« スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。 | Main | NTFS $ I30インデックス属性に関わるリスクの件 »

2021.01.16

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。

こんにちは、丸山満彦です。

以下の部分の統制活動 (Controles) が全部で144項目ありますね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.15 スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。

の続きにようなものです。。。

Agencia Española de Protección de Datos: AEPD

・2021.01.12 La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial(AEPDはAIを含むデータ処理監査の要件に関するガイダンスを公表した)

・[PDF] Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial

まずは目次の該当部分を再掲・・・

III. OBJETIVOS DE CONTROL Y CONTROLES  III.統制目標と統制活動 
A. Identificación y transparencia del componente  A. 構成要素の識別と透明性 
Objetivo: Inventario del componente IA auditado  目的:監査対象となるAI構成要素の棚卸し 
Objetivo: Identificación de responsabilidades  目的:責任の明確化 
Objetivo: Transparencia  目的:透明性 
B. Propósito del componente IA  B. AI構成要素の目的 
Objetivo: Identificación de las finalidades y usos previstos  目的:目的と用途の特定 
Objetivo: Identificación del contexto de uso del componente IA  目的:AI構成要素の利用文脈の特定 
Objetivo: Análisis de la proporcionalidad y necesidad  目的:比例性と必要性の分析 
Objetivo: Determinación de los destinatarios de los datos  目的:データ受信者の決定 
Objetivo: Limitación de la conservación de datos  目的:データ保持の制限 
Objetivo: Análisis de las categorías de interesados  目的:ステークホルダーのカテゴリー分析 
C. Fundamentos del componente IA  C. AI構成要素の基礎 
Objetivo: Identificación de la política de desarrollo del componente IA  目的:AI開発方針の洗い出し 
Objetivo: Implicación del DPD  目的:データ保護代理人の関与 
Objetivo: Adecuación de los modelos teóricos base  目的:理論的基礎モデルの妥当性 
Objetivo: Adecuación del marco metodológico  目的:方法論的枠組みの妥当性 
Objetivo: Identificación de la arquitectura básica del componente  目的:構成要素の基本的なアーキテクチャの特定 
D. Gestión de los datos  D. データ管理 
Objetivo: Aseguramiento de la calidad de los datos  目的:データ品質保証 
Objetivo: Determinación del origen de las fuentes de datos  目的:データソースの出所の特定 
Objetivo: Preparación de los datos personales  目的:個人データの作成 
Objetivo: Control del sesgo  目的:偏りコントロール 
E. Verificación y validación  E. 検証と妥当性確認
Objetivo: Adecuación del proceso de verificación y validación del componente IA  目的:AI構成要素の検証・妥当性確認プロセスの適切性
Objetivo: Verificación y Validación del componente IA  目的:AI構成要素の検証と妥当性確認
Objetivo: Rendimiento  目的:パフォーマンス 
Objetivo: Coherencia  目的:干渉
Objetivo: Estabilidad y robustez  目的:安定性とロバスト性 
Objetivo: Trazabilidad  目的:トレーサビリティ 
Objetivo: Seguridad  目的:セキュリティ 

