ベルギー データ保護機関 AIシステムとGDPR (2024.09.19)

こんにちは、丸山満彦です。

ベルギー王国のデータ保護機関が、AIシステムとGDPRについてのパンフレットを公表しています。。。例示もあって、わかりやすく作っている感じです...

日本の企業の人にとっても参考になる部分があるかもですね...

 

● Autorité de protection des données

プレスはオランダ語とフランス語...報告書は加えて英語もありますね...

オランダ語

・2024.09.19 De GBA publiceert een infobrochure en een themadossier gewijd aan AI

・[PDF] Artificiële-intelligentiesystemen en de AVG Een benadering vanuit gegevensbescherming

 

フランス語

・2024.09.19 L’APD publie une brochure informative et un dossier thématique dédiés à l’IA

日本語に仮訳すると...

L’APD publie une brochure informative et un dossier thématique dédiés à l’IA	DPAがAIに特化した情報パンフレットとテーマ別資料を発行
Ces dernières années, les technologies de l'Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »).	人工知能（AI）技術は近年飛躍的な成長を遂げ、様々な分野に革命をもたらし、データの収集、処理、利用方法に大きな影響を与えている。しかし、この急速な進歩は、データの機密性、透明性、説明責任という点で複雑な課題を生み出している。
Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024.	AI法は2024年8月1日に施行された。
L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales.	一般データ保護規則（GDPR）とAI法の相互作用は複雑であるが、AIベースのシステムの作成者および運営者は、倫理的、責任的かつ法的規定を遵守した運営を確保するために、個人データ保護の原則も考慮することが不可欠である。
Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA.	データ保護局事務総局は、AIシステムに特に適用されるRGPDの要件を説明するパンフレットを作成した。このパンフレットは、法律専門家、データ保護責任者、技術的背景を持つ人々を対象としている。また、AIシステムの開発・導入に関わるデータ管理者・処理者も対象としている。
En parallèle de cette brochure, l’APD lance un tout nouveau thème sur son site web dédié à l’IA.	このパンフレットと並行して、DPAはウェブサイト上でAIに特化した全く新しいテーマを立ち上げている。
・Découvrez notre brochure « Les systèmes d’intelligence artificielle et le RGPD » (également disponible en anglais )	・パンフレット「人工知能システムとRGPD」を見る（英語版もあり）
・Découvrez notre dossier thématique « Intelligence artificielle »	・テーマ別資料「人工知能」を見る

 

・[PDF] Les systèmes d'intelligence artificielle et le RGPD sous l’angle de la protection des données

 

英語

・[PDF] Artificial Intelligence Systems and the GDPR A Data Protection Perspective

 

目次...

Executive summary	エグゼクティブサマリー
Objective of this information brochure	この情報パンフレットの目的
Audience for this information brochure	この情報パンフレットの対象読者
What is an AI system ?	AIシステムとは何か?
GDPR & AI Act requirements	GDPRおよびAI法の要件
Lawful, fair, and transparent processing	合法的、公正、かつ透明性の高い処理
Purpose limitation and data minimisation	目的の制限とデータ最小化
Data accuracy and up-to-dateness	データの正確性と最新性
Storage limitation	保存の制限
Automated decision-making	自動化された意思決定
Security of Processing	処理のセキュリティ
Data Subject Rights	データ対象者の権利
Accountability	説明責任
Making compliance straightforward: user stories for AI systems in light of GDPR and AI Act requirements	コンプライアンスをシンプルに:GDPRおよびAI法の要件を踏まえたAIシステムのためのユーザーストーリー
Requirements of lawful, fair, and transparent processing	適法、公正、透明な処理の要件
Requirements of purpose limitation and data minimization	目的制限およびデータ最小化の要件
Requirements of data accuracy and up-to-dateness	データの正確性および最新性の要件
Requirement of secure processing	安全な処理の要件
Requirement of (the ability of demonstrating) accountability	説明責任(説明能力)の要件
References	参考文献

 

 

内容...

