« 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する? | Main | スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。 »

2021.01.15

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。

こんにちは、丸山満彦です。

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD)が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。。。

スペインの個人データ保護庁は、かなり精力的に仕事をしているイメージがあります。文書がスペイン語なので私にはなかなかとっつきにくいのですが、、、そして今度の文書もスペイン語です...(なので、複数の翻訳ソフトと辞書を使いながらの訳です・・・)

Agencia Española de Protección de Datos: AEPD

・2021.01.12 La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial(AEPDはAIを含むデータ処理監査の要件に関するガイダンスを公表した)

El documento ofrece orientaciones y criterios objetivos, desde una perspectiva de protección de datos, que deberían incorporarse a las auditorías de tratamientos que incluyen componentes basados en Inteligencia Artificial この文書は、データ保護の観点から、AIを用いた構成要素を含む処理業務の監査に組み込むべき客観的な指針と基準を提供している。
El impacto que los tratamientos basados en IA podrían tener en los derechos y libertades de los ciudadanos pone de manifiesto la necesidad de establecer modelos de desarrollo maduros en los sistemas y tratamientos en los que se utilicen AIを用いた処理が市民の権利と自由に与える影響は、それらが使用されるシステムと処理において成熟した開発モデルを確立する必要性を浮き彫りにしている。
La Guía está orientada a responsables y encargados que han de auditar tratamientos que incluyan IA, a desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones, a Delegados de Protección de Datos y a los equipos de auditores encargados de evaluar dichos tratamientos このガイドは、AIを含む処理業務を監査しなければならない管理者や監督者、製品やソリューションの保証を提供したいと考えている開発者、データ保護責任者、処理業務の評価を担当する監査チームを対象としている。

ガイダンスはこちら・・・

・[PDF] Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial

ざっとウェブページの内容を意訳すると。。。

ーーーーー

分析や推論に人工知能(AI)を用いた個人データの処理業務を行うためには、品質とプライバシーを保証する成熟した開発モデルを適用する必要があります。AIを用いた処理が市民の権利と自由に与える影響は、AIを用いたシステムや処理業務について、効果的な管理、正確性、責任、説明責任、リスク管理、透明性などの対策を講じる必要があることを浮き彫りにしている。

一般データ保護規則(GDPR)の第24条では、データを処理する者は、「本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装する」(個人情報保護委員会の訳)ことが義務づけられている。これらの措置は、「取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮して」選択されなければならず、GDPRの遵守を「確保し、そのことを説明できる」ための手段の一つとして監査の実施がある。そのためには、データ保護の観点からAI構成要素の監査を行うために設計された客観的な基準を持つ必要がある。

この文書には、監査されたアルゴリズムのインベントリの作成、責任の明確化、透明性の原則の遵守、目的の明確化、処理の比例性と必要性の分析、データ保存の限界、データの品質の確保、バイアスの可能性の管理、GDPR の積極的責任の原則に準拠して行われた行動と得られた結果の検証と検証などの目的が含まれている。

この文書は主に、AIを用いた構成要素を含む処理業務を監査する必要があるデータ管理者や監督者、対象となるデータ保護義務と原則の遵守を保証し実証できるようにするや必要があるデータ管理者や監督者、製品とソリューションの保証を提供したい開発者、処理業務の監督とデータ管理者への助言の両方を担当するデータ保護責任者、そのような処理業務の評価を担当する監査チームを対象としている。

この文書は、AIを用いた処理における個人データ保護の原則の効果的な遵守に対処した、「Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (AIを用いた処理のためのGDPR適応ガイド)」を補完するものである。その中で、監査の章が設けられ、監査は可能な評価ツールの一つとして、また、説明可能で、予測可能で、制御可能な製品を実現するための手段として提案されている。

監査の対象となる統制の選択、分析の範囲、及びその実施に必要な形式は、他の監査と同様に、監査のために定義された目的と範囲、及び実施されたリスク分析に依存する。監査人は、特定の監査に適した統制を選択し、適切と思われる統制を追加しなければならない。