144の詳細はこちら。訳は機械翻訳を使っているので間違いがあるとは思いますが、概要をつかむということで・・・

↓↓↓↓↓

スペイン語で・で始まる部分が統制活動(Controles)です。

144 III. OBJETIVOS DE CONTROL Y CONTROLES  III.統制目標と統制活動
13 A. Identificación y transparencia del componente  A.構成要素の識別と透明性
  Objetivo: Inventario del componente IA auditado  目的:監査対象となるAI構成要素の棚卸し
  En cumplimiento de la responsabilidad proactiva debe existir trazabilidad, y para ello, una correcta identificación del componente IA parte del tratamiento auditado. 主体的な責任を果たすためには、トレーサビリティが必要であり、そのためには、監査対象の処理からAI構成要素を正しく識別しなければならない。
1 ・ El componente IA está identificado en la documentación con un nombre o código, la identificación de la versión23 y la fecha de creación. AI構成要素は、名称またはコード、バージョンの識別、作成日を文書で識別する。
2 ・ Tanto el código como cualquier archivo adicional que defina la versión dispondrá de una firma digital de todo el conjunto que garantice su integridad. コードとバージョンを定義する追加ファイルには、その完全性を保証する全体のデジタル署名を付与する。
3 ・ Existe y está documentado un histórico de versiones de la evolución del componente IA utilizado, incluyendo los parámetros usados en el entrenamiento del componente y todo aquello que asegure la trazabilidad de la evolución/cambios en el componente. 使用したAI構成要素の進化のバージョン履歴が存在し、構成要素の訓練に使用したパラメータや、構成要素の進化・変更のトレーサビリティを確保するための全てのパラメータを含めて文書化する。
  Objetivo: Identificación de responsabilidades  目的:責任の明確化
  En cumplimiento de la responsabilidad proactiva debe existir una identificación clara de los roles con relación al tratamiento auditado que incluye el componente IA y las responsabilidades de las partes implicadas. 先を見越した責任を果たすためには、AI構成要素を含む監査対象の処理に関連した役割と関係者の責任を明確に識別しなければならない。
1 ・ Datos identificativos y de contacto de la/s persona/s o institución/instituciones responsables de las etapas del ciclo de vida del componente IA bajo auditoría y/o, corresponsables, representantes del responsable y de los encargados. 監査対象となるAI構成要素のライフサイクルの各段階の責任者、機関、または共同責任者、責任者の代表者、責任者の代表者を特定し、連絡する。
2 ・ Especificación en los contratos asociados a las etapas de tratamiento bajo auditoría del reparto de responsabilidades desde el punto de vista de protección de datos personales. 個人データ保護の観点からの責任配分を監査中の処理段階に関連した契約書に明記する。
3 ・ Inscripción en el Registro de Actividades de Tratamiento de los responsables respectivos, y/o los encargados, del tratamiento de datos personales bajo auditoría. 監査中の個人データの処理について、それぞれの管理者および/または処理者の処理活動登録簿へ記載する。
4 ・ Determinación de si existe obligación de disponer de un Delegado de Protección de Datos, y en caso afirmativo, identificación de este y comunicación ante la Autoridad de Control. データ保護代理人を置く義務があるかどうかを判断し、ある場合には、その代理人を特定し、監督官庁に連絡する。
  Objetivo: Transparencia  目的:透明性
  En cumplimiento del principio de transparencia y de la obligación de proporcionar la información relativa al tratamiento a los interesados, tanto el origen de los datos como las propiedades y la lógica del componente IA es accesible, comprensible y puede ser explicada. 透明性の原則とデータ主体に処理に関する情報を提供する義務を遵守して、データの出所とAI構成要素のプロパティとロジックの両方がアクセス可能で、理解しやすく、説明できなければならない。
1 ・ El origen de los datos está documentado y existe un mecanismo para informar. データの出所を文書化し、報告の仕組みを整える。
2 ・ Las características de los datos usados para entrenar al componente IA están identificadas, documentadas y adecuadamente justificadas. AI構成要素の訓練に使用したデータの特性を特定し、文書化し、適切に正当化する。
3 ・ Teniendo en cuenta criterios de eficiencia, calidad y precisión del componente IA, se ha elegido el modelo más adecuado (usando criterios de simplicidad e inteligibilidad), entre varios componentes concurrentes, y desde el punto de vista de su codificación para facilitar la legibilidad, comprensión de su lógica, la coherencia interna y la explicabilidad. AI構成要素の効率性、品質、正確性の基準を考慮し、複数の競合する構成要素の中から、読みやすさ、論理の理解、内部の一貫性、説明可能性の観点から、最も適切なモデルを選択する。
4 ・ La información sobre los metadatos del componente IA, su lógica y las consecuencias que pueden derivarse de su empleo están accesibles para las partes interesadas junto con los medios o mecanismos disponibles para ejercer sus derechos en caso de objeción respecto de los resultados. AI構成要素のメタデータ、そのロジック、およびその使用から生じる可能性のある結果に関する情報が、その結果に異議を唱えられた場合に権利を行使するために利用可能な手段やメカニズムとともに、利害関係者がアクセスできるようにする。
5 ・ Existe la documentación suficiente para comprender la lógica del componente IA utilizado y realizar la trazabilidad de su comportamiento respecto a cada conjunto de datos de entrada, el uso que hace de estos y de los datos intermedios, y cómo entrega los datos de salida. 使用しているAIのロジックを理解し、各入力データのセット、それらと中間データの利用、出力データをどのように提供しているかについて、AIの動作のトレーサビリティを行うための十分な文書がある。
6 ・ Ante un comportamiento erróneo por parte del componente IA que pueda ocasionar perjuicios a los interesados, se han previsto mecanismos para minimizar esos perjuicios dar soporte a la comunicación a las partes interesadas y facilitar la comunicación entre todas las partes involucradas en el proceso. AI構成要素による誤った行動がステークホルダーに危害を与える可能性がある場合、ステークホルダーとのコミュニケーションを支援し、関係者間のコミュニケーションを円滑にすることで、危害を最小限に抑える仕組みを構築する。
33 B. Propósito del componente IA  B.AI構成要素の目的
  Objetivo: Identificación de las finalidades y usos previstos  目的:目的と用途の特定
  En cumplimiento del principio de limitación de finalidad, los fines para los que son empleados los datos procesados por y para el componente IA, han de ser determinados, explícitos y legítimos sin ser utilizados de manera incompatibles con aquellos. 目的制限の原則に従い、AI構成要素によって処理されたデータが使用される目的は、それらの目的と矛盾する方法で使用されることなく、決定され、明示され、合法的でなければならない。
1 ・ Está documentado el objetivo que se persigue con el uso del componente IA, tanto en términos cuantitativos como cualitativos, con una descripción clara de lo que se pretende conseguir mediante su empleo en el marco del tratamiento. AIを使用して追求した目的が定量的にも定性的にも文書化されており、処理の枠組みの中で何を達成しようとしているのかを明確に記載する。
2 ・ Está documentada la relación entre el objetivo que se persigue con el uso del componente de IA en un determinado tratamiento y las condiciones que garantizan la licitud de dicho tratamiento. 処理作業における AI構成要素の使用により追求される目的と処理の適法性を保証する条件との関係を文書化する。
3 ・ Están identificadas las dinámicas, actividades y/o procesos en el marco de la organización en la que se integra la etapa del ciclo de vida del componente IA bajo auditoría, delimitando, en la medida de lo posible, el contexto de su uso. 監査対象のAI構成要素のライフサイクルステージが統合されている組織内のダイナミクス、活動および/またはプロセスが特定され、可能な限り、その使用状況を特定する。
4 ・ Los usuarios potenciales del componente IA están categorizados. AI構成要素の潜在的な利用者を分類する。
5 ・ En su caso, se han descrito otros posibles usos y usuarios secundarios junto con la base de legitimación que justifica su utilización; 必要に応じて、他の可能性のある利用方法や二次利用者を、その利用を正当化するための根拠とともに記述する。
  Objetivo: Identificación del contexto de uso del componente IA  目的:AI構成要素の利用文脈の特定
  En cumplimiento de la obligación de analizar el contexto del tratamiento en el que se integra el componente IA se han de conocer las circunstancias en las que tiene lugar el tratamiento así como otros factores que puedan condicionar las expectativas de las partes concernidas y que puedan tener un impacto sobre los derechos de los interesados. El análisis de esas circunstancias ayudará a poder determinar las medidas técnicas y organizativas más adecuadas de cara a garantizar el cumplimiento de las obligaciones normativas. AI構成要素が含まれる処理操作の文脈を分析する義務を遵守するためには、処理が行われる状況、関係者の期待を条件とし、データ対象者の権利に影響を与える可能性のあるその他の要因を知らなければならない。これらの状況を分析することで、規制上の義務を確実に遵守するための最も適切な技術的・組織的措置を特定することができる。
1 ・ Están documentados los contextos jurídico, social, económico, organizacional, técnico, científico, o de cualquier otra clase que esté relacionado con la inclusión del componente IA en el tratamiento de datos personales. 個人データの処理にAI構成要素が含まれることに関連した法的、社会的、経済的、組織的、技術的、科学的、その他の文脈を文書化する。