Executive summary	エグゼクティブサマリー
This information brochure outlines the complex interplay between the General Data Protection Regulation (GDPR)i and the Artificial Intelligence (AI) Actii in the context of AI system development. The document emphasizes the importance of aligning AI systems with data protection principles while addressing the unique challenges posed by AI technologies.	この情報パンフレットでは、AIシステム開発の観点から、一般データ保護規則(GDPR)iと人工知能(AI)法iiの複雑な相互関係について概説する。この文書では、AI技術がもたらす特有の課題に対処しながら、AIシステムをデータ保護原則に整合させることの重要性を強調している。
Key points include:	主なポイントは以下の通りである。
• GDPR and AI Act alignment: the brochure highlights the complementary nature of the GDPR and AI Act in ensuring lawful, fair, and transparent processing of personal data in AI systems.	• GDPRとAI法の整合性:このパンフレットでは、AIシステムにおける個人データの適法、公正、透明な処理を確保する上で、GDPRとAI法が補完的な関係にあることを強調している。
• AI system definition: the document provides a clear definition of AI systems and offers illustrative examples to clarify the concept.	• AIシステムの定義:この文書では、AIシステムの明確な定義を示し、概念を明確にするための例示的な例を提示している。
• data protection principles: the brochure delves into core GDPR principles such as lawfulness, fairness, transparency, purpose limitation, data minimization, accuracy, storage limitation, and data subject rights in the context of AI systems.	• データ保護の原則:パンフレットでは、AIシステムにおける合法性、公正性、透明性、目的制限、データ最小化、正確性、保存制限、データ対象者の権利といったGDPRの中核となる原則について掘り下げている。
• accountability: the importance of accountability is emphasized, with specific requirements outlined for both the GDPR and AI Act.	• 説明責任:説明責任の重要性が強調され、GDPRとAI法の両方について具体的な要件が説明されている。
• security: the document highlights the need for robust technical and organizational measures, to protect personal data processed by AI systems.	• セキュリティ:この文書では、AIシステムで処理される個人データを防御するための堅牢な技術的および組織的対策の必要性が強調されている。
• human oversight: The crucial role of human oversight in AI system development and operation is emphasized, particularly for high-risk AI systems.	• 人的監視:AIシステムの開発および運用における人的監視の重要な役割が強調されており、特にリスクの高いAIシステムについてはその傾向が強い。
By providing insights into the legal framework and practical guidance, this information brochure aims to empower legal professionals, data protection officers, technical stakeholders, including controllers and processors, to understand and comply with the GDPR and AI Act requirements when developing and deploying AI systems.	この情報パンフレットは、法的枠組みと実用的な指針に関する洞察を提供することで、AIシステムの開発および展開に際して、法律専門家、データ保護責任者、管理者および処理者を含む技術的利害関係者が、GDPRおよびAI法の要件を理解し、遵守することを目的としている。
Objective of this information brochure	本情報パンフレットの目的
The General Secretariat of the Belgian Data Protection Authority monitors social, economic, and technological developments that impact the protection of personal dataiii.	ベルギーデータ保護当局の事務局は、個人データの保護に影響を与える社会、経済、技術の進展を監視しているiii。
In recent years, AI technologies have experienced exponential growth, revolutionizing various industries and significantly impacting the way data is collected, processed, and utilized. However, this rapid advancement has brought about complex challenges regarding data privacy, transparency, and accountability.	近年、AI技術は飛躍的な成長を遂げ、さまざまな業界に革命をもたらし、データの収集、処理、利用の方法に大きな影響を与えている。しかし、この急速な進歩は、データ・プライバシー、透明性、説明責任に関する複雑な課題をもたらしている。
In this context, the General Secretariat of the Belgian Data Protection Authority publishes this information brochure to provide insights on data protection and the development and implementation of AI systems.	このような状況において、ベルギーデータ保護当局の事務局は、データ保護とAIシステムの展開および実装に関する洞察を提供するために、この情報パンフレットを発行する。
Understanding and adhering to the GDPR principles and provisions is crucial for ensuring that AI systems operate ethically, responsibly, and in compliance with legal standards. This information brochure aims to elucidate the GDPR requirements specifically applicable to AI systems, offering more clarity and useful insights to stakeholders involved in the development, implementation, and (internal) regulation of AI technologies.	AIシステムが倫理的かつ責任を持って、また法的標準に準拠して運用されることを確実にするためには、GDPRの原則と規定を理解し、遵守することが極めて重要である。この情報パンフレットは、AIシステムに特に適用されるGDPRの要件を明らかにすることを目的としており、AI技術の開発、実装、および(社内)規制に関わる利害関係者に対して、より明確で有益な洞察を提供している。
In addition to the GDPR, the Artificial Intelligence Act (AI Act), which entered into force on 1st of August 2024, will also significantly impact the regulation of AI system development and use. This information brochure will also address the requirements of the AI Act.	GDPRに加えて、2024年8月1日に施行された人工知能法(AI法)も、AIシステムの開発および使用の規制に大きな影響を与えることになる。この情報パンフレットでは、AI法の要件についても取り上げる。
Audience for this information brochure	この情報パンフレットの対象読者
This information brochure is intended for a diverse audience comprising legal professionals, Data Protection Officers (DPOs), and individuals with technical backgrounds including business analysts, architects, and developers. It also targets controllers and processors involved in the development and deployment of AI systems. Given the intersection of legal and technical considerations inherent in the application of the GDPR to AI systems, this information brochure seeks to bridge the gap between legal requirements and technical implementation.	この情報パンフレットは、法律専門家、データ保護責任者(DPO)、ビジネスアナリスト、アーキテクト、開発者など技術的背景を持つ個人など、多様な読者層を対象としている。また、AIシステムの構築と展開に関わる管理者と処理者も対象としている。GDPRのAIシステムへの適用に内在する法的および技術的考慮事項の交差を踏まえ、この情報パンフレットは、法的要件と技術的実装の間のギャップを埋めることを目的としている。
Legal professionals and DPOs play a crucial role in ensuring organizational compliance with GDPR obligations, specifically those relevant to AI systems that process personal data. By providing insights into GDPR requirements specific to AI, this information brochure equips legal professionals and DPOs with useful knowledge to navigate the complexities of AIrelated data processing activities, assess risks, and implement appropriate measures.	法律の専門家やDPOは、GDPRの義務、特にパーソナルデータの処理を行うAIシステムに関連する義務への組織のコンプライアンスを確保する上で重要な役割を果たす。本情報パンフレットでは、AIに特化したGDPR要件に関する洞察を提供することで、法律の専門家やDPOがAI関連のデータ処理活動の複雑性を理解し、リスクをアセスメントし、適切な対策を実施するのに役立つ知識を習得できるようにしている。
At the same time, individuals with technical backgrounds such as business analysts, architects, and developers are integral to the design, development, and deployment of AI systems. Recognizing their pivotal role, this information brochure aims to elucidate GDPR requirements in a manner accessible to technical stakeholders. Concrete, real-life examples are incorporated into the text to illustrate how GDPR principles translate into practical considerations during the lifecycle of AI projects. By offering actionable insights, this information brochure empowers technical professionals to design AI systems that are compliant with GDPR obligations, embed data protection-by-design principles, and mitigate potential legal and ethical risks.	同時に、ビジネスアナリスト、アーキテクト、開発者など技術的背景を持つ個人は、AIシステムの設計、開発、展開に不可欠である。この情報パンフレットは、彼らの重要な役割を認識し、技術的利害関係者にも理解できる形でGDPRの要件を明らかにすることを目的としている。具体的な実例を本文に盛り込み、GDPRの原則がAIプロジェクトのライフサイクルにおける実用的な考慮事項にどのように反映されるかを説明している。この情報パンフレットは、実用的な洞察を提供することで、技術専門家がGDPRの義務に準拠したAIシステムを設計し、データ保護を設計に組み込む原則を組み込み、潜在的な法的および倫理的リスクを低減できるよう支援する。
What is an AI system ?	AIシステムとは?
The term "AI system" encompasses a wide range of interpretations.	AIシステム」という用語には、幅広い解釈が存在する。
This information brochure will not delve into the intricacies and nuances that distinguish these various definitions.	この情報パンフレットでは、これらのさまざまな定義を区別する複雑性やニュアンスについては掘り下げない。
Instead, we will begin by examining the definition of an AI system as outlined in the AI Activ:	代わりに、AI Activで概説されているAIシステムの定義から検討していく。