文書の目次です。

I. INTRODUCCIÓN  I. 序論 
II. METODOLOGÍA DE AUDITORÍA Y TRATAMIENTOS QUE INCORPORAN COMPONENTES DE IA  II.監査の方法論及びAI構成要素を組み込んだ治療法 
A. Objetivos generales de la auditoría de un componente IA en PD  A.データ保護におけるAI構成要素の監査の一般的な目的 
B. Características singulares de la metodología de la auditoría de un componente IA en PD  B. データ保護におけるAI構成要素の監査方法の特徴 
III. OBJETIVOS DE CONTROL Y CONTROLES  III.統制目標と統制活動 
A. Identificación y transparencia del componente  A. 構成要素の識別と透明性 
Objetivo: Inventario del componente IA auditado  目的:監査対象となるAI構成要素の棚卸し 
Objetivo: Identificación de responsabilidades  目的:責任の明確化 
Objetivo: Transparencia  目的:透明性 
B. Propósito del componente IA  B. AI構成要素の目的 
Objetivo: Identificación de las finalidades y usos previstos  目的:目的と用途の特定 
Objetivo: Identificación del contexto de uso del componente IA  目的:AI構成要素の利用文脈の特定 
Objetivo: Análisis de la proporcionalidad y necesidad  目的:比例性と必要性の分析 
Objetivo: Determinación de los destinatarios de los datos  目的:データ受信者の決定 
Objetivo: Limitación de la conservación de datos  目的:データ保持の制限 
Objetivo: Análisis de las categorías de interesados  目的:ステークホルダーのカテゴリー分析 
C. Fundamentos del componente IA  C. AI構成要素の基礎 
Objetivo: Identificación de la política de desarrollo del componente IA  目的:AI開発方針の洗い出し 
Objetivo: Implicación del DPD  目的:データ保護代理人の関与 
Objetivo: Adecuación de los modelos teóricos base  目的:理論的基礎モデルの妥当性 
Objetivo: Adecuación del marco metodológico  目的:方法論的枠組みの妥当性 
Objetivo: Identificación de la arquitectura básica del componente  目的:構成要素の基本的なアーキテクチャの特定 
D. Gestión de los datos  D. データ管理 
Objetivo: Aseguramiento de la calidad de los datos  目的:データ品質保証 
Objetivo: Determinación del origen de las fuentes de datos  目的:データソースの出所の特定 
Objetivo: Preparación de los datos personales  目的:個人データの作成 
Objetivo: Control del sesgo  目的:偏りコントロール 
E. Verificación y validación  E. 検証と妥当性確認
Objetivo: Adecuación del proceso de verificación y validación del componente IA  目的:AI構成要素の検証・妥当性確認プロセスの適切性
Objetivo: Verificación y Validación del componente IA  目的:AI構成要素の検証と妥当性確認
Objetivo: Rendimiento  目的:パフォーマンス 
Objetivo: Coherencia  目的:干渉
Objetivo: Estabilidad y robustez  目的:安定性とロバスト性 
Objetivo: Trazabilidad  目的:トレーサビリティ 
Objetivo: Seguridad  目的:セキュリティ 
IV. CONCLUSIONES  IV.結論 
V. ANEXO I: DEFINICIONES  V. 附属書 I: 定義 
Anonimización  匿名化 
Aprendizaje de componentes IA  AI構成要素学習 
Auditoria  監査 
Auditoría de protección de datos de componentes IA  AI構成要素データ保護監査 
Componente IA  AI構成要素
Datos de entrada, datos de salida y datos etiquetados  入力データ、出力データ、タグ付きデータ 
Datos personales  個人データ
Ciclo de vida de un componente IA  AI構成要素のライフサイクル 
Discriminación algorítmica  アルゴリズムによる差別 
Discriminación grupal  集団差別 
Discriminación estadística  統計的差別 
IA-débil  弱いAI
Metodología de auditoría  監査の方法論 
Objetivos de control y controles  統制目的と統制活動
Perfilado  プロファイリング 
Riesgo de reidentificación  再識別のリスク 
Sesgo algorítmico  アルゴリズムのバイアス 
Variables proxy  プロキシ変数 

 

 



 

 

参考

Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. - Una introducciónAIを用いた処理のためのGDPR適応ガイド - 導入