2 ・ Está definida en la estructura organizacional y/o contractual entre las partes y así el reparto de tareas y responsabilidades. 当事者間の組織的・契約的な構造の中で、仕事と責任の配分を定義する。
3 ・ Están descritos los factores condicionantes de la efectividad del componente, incluyendo las garantías jurídicas, las normas aplicables, los recursos organizativos y técnicos, los datos disponibles y las dinámicas internas que ha de incorporar un tratamiento de datos personales para la inclusión, con garantías, del componente IA bajo auditoría. 構成要素の有効性を決定する要因は、法的保護措置、適用される規則、組織及び技術的資源、利用可能なデータ、及び監査対象のAI構成要素の保護措置を含めた個人データ処理に組み込まれるべき内部力学を含めて説明する。
4 ・  Están definidos los requisitos de los operadores humanos que tendrán misión de supervisar e interpretar la operación del componente IA. AI構成要素の動作を監督・解釈する作業を行う人間の要件を定義する。
5 ・ En su caso, está documentada la interacción del componente IA con otros componentes, sistemas o aplicaciones, propias o de terceros y el reparto de responsabilidades de mantenimiento, actualización y minimización de los problemas de privacidad del sistema.. 該当する場合、AI構成要素と他の構成要素、システムまたはアプリケーションとの相互作用、システムのプライバシー問題を維持、更新、最小化するための責任の配分を文書化する。
6 ・ Están definidos los baremos o umbrales para interpretar y utilizar los resultados ofrecidos por el componente IA utilizado. 使用したAI構成要素が提供する結果を解釈して使用するための尺度や閾値を定義する。
7 ・ Están identificados y descritos aquellos contextos para los que no está recomendado incluir el componente IA en un tratamiento al no poder cumplir con su objeto o propiedades, o por tener el componente un nivel de fiabilidad y/o exactitud inadecuado respecto a la relevancia que podría tener el tratamiento en el interesado. AI構成要素がその対象や特性に適合しないため、あるいは、その構成要素が利害関係者にとっての関連性に関して信頼性や正確性のレベルが不十分であるために、処理にAI構成要素を含めることが推奨されないコンテクストを特定し、記述する。
  Objetivo: Análisis de la proporcionalidad y necesidad  目的:比例性と必要性の分析
  Cuando el componente IA se audite en el marco de un tratamiento en el que sea obligatorio realizar una evaluación de impacto relativa a la protección de datos, se ha de analizar la necesidad y proporcionalidad que supone su empleo respecto de la finalidad perseguida. データ保護の影響評価が必須である処理業務の枠組みの中でAI構成要素が監査される場合、達成される目的に関連してAI構成要素の使用の必要性と比例性を分析しなければならない。
1 ・ Existe una evaluación del empleo del componente IA en el marco del tratamiento frente a otras posibles opciones con relación a los derechos y libertades de los interesados. データ対象者の権利と自由に関連して、他の可能性のある選択肢と比較して、処理の枠組みの中でAI構成要素を使用するかどうかの評価がある。
2 ・ En el caso de nuevos desarrollos, se ha realizado un análisis comparado de la eficacia y la adecuación de los resultados del componente IA frente a otros componentes más probados, que utilizan criterios más estrictos de minimización o que presentan menos riesgos para los derechos y libertades de las personas, en particular aquellos que hacen un uso menos intensivo de categorías especiales de datos. 新たな進展があった場合には、AI構成要素の結果の有効性と妥当性の比較分析を、より厳格な最小化基準を使用しているか、または個人の権利と自由に対するリスクが少ない、特に特殊なカテゴリーのデータをあまり集中的に使用していない構成要素と比較して実施する。
3 ・ En el caso de abordar un problema nuevo, existen, se han documentado y se pueden justificar las motivaciones y argumentos que conducen a abordar este problema a través del empleo de un componente IA. 新たな問題に取り組む場合、AI構成要素を用いてその問題に取り組む動機や論拠が存在し、文書化し、正当化する。
4 ・ En el caso de abordar un problema conocido, existen, se han documentado y se pueden justificar los motivos que han conducido a un cambio en el esquema de funcionamiento anterior, describiendo, en su caso, los nuevos objetivos que se persiguen mediante el empleo del componente IA en el marco del tratamiento. 既知の問題に対処する場合には、以前の運用スキームの変更をもたらした理由が存在し、文書化され、正当化されており、適切な場合には、処理の枠組みの中でAI構成要素を使用することによって追求されている新たな目的を記述する。
5 ・  Existe un análisis y gestión del riesgo para los derechos y libertades de los interesados que introduce en el tratamiento el procesamiento de los datos mediante el componente IA. AI構成要素を通じたデータ処理を処理に導入するデータ主体の権利と自由に関するリスク分析とリスク管理を行う。
  Objetivo: Determinación de los destinatarios de los datos  目的:データ受信者の決定
  En cumplimiento de las obligaciones derivadas de la atención de los derechos de los interesados y en especial los relativos a la transparencia y la información facilitada se han de identificar los destinatarios o categorías de destinatarios de los datos personales procesados por el componente IA, incluidos los destinatarios en terceros países u organizaciones internacionales. データ主体の権利、特に透明性と情報提供に関する義務を遵守するためには、第三国または国際機関の受信者を含め、AI構成要素が処理する個人データの受信者または受信者のカテゴリーを特定しなければならない。
1 ・ Están identificadas las obligaciones de información a los interesados con relación al tratamiento de datos derivado de la inclusión del componente IA. AI構成要素を含むことによって生じるデータの処理に関連するデータ主体に対する情報義務を特定する。
2 ・ Dichas obligaciones se identifican tanto para los datos obtenidos directamente de los interesados como cuando no se obtienen directamente de ellos y proceden de otras fuentes. このような義務は、データ対象者から直接取得したデータと、データ対象者から直接取得していない他の情報源から取得したデータの両方について識別する。
3 ・ En la determinación de estas obligaciones están identificados los destinatarios o las categorías de destinatarios a quienes se comunicaron o se comunicarán los datos personales que trata el componente IA, incluidos los destinatarios en terceros países u organizaciones internacionales, tanto en el caso en que los datos se obtienen directamente de ellos o en el caso en que proceden de otras fuentes de información. これらの義務の決定は、第三国または国際機関の受信者を含め、AI構成要素によって処理された個人データが開示された、または開示される予定の受信者を特定するものであり、データがそれらの受信者から直接取得されたものであるか、または他の情報源から取得されたものであるかにかかわらず、受信者または受信者のカテゴリーを特定するものである。
4 ・ En la determinación de estas obligaciones están identificadas las intenciones del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión. En el caso de transferencias mediante garantías adecuadas, las basadas en la aplicación de normas corporativas vinculantes o las que respondan a las excepciones a las que se refiere el artículo 49, apartado 1, párrafo segundo, se facilita referencia a dichas garantías y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado. これらの義務の決定は、第三国または国際機関の受信者に個人データを移転させようとする管理者の意図と、欧州委員会の適切な判断の有無を明らかにするものである。適切な保障措置、拘束力のある会社規則の適用に基づくもの、または第49条(1)項第2号の例外を満たすものによる移転の場合には、当該保障措置、その写しの入手手段、または提供された事実を参照する。
5 ・ Los destinatarios de los datos, incluidos los de terceros países u organizaciones internacionales, aparecen identificados en la actividad o actividades del Registro de Actividades de Tratamiento en las que se inscribe el uso del componente IA. 第三国や国際機関からのデータを含め、AI構成要素の利用が記録されている処理活動登録簿の活動や活動の中で、データの受信者を特定する。
  Objetivo: Limitación de la conservación de datos  目的:データ保持の制限
  En cumplimiento del principio de limitación del plazo de conservación de los datos, y salvo las excepciones previstas, los datos utilizados por el componente IA, ya sean de entrenamiento o los generados por él, se mantendrán durante no más tiempo del necesario para los fines que se pretenden alcanzar. データ保持期間の制限の原則に従い、規定された例外を前提として、AI構成要素が使用するデータは、訓練データであれ生成データであれ、それらが意図された目的のために必要な期間を超えて保持してはならない。
1 ・ Están identificadas las bases legitimadoras para la conservación de los datos personales utilizados por el componente IA por un periodo de tiempo más allá del acotado a los fines del tratamiento, en particular, si está relacionado con fines compatibles o responde a alguna de las excepciones previstas por la normativa (fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos). AI構成要素が使用する個人データの保存のための正当な根拠は、処理目的に限定された期間を超えて特定され、特に、互換性のある目的に関連している場合、または規則で定められた例外(公益のための保存目的、科学的または歴史的研究目的、統計目的)のいずれかに対応している場合である。
2 ・ Están determinadas y justificadas las etapas de ciclo de vida del componente IA en las que es necesario conservar los datos personales tratados. AI構成要素のライフサイクルの中で、処理された個人データを保持する必要がある段階を決定し、正当化している。
