルを適用する必要があります。AIを用いた処理が市民の権利と自由に与える影響は、AIを用いたシステムや処理業務について、効果的な管理、正確性、責任、説明責任、リスク管理、透明性などの対策を講じる必要があることを浮き彫りにしている。
一般データ保護規則(GDPR)の第24条では、データを処理する者は、「本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装する」(個人情報保護委員会の訳)ことが義務づけられている。これらの措置は、「取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮して」選択されなければならず、GDPRの遵守を「確保し、そのことを説明できる」ための手段の一つとして監査の実施がある。そのためには、データ保護の観点からAI構成要素の監査を行うために設計された客観的な基準を持つ必要がある。
この文書には、監査されたアルゴリズムのインベントリの作成、責任の明確化、透明性の原則の遵守、目的の明確化、処理の比例性と必要性の分析、データ保存の限界、データの品質の確保、バイアスの可能性の管理、GDPR の積極的責任の原則に準拠して行われた行動と得られた結果の検証と検証などの目的が含まれている。
この文書は主に、AIを用いた構成要素を含む処理業務を監査する必要があるデータ管理者や監督者、対象となるデータ保護義務と原則の遵守を保証し実証できるようにするや必要があるデータ管理者や監督者、製品とソリューションの保証を提供したい開発者、処理業務の監督とデータ管理者への助言の両方を担当するデータ保護責任者、そのような処理業務の評価を担当する監査チームを対象としている。
この文書は、AIを用いた処理における個人データ保護の原則の効果的な遵守に対処した、「Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (AIを用いた処理のためのGDPR適応ガイド)」を補完するものである。その中で、監査の章が設けられ、監査は可能な評価ツールの一つとして、また、説明可能で、予測可能で、制御可能な製品を実現するための手段として提案されている。
監査の対象となる統制の選択、分析の範囲、及びその実施に必要な形式は、他の監査と同様に、監査のために定義された目的と範囲、及び実施されたリスク分析に依存する。監査人は、特定の監査に適した統制を選択し、適切と思われる統制を追加しなければならない。
文書の目次です。
| I. INTRODUCCIÓN | I. 序論 |
| II. METODOLOGÍA DE AUDITORÍA Y TRATAMIENTOS QUE INCORPORAN COMPONENTES DE IA | II.監査の方法論及びAI構成要素を組み込んだ治療法 |
| A. Objetivos generales de la auditoría de un componente IA en PD | A.データ保護におけるAI構成要素の監査の一般的な目的 |
| B. Características singulares de la metodología de la auditoría de un componente IA en PD | B. データ保護におけるAI構成要素の監査方法の特徴 |
| III. OBJETIVOS DE CONTROL Y CONTROLES | III.統制目標と統制活動 |
| A. Identificación y transparencia del componente | A. 構成要素の識別と透明性 |
| Objetivo: Inventario del componente IA auditado | 目的:監査対象となるAI構成要素の棚卸し |
| Objetivo: Identificación de responsabilidades | 目的:責任の明確化 |
| Objetivo: Transparencia | 目的:透明性 |
| B. Propósito del componente IA | B. AI構成要素の目的 |
| Objetivo: Identificación de las finalidades y usos previstos | 目的:目的と用途の特定 |
| Objetivo: Identificación del contexto de uso del componente IA | 目的:AI構成要素の利用文脈の特定 |
| Objetivo: Análisis de la proporcionalidad y necesidad | 目的:比例性と必要性の分析 |
| Objetivo: Determinación de los destinatarios de los datos | 目的:データ受信者の決定 |
| Objetivo: Limitación de la conservación de datos | 目的:データ保持の制限 |
| Objetivo: Análisis de las categorías de interesados | 目的:ステークホルダーのカテゴリー分析 |
| C. Fundamentos del componente IA | C. AI構成要素の基礎 |
| Objetivo: Identificación de la política de desarrollo del componente IA | 目的:AI開発方針の洗い出し |
| Objetivo: Implicación del DPD | 目的:データ保護代理人の関与 |
| Objetivo: Adecuación de los modelos teóricos base | 目的:理論的基礎モデルの妥当性 |
| Objetivo: Adecuación del marco metodológico | 目的:方法論的枠組みの妥当性 |
| Objetivo: Identificación de la arquitectura básica del componente | 目的:構成要素の基本的なアーキテクチャの特定 |
| D. Gestión de los datos | D. データ管理 |
| Objetivo: Aseguramiento de la calidad de los datos | 目的:データ品質保証 |
| Objetivo: Determinación del origen de las fuentes de datos | 目的:データソースの出所の特定 |
| Objetivo: Preparación de los datos personales | 目的:個人データの作成 |
| Objetivo: Control del sesgo | 目的:偏りコントロール |
| E. Verificación y validación | E. 検証と妥当性確認 |
| Objetivo: Adecuación del proceso de verificación y validación del componente IA | 目的:AI構成要素の検証・妥当性確認プロセスの適切性 |
| Objetivo: Verificación y Validación del componente IA | 目的:AI構成要素の検証と妥当性確認 |
| Objetivo: Rendimiento | 目的:パフォーマンス |
| Objetivo: Coherencia | 目的:干渉 |
| Objetivo: Estabilidad y robustez | 目的:安定性とロバスト性 |
| Objetivo: Trazabilidad | 目的:トレーサビリティ |
| Objetivo: Seguridad | 目的:セキュリティ |
| IV. CONCLUSIONES | IV.結論 |
| V. ANEXO I: DEFINICIONES | V. 附属書 I: 定義 |
| Anonimización | 匿名化 |
| Aprendizaje de componentes IA | AI構成要素学習 |
| Auditoria | 監査 |
| Auditoría de protección de datos de componentes IA | AI構成要素データ保護監査 |
| Componente IA | AI構成要素 |
| Datos de entrada, datos de salida y datos etiquetados | 入力データ、出力データ、タグ付きデータ |
| Datos personales | 個人データ |
| Ciclo de vida de un componente IA | AI構成要素のライフサイクル |
