フランス CNIL 人工知能システムの開発に関する勧告

こんにちは、丸山満彦です。

フランスの個人データ保護機関であるCNILが、AIシステム開発に対する勧告、推奨事項？を公表していますね。。。

参考になることも多いと思います。

ただ、フランス語なんですよね...私もよくわかりません...

 

● Commission nationale de l'informatique et des libertés; CNIL

プレス...

・2024.04.08 IA : la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle

IA : la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle	AI：CNIL、人工知能システムの開発に関する初の勧告を発表
08 avril 2024	2024年4月8日
À l’issue d’une consultation publique, la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle. Elles doivent aider les professionnels à concilier innovation et respect des droits des personnes pour le développement innovant et responsable de leurs systèmes d’IA.	公開協議の結果、CNILは人工知能システムの開発に関する初の勧告を発表した。この勧告は、AIシステムの革新的かつ責任ある開発において、技術革新と個人の権利の尊重を両立させることを目的としている。
Concilier le développement de systèmes d’IA avec les enjeux de protection de la vie privée	AIシステムの開発とプライバシー保護問題の調和
De nombreux acteurs ont fait part à la CNIL de questionnements concernant l’application du règlement général sur la protection des données (RGPD) à l’intelligence artificielle (IA), en particulier depuis l’émergence de systèmes d’IA génératives (« Generative AI systems »). En mai 2023, la CNIL a publié son « plan IA » et a lancé un important travail de clarification du cadre juridique afin de sécuriser les acteurs.	特にジェネレーティブAIシステムの出現以来、多くの利害関係者がCNILに対し、人工知能（AI）への一般データ保護規則（GDPR）の適用について疑問を呈してきた。2023年5月、CNILは「AI計画」を発表し、関係者を安心させるために法的枠組みを明確にするための大規模な取り組みを開始した。
L’analyse de ces systèmes montre que leur développement est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes.	これらのシステムを分析すると、その発展がプライバシー保護の課題と両立できることがわかる。さらに、この要請が考慮されれば、ヨーロッパの価値観に忠実な倫理的システム、ツール、アプリケーションが出現するだろう。
C’est à cette condition que les citoyens feront confiance à ces technologies. Pour cela, il est important que les acteurs disposent d’éléments clairs et pratiques pour éclairer leurs décisions stratégiques de développement ou d’utilisation de l’IA qu’ils devront prendre dans les prochains mois.	このような条件が整えば、市民はこれらのテクノロジーに信頼を寄せることができる。これを達成するためには、関係者が今後数ヶ月のうちに行わなければならないAIの開発と使用に関する戦略的決定を下すのに役立つ、明確で実用的な情報を得ることが重要である。
Les premières recommandations de la CNIL	CNILの初期勧告
Pour un usage de l’IA respectueux des données personnelles	個人情報を尊重するAIの利用
Pour clarifier les règles applicables en la matière, la CNIL publie aujourd’hui une première série de recommandations pour un usage de l’IA respectueux des données personnelles.	この分野で適用される規則を明確にするため、CNILは本日、個人情報を尊重したAIの使用に関する一連の初期勧告を発表する。
Ces recommandations de la CNIL servent à accompagner les acteurs de l’écosystème IA dans leurs démarches de mise en conformité avec la législation sur la protection des données personnelles. Elles permettent d’apporter des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA. Les points abordés dans ces premières recommandations permettent en particulier de :	CNILの勧告は、AIのエコシステムにおいて、個人情報保護に関する法令を遵守しようとするプレイヤーを支援することを目的としている。この勧告は、RGPDをAIに適用する際の法的・技術的な問題について、例を挙げて具体的な回答を示している。これらの初期勧告で取り上げられている点は、特に以下のことを可能にする：
・déterminer le régime juridique applicable ;	・適用される法体系の決定
・définir une finalité ;	・目的の定義
・déterminer la qualification juridique des acteurs ;	・関係者の法的地位を決定する
・définir une base légale ;	・法的根拠を定める；
・effectuer des tests et vérifications en cas de réutilisation des données ;	・データを再利用する際には、テストとチェックを実施する；
・réaliser une analyse d’impact si nécessaire ;	・必要に応じて影響分析を行う；
・tenir compte de la protection des données dès les choix de conception du système ;	・システム設計の段階からデータ保護を考慮する；
・tenir compte de la protection des données dans la collecte et la gestion des données.	・データを収集・管理する際にデータ保護を考慮する。
Consulter les recommandations	勧告を参照する
7 fiches des recommandations officielles	公式勧告7枚
La CNIL propose également une synthèse de ses recommandations afin d’en rappeler les grands principes et de permettre à tous les acteurs de l’appliquer à leurs projets.	CNILはまた、主要原則を概説し、すべての利害関係者がプロジェクトに適用できるようにするため、勧告の要約を作成した。
Consulter la synthèse des recommandations	勧告の概要を参照する
Un document pour tout comprendre	すべてを理解するための文書
Des recommandations élaborées en concertation avec les acteurs de l’IA	AI関係者との協議により作成された勧告
Ces recommandations ont été élaborées après une série de rencontres avec des acteurs publics et privés pour recueillir leurs interrogations sur le sujet ainsi qu’une consultation publique de deux mois. Les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.) ont ainsi pu s’exprimer et permettre à la CNIL de proposer des recommandations au plus proche de leurs questionnements et de la réalité des usages de l’IA.	これらの提言は、このテーマに関する意見を収集するため、官民の関係者との一連の会合と、2ヶ月にわたる公開協議を経て作成された。関係者（企業、研究者、学者、協会、法律・技術顧問、労働組合、連盟など）は、このようにして意見を表明し、CNILが彼らの疑問やAI使用の現実にできるだけ近い勧告を提案できるようにした。
Lors la consultation publique, 43 contributions ont été reçues par la CNIL, émanant d’acteurs variés de l’écosystème de l’IA :	公開協議の期間中、CNILはAIのエコシステムにおける様々なプレイヤーから43件の投稿を受けた：
・29 organismes à but lucratif dans des secteurs divers (IA, finance, santé, aéronautique, opérateurs de plateformes en ligne, publicité en ligne, jeux vidéo, etc.) ;	・様々な分野の29の営利団体（AI、金融、ヘルスケア、航空、オンラインプラットフォーム事業者、オンライン広告、ビデオゲームなど）；
・7 organismes à but non lucratif (association représentative de la société civile, institut de recherche, think tank, etc.) ;	・非営利団体（市民社会を代表する団体、研究機関、シンクタンクなど）7団体；
・4 particuliers ;	・個人4名
・3 établissements public.	・3つの公的機関。
Les contributions reçues par la CNIL ont permis d’enrichir et de consolider les recommandations, publiées dans leur version finalisée. Plusieurs précisions et modifications ont donc été apportées, par exemple sur le périmètre des recommandations et leur articulation avec le projet de règlement IA, l’utilisation d’outils de moissonnage (web scraping), la réalisation d’une analyse d’impact sur la protection des données (AIPD), etc.	CNILが受領した寄稿は、最終版として公表された勧告の充実と統合に役立った。そのため、勧告の範囲やIA規則草案との関係、ウェブスクレイピングツールの使用、データ保護影響評価（DPIA）の実施など、多くの明確化と修正が行われた。
Elles ont également soulevé des points d’interrogation structurants (information des personnes, conditions à remplir pour mobiliser la base légale l’intérêt légitime, exercice des droits des personnes, etc.) que la CNIL traitera dans de prochaines publications.	また、多くの構造的な問題（個人に提供されるべき情報、正当な利益という法的根拠を動員するために満たすべき条件、個人の権利の行使など）も提起され、CNILは近日中に刊行する出版物でこれに対処する予定である。
La CNIL met à disposition une synthèse des contributions ainsi que des éléments de réponse aux interrogations formulées par les contributeurs.	CNILは、寄稿者の質問に対する回答とともに、寄稿の要約を公開している。
Lire la synthèse des contributions	投稿の要約を読む
Les prochaines étapes	次のステップ
Dans les mois à venir, la CNIL complètera ces premières recommandations par d’autres fiches portant notamment sur la base légale de l’intérêt légitime, la gestion des droits, l’information des personnes concernées, l’annotation et la sécurité lors de la phase de développement. Ces travaux seront également soumis à consultation publique.	今後数ヶ月の間に、CNILはこれらの初期勧告に加え、特に正当な利益の法的根拠、権利管理、情報主体への情報提供、アノテーション、開発段階におけるセキュリティなどを扱った他のシートを補足する予定である。この作業もまた、公開協議に付される予定である。