3 ・ Están definidos los criterios y las medidas técnicas y organizativas apropiadas para la conservación de los datos personales. 個人データ保護のための基準と適切な技術的・組織的措置を定めている。
4 ・ Están determinados los plazos previstos para la supresión de los datos personales conservados. 保存されている個人データの削除期限を決定する。
5 ・ Está definida una política de conservación de una muestra de datos de entrenamiento con el objeto de auditar el componente de IA, en la que se contemplen los riesgos mínimos o asumibles para los interesados. AI構成要素の監査を目的として、データ対象者のリスクを最小化・想定した訓練データのサンプルを保存する方針を定める。
6 ・ Existen procedimientos para verificar la aplicación de criterios, medidas y plazos de conservación. 基準・対策・保全期間の適用を確認するための手順を定める。
7 ・ Está definido un procedimiento de revisión del análisis de la necesidad y proporcionalidad de la conservación de los datos para aquellos casos en los que se haya detectado un patrón de conservación excesivo, ya sea en plazo o en cantidad. 時間的にも量的にも過剰な保存パターンが検出された場合に、データ保存の必要性と比例性の分析を見直す手順を定義する。
8 ・ Está definida una política de conservación de los datos personales incluidos en los ficheros de registro de actividad del componente IA y se aplican estrategias de privacidad (minimización, ocultación, separación o abstracción de datos) para su explotación. AI活動ログファイルに含まれる個人データの保存方針を定め、その活用のためのプライバシー戦略(最小化、隠蔽、分離、抽象化)を適用する。
  Objetivo: Análisis de las categorías de interesados  目的:ステークホルダーのカテゴリー分析
  Cuando sea obligatorio realizar una evaluación de impacto relativa a la protección de datos en el marco del tratamiento en el que se inscribe el componente IA, se ha de identificar las categorías de interesados a los que afecta el tratamiento y valorar la procedencia de involucrarlos (o a sus representantes) en el proceso de evaluación. AI構成要素が含まれる処理作業の枠組みにおいてデータ保護の影響評価が必須である場合、処理に関係するデータ主体のカテゴリーを特定し、評価プロセスにデータ主体(またはその代表者)を関与させることの適切性を評価しなければならない。
1 ・ Está identificado las categorías de interesados a los que afecta el desarrollo del componente IA y su uso en el marco del tratamiento previsto. AI構成要素の開発とその利用によって影響を受けるステークホルダーのカテゴリーを特定する。
2 ・ Están identificadas las consecuencias a corto y largo plazo que la implementación del componente IA puede suponer a las categorías de interesados. AI構成要素の実施がステークホルダーのカテゴリーに及ぼす可能性のある短期的、長期的な影響を特定する。
3 ・ Están definidos los procedimientos necesarios para analizar el contexto social en el que se enmarca el uso del componente y recabar información a través de personas, grupos u organizaciones afectadas por el mismo con el objetivo de conocer sus niveles de satisfacción, posturas, inquietudes e incertidumbres con respecto a la utilización de esta técnica en el marco del tratamiento de sus datos. 必要な手順は、その構成要素が使用されている社会的背景を分析し、その構成要素の影響を受ける個人、グループ、または組織から情報を収集し、そのデータ処理の枠組みの中でこの技術の使用に関する満足度、立場、懸念、不確実性を調べるために定義する。
19 C. Fundamentos del componente IA  C.AI構成要素の基礎
  Objetivo: Identificación de la política de desarrollo del componente IA  目的:AI開発方針の洗い出し
  La política interna de desarrollo de sistemas, en particular de desarrollo de componentes de IA, ha de ser coherente con la política de protección de datos de la organización. Será necesario detallar y complementar dicha política en los puntos específicos que sean necesarios, además de estar alineada con el RGPD, la LOPDGDD, y otra normativa sectorial que le sea de aplicación. システム開発、特にAI構成要素の開発に関する内部方針は、組織のデータ保護方針と一致していなければならない。GDPR、LOPDGDD、およびそれに適用される他のセクターの規制との整合性に加えて、この方針を具体的な点で詳細化し、補完しなければならない。
1 ・ Los documentos con las políticas de desarrollo de productos y sistemas tienen en consideración la política de protección de datos. 製品・システム開発の方針が記載された文書は、データ保護方針に配慮する。
2 ・ Existe un proceso de revisión y un control de versiones de las políticas. 方針のレビュープロセスとバージョン管理をする。
  Objetivo: Implicación del DPD  目的:データ保護代理人の関与
  En cumplimiento de la posición y funciones atribuidas al Delegado de Protección de Datos se han definido los procedimientos internos de comunicación y reparto de responsabilidades que permiten que su figura preste el debido asesoramiento y pueda participar activamente en la selección, diseño y/o desarrollo del componente IA en el que se apoya el tratamiento de los datos personales. データ保護代理人に帰属する地位と機能に準拠して、コミュニケーションと責任の分配のための内部手順が定義されており、その人物が適切な助言を提供し、個人データの処理に基づくAI構成要素の選択、設計、および/または開発に積極的に参加できなければならない。
1 ・ El Delegado de Protección de Datos reúne las cualidades profesionales necesarias y, en particular, los conocimientos especializados en materia de derecho, técnicos y la práctica en materia de protección de datos adecuados para el proyecto. データ保護担当者は、必要な専門的資質を有しており、特にプロジェクトに適したデータ保護に関する法的、技術的、実務的な専門知識を有している。
2 ・ El delegado de protección de datos cuenta con la ayuda y el asesoramiento de expertos en materias específicas relativas al componente IA objeto de auditoría. データ保護担当者は、監査対象のAI構成要素に関連する特定の事項について、専門家の支援を受け、助言を受ける。
3 ・ Están definidos procedimientos internos dentro de la organización para la correcta comunicación entre el Delegado de Protección de Datos y las personas a cargo de aquellos proyectos con implicaciones en el tratamiento de datos personales para que se pueda contar con su asesoramiento, en particular, durante el desarrollo de la evaluación de impacto de protección de datos de aquellos tratamientos que hacen uso de componentes de IA. データ保護代表者と個人データの処理に影響を及ぼすプロジェクトの担当者との間で、特にAI構成要素を利用した処理業務のデータ保護影響評価の策定時に、その助言が考慮されるように、組織内で適切なコミュニケーションがとれるように、内部手順を定める。
4 ・ El Delegado de Protección de Datos ha participado en las etapas objeto de auditoría, se ha respectado su independencia de juicio dentro de organización y sus obligaciones a cooperar con las agencias de supervisión y sus opiniones y consideraciones han sido tenidas en cuenta. データ保護代表者は、監査の対象となる段階に参加し、組織内での判断の独立性、監督機関への協力義務が尊重され、その意見や配慮を考慮する。
  Objetivo: Adecuación de los modelos teóricos base  目的:理論的基礎モデルの妥当性
  El tratamiento, para que pueda ser considerado leal, ha de ser idóneo con relación al propósito del mismo que haya sido declarado. 忠実とされるためには、その処理は、宣言された処理の目的に関連して適切でなければならない。
1 ・ Se ha realizado un estudio y análisis sobre el marco teórico y experiencias previas similares sobre las que se fundamenta el desarrollo del componente IA. AI構成要素の開発のベースとなる理論的枠組みや類似の過去の経験について、調査・分析を行う。
2 ・ Se han determinado, argumentado y documentado de forma precisa las ideas de base e hipótesis que se toman en consideración para la creación y desarrollo del modelo. モデルの作成と発展のために考慮される基本的な考え方や仮説を的確に決定し、主張し、文書化する。
3 ・ Está definido un procedimiento de revisión crítica y contrastada de los razonamientos derivados de la aceptación de hipótesis importantes para el desarrollo del componente IA (por ejemplo, examinar cuáles son los argumentos tras una relación causal que modela un algoritmo, como la selección de variables que definen un fenómeno). AI構成要素開発のための重要な仮説の受諾から導かれる推論(例えば、ある現象を定義する変数の選択など、アルゴリズムをモデル化する因果関係の背後にある論拠は何かを検討する)を批判的・対照的に検討するための手順を定義する。
4 ・ Se ha realizado un análisis cuidadoso de cara a establecer presunciones adecuadas sobre las posibles variables proxy que intervienen en el componente IA. AI構成要素に関与する可能性のある代理変数について適切な仮定を設定するために、慎重な分析を行う。
  Objetivo: Adecuación del marco metodológico  目的:方法論的枠組みの妥当性
  El tratamiento, para que pueda ser considerado leal, ha de ser idóneo con relación al propósito del mismo que haya sido declarado. 忠実とされるためには、その処理は、宣言された処理の目的に関連して適切でなければならない。
1 ・ Debe estar documentado el marco metodológico de definición del modelo y creación del componente IA en las etapas objeto de auditoría como, por ejemplo, la forma de seleccionar, recoger y preparar los datos de entrenamiento del componente, realizar su etiquetado, construir el modelo, utilización de los datos intermedios generados, seleccionar el subconjunto de datos de test/validación o cómo medir los desajustes del modelo para mejorarlo. 構成要素の学習データの選択・収集・準備、ラベル付け、モデル構築、生成された中間データの利用、テスト・妥当性確認データのサブセットの選択、モデルの改善のためのミスマッチの測定方法など、モデルを定義し、AI構成要素を作成するための方法論的な枠組みを、監査対象の段階で文書化する。