For the purposes of this Regulation, the following definitions apply:	本規則の目的上、以下の定義が適用される。
(1) ‘AI system’ means a machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments;	(1) 「AIシステム」とは、さまざまなレベルの自律性を備え、展開後に適応性を示す可能性があり、明示的または暗黙的な目的のために、受け取った入力から、物理的または仮想的な環境に影響を与える予測、コンテンツ、推奨、または決定などの出力を生成する方法を推論する、機械ベースのシステムを意味する。
In other terms :	別の言い方をすれば、
An AI system is a computer system specifically designed to analyze data, identify patterns, and use that knowledge to make informed decisions or predictions.	AIシステムとは、データを分析し、パターンを識別し、その知識に基づいて情報に基づいた意思決定や予測を行うよう特別に設計されたコンピュータシステムである。
In some cases, AI systems can learn from data and adapt over time. This learning capability allows them to improve their performance, identify complex patterns across different data sets, and make more accurate or nuanced decisions.	場合によっては、AIシステムはデータから学習し、時間をかけて適応していくことができる。この学習能力により、パフォーマンスの改善、異なるデータセットにわたる複雑なパターンの識別、より正確な、あるいはより微妙な意思決定が可能になる。
Examples of AI systems in everyday life:	日常生活におけるAIシステムの例:
Spam filters in email: spam filters analyze incoming emails and identify patterns that distinguish spam messages from legitimate emails. Over time, as people mark emails as spam or not spam, the AI system can learn and improve its filtering accuracy. This is an example of an AI system that meets the criteria of an AI system :	電子メールのスパムフィルター:スパムフィルターは受信メールを分析し、スパムメールと正当なメールを区別するパターンを識別する。 時間が経つにつれ、人々がメールをスパムとしてマークしたり、スパムとしてマークしなかったりすることで、AIシステムは学習し、フィルタリングの精度を改善することができる。 これはAIシステムの規準を満たすAIシステムの例である。
• machine-based system: it's a computer program.	• 機械ベースのシステム:コンピュータプログラムである。
• analyzes data: it analyzes the content of emails.	• データの分析:電子メールの内容を分析する。
• identifies patterns: it identifies patterns in emails that suggest spam.	• パターンを識別する:スパムを示唆する電子メールのパターンを識別する。
• makes decisions: it decides whether to categorize an email as spam or not.	• 意思決定を行う:電子メールをスパムとして分類するかどうかを決定する。
Recommendation systems on streaming services: movie streaming services utilize AI systems to generate recommendations for users. These systems analyze a user's past viewing habits, along with the habits of similar users, to recommend content they might be interested in. This is another example of an AI system :	ストリーミングサービスにおける推奨システム:映画のストリーミングサービスでは、ユーザーに推奨コンテンツを提示するためにAIシステムを利用している。これらのシステムは、ユーザーの過去の視聴履歴と類似したユーザーの視聴履歴を分析し、ユーザーが興味を持ちそうなコンテンツを推奨する。これもAIシステムの例である。
• machine-based system: it's a computer program.	• 機械ベースのシステム:これはコンピュータプログラムである。
• analyzes data: it analyzes a user's viewing/listening history.	• データの分析:ユーザーの視聴/聴取履歴を分析する。
• identifies patterns: it identifies patterns in user preferences and those of similar users.	• パターンの識別:ユーザーの好みや類似ユーザーの好みのパターンを識別する。
• makes recommendations: it recommends content based on the identified patterns.	• 推奨:識別されたパターンに基づいてコンテンツを推奨する。
Virtual assistants: virtual assistants respond to voice commands and complete tasks like setting alarms, playing music, or controlling smart home devices. These systems use speech recognition and natural language processing to understand user requests and take action. This is again an example of an AI system :	バーチャルアシスタント:バーチャルアシスタントは音声コマンドに対応し、アラームの設定、音楽の再生、スマートホームデバイスの制御などのタスクを実行する。これらのシステムは、音声認識と自然言語処理を使用してユーザーのリクエストを理解し、対応する。これもAIシステムの例である。
• machine-based system: it's a computer program.	• 機械ベースのシステム:コンピュータプログラムである。
• analyzes data: it analyzes user voice commands.	• データの分析:ユーザーの音声コマンドを分析する。
• identifies patterns: it identifies patterns in speech to understand user requests.	• パターンの識別:音声のパターンを識別してユーザーのリクエストを理解する。
• makes decisions: it decides how to respond to commands based on its understanding.	• 意思決定を行う:理解した内容に基づいて、コマンドへの対応方法を決定する。
• may exhibit adaptiveness: some virtual assistants can learn user preferences and adapt their responses over time.	• 適応性を示す可能性がある:一部のバーチャルアシスタントは、ユーザーの好みを学習し、時間の経過とともに回答を適応させることができる。
AI-powered medical imaging analysis: many hospitals and healthcare providers are utilizing AI systems to assist doctors in analyzing medical images, such as X-rays, CT scans, and MRIs. These systems are trained on vast datasets of labeled medical images, allowing them to identify patterns and potential abnormalities.	AIを活用した医療画像分析:多くの病院や医療プロバイダは、X線、CTスキャン、MRIなどの医療画像の分析を医師が支援するために、AIシステムを活用している。これらのシステムは、ラベル付けされた膨大な医療画像データセットで訓練されており、パターンや潜在的な異常を識別することができる。
• machine-based system: it's a computer program.	• 機械ベースのシステム:コンピュータープログラムである。
• analyzes data: it analyzes the digital medical images.	• データの分析:デジタル医療画像を分析する。
• identifies patterns: it identifies patterns in the images that might indicate the presence of a disease or abnormality.	• パターンの識別:画像内の、疾患や異常の存在を示唆する可能性のあるパターンを識別する。
• supports decision-making: the system highlights potential areas of concern in the images, which can help doctors make more informed diagnoses.	• 意思決定のサポート:システムは画像内の潜在的な懸念領域をハイライトし、医師がより情報に基づいた診断を行うのに役立つ。
GDPR & AI Act requirements	GDPRとAI法の要件
Lawful, fair, and transparent processing	合法的、公正、透明性の高い処理
The GDPR requires lawfulness, fairness and transparency.	GDPRでは、合法的、公正、透明性の高い処理が求められている。
Leveraging GDPR lawfulness of processing:	GDPRの合法的な処理の活用:
The GDPR establishes six legal bases for processing personal data in Article 6 (consent, contract, legal obligation, vital interests, public interest, and legitimate interests). These same legal bases remain applicable for AI systems that process personal data under the AI Act.	GDPRでは、パーソナルデータの処理に関する6つの法的根拠(同意、契約、法的義務、重大な利益、公共の利益、正当な利益)を第6条で定めている。これらの法的根拠は、AI法の下で個人データを処理するAIシステムにも適用される。
Prohibited AI Systems:	禁止されたAIシステム:
the AI Act introduces additional prohibitions beyond the GDPR for certain high-risk AI systems. While the GDPR focuses on protecting personal data through various principles, the AI Act directly prohibits specific types of high-risk AI applications.	AI法では、特定のリスクの高いAIシステムについて、GDPR以上の追加的な禁止事項が導入されている。GDPRがさまざまな原則を通じて個人データの防御に重点を置いているのに対し、AI法では特定のリスクの高いAIアプリケーションを直接的に禁止している。
Here are some examples:	以下にその例をいくつか挙げる。
• Social scoring systems: these systems assign a score to individuals based on various factors, potentially leading to discrimination and limitations on opportunities.	• 社会スコアリングシステム:これらのシステムは、さまざまな要因に基づいて個人にスコアを割り当てるものであり、差別や機会の制限につながる可能性がある。
• AI systems for real-time facial recognition in public places (with limited exceptions): these systems raise concerns about privacy, freedom of movement, and potential misuse for mass surveillance.	• 公共の場でのリアルタイム顔認識用AIシステム(限定的な例外あり):これらのシステムは、プライバシー、移動の自由、および大規模な監視のための悪用される可能性に関する懸念を生じさせる。
Fairness:	公平性:
• While the AI Act doesn't have a dedicated section titled “fairness”, it builds upon the GDPR's principle of fair processing (art. 5.1.a) as the AI Act focuses on mitigating bias and discrimination in the development, deployment, and use of AI systems.	• AI法には「公平性」という独立した条項はないが、AI法がAIシステムの開発、展開、利用におけるバイアスや差別の低減に焦点を当てていることから、AI法はGDPRの公正な処理(第5条1項a)の原則を基盤としている。
Transparency:	透明性:
• the AI Act requires a baseline level of transparency for all AI systems. This means users should be informed that they're interacting with an AI system. For instance, a chatbot could begin an interaction with a message like "Hello, I am Nelson, a chatbot. How can I assist you today?"	AI法は、すべてのAIシステムに対して基本的なレベルの透明性を要求している。これは、ユーザーがAIシステムとやりとりしていることを知らされるべきであることを意味する。例えば、チャットボットが「こんにちは、チャットボットのネルソンです。今日はどのようなお手伝いができるでしょうか?」といったメッセージでやりとりを開始する、といった具合である。