I. INTRODUCCIÓN AL MARCO IA Y PROTECCIÓN DE DATOS  I. AIフレームワークとデータ保護への導入 
A. Técnicas de IA  A. AI技術 
B. Tratamientos con componentes de IA  B. AI構成要素を使った処理
C. Protección de datos y la dimensión ética  C. データ保護と倫理的側面 
D. Definiciones en el RGPD  D. GDPRでの定義 
Objeto del RGPD  GDPRの目的 
Dato personal  個人データ
Seudonimización y anonimizacion  仮名化と匿名化 
Categorías especiales de datos  データの特殊カテゴリ 
Tratamiento  処置 
Perfilado  プロファイリング 
Decisiones automatizadas  自動化された意思決定 
Usuarios de la solución IA  AIソリューション利用者 
Responsable  責任 
Corresponsable  対応窓口
Encargado  管理者 
Excepción doméstica  家庭内の例外 
E. Ciclo de vida de un solución IA  E. AIソリューションのライフサイクル 
F. Tratamientos de datos personales usando IA  F. AIを利用した個人データの処理 
G. Evaluación de las soluciones IA  G. AIソリューションの評価 
H. Breve resumen de obligaciones que establecen el RGPD  H. GDPRに基づく義務の概要 
II. ROLES, RELACIONES Y RESPONSABLES  II. 役割、関係性および責任 
III. CUMPLIMIENTO  III. 適合性 
A. Legitimación y limitación del tratamiento  A. 処理の正当性と限界 
Interés legítimo  正当な目的
Categorías especiales  特殊なカテゴリー 
Tratamientos con fines compatibles  互換性のある目的のための処理
B. Información  B. 情報
Información significativa sobre la lógica aplicada  応用ロジックに関する重要な情報 
C. Generalidades sobre los ejercicios de derechos  C. 権利行使に関する一般的な情報 
D. Derecho de Acceso  D. アクセス権 
E. Derechos de Supresión  E. 削除権 
Limitaciones a la supresión.  削除の制限
F. Bloqueo de los datos  F. データのブロック
G. Derecho de Rectificación  G. 修正権 
H. Portabilidad  H. ポータビリティ
I. Toma de decisiones basadas únicamente en un tratamiento automatizado  I. 自動処理のみに基づく意思決定 
IV. GESTIÓN DEL RIESGO PARA LOS DERECHOS Y LIBERTADES  IV. 権利と自由のためのリスク管理 
A. Evaluación del Nivel de Riesgo  A. リスクレベル評価 
B. La Evaluación de Impacto de la Privacidad - EIPD  B. プライバシー影響評価 - PII
C. Transparencia  C. 透明性 
Durante la etapa de entrenamiento  学習段階
Certificación  認証 
Decisiones automatizadas y elaboración de perfiles  自動判定とプロファイリング 
Personal del responsable  管理者のスタッフ 
El Delegado de Protección de Datos como herramienta de transparencia  透明性を高めるためのツールとしてのデータ保護の委譲
D. Exactitud  D. 精度 
Factores que influyen en la exactitud  精度に影響を与える要因 
Información biométrica  生体情報 
Combinación de perfilados  プロファイルの組み合わせ 
Verificación vs. Validación  検証と妥当性確認
Garantía de exactitud como un proceso continuo  連続的なプロセスとしての精度保証 
E. Minimización  E. 最小化 
Datos de entrenamiento  学習データ 
Técnicas de minimización  最小化技術 
Extensión de las categorías de datos en la solución IA  AIソリューションにおけるデータカテゴリの拡張 
Extensión del conjunto de entrenamiento  学習パッケージの拡張 
Datos personales en la solución IA  AIソリューションにおける個人データ
F. Seguridad  F. セキュリティ 
Amenazas específicas en componentes IA  AI構成要素における具体的な脅威 
Logs o registros de actividad  ログまたは活動記録 
G. Evaluación de la proporcionalidad y necesidad de dichos tratamiento  G. 比例性とその処理の必要性の評価 
H. Auditoria  H. 監査 
V. TRANSFERENCIAS INTERNACIONALES  V. 国際な移転
VI. CONCLUSIONES  VI. 結論 
VII. REFERENCIAS  VII.参考文献 
VIII. ANEXO: SERVICIOS ACTUALES BASADOS EN IA  VIII. 別紙:現在のAIを用いたサービス 

 

 

|

« 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する? | Main | スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。 »

Comments

Post a comment



(Not displayed with comment.)




« 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する? | Main | スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。 »