2 ・  Está determinado, en función del análisis del problema a resolver y de manera justificada, el modelo de desarrollo a utilizar (p.ej.: supervisado, no supervisado u otros) y en el caso de los supervisados, el modelo de supervisión del aprendizaje del algoritmo, el grado de supervisión y su fundamento. 解決すべき問題の分析と正当な方法に応じて、使用する開発モデル(教師あり、教師なし、その他)を決定し、教師ありの場合はアルゴリズムの学習の教師モデル、教師の程度とその根拠を決定する。
3 ・ Se han seleccionado y definido las métricas con respecto de las cuales medir el comportamiento del componente IA. AI構成要素の動作を測定するための指標を選択し、定義する。
4 ・ Existe un procedimiento de registro y seguimiento de las desviaciones en el comportamiento del componente IA respecto de las métricas definidas que permite realizar una monitorización de aquellas circunstancias que pueden derivar en un comportamiento erróneo o sesgado del componente. 定義されたメトリクスに関するAI構成要素の動作の逸脱を記録しフォローアップするための手順があり、コンポーネントの誤った又は偏った動作につながる可能性のある状況を監視する。
  Objetivo: Identificación de la arquitectura básica del componente  目的:構成要素の基本的なアーキテクチャの特定
  En cumplimiento de la responsabilidad proactiva está documentado el desarrollo del componente IA de forma que es posible comprender la parte relativa a su implementación, su contexto de funcionamiento y las interrelaciones que mantiene con otros elementos integrantes del tratamiento. 主体的責任を遵守して、AI構成要素の開発は、その実施に関連する部分、その動作コンテキスト、及びそれが処理を構成する他の要素との相互関係を理解することができるように文書化しなければならない。
1 ・ En la fase de análisis del proyecto de desarrollo del componente IA, se han incluido, como parte del catálogo de requisitos, aquellos específicos para garantizar la privacidad y la protección de los datos personales. AI開発プロジェクトの分析段階では、プライバシー保証、個人データ保護のための具体的な要求事項を、要求事項カタログの一部として記載する。
2 ・ En la programación de los componentes de IA se han seguido y documentado los principios, códigos y buenas prácticas de codificación utilizados para garantizar que el código sea legible, seguro, fácil de mantener y robusto. AI構成要素のプログラミングは、コードが読みやすく、安全で、保守が容易で、堅牢であることを保証するために使用されるコードの原則、コード、およびグッドプラクティスに従っており、文書化されている。
3 ・ Está identificada y documentada la arquitectura básica del componente IA, incluyendo información sobre la técnica de aprendizaje automático utilizada, el tipo o tipos de algoritmos probados y, en su caso, descartados en la fase de aprendizaje y entrenamiento, y otros datos sobre el funcionamiento del componente como la función de pérdida o función de coste del modelo. 使用された機械学習技術、テストされたアルゴリズムの種類、必要に応じて学習・訓練段階で破棄されたアルゴリズム、モデルの損失関数やコスト関数などの構成要素の動作に関するその他のデータを含む、AI構成要素の基本的なアーキテクチャを特定し、文書化する。
4 ・ Existe y funciona un procedimiento sistemático de documentación de la implementación del componente que garantiza el registro y posterior adquisición de toda la información necesaria para identificarlo, así como a sus elementos y a su entorno, comprender lo qué hace y por qué lo hace y poder contrastar la calidad y legibilidad del código de cara a su auditoría: descripción del/los lenguaje/s de programación utilizados, versión más reciente del código, código comentado, paquetes y librerías necesarios para su lectura, interfaces con otros componentes, en su caso, APIs55 empleadas, documentos de utilidad como especificación de requisitos, análisis funcional, análisis orgánico, manuales, etc. 構成要素の実装を文書化するための体系的な手順が存在し、その構成要素、その要素、環境を特定し、それが何をしているのか、なぜそれをするのかを理解し、監査の目的でコードの品質と可読性をチェックできるようにするために必要なすべての情報を記録し、その後に取得することを保証する。
5 ・ En el caso de imposibilidad de acceder al código del componente IA, se ha aplicado un proceso de ingeniería inversa u otro método alternativo como el uso de pruebas de conocimiento cero (ZKP por sus siglas en inglés Zero Knowledge Proof) que, aún sin tener acceso al código, permitan profundizar en el funcionamiento del componente y determinar la lógica de las reglas aplicadas de cara a detectar incoherencias, manipulaciones directas y subestimación o sobreestimación de las variables utilizadas en el componente original. AI構成要素のコードにアクセスできない場合は、リバースエンジニアリングプロセスを適用するか、ゼロ知識証明(ZKP)を使用するなどの別の代替方法を用いて、コードにアクセスできなくても、構成要素の動作をより深く掘り下げて、元の構成要素で使用されている変数の不整合、直接操作、過小または過大評価を検出するために適用されているルールのロジックを決定する。
32 D. Gestión de los datos  D.データ管理
  Objetivo: Aseguramiento de la calidad de los datos  目的:データ品質保証
  En cumplimiento de los principios relativos al tratamiento56 los datos personales tratados han de ser exactos y actualizados en relación con los fines para los que son tratados. 処理に関する原則に従い、処理される個人データは、処理される目的に関連して正確かつ最新のものでなければならない。
1 ・ Existe un procedimiento documentado para gestionar y garantizar una adecuada gobernanza de los datos, que permita verificar y aportar garantías de la exactitud, integridad, fiabilidad, veracidad, actualización y adecuación del conjunto de datos utilizado en entrenamiento y/o prueba y/o explotación. 訓練及び/又は試験及び/又は利用に使用されるデータセットの正確性、完全性、信頼性、信頼性、妥当性、更新性及び妥当性を検証し、保証することができる、適切なデータガバナンスを管理し、保証するための文書化された手順を定める。
2 ・ Existen mecanismos de supervisión de los procesos de recopilación, tratamiento, conservación y utilización de los datos. データの収集、加工、保存、利用のプロセスを監督する仕組みを定める。
3 ・ Se ha realizado un análisis previo y una cuantificación de la muestra utilizada para el entrenamiento del modelo y se ha verificado que la adecuación del tamaño muestral, así como de la frecuencia y distribución de cada una de las variables, su intersección o grupos relevantes para el estudio, es el adecuado en relación con los parámetros definidos o con respecto a la realidad. モデルの訓練に使用した標本の事前分析と定量化を行い,標本サイズの妥当性,各変数の頻度と分布,それらの交点または研究に関連するグループが,定義されたパラメータとの関係で,または現実との関係で妥当であることを検証する。
4 ・ Se han realizado análisis, tanto al inicio como en cada una de las iteraciones de las que se compone el proceso global de aprendizaje, de la muestra utilizada para el entrenamiento del modelo y se ha verificado que la representatividad del conjunto final de datos con relación a la población del contexto al que se orienta el componente IA y a los grupos definidos en el mismo es el adecuado. グローバル学習プロセスが構成されている各反復において、モデルの学習に使用されたサンプルの分析が行われ、AI構成要素が指向されている文脈の母集団とその中で定義されたグループとの関係での最終的なデータセットの代表性が適切であることを検証する。
5 ・ Se ha verificado que la distribución de las variables es adecuada y que el componente no es especialmente sensible o ignora alguna de ellas. 変数の分布が適切であり、成分が特に敏感でないか、いずれかを無視していることを検証する。
6 ・ Existen procedimientos para analizar, medir y detectar posibles desequilibrios entre la cantidad de datos que el componente recoge sobre una determinada variable con respecto a otra y que pueden dar lugar a desviaciones en su comportamiento. 構成要素が他の変数と比較して特定の変数について収集するデータ量の間の不均衡の可能性を分析、測定、検出するための手順があり、それがその挙動の逸脱につながる可能性がある。
7 ・ Se ha realizado un análisis preciso de compensación, estableciendo la relación entre la cantidad y tipología de datos a ser recogidos/descartados y aquellos necesarios para garantizar la efectividad y eficiencia del componente. 収集・廃棄するデータの量や種類と、その部品の有効性・効率性を担保するために必要なデータとの関係を確立し、的確な補償分析を実施する。
8 ・ Se ha realizado un análisis del tamaño muestral para la conservación de datos con propósito de auditoría. 監査目的でデータ保持のためのサンプルサイズ分析を行う。
  Objetivo: Determinación del origen de las fuentes de datos  目的:データソースの出所の特定
  En cumplimiento de los principios relativos al tratamiento, los datos personales han de ser tratados con licitud, lealtad y transparencia y fines determinados, explícitos y legítimos (principio de limitación de la finalidad) con prohibición de tratar categorías especiales de datos salvo en las circunstancias y excepciones previstas. 個人データの処理に関する原則に従い、個人データは合法的、公正かつ透明性のある、特定の明示的かつ正当な目的のために処理されなければならない(目的制限原則)。