 

 

７つの勧告事項

・2024.04.08 Les fiches pratiques IA

Les fiches pratiques IA	AIファクトシート
Introduction	はじめに
QUEL EST LE PÉRIMÈTRE DES FICHES PRATIQUES SUR L’IA ?	IAに関する実践的情報シートの範囲は？
La CNIL apporte des réponses concrètes pour la constitution de bases de données utilisées pour l’apprentissage des systèmes d’intelligence artificielle (IA), qui impliquent des données personnelles.	CNILは、個人情報を含む人工知能（AI）システムの訓練に使用するデータベースの作成に関する実践的な回答を提供している。
> En savoir plus	> 詳細
Fiche 1	ファクトシート1
DÉTERMINER LE RÉGIME JURIDIQUE APPLICABLE	適用される法的体制の決定
La CNIL vous aide à déterminer le régime juridique applicable aux traitements de données personnelles en phase de développement.	CNILは、開発段階における個人データの処理に適用される法的体制を決定する際に役立つ。
> En savoir plus	> 詳細
Fiche 2	ファクトシート2
DÉFINIR UNE FINALITÉ	目的の定義
La CNIL vous aide à définir la ou les finalités en tenant compte des spécificités du développement de systèmes d’IA.	CNILは、AIシステム開発の特殊性を考慮した上で、目的を定義することを支援する。
> En savoir plus	> 詳細
Fiche 3	シート3
DÉTERMINER LA QUALIFICATION JURIDIQUE DES FOURNISSEURS DE SYSTÈMES D’IA	AIシステムのサプライヤーの法的地位の決定
Responsable de traitement, responsable conjoint ou sous-traitant : la CNIL aide les fournisseurs de systèmes d’IA à déterminer leur qualification.	データ管理者、共同データ管理者、データ処理者：CNILはAIシステム提供者が法的地位を決定するのを支援する。
> En savoir plus	> 詳細
Fiche 4	シート4
ASSURER QUE LE TRAITEMENT EST LICITE - DÉFINIR UNE BASE LÉGALE	データ処理が適法であることを保証する - 法的根拠を定める
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données.	CNILは、貴社の責任およびデータの収集または再利用の方法に関して、貴社の義務を決定するのに役立つ。
> En savoir plus	> 詳細
Fiche 4	シート4
ASSURER QUE LE TRAITEMENT EST LICITE - EN CAS DE RÉUTILISATION DES DONNÉES	処理が適法であることを保証する - データが再利用される場合
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données.	CNILは、貴社の責任およびデータの収集または再利用の方法に基づいて、貴社の義務を決定するのに役立つ。
> En savoir plus	> 詳細
Fiche 5	シート5
RÉALISER UNE ANALYSE D’IMPACT SI NÉCESSAIRE	必要に応じて影響度分析を実施する
La CNIL vous explique comment et dans quels cas réaliser une analyse d’impact sur la protection des données (AIPD) en tenant compte des risques spécifiques au développement de modèles d’IA.	CNILは、AIモデルの開発に特有のリスクを考慮したデータ保護影響評価（DPIA）の実施方法と実施時期について説明している。
> En savoir plus	> 詳細
Fiche 6	シート6
TENIR COMPTE DE LA PROTECTION DES DONNÉES DANS LA CONCEPTION DU SYSTÈME	システム設計においてデータ保護を考慮する
Pour assurer le développement d’un système d’IA respectueux de la protection des données, il est nécessaire de mener une réflexion préalable lors de la conception du système. La CNIL en détaille les étapes.	データ保護に配慮したAIシステムの開発を確実にするためには、システム設計の際に事前検討を行う必要がある。CNILはその手順を示している。
> En savoir plus	> 詳細
Fiche 7	シート7
TENIR COMPTE DE LA PROTECTION DES DONNÉES DANS LA COLLECTE ET LA GESTION DES DONNÉES	データ収集・管理時にデータ保護を考慮する
La CNIL donne les bonnes pratiques pour sélectionner les données et limiter leur traitement afin d’entraîner un modèle performant dans le respect des principes de protection des données dès la conception et par défaut.	CNILは、データ保護の原則を当初から、またデフォルトで遵守する高性能モデルを作成するために、データを選択し、その処理を制限するためのベストプラクティスを概説している。
> En savoir plus	> 詳細

 

勧告の要約

・2024.04.08 Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD

 

Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD	AIシステムの開発：RGPDを遵守するためのCNIL勧告
La CNIL a publié ses premières recommandations sur l’application du RGPD au développement des systèmes d’intelligence artificielle pour aider les professionnels à concilier innovation et respect des droits des personnes. Voici ce qu’il faut en retenir.	CNILは、人工知能システムの開発におけるRGPDの適用に関する初の勧告を発表した。以下はその要点である。
Les concepteurs et développeurs de systèmes d’intelligence artificielle font souvent remonter à la CNIL que l’application du RGPD leur pose des difficultés, notamment pour l’entraînement des modèles.	人工知能システムの設計者や開発者は、CNILに対し、RGPDの適用が特にモデルの訓練に関して困難をもたらすとよく言う。
L’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle en Europe est fausse. En revanche, il faut avoir conscience que les bases d’entraînement comprennent parfois des « données personnelles », des informatiques sur des personnes réelles. L’utilisation de ces données fait courir des risques aux personnes, qu’il faut prendre en compte, afin de développer des systèmes d’IA dans des conditions qui respectent les droits et libertés des personnes, et notamment leur droit à la vie privée.	RGPDが欧州における人工知能の技術革新を妨げるという先入観は間違っている。一方で、訓練用データベースには「個人データ」、つまり実在の人物に関する情報が含まれることがあることを認識する必要がある。このデータの使用は、個人の権利と自由、特にプライバシーの権利を尊重した条件下でAIシステムを開発するために考慮しなければならないリスクに個人をさらすことになる。
Périmètre des recommandations	勧告の範囲
Quels sont les systèmes d’IA concernés ?	どのAIシステムに関係するのか？
Ces recommandations concernent le développement de systèmes d’IA impliquant un traitement de données personnelles (pour plus d’informations sur le cadre juridique, voir la fiche n°1). En effet, l’entraînement des systèmes d’IA nécessitent régulièrement l’utilisation d’importants volumes d’informations sur des personnes physiques, qu’on nomme « données personnelles ».	本勧告は、個人データの処理に関わるAIシステムの開発に関するものである（法的枠組みの詳細については、ファクトシート1を参照）。実際、AIシステムのトレーニングでは、定期的に「個人データ」として知られる個人に関する大量の情報を使用する必要がある。
Sont concernés :	これには以下が含まれる。
・Les systèmes fondés sur l’apprentissage automatique (machine learning) ;	・機械学習に基づくシステム；
・Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (« general purpose AI »).	・開発段階で運用用途が定義されるシステム、およびさまざまなアプリケーションに使用できる汎用システム（「汎用AI」）。
・Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en utilisant des données d’utilisation pour son amélioration.	・学習が「一回限り」または継続的に行われるシステム（例えば、利用データを利用してシステムを改善する）。
Quelles sont les étapes concernées ?	どのような段階が関係するのか？
Ces recommandations concernent la phase de développement de systèmes d’IA, et non celle de déploiement.	この勧告は、AIシステムの開発段階に関するものであり、導入段階に関するものではない。
La phase de développement comprend toutes les étapes préalables au déploiement du système d’IA à savoir : la conception du système, la constitution de la base de données et l’apprentissage	開発段階には、AIシステムの配備に先立つすべての段階、すなわちシステム設計、データベースの作成、学習が含まれる。
Comment ces recommandations s’articulent-elle avec le règlement européen sur l’IA ?	これらの勧告は、AIに関する欧州規制とどのように結びついているのか？
Les recommandations formulées prennent en considération le nouveau règlement européen sur l’intelligence artificielle très prochainement adopté. En effet, lorsque des données personnelles sont utilisées pour le développement d’un système d’IA, le RGPD et le règlement sur l’IA s’appliquent tous les deux. Les recommandations de la CNIL ont donc été élaborées pour compléter ces dernières de manière cohérente sur le volet relatif à la protection des données.	この勧告は、まもなく採択される人工知能に関する新しい欧州規則を考慮している。実際、AIシステムの開発に個人データが使用される場合、GDPRとAI規則の両方が適用される。従って、CNILの勧告は、データ保護の面で一貫した形で後者を補完するために作成された。
► Pour plus d’informations, voir la fiche n° 0	詳細はシートNo.0を参照のこと。
1ère étape : Définir un objectif (finalité) pour le système d’IA	ステップ1：AIシステムの目的（目的）を定める
Le principe	原則
Un système d’IA reposant sur l’exploitation de données personnelles doit être développé avec une « finalité », c’est-à-dire un objectif bien défini.	個人データの利用に基づくAIシステムは、「目的」、すなわち明確に定義された目的を持って開発されなければならない。
Cela permet de cadrer et de limiter les données personnelles que l’on va pouvoir utiliser pour l’entraînement, afin de ne pas stocker et traiter des données inutiles.	これにより、不必要なデータの保存や処理を避けるために、学習目的で使用できる個人データを定義し、制限することが可能になる。
Cet objectif doit être déterminé, soit établi dès la définition du projet. Il doit également être explicite, autrement dit connu et compréhensible. Il doit enfin être légitime, c’est-à-dire compatible avec les missions de l’organisme.	この目的は、プロジェクトが定義されると同時に決定されなければならない。また、明示的でなければならない。最後に、この目的は合法的でなければならない。
Il est parfois objecté que l’exigence de définir une finalité est incompatible avec l’entraînement d’IA, qui peut développer des caractéristiques non anticipées. La CNIL estime qu’il n’en est rien et que l’exigence de définition d’une finalité doit être adaptée au contexte de l’IA, sans disparaître pour autant, comme le montre les exemples qui suivent.	目的を明確にするという要件は、AIの訓練とは相容れないという反論がある。CNILは、そのようなことはないと考えており、目的を定めるという要件は、以下の例が示すように、消滅することなく、AIの状況に適合させる必要があると考えている。
En pratique	実際には
Il existe trois types de situations.	状況には3つのタイプがある。
Vous savez clairement quel sera l’usage opérationnel de votre système d’IA	AIシステムの運用目的がはっきりしている。
Dans ce cas, cet objectif sera la finalité de la phase de développement comme de la phase de déploiement et d’utilisation.	この場合、この目的は開発フェーズと展開・使用フェーズの両方の目的となる。
Exemple :	例
Un organisme constitue une base de données composée de photos de rames de trains en service – c’est-à-dire avec des personnes présentes – afin d’entraîner un algorithme pour mesurer l’affluence et la fréquentation des trains à quai dans les gares. La finalité en phase de développement est déterminée, explicite et légitime au regard de l’usage opérationnel identifié.	ある組織が、駅での列車の混み具合や混雑度を測定するアルゴリズムを訓練するために、運行中の列車、つまり人がいる列車の写真のデータベースを構築する。開発段階では、目的は定義され、明示され、特定された業務上の利用という点で正当である。
Cela est toutefois plus complexe lorsque vous développez un système d’IA à usage général qui pourra être utilisé dans divers contextes et applications ou lorsque votre système est développé à des fins de recherche scientifique.	しかし、さまざまな文脈や用途で使用できる汎用AIシステムを開発する場合や、科学的な研究目的でシステムを開発する場合は、より複雑になる。
Pour les systèmes d’IA à usage général	汎用AIシステムの場合
Exemple :	例
Un organisme peut constituer une base de données pour l’entraînement d’un modèle de classification d’images (personnes, véhicules, aliments, etc.) et le rendre publiquement accessible, sans qu’aucun usage opérationnel spécifique ne soit prévu lors du développement du modèle.	ある組織が、画像分類モデル（人、車、食べ物など）を学習するためのデータベースを作成し、それを一般に公開することができる。
Vous ne pouvez pas définir la finalité de manière trop générale comme, par exemple, « le développement et amélioration d’un système d’IA ». Il vous faudra être plus précis et faire référence :	例えば、「AIシステムの開発と改善」のように、目的をあまりに一般的に定義することはできない。より具体的に、以下のように定義する必要がある：
・au « type » de système développé, comme, par exemple, le développement d’un modèle de langage de grande taille, d’un système de vision par ordinateur (computer vision) ou encore d’un système d’IA générative d’images, de vidéos, de sons, de code informatique, etc.	・例えば、大規模言語モデルの開発、コンピューター・ビジョン・システムの開発、画像、動画、音声、コンピューター・コードなどを生成するAIシステムの開発などである。