• the AI Act requires a higher transparency level for high-risk AI systems. This includes providing clear and accessible information about how data is used in these systems, particularly regarding the decision-making process. Users should understand the factors influencing AI-based decisions and how potential bias is mitigated.	• AI法は、リスクの高いAIシステムに対してより高い透明性を求めている。これには、これらのシステムにおけるデータの使用方法、特に意思決定プロセスに関する明確でアクセスしやすい情報の提供が含まれる。ユーザーは、AIに基づく意思決定に影響を与える要因と、潜在的なバイアスがどのように低減されるかを理解する必要がある。
Purpose limitation and data minimisation	目的の制限とデータ最小化
The GDPR requires purpose limitation (art. 5.1.b) and data minimisation (art. 5.1.c). This means personal data must be collected for specific and legitimate purposes, and limited to what is necessary for those purposes. These principles ensure that AI systems don't use data for purposes beyond their intended function or collect excessive data.	GDPRは、目的の制限(第5条1項b)とデータ最小化(第5条1項c)を求めている。つまり、個人データは特定かつ合法的な目的のために収集され、その目的に必要なものに限定されなければならない。これらの原則により、AIシステムが意図された機能を超えた目的でデータを使用したり、過剰なデータを収集したりすることがないようにする。
The AI Act strengthens the principle of purpose limitation – from the GDPR – for high-risk AI systems by emphasizing the need for a well-defined and documented intended purpose.	AI法は、明確に定義され文書化された意図された目的の必要性を強調することで、高リスクのAIシステムについて、GDPRの目的制限の原則を強化している。
Example : A loan approval AI system of a financial institution, in addition to standard identification data and credit bureau information, also utilizes geolocation data (e.g., past locations visited) and social media data (e.g., friends' profiles and interests) of a data subject. This extensive data collection, including geolocation and social media data, raises concerns about the system's compliance with the GDPR.	例:金融機関のローン承認AIシステムは、標準的な識別データや信用調査機関の情報に加え、データ対象者の位置情報データ(例えば、過去に訪れた場所)やソーシャルメディアデータ(例えば、友人のプロフィールや興味)も利用している。この広範なデータ収集には位置情報やソーシャルメディアデータが含まれており、このシステムがGDPRに準拠しているか懸念が生じる。
Data accuracy and up-to-dateness	データの正確性と最新性
The GDPR requires personal data to be accurate and, where necessary, kept up-to-date (art. 5.1.d).  Organizations must take reasonable steps to ensure this. The AI Act builds upon this principle by requiring high-risk AI systems to use high-quality and unbiased data to prevent discriminatory outcomes.	GDPRでは、個人データは正確で、必要に応じて最新の状態に保たれなければならないと規定している(第5条1項d)。 機構は、これを確保するために合理的な措置を講じなければならない。AI法は、差別的な結果を防ぐために、高リスクのAIシステムに高品質で偏りのないデータの使用を義務付けることで、この原則を基盤としている。
Example : a financial institution develops an AI system to automate loan approvals. The system analyzes various data points about loan applicants, including credit history, income, and demographics (postal code). However, the training data for the AI system unknowingly reflects historical biases : the data stems from a period when loans were more readily granted in wealthier neighborhoods (with a higher average income). The AI system perpetuates these biases as loan applicants from lower-income neighborhoods might be systematically denied loans, even if they are financially qualified. This results in a discriminatory outcome, and might raise serious concerns about the system's compliance with the AI Act.	例:金融機関が融資承認を自動化するAIシステムを開発した。このシステムは、融資申請者の信用履歴、収入、人口統計(郵便番号)など、さまざまなデータポイントを分析する。しかし、AIシステムのトレーニングデータには、過去のバイアスが知らず知らずのうちに反映されている。データは、平均収入の高い富裕層が多く住む地域では融資がより容易に下りていた時代のものである。AIシステムは、こうしたバイアスを永続化させる。低所得者層からの融資申請者は、たとえ経済的に適格であっても、組織的に融資を拒否される可能性があるからだ。これは差別的な結果につながり、AI法への準拠に関して深刻な懸念が生じる可能性がある。
Storage limitation	保存期間の制限
The GDPR requires personal data to be stored only for as long as necessary to achieve the purposes for which it was collected (art. 5.1.e). The AI Act doesn't explicitly introduce another or an extra requirement on storage limitation for high-risk AI systems.	GDPRでは、収集目的を達成するために必要な期間のみ個人データを保存することが求められている(第5条1項e)。AI法では、高リスクAIシステムに対する保存期間の制限に関する追加要件は明示的に導入されていない。
Automated decision-making	自動化された意思決定
The GDPR and the AI Act both address the importance of human involvement in automated decision-making processes that impact individuals. However, they differ in their focus:	GDPRとAI法は、個人に影響を与える自動化された意思決定プロセスにおける人間の関与の重要性をともに取り上げている。しかし、両者の焦点は異なっている。
• The GDPR grants individuals the right not to be subject solely to automated processing for decisions that produce legal effects concerning them (art. 22). This means data subjects have the right to request a reconsideration of an automated decision by a human decision-maker. This functions as an individual right to challenge decisions perceived as unfair or inaccurate.	• GDPRは、個人に対して、自身に関する法的効果を生み出す意思決定の自動処理のみに服さない権利を付与している(第22条)。これは、データ対象者が人間の意思決定者による自動化された意思決定の再考を要求する権利を有することを意味する。これは、不公平または不正確とみなされる決定に異議を申し立てる個人の権利として機能する。
• The AI Act strengthens the focus on human involvement by requiring meaningful human oversight throughout the development, deployment, and use of high-risk AI systems. This acts as a governance measure to ensure responsible AI development and use. Human oversight under the AI Act encompasses a broader range of activities than just reconsideration of individual decisions. It includes, for example, reviewing the AI system's training data and algorithms for potential biases, monitoring the system's performance, and intervening in critical decision-making pathways.	• AI法は、高リスクAIシステムの開発、展開、使用の全段階において、意味のある人的監視を義務付けることで、人間による関与を重視する姿勢を強化している。これは、責任あるAIの開発と使用を確保するためのガバナンス対策として機能する。AI法に基づく人的監視は、個々の決定の再考にとどまらず、より幅広い活動範囲を網羅している。例えば、AIシステムのトレーニングデータやアルゴリズムに潜在的なバイアスがないかを確認すること、システムのパフォーマンスを監視すること、重要な意思決定の経路に介入することが含まれる。
In essence, the GDPR empowers individuals to object to solely automated decisions, while the AI Act requires proactive human oversight for high-risk AI systems to safeguard against potential biases and ensure responsible development and use of such systems.	要するに、GDPRは個人が単独で自動化された決定に異議を申し立てる権利を付与するものであるのに対し、AI法は潜在的なバイアスを回避し、そのようなシステムの責任ある開発と利用を確保するために、高リスクAIシステムに対して積極的な人的監視を義務付けている。
Example : a government agency uses an AI system to assess eligibility for social welfare benefits based on income, employment status, and family situation.	例:政府機関が、収入、雇用状況、家族状況に基づいて社会福祉給付の受給資格をアセスメントするためにAIシステムを使用している。
Following the GDPR, individuals have the right not to be subject solely to automated processing for social welfare benefits eligibility (art. 22). This means they can request a reconsideration of an automated decision by a human decision-maker.	GDPRに従えば、個人は社会福祉給付の受給資格について、自動処理のみに委ねられることのない権利を有する(第22条)。これは、自動処理の決定について、人間による意思決定者による再考を要求できることを意味する。
Following the AI Act, this AI system is classified as an high-risk system (as it has a significant impact on individuals' livelihoods). This requires the government agency to implement human oversight throughout the development, deployment, and use of the AI system.	AI法に従い、このAIシステムは高リスクシステム(個人の生活に重大な影響を及ぼす)に分類される。これにより、政府機関はAIシステムの構築、展開、利用の全段階において、人間による監視を実施することが義務付けられる。
Security of Processing	処理のセキュリティ
Both the GDPR and the AI Act emphasize the importance of securing personal data throughout its processing lifecycle. However, AI systems introduce specific risks that require additional security measures beyond traditional data protection practices.	GDPRとAI法の両方において、パーソナルデータの処理ライフサイクル全体にわたるセキュリティ確保の重要性が強調されている。しかし、AIシステムには、従来のデータ保護の慣行を超える追加のセキュリティ対策が必要となる特有のリスクが存在する。