1 ・ El contexto de origen y las fuentes de datos utilizados para el entrenamiento y validación del modelo deben estar identificados. 学習・モデル検証に使用したデータソースとその起源のコンテキストを特定する。
2 ・ Se ha documentado y justificado el proceso de elección de las fuentes de datos utilizadas para el entrenamiento del componente. 構成要素の学習に使用するデータソースを選択するプロセスを文書化し、正当化する。
3 ・ Existe una base de legitimación para el uso de los datos personales en las distintas etapas del ciclo de vida del componente IA. AI構成要素のライフサイクルの異なる段階での個人データの利用を正当化するための根拠がある。
4 ・ Existe una justificación para la recogida y el empleo de datos personales, que no son necesarios en la etapa de entrenamiento, para poder realizar una comprobación del comportamiento del modelo en las etapas posteriores de verificación y validación del componente. その後の構成要素の検証・検証の段階でモデルの行動チェックを行うことができるように、訓練段階では不要な個人データの収集・利用を正当化する根拠がある。
5 ・ Si se realiza un tratamiento de datos personales sensibles, se ha evaluado la necesidad de su uso y existe una circunstancia que justifica levantar la prohibición general de su tratamiento. 機微な個人データを取り扱う場合であって、その利用の必要性が認められ、かつ、一般的に解禁されるべき事情がある場合。
  Objetivo: Preparación de los datos personales  目的:個人データの作成
  En cumplimiento de los principios relativos al tratamiento, los datos personales han de ser tratados aplicando el principio de minimización. 処理に関する原則に従い、個人データは最小化の原則に従って処理されならない。
1 ・ Los criterios para realizar la depuración previa de los conjuntos de datos originales y aquellas otras que se identifiquen como necesarias a lo largo de las diferentes iteraciones en el proceso de entrenamiento del componente, están identificados y documentados. 構成要素レーニングプロセスのさまざまな反復を通じて必要であると識別された、元のデータセットおよびその他のデータセットの以前のデバッグを実行するための基準を識別し、文書化する。
2 ・ Las técnicas y buenas prácticas de limpieza de datos utilizadas en el proceso de depuración están argumentadas y documentadas. クレンジングプロセスで使用されているデータクレンジングの技術やグッドプラクティスを論じ、文書化する。
3 ・ La clasificación de las variables define tipos claramente distinguibles e identificables. 変数の分類では、明確に区別できる型と識別可能な型を定義する。
4 ・ Está documentada la estructura y propiedades del conjunto de datos tratados, en número de sujetos y extensión de datos utilizados. 対象とするデータセットの構造や性質、使用するデータの拡張子、被験者数などを記載する。
5 ・ Se ha realizado una categorización previa de los datos utilizados, organizándolos en datos no personales y personales, identificando, en el caso de estos últimos, qué campos constituyen identificadores, cuasi-identificadores y categorías especiales de datos. 使用するデータの事前分類を行い、非個人データと個人データに整理し、後者の場合には、どの分野が識別子、準識別子、特殊な種類のデータであるかを特定する。
6 ・ Se han determinado las variables relevantes para el modelo, identificando las variables asociadas a categorías especiales de datos y las variables proxy, incluyendo la información necesaria para su interpretación. モデルに関連する変数を決定し、特殊なデータカテゴリや代理変数に関連する変数を特定し、その解釈に必要な情報も含めて決定する。
7 ・ Se han determinado y aplicado los criterios de minimización de los datos aplicables a las diferentes etapas del componente IA haciendo uso de aquellas estrategias de ocultación, separación, abstracción, anonimización y seudonimización de los datos que sean aplicables y conduzcan a maximizar la privacidad en el funcionamiento del componente. データの隠蔽、分離、抽象化、匿名化、偽名化などの戦略を利用して、AI構成要素の各段階に適用されるデータ最小化の基準を決定し、適用する。
8 ・ Las bases de datos utilizadas tienen asociado un diccionario de datos que permite su análisis y comprensión. 使用されているデータベースには、それらの分析と理解を可能にする関連データ辞書がある。
9 ・ Están implementadas estrategias de segregación y disociación sobre la información adicional que no es necesaria para el entrenamiento pero que será necesaria en los procesos de verificación y validación del comportamiento del modelo para analizar correlaciones entre variables, comprobar el nivel de precisión del componente IA respecto a determinados atributos o verificar que no introduce sesgos. 分離・解離戦略は、訓練には必要ないが、変数間の相関関係を分析したり、特定の属性に関するAI構成要素の精度レベルをチェックしたり、偏りを導入していないことを検証したりするために、モデルの動作の検証・検証のプロセスで必要となる追加情報に実装する。
10 ・ En la evaluación y selección de los datos se ha contado con la participación de un experto en técnicas de modelado y ciencia de datos encargado de entender los procesos complejos de la realidad que se intentan modelar, y de analizar e interpretar los datos utilizados por el componente. データの評価・選定には、モデル化技術やデータサイエンスの専門家が参加し、モデル化された現実の複雑なプロセスを理解し、構成要素が使用するデータを分析・解釈する。
11 ・ Se ha realizado un preprocesamiento previo y depuración de los datos utilizados para el entrenamiento y validación del componente IA, detectando las posibles anomalías que precisan un tratamiento previo (valores límite, registros incompletos, etc.) y convirtiendo las fuentes de datos heterogéneas a un único formato homogéneo. AI構成要素の学習・検証に使用するデータの事前処理とデバッグを行い、事前処理が必要となる可能性のある異常(限界値、不完全な記録など)を検出し、異種データソースを単一の均質なフォーマットに変換する。
12 ・ Se han introducido las modificaciones necesarias en el formato de los datos de entrada, si este no es adecuado en relación con el funcionamiento del componente IA o porque no representa la realidad que refleja. 入力データのフォーマットについては、AI構成要素の機能に関連して適切でない場合や、反映されている実情を反映していない場合には、必要な変更を行う。
13 ・  En su caso, se ha realizado análisis del grado de anonimización de los datos y del posible riesgo de reidentificación. 適切な場合には、データの匿名化の程度と再識別のリスクについて分析を行う。
14 ・ En su caso, si se han usado técnicas de imputación de datos para completar la información del conjunto de datos, se han documentado los procedimientos y algoritmos usados para dicha imputación. 該当する場合、データセットの情報を補完するためにデータ入力技術が使用されている場合は、その入力に使用された手順やアルゴリズムが文書化する。
  Objetivo: Control del sesgo  目的:偏りコントロール
  En cumplimiento de los principios relativos al tratamiento los datos personales tratados han de ser exactos y actualizados con relación a los fines para los que son tratados. 処理に関する原則に準拠して、処理される個人データは、処理される目的に関連して正確かつ最新のものでなければならない。
1 ・ Se han definido procedimientos para identificar y eliminar, o al menos limitar, los sesgos en los datos utilizados para entrenar el modelo. モデルの学習に使用したデータの偏りを特定し、除去する、あるいは少なくとも制限するための手順を定義する。
2 ・ Se ha verificado que en los datos de entrenamiento usados como entrada al modelo no existen sesgos históricos previos y que, en caso contrario, o bien se ha optado por otra fuente de datos de entrenamiento que no los contenga, o bien se ha realizado una limpieza y depuración adecuadas para su normalización. モデルの入力として使用した訓練データに過去の偏りがないこと、また、そうでない場合は、過去の偏りを含まない別の訓練データソースを選択したか、または、それらの正規化のために十分なクリーニングとデバッグを行ったことを確認する。
3 ・ Se han adoptado medidas para evaluar la necesidad de disponer de datos adicionales de cara a mejorar la precisión o eliminar posibles sesgos. 精度を向上させるため、あるいは潜在的な偏りを排除するために、追加データの必要性を評価するための措置を講じる。
4 ・ Se han implementado mecanismos de supervisión humana para controlar y asegurar la ausencia de sesgos en los resultados. 結果に偏りがないことを管理・確保するために、人間による監視メカニズムを導入する。
5 ・ Se han implementado mecanismos que permitan a los interesados solicitar la intervención humana, expresar su punto de vista e impugnar los resultados derivados del empleo de algoritmos automatizados en la toma de decisiones. 意思決定に自動化アルゴリズムを使用した結果について、利害関係者が人間の介入を求め、意見を表明し、その結果に異議を唱えることができる仕組みを導入する。
47 E. Verificación y validación  E.検証と妥当性確認
  Objetivo: Adecuación del proceso de verificación y validación del componente IA  目的:AI構成要素の検証・妥当性確認プロセスの適切性
  En cumplimiento de los principios relativos al tratamiento, en particular del principio de responsabilidad proactiva, se ha de poder demostrar que la metodología empleada en la incorporación del componente IA en el tratamiento, o en su desarrollo, cumple con los principios relativos al tratamiento y el resto de obligaciones impuestas por la normativa en materia de protección de datos. 処理に関する原則、特に積極的責任の原則を遵守するためには、処理またはその開発にAI構成要素を組み込むために使用された方法論が、処理に関する原則およびデータ保護法によって課されるその他の義務を遵守していることを実証することが可能でなければならない。