・aux fonctionnalités et capacités techniquement envisageables.	・技術的に実現可能な機能・能力を持つ。
Bonne pratique :	グッドプラクティス
Vous pouvez donner encore plus de précisions quant à l’objectif poursuivi, par exemple en déterminant :	例えば、以下のように、追求する目的をさらに具体化することができる：
・les capacités prévisibles les plus à risque ;	・最もリスクの高い予測可能な機能
・les fonctionnalités exclues par conception ;	・設計上除外される機能
・les conditions d’utilisation du système d’IA : les cas d’usage connus de la solution ou encore les modalités d’utilisation (diffusion du modèle en open source, commercialisation, mise à disposition en SaaS ou par API, etc.).	・AIシステムが使用される条件：ソリューションの既知のユースケース、または使用方法（オープンソースとしてのモデルの配布、マーケティング、SaaSまたはAPI経由での利用可能性など）。
Pour les systèmes d’IA développés à des fins de recherche scientifique	科学研究目的で開発されたAIシステムの場合
Exemple :	例
Pourrait être considéré comme poursuivant des fins de recherche scientifique le développement d’un système d’IA pour une preuve de concept destinée à démontrer la robustesse d’un apprentissage automatique nécessitant moins de données d’entrainement, dans une démarche scientifique documentée ayant vocation à faire l’objet d’une publication.	出版を目的とした文書化された科学的プロセスにおいて、少ない学習データを必要とする機械学習の頑健性を実証することを目的とした概念実証のためのAIシステムの開発は、科学的研究目的の追求とみなすことができる。
Vous pouvez définir un objectif moins détaillé, compte tenu des difficultés à le définir précisément dès le début de vos travaux. Vous pouvez alors fournir des informations complémentaires pour préciser cet objectif à mesure que votre projet progresse.	研究開始時に目的を正確に定義することが困難であることを考慮し、あまり詳細でない目的を定義することもできる。その後、プロジェクトが進行するにつれて、この目的を明確にするための追加情報を提供することができる。
► Pour plus d’informations, voir la fiche n° 2	詳細はシートNo.2を参照のこと。
2e étape : Déterminer vos responsabilités	ステージ2：責任を決定する
Le principe	原則
Si vous utilisez des données personnelles pour le développement de systèmes d’IA, vous devez déterminer votre responsabilité au sens du RGPD. Vous pouvez être :	AIシステムの開発に個人データを使用する場合、RGPDの意味での責任を決定する必要がある。以下はその例である：
・responsable de traitement (RT) : vous déterminez les objectifs et les moyens, c’est-à-dire lorsque vous décidez du « pourquoi » et du « comment » de l’utilisation de données personnelles. Si un ou plusieurs autres organismes décident avec vous de ces éléments, vous serez responsables conjoints du traitement et devrez définir vos obligations respectives (par exemple, par le biais d’un contrat).	・データ管理者（RT）：目的と手段を決定する。すなわち、個人データを使用する「理由」と「方法」を決定する。1つまたは複数の他の機関がこれらの要素についてあなたと共に決定する場合、あなた方は処理について共同責任を負い、それぞれの義務を（例えば契約によって）定める必要がある。
・sous-traitant (ST) : vous traitez des données pour le compte d’un donneur d’ordre qui est le « responsable du traitement ». Dans ce cas, ce dernier doit s’assurer que vous respectez le RGPD et que vous ne traitiez les données que sur ses instructions : la loi prévoit alors la conclusion d’ un contrat de sous-traitance.	・処理者（ST）：「管理者」である本人に代わってデータを処理する。この場合、後者は、あなたがRGPDを遵守し、その指示に基づいてのみデータを処理することを保証しなければならない。
En pratique	実際には
Le règlement européen sur l’IA définit plusieurs rôles :	欧州AI規則では、いくつかの役割が定義されている：
・le fournisseur de système d’IA qui développe ou fait développer un système et qui le met sur le marché ou le met en service sous son propre nom ou sa propre marque, à titre payant ou gratuit ;	・AIシステム供給者：システムを開発する、または開発させ、有償・無償を問わず、自社の名前またはブランドで市場に出す、またはサービスを開始する；
・les importateurs, distributeurs et les utilisateurs (également appelés déployeurs) de ces systèmes.	・システムの輸入業者、販売業者、ユーザー（配備業者とも呼ばれる）。
Votre degré de responsabilité dépend d’une analyse au cas par cas. Par exemple :	責任の程度はケースバイケースの分析による。例えば、次のような場合である：
・Si vous êtes un fournisseur à l’initiative du développement d’un système d’IA et que vous constituez la base de données d’apprentissage à partir de données que vous avez sélectionnées pour votre propre compte, vous pouvez être qualifié de responsable de traitement.	・例えば、あなたがAIシステムの開発を開始するベンダーであり、自社に代わって選択したデータから学習データベースを構築する場合、あなたは管理者に該当する可能性がある。
・Si vous constituez la base de données d’apprentissage d’un système d’IA avec d’autres responsables de traitement pour un objectif que vous avez défini ensemble, vous pouvez être qualifiés de responsables conjoints du traitement.	・AIシステムの学習データベースを、他のデータ管理者とともに定義した目的のために構築する場合、共同データ管理者に該当する可能性がある。
・Si vous êtes un fournisseur de système d’IA, vous pouvez être sous-traitant si vous développez un système pour le compte d’un de vos clients. Le client sera responsable de traitement s’il détermine l’objectif mais aussi les moyens, les techniques à utiliser. S’il ne vous donne qu’un objectif à atteindre et que c’est vous qui concevez le système d’IA, vous êtes responsable de traitement.	・あなたがAIシステムのプロバイダーである場合、顧客の1社に代わってシステムを開発すれば、下請け業者になることができる。顧客は、目的だけでなく、使用する手段や技術も決定すれば、処理に責任を持つ。顧客が達成すべき目的を与えるだけで、あなたがAIシステムを設計する場合は、あなたがデータ管理者となる。
・Si vous êtes un fournisseur de système d’IA vous pouvez faire appel à un prestataire pour collecter et traiter les données selon vos instructions. Le prestataire sera votre sous-traitant. C’est le cas par exemple du prestataire qui doit constituer une base de données d’apprentissage pour un fournisseur de système d’IA qui lui indique précisément comment elle doit être élaborée.	・あなたがAIシステムのプロバイダーであれば、あなたの指示に従ってデータを収集し、処理するようサービス・プロバイダーに依頼することができる。サービス・プロバイダーはあなたの下請け業者となる。例えば、AIシステム提供者のために学習データベースを構築しなければならないサービス提供者が、どのように構築すべきかを正確に指示するような場合である。
► Pour plus d’informations, voir la fiche n° 3	詳細はシートNo.3を参照のこと。
Pour la suite :	次：
・Si vous êtes responsable de traitement, toutes les étapes suivantes vous concernent directement, c’est vous qui êtes tenus d’en assurer le respect.	・あなたが管理者である場合、以下のステップはすべてあなたに直接関係する。
・Si vous êtes sous-traitant, vos principales obligations sont les suivantes :	・あなたが処理者である場合、あなたの主な義務は以下の通りである：
・・Vous assurer qu’un contrat de sous-traitance de données personnelles a été conclu et qu’il est conforme à la réglementation ;	・・個人データの再委託に関する契約が締結され、それが規制に準拠していることを確認する；
・・Respecter strictement les instructions du responsable de traitement et ne pas utiliser les données personnelles pour autre chose ;	・・管理者の指示を厳守し、それ以外の目的で個人データを使用しないこと；
・・Assurer rigoureusement la sécurité des données que sous traitez ;	・・再委託するデータのセキュリティを厳格に確保すること；
・・Evaluer à votre niveau le respect du RGPD (cf. les étapes suivantes) et alerter le responsable de traitement s’il vous semble qu’il y a un problème.	・・自社レベルでのRGPD遵守を評価し（以下のステップを参照）、問題があると思われる場合はデータ管理者に警告する。
3e étape : Définir la « base légale » qui vous autorise à traiter des données personnelles	ステップ3：個人データの処理を許可する「法的根拠」を定義する
Le principe	原則
Le développement de systèmes d’IA contenant des données personnelles devra disposer d’une base légale qui vous autorise à traiter ces données. Le RGPD liste 6 bases légales possibles : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux, la poursuite d’un intérêt légitime.	個人データを含むAIシステムの開発には、このデータの処理を許可する法的根拠が必要である。GDPRは6つの可能な法的根拠を挙げている：同意、法的義務の遵守、契約の履行、公共の利益のために行われる業務の履行、重要な利益の保護、正当な利益の追求。