| Discriminación algorítmica | アルゴリズムによる差別 |
| Discriminación grupal | 集団差別 |
| Discriminación estadística | 統計的差別 |
| IA-débil | 弱いAI |
| Metodología de auditoría | 監査の方法論 |
| Objetivos de control y controles | 統制目的と統制活動 |
| Perfilado | プロファイリング |
| Riesgo de reidentificación | 再識別のリスク |
| Sesgo algorítmico | アルゴリズムのバイアス |
| Variables proxy | プロキシ変数 |
参考
・ Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. - Una introducción(AIを用いた処理のためのGDPR適応ガイド - 導入)
| I. INTRODUCCIÓN AL MARCO IA Y PROTECCIÓN DE DATOS | I. AIフレームワークとデータ保護への導入 |
| A. Técnicas de IA | A. AI技術 |
| B. Tratamientos con componentes de IA | B. AI構成要素を使った処理 |
| C. Protección de datos y la dimensión ética | C. データ保護と倫理的側面 |
| D. Definiciones en el RGPD | D. GDPRでの定義 |
| Objeto del RGPD | GDPRの目的 |
| Dato personal | 個人データ |
| Seudonimización y anonimizacion | 仮名化と匿名化 |
| Categorías especiales de datos | データの特殊カテゴリ |
| Tratamiento | 処置 |
| Perfilado | プロファイリング |
| Decisiones automatizadas | 自動化された意思決定 |
| Usuarios de la solución IA | AIソリューション利用者 |
| Responsable | 責任 |
| Corresponsable | 対応窓口 |
| Encargado | 管理者 |
| Excepción doméstica | 家庭内の例外 |
| E. Ciclo de vida de un solución IA | E. AIソリューションのライフサイクル |
| F. Tratamientos de datos personales usando IA | F. AIを利用した個人データの処理 |
| G. Evaluación de las soluciones IA | G. AIソリューションの評価 |
| H. Breve resumen de obligaciones que establecen el RGPD | H. GDPRに基づく義務の概要 |
| II. ROLES, RELACIONES Y RESPONSABLES | II. 役割、関係性および責任 |
| III. CUMPLIMIENTO | III. 適合性 |
| A. Legitimación y limitación del tratamiento | A. 処理の正当性と限界 |
| Interés legítimo | 正当な目的 |
| Categorías especiales | 特殊なカテゴリー |
| Tratamientos con fines compatibles | 互換性のある目的のための処理 |
| B. Información | B. 情報 |
| Información significativa sobre la lógica aplicada | 応用ロジックに関する重要な情報 |
| C. Generalidades sobre los ejercicios de derechos | C. 権利行使に関する一般的な情報 |
| D. Derecho de Acceso | D. アクセス権 |
| E. Derechos de Supresión | E. 削除権 |
| Limitaciones a la supresión. | 削除の制限 |
| F. Bloqueo de los datos | F. データのブロック |
| G. Derecho de Rectificación | G. 修正権 |
| H. Portabilidad | H. ポータビリティ |
| I. Toma de decisiones basadas únicamente en un tratamiento automatizado | I. 自動処理のみに基づく意思決定 |
| IV. GESTIÓN DEL RIESGO PARA LOS DERECHOS Y LIBERTADES | IV. 権利と自由のためのリスク管理 |
| A. Evaluación del Nivel de Riesgo | A. リスクレベル評価 |
| B. La Evaluación de Impacto de la Privacidad - EIPD | B. プライバシー影響評価 - PII |
| C. Transparencia | C. 透明性 |
| Durante la etapa de entrenamiento | 学習段階 |
| Certificación | 認証 |
| Decisiones automatizadas y elaboración de perfiles | 自動判定とプロファイリング |
| Personal del responsable | 管理者のスタッフ |
| El Delegado de Protección de Datos como herramienta de transparencia | 透明性を高めるためのツールとしてのデータ保護の委譲 |
| D. Exactitud | D. 精度 |
| Factores que influyen en la exactitud | 精度に影響を与える要因 |
| Información biométrica | 生体情報 |
| Combinación de perfilados | プロファイルの組み合わせ |
| Verificación vs. Validación | 検証と妥当性確認 |
| Garantía de exactitud como un proceso continuo | 連続的なプロセスとしての精度保証 |
| E. Minimización | E. 最小化 |
| Datos de entrenamiento | 学習データ |
| Técnicas de minimización | 最小化技術 |
| Extensión de las categorías de datos en la solución IA | AIソリューションにおけるデータカテゴリの拡張 |
| Extensión del conjunto de entrenamiento | 学習パッケージの拡張 |
| Datos personales en la solución IA | AIソリューションにおける個人データ |
| F. Seguridad | F. セキュリティ |
| Amenazas específicas en componentes IA | AI構成要素における具体的な脅威 |
| Logs o registros de actividad | ログまたは活動記録 |
| G. Evaluación de la proporcionalidad y necesidad de dichos tratamiento | G. 比例性とその処理の必要性の評価 |
| H. Auditoria | H. 監査 |
| V. TRANSFERENCIAS INTERNACIONALES | V. 国際な移転 |
| VI. CONCLUSIONES | VI. 結論 |
| VII. REFERENCIAS | VII.参考文献 |
| VIII. ANEXO: SERVICIOS ACTUALES BASADOS EN IA | VIII. 別紙:現在のAIを用いたサービス |
« 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する? | Main | スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。 »
Comments