1 ・ Están documentados el proceso de verificación y validación, las técnicas empleadas, el conjunto de pruebas y comprobaciones realizadas, los resultados obtenidos y las acciones propuestas. 検証と検証のプロセス、使用した技術、実施した一連のテストとチェック、得られた結果と提案された活動を文書化する。
2 ・ Está establecida o se ha seguido una guía, norma o estándar para realizar un procedimiento sistemático de verificación y validación del componente IA y de su comportamiento una vez integrado en el tratamiento al que da soporte. サポートする処理に組み込まれた後のAI構成要素とその動作の検証と検証のための体系的な手順を実施するためのガイド、規範、基準が確立し、またはそれに従う。
3 ・ Están implementados los mecanismos de control y supervisión necesarios para garantizar que el componente IA cumple los objetivos y propósitos previstos con eficacia. AI構成要素が効果的に設定された目的・目的を満たすために、必要な管理・監督メカニズムを実施する。
4 ・ Están definidas y justificadas las métricas y criterios respecto a los cuales se realizará las comprobaciones en el proceso de verificación y validación. 検証・検証プロセスにおいて、どのような基準でチェックが行われるかを定義し、正当化する。
5 ・ Está definida una estrategia de pruebas y, asociada a ella, existe un plan de pruebas completo para evaluar la corrección del componente IA tanto desde el punto de vista estructural como funcional. テスト戦略を定義し、それに関連して、構造的・機能的な観点からAI構成要素の正しさを評価するための完全なテスト計画を策定する。
6 ・ El personal involucrado en las tareas de verificación y validación del componente IA está cualificado para realizar las comprobaciones necesarias de cara asegurar que el componente se ha construido correctamente y se comporta de la manera esperada. AI構成要素の検証・検証業務に携わる者は、構成要素が正しく構築され、期待通りに動作することを確認するために必要なチェックを行う資格を有している。
  Objetivo: Verificación y Validación del componente IA  目的:AI構成要素の検証と妥当性確認
  En cumplimiento de los principios relativos al tratamiento, se ha de poder demostrar que el componente IA desarrollado trata los datos personales con corrección respetando el principio de exactitud. 処理に関する原則を遵守して、開発されたAI構成要素が正確性の原則に従って個人データを正しく処理していることを実証できなければならない。
1 ・ El plan de pruebas de verificación incluye revisiones, y en su caso, inspecciones, para detectar y corregir, de manera temprana, defectos en los requisitos, defectos de diseño, especificaciones incorrectas o desviaciones en el desarrollo respecto de los criterios aplicables. 検証テスト計画には、要求事項の不備、設計上の欠陥、仕様の誤り、開発上の基準からの逸脱などを早期に発見し、修正するためのレビューと、適切な場合は検査を含める。
2 ・ Están contempladas, como parte del plan de pruebas, las pruebas de caja blanca a nivel del diseño de la red o del componente IA. ネットワーク設計やAIコンポーネントレベルでのホワイトボックステストを、テスト計画の一部として想定する。
3 ・ Están contempladas, como parte del plan de pruebas, las pruebas de caja blanca69 a nivel de implementación y código. テスト計画の一部として、実装・コードレベルでのホワイトボックステストを想定している。
4 ・  Están contempladas, como parte del plan de pruebas, las pruebas de caja negra necesarias para comprobar que la funcionalidad del componente IA está completamente garantizada, su comportamiento es el esperado y que la integridad de la información utilizada se mantiene. AI構成要素の機能が完全に保証されていること、動作が期待通りであること、使用する情報の完全性が維持されていることを確認するために必要なブラックボックステストをテスト計画の一部として想定する。
5 ・ Están contempladas, como parte del plan de pruebas, las pruebas necesarias para testear la seguridad, con relación a la protección de los derechos y libertades, en su definición holística (física e informática) en el caso de componentes de IA implementados en sistemas robóticos, industria 4.0, o de internet de las cosas. テスト計画の一環として、ロボットシステム、インダストリー4.0、IoTに実装されたAI構成要素の場合、権利と自由の保護に関連して、全体的な定義(物理的、コンピュータ的)のセキュリティをテストすることを想定する。
6 ・ El plan de pruebas de validación incluye la comprobación de valores límite y casos de prueba extremos que pueden llevar al componente a funcionar de una manera no esperada. 限界値や極端なテストケースをチェックすることで、構成要素が予期せぬ形で機能する可能性があることを確認する。
7 ・ Existe un proceso de depuración documentado para corregir los errores, carencias o inconsistencias detectadas durante el proceso de verificación y validación. 検証・検証プロセスで検出されたエラー、欠点、不整合を修正するための文書化されたデバッグプロセスがある。
  Objetivo: Rendimiento  目的:パフォーマンス
  En cumplimiento de los principios relativos al tratamiento, el componente IA ha de tratar los datos personales respetando el principio de exactitud. 処理に関する原則を遵守して、AI構成要素は、正確性の原則を遵守して個人データを処理しなければならない。
1 ・ Están establecidas las métricas o conjunto de métricas agregadas para determinar en el componente su precisión, exactitud, sensibilidad u otro parámetro de rendimiento relativo a la aplicación del principio de exactitud de los datos. データ精度の原理の適用に関連して、構成要素の正確度、精度、感度、その他の性能パラメータを決定するために追加されたメトリクスまたはメトリクスのセットを定める。
2 ・ Son conocidos, y han sido analizados e interpretados, los valores de las tasas de falsos positivos y falsos negativos que arroja el componente IA de cara a determinar la precisión, la especificidad y la sensibilidad del comportamiento del componente. AI構成要素の挙動の正確度、特異性、感度を決定するために、AI構成要素によって与えられる偽陽性率と偽陰性率の値を既知のものとして分析し、解釈する。
3 ・ Han sido evaluados el nivel y la definición de los parámetros de rendimiento que se requieren para el componente de IA en el marco del tratamiento al que da soporte. 支援する処理の枠組みの中で、AI構成要素に必要な性能パラメータのレベルと定義を評価する。
4 ・ Han sido comparados los valores de rendimiento entre distintas opciones de componentes IA en el marco de un proceso de elección del componente más adecuado para un tratamiento. 処理に最適な構成要素を選択するプロセスの一環として、異なるAI構成要素のオプション間の性能値を比較する。
5 ・ Están definidas y determinadas las variables de salida prestando especial atención a aquellas que constituyen categorías especiales de datos. 出力変数は、データの特殊なカテゴリーを構成するものに特に注意して定義・決定する。
6 ・ Han sido adoptadas medidas para garantizar que los datos utilizados son exhaustivos y están actualizados. 使用するデータが包括的かつ最新のものであることを確認するための措置を講じる。
7 ・ Están determinados los parámetros y sus valores de corte para que el modelo tome en cuenta determinadas variables de cara a obtener resultados que sean significativos. 有意な結果を得るために、特定の変数を考慮したモデルとなるように、パラメータとそのカットオフ値を決定する。
8 ・ Existen procedimientos para detectar si la respuesta del componente IA a los datos de entrada es errónea o supera un umbral de error determinado, o si hay distintos umbrales de error asociados a distintas categorías de interesados en el conjunto de datos. 入力データに対するAI構成要素の応答が間違っているか、特定のエラー閾値を超えているかどうか、またはデータセット内のさまざまなカテゴリの利害関係者に関連付けられているさまざまなエラー閾値があるかどうかを検出する手順を定める。
9 ・ Se ha realizado un reajuste de la dimensionalidad del modelo para que exista un equilibrio entre la complejidad y la capacidad de generalización. モデルの複雑性と一般化可能性のバランスをとるために、モデルの次元調整を行う。
  Objetivo: Coherencia  目的:干渉
  En cumplimiento de los principios relativos al tratamiento, el componente IA ha de tratar los datos personales respetando el principio de exactitud. AI構成要素は、処理に関する原則を遵守して、正確性の原則を遵守して個人データを処理しなければならない。
1 ・ Existe un procedimiento para verificar si se producen variaciones significativas en los resultados obtenidos respecto de las salidas esperadas y actuar en caso necesario. 期待されるアウトプットに対して、得られた結果に大きなばらつきがないかを検証し、必要に応じて対応する手順を定める。
2 ・ Se ha establecido un umbral de cara a determinar cuándo un resultado obtenido difiere del esperado ante datos de entrada idénticos o similares (variaciones significativas). 同一または類似の入力データに対して、得られた結果が期待された結果と異なる場合(有意な変動)を判断するための閾値を設定する。
3 ・ Se ha determinado si el componente IA se comporta de manera distinta frente a individuos que se diferencian entre sí en características asociadas a categorías especiales de datos o en los valores que toman las variables proxy. 特殊なデータ区分に伴う特性や代理変数の値が異なる個人に対して、AI構成要素の振る舞いが異なるかどうかを判断する。
4 ・ Se han analizado los efectos en los resultados de salida del componente IA ante variaciones de las variables con baja prevalencia en el conjunto de datos de entrenamiento. トレーニングデータセットの普及率が低い変数の変動に直面した場合のAI構成要素の出力結果への影響を分析する。
5 ・ Se han adoptado medidas para garantizar la independencia del componente. 構成要素の独立性を担保するための措置がとる。