Selon la base légale retenue, vos obligations et les droits des personnes pourront varier, c’est pour cela qu’il est important de la déterminer en amont et de l’indiquer dans la politique de confidentialité des données.	選択した法的根拠によって、貴社の義務や個人の権利が異なる可能性があるため、事前にこれを決定し、データ機密保持ポリシーに明記することが重要である。
En pratique	実務上の検討事項
Vous devez vous interroger sur la base légale la plus adaptée à votre situation.	どの法的根拠が自社の状況に最も適しているかを検討する必要がある。
Si vous collectez les données directement auprès des personnes et qu’elles sont libres d’accepter ou de refuser sans subir de préjudice (tel que le fait de renoncer au service), le consentement est souvent la base légale la plus appropriée. Selon la loi, il doit être libre, spécifique, éclairé et univoque.	もしあなたが個人から直接データを収集し、その個人が不利益を被ることなく（例えばサービスを諦めるなど）自由に承諾または拒否できるのであれば、多くの場合、同意が最も適切な法的根拠となる。法律によれば、同意は自由で、具体的で、十分な情報を提供され、かつ明確でなければならない。
Recueillir le consentement est cependant souvent impossible en pratique. Par exemple, lorsque vous collectez des données accessibles en ligne ou réutilisez une base de données ouverte (open source), sans contact direct avec les personnes concernées, d’autres bases légales seront, généralement, plus adaptés :	しかし実際には、同意を得ることが不可能な場合も多い。例えば、オンラインでアクセス可能なデータを収集する場合や、オープンソースのデータベースを再利用する場合、関係者と直接接触することなく、他の法的根拠がより適切であることが一般的である：
・Les acteurs privés devront analyser s’ils respectent les conditions pour se fonder sur l’intérêt légitime. Ils doivent pour cela justifier de trois conditions :	・民間企業は、正当な利益に依拠する条件を満たしているかどうかを分析しなければならない。そのためには、以下の3つの条件を満たす必要がある：
・・l’intérêt poursuivi est légitime c’est-à-dire légal, défini de manière précise et réel ;	・・追求される利益が合法的であること、すなわち合法的で、正確に定義され、現実的であること；
・・il faut pouvoir établir que les données personnelles sont vraiment nécessaires à l’entraînement du système, parce qu’il n’est pas possible de n’utiliser que des données ne se rapportant pas à des personnes physiques ou des données anonymisées. ;	・・自然人に関連しないデータや匿名化されたデータのみを使用することは不可能であるため、個人データがシステムを動かすために真に必要であることを立証できなければならない；
・・l’utilisation de ces données personnelles ne doit pas porter une « atteinte disproportionnée » à la vie privée des personnes. Cela s’apprécie au cas par cas, en fonction de ce que révèlent les données utilisées, qui peut être plus ou moins privé ou sensible, et de ce qui est fait des données. ;	・・これらの個人データの使用は、個人のプライバシーの「不釣り合いな侵害」につながってはならない。これはケースバイケースで評価され、使用されるデータが何を明らかにするか、それは多かれ少なかれ個人的または機微的なものである可能性があり、またそのデータで何が行われるかによる；
À noter : une fiche pratique spécifique à la base légale de l’intérêt légitime sera prochainement publiée.	注：正当な利益の法的根拠に関する具体的な実務ガイドは、近日中に発表される予定である。
・Les acteurs publics doivent vérifier si le traitement s’inscrit dans leur mission d’intérêt public telle que prévue par un texte (par exemple une loi, un décret, etc.) et s’il y contribue de manière pertinente et appropriée.	・公的機関は、その処理が文書（法律、政令など）に定められた公益的使命に沿ったものであるかどうか、また適切かつ適切な方法でこの使命に寄与するものであるかどうかを確認しなければならない。
Exemple : le pôle d'expertise de la régulation numérique (PEReN) est autorisé sur ce fondement à réutiliser des données publiquement accessibles pour réaliser des expérimentations ayant notamment pour objet de concevoir des outils techniques destinés à la régulation des opérateurs de plateformes en ligne.	例えば、PEReN（Pôle d'Expertise de la Régulation Numérique）は、特にオンラインプラットフォーム事業者の規制のための技術的ツールの設計を目的とした実験を実施するために、一般にアクセス可能なデータを再利用する権限を有する。
Les bases légales du contrat et de l’obligation légale peuvent être plus exceptionnellement mobilisées, si vous démontrez en quoi votre traitement est nécessaire pour répondre à l’exécution du contrat ou de mesures précontractuelles ou à une obligation légale (suffisamment précise) à laquelle vous êtes soumis.	契約および法的義務に関する法的根拠は、契約または契約前の措置の履行、またはお客様が従う（十分に正確な）法的義務を満たすためにお客様の処理が必要であることを証明する場合、より例外的に動員される場合がある。
► Pour plus d’informations, voir la fiche n° 4	詳細はシートNo.4を参照のこと。
4e étape : Vérifier si je peux réutiliser certaines données personnelles	ステップ4：特定の個人データを再利用できるか確認する
Le principe	原則
Si vous envisagez de réutiliser une base de données à caractère personnel, il faut s’assurer que c’est légal. Cela dépend des modalités de collecte et de la source des données en cause. Vous devez, en tant que responsable de traitement (voir la partie « déterminer vos responsabilités »), effectuer certaines vérifications complémentaires afin de garantir que cette utilisation est légale.	個人データベースの再利用を計画している場合、それが合法であることを確認する必要がある。これはデータの収集方法と当該データの情報源によって異なる。データ管理者として（「あなたの責任を決定する」のセクションを参照）、あなたはこの利用が合法であることを確認するために、特定の追加チェックを実施しなければならない。
En pratique	実際には
Les règles vont dépendre des situations.	規則は状況によって異なる。
Le fournisseur réutilise des données qu’il a lui-même déjà collectées	サプライヤーがすでに収集したデータを再利用する
Vous pouvez vouloir réutiliser les données que vous avez initialement collectées pour un autre objectif. Dans ce cas, si vous n’aviez pas prévu et informé les personnes concernées de cette réutilisation, vous devez vérifier que ce nouvel usage est compatible avec l’objectif initial, sauf si vous êtes autorisé par les personnes concernées (elles ont consenti) ou par un texte (par exemple une loi, un décret etc.).	最初に収集したデータを別の目的で再利用したい場合がある。この場合、データ対象者にこの再利用を計画・通知していないのであれば、データ対象者（データ対象者が同意している）または条文（法律、法令など）により許可されていない限り、この新たな利用が当初の目的に適合していることを確認しなければならない。
Vous devez effectuer ce qu’on appelle un « test de compatibilité », qui doit prendre en compte :	その際、以下の点を考慮しなければならない：
・l’existence d’un lien entre l’objectif initial et celui de constitution de base de données pour l’apprentissage d’un système d’IA ;	・当初の目的と、AIシステムを訓練するためのデータベース作成との間に関連性があるかどうか；
・le contexte dans lequel les données personnelles ont été collectées ;	・個人データが収集された背景
・le type et la nature des données ;	・データの種類と性質
・les éventuelles conséquences pour les personnes concernées ;	・データ対象者への影響
・l’existence de garanties appropriées (par exemple, la pseudonymisation des données).	・適切な保護措置の存在（データの仮名化など）。
À noter : si vous souhaitez réutiliser des données dans un objectif de production de statistiques ou de recherche scientifique, le traitement est présumé compatible avec l’objectif initial. Aucun test de compatibilité n’est donc nécessaire dans ce cas.	注意：統計的または科学的研究目的でデータの再利用を希望する場合、その処理は当初の目的と両立するものと推定される。したがって、この場合、互換性テストは必要ない。
Le fournisseur réutilise des données publiquement accessibles (open source)	サプライヤーが、一般にアクセス可能な（オープンソースの）データを再利用する。
Dans ce cas, vous devez vous assurer que vous n’êtes pas en train de réutiliser une base de données dont la constitution était manifestement illicite (par exemple, provenant d’une fuite de données). Une analyse au cas par cas doit être effectuée.	この場合、明らかに不正に作成された（例えばデータ漏洩による）データベースを再利用していないことを確認しなければならない。ケースバイケースの分析を行う必要がある。
La CNIL recommande aux réutilisateurs de vérifier et de documenter (par exemple, dans l’analyse d’impact sur la protection des données) les éléments suivants :	CNILは、再利用者が以下の要素を確認し、文書化することを推奨している（例えば、データ保護影響評価において）：