The GDPR requires organizations to implement technical and organizational measures (TOMs) that are appropriate to the risk associated with their data processing activities. This involves conducting risk assessments to identify potential threats and vulnerabilities. The selected TOMs should mitigate these risks and ensure a baseline level of security for personal data.	GDPRでは、データ処理活動に関連するリスクに適した技術的および組織的対策(TOMs)を企業が実施することを義務付けている。これには、潜在的な脅威や脆弱性を識別するためのリスクアセスメントの実施が含まれる。選択されたTOMsは、これらのリスクを低減し、個人データのセキュリティのベースラインレベルを確保するものでなければならない。
The AI Act builds upon this foundation by mandating robust security measures for highrisk AI systems. This is because AI systems introduce specific risks that go beyond traditional data processing, such as:	AI法は、リスクの高いAIシステムに対して強固なセキュリティ対策を義務付けることで、この基盤を構築している。これは、AIシステムが従来のデータ処理を超える特定のリスクをもたらすためである。
• potential bias in training data: biased training data can lead to biased decisions by the AI system, impacting individuals unfairly.	• トレーニングデータの潜在的なバイアス:バイアスのかかったトレーニングデータは、AIシステムによるバイアスのかかった意思決定につながり、個人に不当な影響を与える可能性がある。
• manipulation by unauthorized individuals: for example, a hacker could potentially manipulate the AI system's training data to influence its decisions in a harmful way. Imagine a system trained to approve loan applications being tricked into rejecting qualified applicants based on irrelevant factors.	• 権限のない個人による操作:例えば、ハッカーがAIシステムのトレーニングデータを操作し、その意思決定に有害な影響を与える可能性がある。ローン申請を承認するようにトレーニングされたシステムが、無関係な要因に基づいて適格な申請者を却下するようにだまされることを想像してみてほしい。
To address these unique risks, the AI Act emphasizes proactive measures such as:	これらの固有のリスクに対処するために、AI法は以下のような積極的な対策を重視している。
• identifying and planning for potential problems: This involves brainstorming what could go wrong with the AI system and how likely it is to happen (risk assessment).	潜在的な問題の識別と計画:これは、AIシステムで何が問題となり得るか、またそれがどの程度の可能性で起こり得るかについて、ブレーンストーミングを行うことを意味する(リスクアセスメント)。
This is a core practice under both the GDPR and AI Act.	これは、GDPRとAI法の両方において中核となる実践である。
• continuous monitoring and testing: This involves regularly evaluating the AI system's performance for several aspects including:	継続的なモニタリングとテスト:これは、AIシステムのパフォーマンスを定期的に評価することを意味し、その評価には以下の複数の側面が含まれる。
o   security flaws: identifying vulnerabilities in the system's code or design that could be exploited by attackers.	o セキュリティの欠陥:攻撃者に悪用される可能性のあるシステムコードや設計上の脆弱性を特定する。
o   bias: checking for potential biases in the system's training data or decisionmaking processes.	o バイアス:システムのトレーニングデータや意思決定プロセスにおける潜在的なバイアスをチェックする。
• human oversight: the AI Act emphasizes the importance of meaningful human oversight throughout the development, deployment, and use of high-risk AI systems. This ensures that humans are involved in critical decisions and understand the system's vulnerabilities. Human oversight under the AI Act goes beyond just security processes and encompasses various aspects, such as:	• 人的監視:AI法では、リスクの高いAIシステムの開発、展開、利用の全段階において、意味のある人的監視の重要性を強調している。これにより、重要な意思決定に人間が関与し、システムの脆弱性を理解することが保証される。AI法に基づく人的監視は、単なるセキュリティプロセスにとどまらず、以下のようなさまざまな側面を含む。
o   reviewing training data and algorithms for potential biases.	o 潜在的なバイアスを排除するために、トレーニングデータとアルゴリズムを検証する。
o   monitoring the system's performance for fairness, accuracy, and potential unintended behaviour.	o システムのパフォーマンスを監視し、公平性、正確性、意図しない潜在的な動作を確保する。
o   intervening in critical decision-making pathways, especially when they could significantly impact individuals.	o 特に個人の影響が大きい場合、重要な意思決定の経路に介入する。
Example: AI-powered Lung Cancer Diagnosis System.	例:AI搭載の肺がん診断システム。
An AI system used by a hospital to diagnose lung cancer exemplifies a high-risk AI system due to several factors:	病院が肺がんの診断に使用するAIシステムは、いくつかの要因により、リスクの高いAIシステムの一例である。
• highly sensitive data: it processes highly sensitive personal data, including patients' health information (lungs) and diagnoses (special category data under article 9 of the GDPR) ;	• 極めてセンシティブなデータ:患者の健康情報(肺)や診断(GDPR第9条に基づく特別カテゴリーデータ)など、極めてセンシティブな個人データを処理する。
• data breach impact: a data breach could expose critical health information about patients, potentially leading to privacy violations and reputational harm for the hospital ;	• データ漏えいの影響:データ漏えいは患者の重要な健康情報を公開する可能性があり、病院のプライバシー侵害や評判の低下につながる可能性がある。
• life-altering decisions: the system's output directly impacts patients' lives. A diagnosis based on inaccurate or compromised data could have serious consequences for their health and well-being.	• 人生を左右する決断:システムの出力は患者の生活に直接影響する。不正確なデータや不完全なデータに基づく診断は、患者の健康と幸福に深刻な影響を及ぼす可能性がある。
Both the GDPR and the AI Act emphasize the importance of security measures for data processing activities, especially those involving sensitive data.	GDPRとAI法の両方とも、データ処理活動、特にセンシティブなデータを含むものに対するセキュリティ対策の重要性を強調している。
• the GDPR establishes a foundation for data security: It requires organizations to implement appropriate technical and organizational measures (TOMs) to protect personal data based on a risk assessment. For health data, these measures would be particularly strong due to its sensitive nature. Examples under the GDPR could include:	GDPRはデータセキュリティの基盤を確立している。リスクアセスメントに基づいて個人データを防御するために、適切な技術的および組織的対策(TOM)を導入することが組織に義務付けられている。健康データの場合、そのセンシティブな性質から、これらの対策は特に厳格なものとなる。GDPRに基づく例としては、以下が挙げられる。
o   data encryption: encrypting patient data at rest and in transit ensures its confidentiality even if a breach occurs ;	o データ暗号化:保存中および転送中の患者データを暗号化することで、侵害が発生した場合でもデータの機密性を確保できる。
o   access controls: implementing strict access controls limits who can access and modify patient data ;	o アクセス管理:厳格なアクセス管理を導入することで、患者データへのアクセスや変更を許可するユーザーを制限できる。
o   penetration testing: regularly conducting penetration tests helps identify and address vulnerabilities in the system's security posture ;	o 侵入テスト:定期的に侵入テストを実施することで、システムのセキュリティ体制における脆弱性を識別し、対処できる。
o   logging and auditing: maintaining detailed logs of system activity allows for monitoring and investigation of any suspicious behavior.	o ログと監査:システムのアクティビティの詳細なログを維持することで、疑わしい行動の監視と調査が可能になる。
• The AI Act builds upon this foundation for high-risk AI systems: recognizing the specific risks of AI, the AI Act mandates robust security measures.  These might include additional measures tailored to the specific vulnerabilities of the AI system, such as data validation and quality assurance : the AI Act emphasizes the importance of ensuring the quality and integrity of the data used to train and operate the AI system. This could involve techniques for:	AI法は、高リスクAIシステムに関するこの基盤を基に構築されている。AI特有のリスクを認識し、AI法は強固なセキュリティ対策を義務付けている。これには、データ検証や品質保証など、AIシステムの特定の脆弱性に対応した追加の対策が含まれる可能性がある。AI法は、AIシステムのトレーニングや運用に使用されるデータの品質と完全性を確保することの重要性を強調している。これには、以下の技術が含まれる可能性がある。
o   data provenance: tracking the origin of data to identify potential sources of bias or manipulation in the training data, such as incorrect X-ray labeling.	o データの由来:データの由来を追跡し、トレーニングデータにおける潜在的なバイアスや操作のソース(例えば、不正確なX線ラベル付け)を識別する。
o   anomaly detection: identifying and flagging unusual patterns in the training data that might indicate malicious tampering, such as a sudden influx of Xrays with unrealistic characteristics.	o 異常検知:トレーニングデータにおける異常なパターンを識別し、フラグを付ける。これは、非現実的な特性を持つX線が突然大量に流入するなど、悪意のある改ざんを示している可能性がある。
o   human review of high-risk data points: Having healthcare professionals review critical X-rays before they are used to train the AI system, especially those that show unusual features or could significantly impact patient outcomes.	o 高リスクのデータポイントの人間によるレビュー:AIシステムのトレーニングに使用される前に、特に異常な特徴を示すものや患者の治療結果に著しい影響を与える可能性のある重要なX線画像を医療専門家に確認してもらう。