6 ・ Se ha comprobado que no existe correlación entre los resultados y las variables adicionales asociadas a sujetos que no forman parte de las variables de proceso y que pudieran determinar la existencia de sesgos. プロセス変数に含まれず、バイアスの存在を判断できる被験者に関連する追加変数と結果との間に相関関係がないことを確認する。
  Objetivo: Estabilidad y robustez  目的:安定性とロバスト性
  En cumplimiento de responsabilidad proactiva el componente IA está sometido a procesos de supervisión continua para adaptarse a las modificaciones producidas en el entorno y detectar las necesidades de reajuste como consecuencia de cambios de contexto internos y externos al tratamiento. 先を見越した責任を遵守し、AI構成要素は、環境の変化に適応し、処理の内部および外部の両方のコンテキストの変化の結果として再調整の必要性を検出するために、継続的なモニタリングプロセスを受けなければならない。
1 ・ Se han identificado los factores, dentro del posible contexto o del contexto real de funcionamiento del componente, cuya variación puede afectar a las propiedades del componente IA y pueden establecer la necesidad de gestionar su reajuste. その変動がAI構成要素の特性に影響を与え、その調整を管理する必要性を確立する可能性のある要因が、構成要素の動作の可能な文脈または実際の文脈の中で特定する。
2 ・  Se ha evaluado el comportamiento del componente IA ante casos de uso o entornos imprevistos. 予期せぬユースケースや環境に直面した場合のAI構成要素の挙動を評価する。
3 ・ Se ha realizado una estimación de tiempos en los que es necesario una reevaluación, reajuste o reinicio del componente para ajustarlo a desviaciones en los datos de entrada o cambios en los criterios de toma de decisiones. 入力データの逸脱や判断基準の変更に伴い、再評価・再調整・再起動が必要となる場合を想定する。
4 ・ Está documentado si, por diseño, el componente IA se ha construido siguiendo un enfoque estático o bien un enfoque dinámico o de aprendizaje continuo. 設計上、AI構成要素が静的なアプローチで構築されているか、動的・継続的な学習アプローチで構築されているかを文書化する。
5 ・  En el caso de componentes IA de aprendizaje continuo, se ha evaluado el grado de adaptabilidad a nuevos datos o tipos de datos de entrada y se han definido los procedimientos y mecanismos de supervisión para verificar que las conclusiones extraídas siguen siendo válidas, el componente es capaz de adquirir nuevo conocimiento o y no se está produciendo una pérdida de las asociaciones previamente aprendidas durante el aprendizaje inicial. 継続学習のためのAI構成要素の場合、新しいデータや種類の入力に対する適応性の程度を評価し、導き出された結論がまだ有効であること、その構成要素が新しい知識を獲得することができること、あるいは初期学習中に以前に学習した関連付けが失われていないことを確認するためのモニタリング手順やメカニズムを定義する。
  Objetivo: Trazabilidad  目的:トレーサビリティ
  En cumplimiento de los principios de protección de datos y, en particular, del derecho del interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, el comportamiento en el tratamiento del componente IA ha de poder supervisarse a través de mecanismos de trazabilidad, incluidos los medios humanos. データ保護の原則、特にデータ対象者の権利を遵守し、プロファイリングを含む自動化された処理のみに基づく意思決定を受けないようにするためには、人為的な手段を含むトレーサビリティの仕組みを通じて、AI構成要素の処理行動を監視することが可能でなければならない。
1 ・ Existe un sistema de control de versiones de todos los elementos del componente IA: conjuntos de datos utilizados, del código del componente, librerías empleadas y de cualquier otro elemento asociado al componente. 使用しているデータセット、使用している構成要素コード、ライブラリ、その他構成要素に関連する全ての要素のバージョン管理システムを定める。
2 ・ Existe un procedimiento formal, documentado y sujeto a una reevaluación del riesgo en función de aquellos cambios que puedan producirse en la implementación del componente IA a lo largo de su ciclo de vida. AI構成要素の実施においてライフサイクルを通して発生する可能性のある変化に応じて、リスク再評価を行うための正式な手順を整備し、文書化する。
3 ・ Existen mecanismos de monitorización y supervisión del componente IA, tales como ficheros de logs y registros de resultados, que permiten evaluar el comportamiento del componente en su interacción con el entorno, medir que estas salidas se ajustan a las respuestas de los procesos de la realidad que modelan y rectificar las posibles inconsistencias que puedan existir entre el comportamiento real esperado y el automatizado. AI構成要素を監視・監督するための仕組みが存在し、ログファイルや結果記録など、環境との相互作用における構成要素の動作を評価し、これらの出力がモデル化された現実プロセスの応答と一致していることを測定し、実際に期待される動作と自動化された動作との間に存在する可能性のある矛盾を修正する。
4 ・ Existe un registro de aquellas incidencias y comportamientos anómalos previos detectados y corregidos. 過去に発見・修正された事故や異常行動を記録する。
5 ・ Los mecanismos de monitorización están disponibles a operadores humanos para su seguimiento y verificación. モニタリングの仕組みは、人間の作業者がフォローアップや検証のために利用できるする。
6 ・ Está documentado un procedimiento para asegurar la intervención humana en la toma de decisiones, tanto de oficio, ante resultados discrepantes en relación con el comportamiento esperado, como de parte, ante solicitud de los interesados afectados por el resultado del componente. 期待される行動に関して矛盾した結果に直面した場合、および部分的には構成要素の結果によって影響を受ける利害関係者の要求に応じて、意思決定への人間の介入を確実にするための手順を文書化する。
7 ・ Están adoptados mecanismos en el marco del tratamiento para que los resultados y las decisiones tomadas puedan llegar a depender, de manera exclusiva, de la responsabilidad de seres humanos. 処理の枠組みの中でメカニズムを採用し、結果や判断が人間の責任のみに依存するようにする。
  Objetivo: Seguridad  目的:セキュリティ
  En cumplimiento de los principios relativos al tratamiento y las obligaciones de la protección de datos desde el diseño y por defecto y la seguridad del tratamiento90, el componente IA ha de tratar los datos personales aplicando, de forma eficaz y efectiva, los principios de protección de datos e integrando las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad de la información adecuado al riesgo, y en especial, en lo que se refiere a la confidencialidad, integridad, disponibilidad y resiliencia del tratamiento. AI構成要素は、データ保護の原則を効率的かつ効果的な方法で適用し、リスクに適した情報セキュリティのレベルを確保するために必要な技術的及び組織的措置を統合し、特に処理の機密性、完全性、可用性及び回復力に関するリスクに応じて、個人データを処理しなければならない。
1 ・ Se ha realizado un análisis de los riesgos para los derechos y libertades de las personas a la luz del cual se puedan determinar los requisitos de seguridad y privacidad del componente IA utilizado en el marco del tratamiento. 個人の権利と自由のリスク分析を行い、処理の枠組みの中で使用されるAI構成要素のセキュリティとプライバシー要件を決定する。
2 ・ Se han definido, en el origen y junto con el resto de los requisitos, aquellos relacionados con la protección de los datos y la seguridad, independientemente de que se trate del diseño de un nuevo componente IA o de la modificación de uno ya existente. データ保護、セキュリティに関するものは、新規AIの設計、既存AIの修正に関わらず、当初から他の要求事項と一緒に定義する。
3 ・  Se siguen los estándares y buenas prácticas disponibles para el desarrollo y la configuración segura del componente. 構成要素の開発と安全な設定のために利用可能な標準とグッドプラクティスを守る。
4 ・ Se han implementado las medidas necesarias para garantizar la protección de los datos tratados, en particular, aquellas orientadas a garantizar la confidencialidad, mediante técnicas de anonimización o seudonimización de los datos y la integridad para proteger la implementación del componente de manipulaciones accidentales o intencionadas. 処理されたデータの保護、特にデータの匿名化または仮名化の技術を用いた機密性の確保と、偶発的または意図的な操作から構成要素の実装を保護するための完全性の確保を目的とした必要な措置を講じる。
5 ・ Se han implementado medidas para garantizar la resiliencia del componente y su capacidad para resistir ataques. 構成要素の復元力と攻撃に対する耐性を確保するための対策を実施する。
6 ・ Se han implementado procedimientos para monitorizar el funcionamiento del componente y detectar, de manera temprana, posibles fugas de datos, accesos no autorizados u otros tipos de brechas de seguridad. 構成要素の動作を監視し、データ漏洩、不正アクセス、その他のセキュリティ侵害の可能性を早期に発見するための手順を実施する。
7 ・ Los usuarios y operadores del componente disponen de información y conocen sus deberes y responsabilidades en materia de seguridad orientada a la protección de los derechos y libertades de los interesados. 利用者及び運営者は、データ対象者の権利と自由の保護を目的としたセキュリティに関する情報を入手し、その義務と責任を認識する。

|

« スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。 | Main | NTFS $ I30インデックス属性に関わるリスクの件 »

Comments

Post a comment



(Not displayed with comment.)




« スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。 | Main | NTFS $ I30インデックス属性に関わるリスクの件 »