・la description de la base de données mentionne leur source ;	・データベースの説明で、そのソースに言及すること；
・la constitution ou la diffusion de la base de données ne résulte pas manifestement d’un crime ou d’un délit ou a fait l’objet d’une condamnation ou d’une sanction publique de la part d’une autorité compétente qui a impliqué une suppression ou une interdiction d’exploitation ;	・データベースの作成または普及が明らかに犯罪や軽犯罪の結果でないこと、または削除や使用禁止を伴う有罪判決や管轄当局による公的制裁の対象になっていないこと；
・il n’y a pas de doutes flagrants sur le fait que la base de données est licite en s’assurant en particulier que les conditions de collecte des données soient suffisamment documentées ;	・特に、データ収集の条件が十分に文書化されていることを確認することにより、データベースの合法性に関して明白な疑念がないこと；
・la base de données ne contient pas de données sensibles (données de santé ou révélant des opinions politiques par exemple) ou de données d’infraction ou, si elle en contient, il est recommandé de mener des vérifications supplémentaires pour s’assurer que ce traitement est licite.	・データベースに機密データ（健康データ、政治的意見を明らかにするデータなど）や侵害データが含まれていないか、含まれている場合は、この処理が合法的であることを確認するための追加チェックを行うことが推奨される。
L’organisme qui a mis en ligne la base de données est censé s’être assuré que cette publication respectait le RGPD, et en est responsable. En revanche, vous n’avez pas à vérifier que les organismes qui ont constitué et diffusé la base de données aient respecté toutes les obligations prévues par le RGPD : la CNIL estime que les quatre vérifications mentionnées ci-dessus suffisent généralement à permettre la réutilisation de la base pour l’entraînement d’un système d’IA, à condition de respecter les autres recommandations de la CNIL. Si vous recevez des informations, notamment de personnes dont les données sont contenues dans la base, qui mettent en lumière des problèmes de licéité de la base de données utilisées, vous devrez investiguez davantage.	データベースをオンラインに公開した組織は、この公開がRGPDに準拠していることを保証し、その責任を負うことになっている。一方、データベースを作成・配布した組織がRGPDの定める義務をすべて遵守していることを確認する必要はない。CNILは、その他のCNILの勧告が遵守されていれば、AIシステムのトレーニングのためにデータベースを再利用するには、上記の4つの確認で一般的に十分であると考えている。特にデータベースにデータが含まれている人々から、使用されているデータベースの合法性に問題があることを強調する情報を受け取った場合は、さらに調査する必要がある。
Le fournisseur réutilise des données acquises auprès d’un tiers (courtiers en données ou data brokers, etc.)	サプライヤーが第三者（データブローカーなど）から取得したデータを再利用している。
Pour le tiers qui partage des données personnelles, parfois contre rémunération, il existe deux types de situations.	第三者が個人データを共有する場合、場合によっては支払いと引き換えに、2種類の状況がある。
Soit le tiers a collecté les données dans l’objectif de constituer une base de données pour l’apprentissage de système d’IA. Il doit s’assurer de la conformité du traitement de transmission des données au regard du RGPD (définition d’un objectif explicite et légitime, exigence d’une base légale, information des personnes et gestion de l’exercice de leurs droits, etc.).	第三者がAIシステムのトレーニング用データベースを構築する目的でデータを収集した場合。第三者は、データの処理と送信がRGPD（明示的かつ正当な目的の定義、法的根拠の要件、個人への通知と権利行使の管理など）に準拠していることを保証しなければならない。
Soit le tiers n’a pas initialement collecté les données pour cet objectif. Il doit alors s’assurer que la transmission de ces données poursuit un objectif compatible avec celui ayant justifié leur collecte. Il devra donc réaliser le « test de compatibilité » présenté plus haut.	または、第三者が当初この目的でデータを収集していなかった。この場合、第三者はデータ送信の目的がデータ収集の目的と両立することを保証しなければならない。したがって、第三者は前述の「互換性テスト」を実施しなければならない。
Le réutilisateur des données a, quant à lui, plusieurs obligations :	データ再利用者にはいくつかの義務がある：
・Il doit s’assurer qu’il n’est pas en train de réutiliser une base de données manifestement illicite en faisant les mêmes vérifications que celles énoncées dans la partie ci-dessus. La conclusion d’un accord entre le détenteur initial des données et le réutilisateur est recommandée afin de faciliter ces vérifications.	・データ再利用者は、上記のセクションで述べたのと同じチェックを行うことにより、明らかに違法なデータベースを再利用していないことを確認しなければならない。このようなチェックを容易にするために、データの元の保有者と再利用者との間で契約を締結することが推奨される。
・En plus de ces vérifications, il doit s’assurer de sa propre conformité au RGPD dans le traitement de ces données.	・これらの確認に加え、再利用者はデータの処理においてGDPRの遵守を自ら確認しなければならない。
► Pour plus d’informations, voir la fiche n° 4	詳細はシートNo.4を参照のこと。
5e étape : minimiser les données personnelles que j’utilise	ステップ5：使用する個人データを最小限にする
Le principe	原則
Les données personnelles collectées et utilisées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de l’objectif défini : c'est le principe de minimisation des données. Vous devez respecter ce principe et l’appliquer de manière rigoureuse lorsque les données traitées sont sensibles (données concernant la santé, données relatives à la vie sexuelle aux opinion religieuses ou politiques, etc.).	収集され使用される個人データは、適切かつ関連性があり、定義された目的に必要なものに限定されなければならない。処理されるデータが機微なもの（健康に関するデータ、性生活に関するデータ、宗教的または政治的意見など）である場合は、この原則を尊重し、厳格に適用しなければならない。
En pratique	実際には
La méthode à employer	使用する方法
Vous devez privilégier la technique permettant d’atteindre le résultat recherché (ou du même ordre) en utilisant le moins de données personnelles possible. En particulier, le recours à l’apprentissage profond ne doit donc pas être systématique.	可能な限り最小限の個人データを使用して、望ましい結果（またはそれに近いもの）を達成する手法を優先すべきである。特に、ディープラーニングは組織的に使うべきではない。
Le choix du protocole d’apprentissage utilisé peut, par exemple, permettre de limiter l’accès aux données aux seules personnes habilitées, ou encore de ne donner accès qu’à des données chiffrées.	使用する学習プロトコルの選択により、例えば、データへのアクセスを権限者のみに制限したり、暗号化されたデータへのアクセスのみを提供したりすることが可能となる。
La sélection des données strictement nécessaires	厳密に必要なデータを選択する
Le principe de minimisation n’interdit pas d’entraîner un algorithme avec des volumes très importants de données, mais implique :	最小化の原則は、非常に大量のデータでアルゴリズムを訓練することを排除するものではないが、：
・d’avoir une réflexion en amont afin de recourir aux seules données personnelles utiles au développement du système ; et	・システムの開発に有用な個人データのみが使用されるようにする。
・à mettre, par la suite, en œuvre les moyens techniques pour ne collecter que celles-ci.	・その後、このデータのみを収集する技術的手段を導入する。
La validité des choix de conception	デザイン選択の妥当性
Afin de valider les choix de conception, il est recommandé à titre de bonne pratique de :	設計の選択を検証するために、グッドプラクティスとして以下のことが推奨される：
・mener une étude pilote, c’est-à-dire réaliser une expérimentation à petite échelle. Des données fictives, synthétiques, anonymisées peuvent être utilisées à cette fin ;	・パイロット・スタディ、すなわち小規模の実験を行う。この目的のために、架空の、合成された、匿名化されたデータを使用することができる；
・interroger un comité éthique (ou un « référent éthique »). Ce comité doit garantir que les enjeux en matière d’éthique et de protection des droits et libertés des personnes sont bien pris en compte. Il peut ainsi formuler des avis sur tout ou partie des projets, outils, produits, etc. de l’organisme susceptibles de poser des problématiques éthiques.	・倫理委員会（または「倫理参照者」）に相談する。この委員会は、倫理的問題と人々の権利と自由の保護が考慮され ていることを保証しなければならない。倫理委員会は、倫理的問題を提起する可能性のある組織のプロジェクト、ツール、 製品などの全部または一部について意見を発表することができる。
L’organisation de la collecte	データ収集の組織化