By implementing these security measures the hospital can mitigate the risks associated with the AI-powered lung cancer diagnosis system and ensure patient privacy, data security, and ultimately, the best possible patient outcomes.	これらのセキュリティ対策を実施することで、病院はAIによる肺がん診断システムに関連するリスクを低減し、患者のプライバシー、データセキュリティ、そして最終的には最善の治療結果を確保することができる。
Data Subject Rights	データ対象者の権利
The GDPR grants natural persons data subject rights, empowering them to control their personal data and how it's used. These rights include access (seeing what data is processed, art. 15), rectification (correcting inaccurate data and completing data, art. 16), erasure (requesting data deletion, art. 17), restriction of processing (limiting how data is used, art. 18), and data portability (transferring data to another service, art. 20).	GDPRは、自然人であるデータ対象者にデータ対象者としての権利を付与し、個人データとその使用方法を管理できるようにしている。これらの権利には、アクセス(処理されているデータを確認する、第15条)、修正(不正確なデータの修正とデータの補完、第16条)、消去(データの削除を要求する、第17条)、処理の制限(データの使用方法を制限する、第18条)、データポータビリティ(データを別のサービスに転送する、第20条)が含まれる。
To effectively exercise these rights, natural persons need to understand how their data is being processed. The AI Act reinforces this by emphasizing the importance of clear explanations about how data is used in AI systems. With this transparency, individuals can make informed decisions about their data and utilize their data subject rights more effectively.	これらの権利を効果的に行使するには、自然人(個人)は自身のデータがどのように処理されているかを理解する必要がある。AI法は、AIシステムにおけるデータの使用方法について明確に説明する重要性を強調することで、これを強化している。この透明性により、個人は自身のデータについて十分な情報を得た上で意思決定を行うことができ、データ対象者の権利をより効果的に活用することができる。
Example : an AI system used to determine car insurance premiums assigns a relatively high premium to a particular customer (data subject). The AI Act entitles this customer to a clear explanation of how their premium is calculated. For example, the insurer (data controller) could explain that various data points were used, such as the customer's annual mileage, accident history, and whether the car is used for work purposes. This information, in turn, allows the customer to exercise their data subject rights under the GDPR, such as the right to rectification (correction of inaccurate personal data or completion of personal data).	例:自動車保険の保険料を決定するために使用されるAIシステムが、特定の顧客(データ対象者)に比較的高い保険料を割り当てた。AI法では、この顧客に対して保険料の算出方法を明確に説明することが義務付けられている。例えば、保険会社(データ管理者)は、顧客の年間走行距離、事故歴、業務用車両であるか否かなど、さまざまなデータポイントが使用されたことを説明できる。この情報により、顧客はGDPRに基づくデータ対象者の権利を行使することが可能となり、例えば、不正確な個人データの修正や個人データの補完などの権利を行使できる。
Accountability	説明責任
The GDPR requires (organizations to demonstrate) accountability for personal data processing through several measures, such as :	GDPRは、以下のような複数の手段を通じて、個人データの処理に関する説明責任(組織が証明)を求めている。
• Transparent processing: individuals must understand how their data is collected, used, stored and shared (f.e. by a clear and concise data protection statement, by data subject access rights, …). This transparency allows them to see if their data is being handled lawfully and fairly ;	透明性の高い処理:個人は、自身のデータがどのように収集、使用、保存、共有されるかを理解する必要がある(例えば、明確かつ簡潔なデータ保護方針、データ対象者のアクセス権など)。この透明性により、自身のデータが合法的かつ公正に処理されているかを確認できる。
• Policies and procedures for handling personal data: documented policies ensure consistent data handling practices across the organization ;	• 個人データの処理に関する方針および手順:文書化された方針は、組織全体で一貫したデータ処理の実施を保証する。
• Documented legal basis for processing: for each data processing activity, organizations need documented proof of the lawful justification (consent, contract, legitimate interest, etc.) ;	• 文書化された処理の法的根拠:各データ処理活動について、組織は合法的な正当化(同意、契約、正当な利益など)の文書による証拠を必要とする。
• Keeping different records (like the Register Of Processing Activities (ROPA), data subject requests, data breaches) is required: maintaining accurate records demonstrates a commitment to accountability and allows organizations to prove compliance during audits or investigations ;	異なる記録(処理活動登録簿(ROPA)、データ対象者からの要求、データ侵害など)を保存することが求められる:正確な記録を維持することは説明責任への取り組みを示すものであり、監査や調査の際にコンプライアンスを証明することを企業に可能にする。
• Security measures: implementing and correctly maintaining appropriate technical and organizational measures (TOMs) to protect personal data is crucial for demonstrating accountability ;	セキュリティ対策:個人データを防御するための適切な技術的および組織的対策(TOMs)を実施し、正しく維持することは、説明責任を果たす上で極めて重要である。
• A Data Protection Impact Assessment (DPIAs) is required in some cases: these are mandatory when processing high-risk data or implementing new technologies ;	データ保護影響評価(DPIAs)は、場合によっては必要となる。高リスクデータの処理や新しい技術の導入の際には、DPIAsは必須である。
• A Data Protection Officer (DPO) is required in some cases: f.e. governmental organizations, regardless of their core activities, are required to have a DPO.	データ保護責任者(DPO)は、場合によっては必要となる。例えば、政府機関は、その主要な活動に関わらず、DPOを置くことが義務付けられている。
While the AI Act doesn't have a dedicated section on demonstrating accountability, it builds upon the GDPR's principles. The AI Act requires organizations to implement :	AI法には説明責任の証明に関する専用のセクションはないが、GDPRの原則を基にしている。AI法は、組織に対して以下を実施することを求めている。
• a two-step risk management approach for AI systems. First, there's an initial classification process that categorizes the risk the AI poses to individuals (ranging from minimal to high).	• AIシステムに対する2段階のリスクマネジメントアプローチ。まず、AIが個人に及ぼすリスクを分類する初期分類プロセスがある(リスクは最小から高まで)。
For high-risk systems, a more in-depth risk assessment is required. This dives deeper into the specific risks and identifies potential harms associated with the AI system, and is also called a FRIA (Fundamental Rights Impact Assessment) ;	高リスクのシステムについては、より詳細なリスクアセスメントが求められる。これは特定のリスクをさらに深く掘り下げ、AIシステムに関連する潜在的な被害を識別するもので、FRIA(基本権影響評価)とも呼ばれる。
• clear documentation of the design and implementation of AI systems ;	• AIシステムの設計と実装に関する明確な文書化
• processes dealing with human oversight in high-risk AI systems. This could involve human intervention or approval for critical decisions made by the AI system ;	• 高リスクのAIシステムにおける人間による監視を扱うプロセス。これは、AIシステムが下す重要な決定に対する人間の介入や承認を伴う可能性がある。
• a formal incident reporting process for reporting incidents related to AI system malfunctions or unintended behaviour.	• AIシステムの故障や予期せぬ動作に関連するインシデントを報告するための正式なインシデント報告プロセス。
Making compliance straightforward: user stories for AI systems in light of GDPR and AI Act requirements	コンプライアンスをシンプルに:GDPRとAI法の要件を踏まえたAIシステムのユーザーストーリー
Translating regulatory requirements into technical specifications for AI systems presents significant challenges. This document focuses on using user stories to bridge the gap between legal obligations and system development.	AIシステムの技術仕様への規制要件の変換には、大きな課題がある。本書では、法的義務とシステム開発のギャップを埋めるためにユーザーストーリーを使用することに焦点を当てる。
User stories offer a practical approach to understanding and addressing regulatory requirements in the context of AI system design. By adopting a user-centric perspective, organizations can effectively translate legal obligations into actionable steps.	ユーザーストーリーは、AIシステム設計の文脈における規制要件の理解と対応に実用的なアプローチを提供する。ユーザー中心の視点を採用することで、組織は法的義務を効果的に実行可能なステップに変換することができる。
This document uses a car insurance premium calculation system as an example to illustrate the application of user stories in the AI domain.	本書では、自動車保険の保険料計算システムを例に、AI領域におけるユーザーストーリーの適用について説明する。
Requirements of lawful, fair, and transparent processing	適法、公正、透明な処理の要件
User story: ensuring lawfulness – correct legal basis	ユーザーストーリー:適法性の確保 - 正しい法的根拠
As a car insurance company implementing an AI system for car premium calculations, we need to conduct a thorough legal basis assessment to determine the most appropriate legal justification for collecting and using customer data in our AI system. This is important to comply with the GDPR principle of lawfulness.	自動車保険会社として自動車保険料計算にAIシステムを導入するにあたり、AIシステムにおける顧客データの収集と利用について、最も適切な法的根拠を決定するために、徹底的な法的根拠アセスメントを実施する必要がある。これは、適法性の原則を定めたGDPRに準拠するために重要である。