Vous devez vous assurer que les données collectées sont pertinentes compte tenu des objectifs poursuivis. Plusieurs étapes sont fortement recommandées :	収集したデータが、追求する目的に関連したものであることを保証しなければならない。いくつかのステップを踏むことを強く推奨する：
・Le nettoyage des données : cette étape vous permet de constituer une base d’apprentissage de qualité et ainsi renforcer l’intégrité et la pertinence des données en réduisant les incohérences, et ainsi que le coût de l’apprentissage.	・データのクレンジング：このステップにより、高品質の学習データベースを構築することができ、データの整合性と関連性が強化される。
・L’identification des données pertinentes : cette étape vise à optimiser les performances du système tout en évitant les sous- et sur-apprentissage. En pratique, elle vous permet de vous assurer que certaines classes ou catégories inutiles pour la tâche visée ne sont pas représentées, que les proportions entre les différentes classes d’intérêt sont bien équilibrées, etc. Cette procédure vise également à identifier les données non pertinentes pour l’apprentissage (qui devront alors être supprimées de la base).	・関連データの特定：この段階は、学習不足や過剰学習を避けながら、システムのパフォーマンスを最適化することを目的としている。実際には、手元のタスクに有用でない特定のクラスやカテゴリーが表現されていないこと、関心のある異なるクラス間の比率がバランスよく保たれていることなどを確認することができる。この手順はまた、学習に関係のないデータ（これはデータベースから削除されるべきである）を特定することも目的としている。
・La mise en œuvre de mesures pour intégrer dès leur conception les principes de protection des données personnelles : cette étape vous permet d’appliquer des transformations sur les données (telles que des mesures de généralisation et/ou de randomisation, anonymisation des données, etc.) pour limiter l’impact pour les personnes.	・設計段階から個人データ保護の原則を取り入れるための対策を実施する：この段階では、個人への影響を制限するために、データに変形（一般化および／または無作為化対策、データの匿名化など）を適用することができる。
・Le suivi et la mise à jour des données : les mesures de minimisation pourraient devenir obsolètes au cours du temps. En effet, les données collectées pourraient perdre leurs caractères exact, pertinent, adéquat et limité, en raison d’une possible dérive des données, d’une mise à jour de celles-ci ou de l’évolution des techniques. Vous devrez donc conduire une analyse régulière pour assurer le suivi de la base de données constituée.	・データのモニタリングと更新：最小化措置は時間の経過とともに陳腐化する可能性がある。収集されたデータは、データ・ドリフト、データ更新、技術開発の結果、その正確性、関連性、妥当性、限定性を失う可能性がある。したがって、構築したデータベースを監視するために、定期的な分析を実施する必要がある。
・La documentation des données utilisées pour le développement d’un système d’IA : celle-ci vous permet de garantir la traçabilité des jeux de données utilisés que la grande taille peut rendre difficile. Vous devez tenir cette documentation à jour en fonction des modifications apportées à la base de données. La CNIL fournit ici un modèle de documentation.	・AIシステムの開発に使用したデータの文書化：これにより、使用したデータセットのトレーサビリティを保証することができる。データベースに変更が加えられた場合、この文書を常に最新の状態に保つ必要がある。CNILはここに文書化テンプレートを提供している。
► Pour plus d’informations, voir les fiches n° 6 et n°7	詳細はシート6と7を参照のこと。
6e étape : Définir une durée de conservation	ステップ6：保存期間を定める
Le principe	原則
Les données personnelles ne peuvent être conservées indéfiniment. Le RGPD vous impose de définir une durée au bout de laquelle les données doivent être supprimées ou, dans certains cas, archivées. Vous devez déterminer cette durée de conservation en fonction de l’objectif ayant conduit au traitement de ces données.	個人データを無期限に保存することはできない。RGPDは、データを削除、または場合によってはアーカイブしなければならない期間を定めることを要求している。この保存期間は、データが処理された目的に基づいて決定しなければならない。
En pratique	実際には
Vous devez fixer une durée de conservation des données utilisées pour le développement du système d’IA :	AIシステムの開発に使用したデータの保存期間を設定しなければならない：
・Pour la phase de développement : la conservation des données doit faire l’objet d’une planification en amont et d’un suivi dans le temps. Les personnes concernées doivent être informées de la durée de conservation des données (par exemple dans les mentions d’information) ;	・開発段階の場合：データ保持を事前に計画し、長期的に監視しなければならない。データ対象者には、データの保存期間を通知しなければならない（情報通知など）；
・Pour la maintenance ou l’amélioration du produit : lorsque les données n'ont plus à être accessibles pour les tâches quotidiennes des personnes en charge du développement du système d’IA, elles doivent en principe être supprimées. Elles peuvent toutefois être conservées pour la maintenance du produit ou son amélioration si des garanties sont mises en œuvre (support cloisonné, restriction des accès aux seules personnes habilitées, etc.).	・製品の保守または改良：AIシステムの開発担当者の日常業務においてデータにアクセスする必要がなくなった場合、原則としてデータを削除しなければならない。ただし、製品の保守や改良のために、保証（パーティションによるサポート、許可された者のみのアクセス制限など）を行う場合は、データを保存することができる。
À noter : la conservation des données d’apprentissage peut permettre d’effectuer des audits et faciliter la mesure de certains biais. Dans ces cas, une conservation prolongée des données peut être justifiée, sauf si la conservation d’informations générales sur les données suffit (par exemple, la documentation réalisée sur le modèle proposé dans la section Documentation, ou encore des informations sur la distribution statistique des données). Cette conservation doit être limitée aux données nécessaires, et s’accompagner de mesures de sécurité renforcées.	注意：学習データを保存することで、監査が可能になり、特定の偏りの測定が容易になる場合がある。このような場合、データに関する一般的な情報の保存で十分でない限り（例えば、「ドキュメンテーション」セクションで提案されたモデルについて作成された文書や、データの統計的分布に関する情報など）、データの長期保存が正当化される場合がある。この保持は必要なデータに限定され、強化されたセキュリティ対策を伴わなければならない。
► Pour plus d’informations, voir la fiche n° 7	詳細はシートNo.7を参照のこと。
7e étape : Réaliser une analyse d’impact sur la protection des données (AIPD)	ステップ7：データ保護影響評価（DPIA）を実施する。
Le principe	原則
L’analyse d’impact sur la protection des données (AIPD) est une démarche qui vous permet de cartographier et d’évaluer les risques d’un traitement sur la protection des données personnelles et d’établir un plan d’action pour les réduire à un niveau acceptable. Elle va notamment vous conduire à définir les mesures de sécurité pour protéger les données.	データ保護影響評価(DPIA)は、個人データ保護に関する処理操作のリスクをマッピングし、 評価し、許容可能なレベルまで低減するための行動計画を策定することを可能にするアプローチ である。特に、データを保護するために必要なセキュリティ対策を定義する。
En pratique	実務
La réalisation d’une AIPD pour le développement de systèmes d’IA	AIシステム開発のためのDPIAの実施
Il est fortement recommandé de réaliser une AIPD pour le développement de votre système d’IA notamment lorsque deux des critères suivants sont remplis :	AIシステムの開発においては、特に以下の2つの基準を満たす場合にDPIAを実施することを強く推奨する：
・des données sensibles sont collectées ;	・機密データが収集される；
・des données personnelles sont collectées à large échelle ;	・個人データが大規模に収集される；
・des données de personnes vulnérables (personnes mineures, en situation de handicap, etc.) sont collectées ;	・弱者（未成年者、障害者など）のデータが収集される；
・des ensembles de données sont croisés ou combinés;	・データセットが相互参照される、または組み合わされる；
・de nouvelles solutions technologiques sont mises en œuvre ou une utilisation innovante est faite.	・新しい技術ソリューションが導入される、または革新的な利用が行われる。
Par ailleurs, si des risques importants existent (par exemple : de mésusage des données, de violation de données, ou de discrimination), une AIPD doit être réalisée même si deux des critères précédents ne sont pas remplis.	さらに、重大なリスク（データの悪用、データ漏洩、差別など）がある場合は、上記の基準のうち2つを満たしていなくてもDPIAを実施しなければならない。
Pour aider à réaliser une AIPD, la CNIL met à disposition le logiciel open source PIA dédié.	DPIAの実施を支援するため、CNILは専用のPIAオープンソースソフトウェアを提供している。
Les critères de risque introduits par la proposition de règlement européen sur l’IA	AIに関する欧州規制案が導入するリスク基準
La CNIL considère que, pour le développement des systèmes à haut risque visés par le règlement européen sur l’IA et impliquant des données personnelles, la réalisation d’une AIPD est en principe nécessaire.	CNILは、欧州AI規則が適用され、個人情報に関わるリスクの高いシステムの開発には、原則としてDPIAの実施が必要であると考えている。
À noter : la réalisation de l’AIPD pourra reposer sur la documentation exigée par le règlement sur l’IA sous réserve de comporter les éléments prévus par le RGPD (article 35 du RGPD).	注：DPIAは、RGPD（RGPD第35条）が要求する要素を含んでいれば、AI規則が要求する文書に基づくことができる。
Le périmètre de l’AIPD	DPIAの範囲
Il existe deux types de situations pour le fournisseur d’un système d’IA, selon l’objectif du système d’IA (voir « définir un objectif (finalité) pour le système d’IA »).	AIシステムのサプライヤーには、AIシステムの目的に応じて2種類の状況がある（「AIシステムの目的（狙い）の定義」を参照）。
・Vous savez clairement quel sera l’usage opérationnel de votre système d’IA	・AIシステムの運用目的が明確である。
Il est recommandé de réaliser une AIPD générale pour l’ensemble du cycle de vie, qui comprend les phases de développement et de déploiement. Attention, si vous n’êtes pas l’utilisateur/déployeur du système d’IA, c’est ce dernier qui aura la responsabilité de réaliser l’AIPD pour la phase de déploiement (même s’il pourra s’appuyer sur le modèle d’AIPD que vous aurez proposé).	開発・導入段階を含むライフサイクル全体について、一般的なDPIAを実施することが推奨される。あなたがAIシステムのユーザー／デプロイヤーでない場合、デプロイメント段階のDPIAを作成する責任を負うのはユーザー／デプロイヤーであることに注意すること（ただし、あなたが提案したDPIAモデルを使用することはできる）。
・Si vous développez un système d’IA à usage général	・汎用AIシステムを開発する場合
Vous ne pourrez réaliser une AIPD que sur la phase de développement. Cette AIPD doit être fournie aux utilisateurs de votre IA pour leur permettre de conduire leur propre analyse.	開発段階のDPIAしか作成できない。このDPIAは、AIの利用者が自ら分析を行えるように提供しなければならない。
Les risques liés à l’IA à prendre en compte dans une AIPD	DPIAで考慮すべきAI関連のリスク
Les traitements de données personnelles reposant sur des systèmes d’IA présentent des risques spécifiques que vous devez prendre en compte :	AIシステムに基づく個人データの処理には、考慮しなければならない特定のリスクが存在する：
・les risques liés à la confidentialité des données susceptibles d’être extraites depuis le système d’IA ;	・AIシステムから抽出される可能性の高いデータの機密性に関するリスク；
・les risques pour les personnes concernées liés à des mésusages des données contenues dans la base d’apprentissage (par vos employés qui y ont accès ou en cas de violation de données) ;	・学習データベースに含まれるデータの誤用に関連するデータ主体へのリスク（アクセス可能な従業員による、またはデータ侵害の場合）；
・le risque d’une discrimination automatisée causée par un biais du système d’IA introduit lors du développement ;	・開発中に導入されたAIシステムのバイアスに起因する自動差別のリスク；
・le risque de produire du contenu fictif erroné sur une personne réelle, notamment dans le cas des systèmes d’IA génératives ;	・特に生成AIシステムの場合、実在の人物に関する誤った架空のコンテンツを生成するリスク；
・le risque de prise de décision automatisée quand l’agent utilisant le système n’est pas en capacité de vérifier sa performance en conditions réelles ou de prendre une décision contraire à la sortie du système sans que cela ne lui porte préjudice (en raison d’une pression hiérarchique par exemple) ;	・システムを使用するエージェントが、現実の条件下でそのパフォーマンスをチェックしたり、（例えば階層的な圧力により）不利益を被ることなくシステムの出力に反する決定を下すことができない場合、自動意思決定が行われるリスク；
・le risque d’une perte de contrôle des utilisateurs sur leurs données publiées et librement accessibles en ligne ;	・オンラインで公開され、自由にアクセスできる自分のデータに対するコントロールをユーザーが失うリスク；
・les risques liés aux attaques connues spécifiques aux systèmes d’IA (par exemple, les attaques par empoisonnement des données) ;	・AIシステム特有の既知の攻撃に関連するリスク（データポイズニング攻撃など）；
・les risques éthiques systémiques et graves liés au déploiement du système.	・システムの配備に伴う、システム的かつ深刻な倫理的リスク。
Les mesures à prendre en fonction des résultats de l’AIPD	DPIAの結果に基づく措置
Une fois le niveau de risque déterminé, votre AIPD doit prévoir un ensemble de mesures visant à le réduire et à le maintenir à un niveau acceptable, par exemple :	リスクのレベルが決定されたら、DPIAには、それを低減し、許容可能なレベルに維持するために設計された一連の対策を含めなければならない：
・des mesures de sécurité (par exemple, le chiffrement homomorphe ou l’utilisation d’un environnement d’exécution sécurisé) ;	セキュリティ対策（例えば、同型暗号化や安全な実行環境の使用）；
・des mesures de minimisation, (par exemple le recours à des données synthétiques) ;	・最小化対策（合成データの使用など）；
・des mesures d’anonymisation ou de pseudonymisation (par exemple la confidentialité différentielle) ;	・匿名化または仮名化対策（差分機密性など）；
・des mesures de protection des données dès le développement (par exemple l’apprentissage fédéré) ;	・開発段階におけるデータ保護対策（例：連合学習）；
・des mesures facilitant l’exercice des droits ou les recours pour les personnes (par exemple techniques de désapprentissage machine, mesures d’explicabilité et de traçabilité des sorties du systèmes d’IA, etc.) ;	・個人が権利を行使したり、救済を求めたりしやすくするための措置（例：機械による学習解除技術、AIシステムの出力の説明可能性と追跡可能性を確保するための措置など）；
・des mesures d’audit et de validation (par exemple des attaques fictives).	・監査・検証措置（架空攻撃など）。
D’autres mesures, plus génériques, pourront également être appliquées : mesures organisationnelles (encadrement et limitation de l’accès aux bases de données d’apprentissage et pouvant permettre une modification du système d’IA, etc.), mesures de gouvernance (mise en place d’un comité éthique, etc.), mesures de traçabilité des actions ou documentation interne (charte information, etc.).	また、組織的対策（学習データベースへのアクセスや、AIシステムの改変を可能にするようなアクセスの監督や制限など）、ガバナンス対策（倫理委員会の設置など）、行動のトレーサビリティや内部文書化のための対策（情報憲章など）など、より一般的な対策を適用することもできる。
► Pour plus d’informations, voir la fiche n°5	詳細はシートNo.5を参照のこと。
À suivre… La CNIL continue ses travaux pour aider les concepteurs de systèmes d’IA	CNILはAIシステムの設計者を支援するための活動を続けている。
Elle publiera prochainement de nouvelles fiches permettant d’expliquer comment concevoir et entraîner des modèles dans le respect du RGPD : récupération de données sur internet ; comment mobiliser l’intérêt légitime comme base légale, exercice des droits d’accès, de rectification et d’effacement ; recours ou non à des licences ouvertes…	RGPDに準拠したモデルを設計し、訓練する方法を説明する新しいファクトシート（インターネットからのデータ回収、法的根拠として正当な利益を動員する方法、アクセス権、修正権、消去権の行使、オープンライセンスを使用するか否か...）を間もなく発行する予定である。
Ces fiches seront soumises à consultation publique.	これらのファクトシートは、パブリックコンサルテーションに付される予定である。
Texte reference	参考テキスト
Pour approfondir	詳細情報
La recommandation complète de la CNIL sur le déploiement des systèmes d’IA	AIシステムの導入に関するCNILの勧告全文
Tous les contenus de la CNIL sur l'intelligence artificielle	人工知能に関するCNILの全コンテンツ

 

 

---

 

公開コンサルテーション- AIシステム設計のためのデータベース作成に関する実践的情報シート

・2024.02.13 [PDF] Consultation publique – fiches pratiques sur la constitution de bases de données pour la conception de systèmes d’IA

 

 

CNILの人工知能に対する対応計画...

・2023.05.16 Intelligence artificielle : le plan d’action de la CNIL