User story: ensuring lawfulness - prohibited data	ユーザーストーリー:適法性の確保 - 禁止データ
As a car insurance company implementing an AI system for car premium calculations, we need to ensure our system complies with the GDPR and AI Act prohibitions on processing certain types of personal data. This includes special categories of personal data such as racial or ethnic origin, political opinions, religious beliefs, etc. This is important to comply with the GDPR's protection of sensitive personal data and the AI Act's emphasis on preventing discriminatory outcomes.	自動車保険会社として自動車保険料算出用AIシステムを導入するにあたり、特定の種類の個人データの処理に関するGDPRおよびAI法の禁止事項にシステムが準拠していることを確認する必要がある。これには、人種や民族、政治的意見、宗教的信念などの特別なカテゴリーの個人データが含まれる。これは、GDPRのセンシティブな個人データの防御およびAI法の差別的結果の防止の重視に準拠するために重要である。
User story: ensuring fairness	ユーザーストーリー:公平性の確保
As a car insurance company implementing an AI system for car premium calculations, we need to ensure fair and non-discriminatory processing of customer data. This is important to comply with the GDPR principle of fairness and the specific AI Act's focus on preventing biased outcomes that could disadvantage certain groups.	自動車保険会社が自動車保険料の算出にAIシステムを導入する場合、顧客データの公平かつ差別のない処理を確保する必要がある。これは、GDPRの公平性の原則を順守し、特定のグループに不利益をもたらす可能性のある偏った結果を防ぐことに重点を置くAI法の特定の条項を順守するために重要である。
The car insurance company can achieve fairness by:	自動車保険会社は、以下の方法で公平性を確保できる。
• data source review: analyze the data sources used to train the AI system to identify and mitigate potential biases based on factors like postal code, gender, age, … . Ensure these factors are used in a way that is relevant and necessary for premium calculations, avoiding any discriminatory outcomes.	• データソースのレビュー:AIシステムのトレーニングに使用されたデータソースを分析し、郵便番号、性別、年齢などの要因に基づく潜在的なバイアスを識別し、低減する。これらの要因が、保険料計算に適切かつ必要な方法で使用されていることを確認し、差別的な結果を回避する。
• fairness testing: regularly test the AI system for potential biases in its outputs. This might involve comparing car premium calculations for similar customer profiles to identify any unexplainable disparities.	• 公平性のテスト:AIシステムの出力における潜在的なバイアスを定期的にテストする。これには、類似した顧客プロファイルの自動車保険料計算を比較し、説明できない格差を識別することが含まれる可能性がある。
• human oversight: implement a human review process for high-impact decisions made by the AI system, such as significant car premium increases or even policy denials.	• 人的監視:大幅な保険料の値上げや保険契約の拒否など、AIシステムによる影響の大きい決定については、人的な審査プロセスを導入する。
User story: ensuring transparency	ユーザーストーリー:透明性の確保
As a car insurance company implementing an AI system for car premium calculations, we need to be transparent about how our customers' data is used.  This is important to comply with the general GDPR principle of transparency and the specific AI Act’s focus on transparency for high-risk AI systems.	自動車保険会社が自動車保険料の算出にAIシステムを導入するにあたっては、顧客データの利用方法について透明性を確保する必要がある。これは、透明性に関する一般GDPR原則および高リスクAIシステムに関する透明性に焦点を当てたAI法の特定の条項を遵守するために重要である。
The car insurance company can achieve transparency by :	自動車保険会社は、以下によって透明性を確保することができる。
• a data protection statement : clearly explain in the company's data protection statement how customer data is collected, used, and stored in the AI system for premium calculations.	• データ保護に関する声明:保険料計算用AIシステムにおける顧客データの収集、利用、保存方法について、会社のデータ保護に関する声明で明確に説明する。
• easy-to-understand explanations : provide customer-friendly explanations of the AI premium calculations process. This could involve using simple language, visuals, or FAQs to demystify the AI's role in determining car insurance premiums.	• わかりやすい説明:AIによる保険料計算プロセスについて、顧客にわかりやすい説明を行う。これには、自動車保険料の決定におけるAIの役割を解明するための、わかりやすい言葉、図解、またはFAQの使用が含まれる可能性がある。
• right to access information : implement mechanisms for customers to easily access information about the data points used in their specific premium calculations.	情報へのアクセス権:顧客が自身の保険料算出に使用されたデータポイントに関する情報を簡単にアクセスできる仕組みを導入する。
Requirements of purpose limitation and data minimization	目的制限およびデータ最小化の要件
User story : ensuring purpose limitation	ユーザーストーリー:目的制限の確保
As a car insurance company implementing an AI system for car premium calculations, we need to ensure that the data we collect from our customers is limited to what is strictly necessary for the accurate premium calculations. This is important to comply with the principle of purpose limitation under the GDPR.	自動車保険会社として自動車保険料算出にAIシステムを導入するにあたり、顧客から収集するデータは正確な保険料算出に必要不可欠な情報のみに限定する必要がある。これはGDPRの目的制限の原則を遵守するために重要である。
User story : ensuring data minimization	ユーザーストーリー:データの最小化の確保
As a car insurance company implementing an AI system for car premium calculations, we need to implement a data minimization strategy to ensure we only collect and use the minimum amount of customer data necessary for the accurate premium calculations. This is important to comply with the principle of data minimization under the GDPR.	自動車保険会社として、自動車保険料算出のためのAIシステムを導入するにあたり、正確な保険料算出に必要な最低限の顧客データのみを収集・使用することを確保するためのデータ最小化戦略を実施する必要がある。これは、GDPRのデータ最小化の原則を順守するために重要である。
Requirements of data accuracy and up-to-dateness	データの正確性と最新性の要件
User story : ensuring data accuracy and up-to-dateness	ユーザーストーリー:データの正確性と最新性の確保
As a car insurance company implementing an AI system for car premium calculations, we need to implement processes to ensure the accuracy and up-to-dateness of customer data used in the system. This is important to comply with the principle of data accuracy under the GDPR.	自動車保険会社が自動車保険料算出にAIシステムを導入するにあたり、システムで使用する顧客データの正確性と最新性を確保するプロセスを導入する必要がある。これは、GDPRのデータ正確性の原則を遵守するために重要である。
The car insurance company can achieve accuracy and up-to-dateness of customer data by:	自動車保険会社は、以下の方法で顧客データの正確性と最新性を確保できる。
• data verification mechanisms:  offer customers easy-to-use mechanisms to verify and update their personal data within the car insurance system. This could be through an online portal, mobile app, or dedicated phone line.	• データ検証メカニズム:顧客が自動車保険システム内で個人データを検証・更新できる使いやすいメカニズムを提供する。これはオンラインポータル、モバイルアプリ、専用電話回線などを通じて行うことができる。
• regular data refresh: establish procedures for regularly refreshing customer data used in the AI system. This might involve requesting customers to update their information periodically or integrating with external data sources (e.g., driving record databases) to automatically update relevant data points.	• 定期的なデータ更新:AIシステムで使用する顧客データを定期的に更新する手順を確立する。これには、顧客に定期的な情報更新を依頼することや、外部データソース(運転記録データベースなど)と統合して関連するデータポイントを自動的に更新することが含まれる可能性がある。
• data quality alerts: implement alerts for missing or potentially inaccurate data points in customer profiles. This allows the company to proactively reach out to customers and request updates.	• データ品質に関するアラート:顧客プロファイルにおける欠落データや不正確な可能性のあるデータポイントに関するアラートを導入する。これにより、企業は顧客に積極的に連絡し、更新を依頼することができる。
• clearly communicate to customers their right to rectification under the GDPR. This right allows them to request corrections of any inaccurate personal data or completion of missing data used in the premium calculations system.	• GDPRに基づく訂正の権利を顧客に明確に伝える。この権利により、顧客は、保険料計算システムで使用される不正確な個人データの訂正や、欠落データの補完を要求することができる。
User story : ensuring use of unbiased data	ユーザーストーリー:偏りのないデータの使用を確保する
As a car insurance company implementing an AI system for car premium calculations, we need to ensure that the data used to train and operate the system is of free from bias. This is important to comply with the specific AI Act's focus on preventing biased outcomes that could disadvantage certain groups.	自動車保険会社が自動車保険料算出にAIシステムを導入する場合、システムを訓練し運用する際に使用するデータがバイアスのかかっていないものであることを保証する必要がある。これは、特定のグループに不利益をもたらす可能性のあるバイアスのかかった結果を防ぐことに重点を置く特定のAI法を遵守するために重要である。
The car insurance company can achieve unbiased data for fair AI premium calculations by :	自動車保険会社は、公平なAI保険料算出のためのバイアスのかかっていないデータを以下によって達成できる。
• data source evaluation:  Analyze the sources of data used to train the AI system. Identify potential biases based on factors like socioeconomic background in the data collection process.	データソースの評価:AIシステムを訓練するために使用するデータのソースを分析する。データ収集プロセスにおける社会経済的背景などの要因に基づいて潜在的なバイアスを識別する。
• regular monitoring and bias testing:  Continuously monitor the AI system's performance for potential biases in its outputs. Conduct regular bias testing to identify and address any discriminatory outcomes in premium calculations.	定期的なモニタリングとバイアス・テスト:AIシステムの出力における潜在的なバイアスを継続的に監視する。定期的なバイアス・テストを実施し、保険料計算における差別的な結果を識別して対処する。
• human oversight: implement a human review process for high-impact decisions made by the AI system, such as significant car premium increases or even policy denials. This allows human intervention to prevent biased out comes.	人的監視:大幅な保険料の値上げや保険契約の拒否など、AIシステムによる影響度の高い決定に対して、人的なレビュープロセスを実施する。これにより、バイアスのかかった結果を防ぐために人的介入が可能となる。
• transparency with customers:  Inform customers in the data protection statement about the company's commitment to using high-quality, unbiased data in the AI system.	顧客への透明性:データ保護に関する声明で、AIシステムに高品質で偏りのないデータを使用するという企業の取り組みについて顧客に通知する。
Requirement of secure processing	安全な処理の要件
User story : implementing appropriate security measures for car insurance AI	ユーザーストーリー:自動車保険AIに適切なセキュリティ対策を導入する
As a car insurance company implementing an AI system for car premium calculations, we need to conduct a thorough risk assessment to identify potential threats and vulnerabilities that could impact our customer data. This assessment will consider various factors, including the type of data (financial data vs. basic customer information), processing activities, and potential impact of a security breach. Based on this assessment, we will implement appropriate technical and organizational measures (TOMs) to mitigate these risks and ensure the security of our customer data. This is important to comply with the requirement of security of the processing under the GDPR.	自動車保険会社として自動車保険料算出にAIシステムを導入するにあたり、顧客データに影響を与える可能性のある潜在的な脅威や脆弱性を識別するために、徹底的なリスクアセスメントを実施する必要がある。このアセスメントでは、データのタイプ(財務データと基本的な顧客情報の比較)、処理活動、セキュリティ侵害の潜在的な影響など、さまざまな要因を考慮する。このアセスメントに基づき、これらのリスクを低減し、顧客データのセキュリティを確保するために、適切な技術的および組織的対策(TOMs)を実施する。これは、GDPRにおける処理のセキュリティ要件を遵守するために重要である。
Examples of TOMs may include:	TOMsの例としては、以下が挙げられる。
• data encryption: encrypting customer data at rest and in transit to protect confidentiality ;	• データ暗号化:顧客データの保存中および転送中のデータを暗号化し、機密性を防御する。
• access controls: implementing strict access controls to limit who can access and modify customer data ;	• アクセス管理:顧客データへのアクセスおよび変更を許可するユーザーを制限するための厳格なアクセス管理を実施する。
• regular penetration testing: conducting penetration tests to identify and address vulnerabilities in the system's security posture ;	• 定期的な侵入テスト:システムのセキュリティ状態における脆弱性を識別し、対処するための侵入テストを実施する。
• logging and auditing: maintaining detailed logs of system activity for monitoring and investigation of any suspicious behavior.	• ログ記録および監査:疑わしい行動の監視および調査を行うためのシステム活動の詳細なログを維持する。
User story : implementing specific security measures for car insurance AI	ユーザーストーリー:自動車保険AIに特定のセキュリティ対策を導入する
As a car insurance company implementing an AI system for car premium calculations, we recognize that AI systems introduce specific risks beyond traditional data processing. These risks might include potential bias in training data or manipulation by unauthorized actors. To address these specific risks we will implement additional measures in conjunction with the baseline GDPR-compliant TOMs. This is important to comply with the requirement of security of the processing under the AI Act.	自動車保険会社として、自動車保険料の算出にAIシステムを導入するにあたり、AIシステムには従来のデータ処理にはない特有のリスクが伴うことを認識している。こうしたリスクには、トレーニングデータの潜在的なバイアスや、権限のない者による操作などが含まれる可能性がある。こうした特有のリスクに対処するため、基本的なGDPR準拠のTOMと併せて追加の対策を実施する。これは、AI法に基づく処理のセキュリティ要件を遵守するために重要である。
Examples of these additional measures may include:	こうした追加の対策の例としては、以下が挙げられる。
•  data validation and quality assurance: implementing processes to ensure the quality and integrity of the data used to train and operate the AI system. This could involve data provenance tracking and anomaly detection to identify potential biases or manipulation attempts.	• データ検証および品質保証:AIシステムのトレーニングおよび運用に使用されるデータの品質と完全性を確保するためのプロセスの導入。これには、潜在的なバイアスや操作の試みを識別するためのデータ由来の追跡および異常検知が含まれる可能性がある。
•  human oversight: establishing a framework for human oversight throughout the AI system's lifecycle. This could involve human review of high-risk data points, monitoring the system's performance for fairness and accuracy, and intervening in critical decision-making pathways.	• 人間による監視:AIシステムのライフサイクル全体を通じて人間による監視を行うための枠組みの確立。これには、リスクの高いデータポイントの人間によるレビュー、システムの公平性および正確性に関するパフォーマンスのモニタリング、および重要な意思決定経路への介入が含まれる可能性がある。
Requirement of (the ability of demonstrating) accountability	説明責任の要件(説明能力
User story : documenting the legal basis	ユーザーストーリー:法的根拠の文書化
As a car insurance company implementing an AI system for car premium calculations, we need to have a clear and concise record of the legal basis for collecting and using customer data in the AI system.  This is important to comply with the GDPR principle of (demonstrating) accountability (also in the context of audits or investigations).	自動車保険会社として自動車保険料算出にAIシステムを導入するにあたり、AIシステムにおける顧客データの収集と利用に関する法的根拠を明確かつ簡潔に記録する必要がある。これは、GDPRの原則である説明責任(監査や調査の観点からも)を遵守するために重要である。
User story : conducting a Fundamental Rights Impact Assessment (FRIA)	ユーザーストーリー:基本権影響評価(FRIA)の実施
As a car insurance company implementing an AI system for car premium calculations, we need to develop and maintain a comprehensive FRIA (Fundamental Rights Impact Assessment) to proactively identify and mitigate potential risks associated with this AI system. This is important to comply with the AI Act's requirements for high-risk AI systems and promote fair and non-discriminatory premium calculations for our customers.	自動車保険会社として自動車保険料の算出にAIシステムを導入するにあたり、このAIシステムに関連する潜在的なリスクを事前に識別し、低減するために、包括的なFRIA(基本権影響評価)を策定し、維持する必要がある。これは、高リスクAIシステムに対するAI法の要件を遵守し、顧客に対して公平かつ差別のない保険料計算を促進するために重要である。
References	参考文献
0 This paper also utilized spelling and grammar checking, and a large language model, as a tool for refining and correcting initial text sections.	0 本稿では、初期のテキストセクションの洗練と修正のツールとして、スペルと文法のチェック、および大規模な言語モデルも活用した。
i Regulation (EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), Official Journal of the European Union L 119/1, 4.5.2016, p. 1–88.	i 2016年4月27日付欧州議会および理事会規則(EU)2016/679、個人データの処理における自然人の防御および当該データの自由な移動に関する 、および指令 95/46/EC の廃止(一般データ保護規則)、欧州連合官報 L 119/1、2016年5月4日、1~88ページ。
ii Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), Official Journal of the European Union L 199/1, 12.7.2024, p. 1–120.	ii 2024年6月13日付欧州議会および理事会規則(EU)2024/1689、人工知能に関する統一規則(人工知能法)、欧州連合官報L 199/1、2024年7月12日、1~120ページ。
iii Art. 20, §1, 1°, Data Protection Authority Act of 3 December 2017, amended by the Act of 25 December 2023.	iii 2017年12月3日付データ保護当局法第20条1項1号、2023年12月25日付法により改正。
iv Artificial Intelligence Act, Article 3 (1)	iv 人工知能法第3条(1)