欧州 EDPB AIモデルが匿名とみなされるのはどのような場合か？など、４つの質問に答える意見書を公表していますね...

こんにちは、丸山満彦です。

EDPBが、アイルランドの監督当局からの４つの質問に回答する意見書を公表していますね...

 

アイルランドの監督当局の質問...

人工知能（「AI」）モデルの開発・展開段階における個人データの処理に関するもので...

• (1)いつ、どのようにAIモデルを「匿名」とみなすことができるのか、
  
  
• (2)開発段階および(3)展開段階において、管理者は法的根拠としての正当な利益の適切性をどのように証明することができるのか、
  
  
• (4)AIモデルの開発段階における個人データの違法な処理が、その後のAIモデルの処理または運用にどのような結果をもたらすのか、
  
  

というのが質問です...

ざっくりとした回答は...

 

(1)いつ、どのようにAIモデルを「匿名」とみなすことができるのか、

個人データを用いて学習されたAIモデルは、すべての場合において匿名であるとは言えないと考えている。故に、AIモデルの匿名性の主張は、管轄のSAがケースバイケースで評価すべきである。

 

(2)開発段階および(3)展開段階において、管理者は法的根拠としての正当な利益の適切性をどのように証明することができるのか、

監督当局が考慮すべき全般的な考慮事項として、次の３つをあげている...

(1) 管理者または第三者が追求する正当な利益を特定すること

(2) 追求する正当な利益の目的に対する処理の必要性を分析すること（「必要性テスト]）

(3) 正当な利益がデータ対象者の利益または基本的権利および自由に優先されないことを評価すること（「均衡テスト」）。

 

(4)AIモデルの開発段階における個人データの違法な処理が、その後のAIモデルの処理または運用にどのような結果をもたらすのか、

監督機関が侵害の可能性を評価し、個々の事案の状況を考慮して、適切かつ必要で相応の措置をとりなさい...

 

まずは、プレス...

 

● European data Protection Board；EDPB

・2024.12.17 EDPB opinion on AI models: GDPR principles support responsible AI

EDPB opinion on AI models: GDPR principles support responsible AI	AIモデルに関するEDPBの意見：GDPRの原則は責任あるAIを支援する
Brussels, 18 December - The European Data Protection Board (EDPB) has adopted an opinion* on the use of personal data for the development and deployment of AI models. This opinion looks at 1) when and how AI models can be considered anonymous, 2) whether and how legitimate interest can be used as a legal basis for developing or using AI models, and 3) what happens if an AI model is developed using personal data that was processed unlawfully. It also considers the use of first and third party data.	ブリュッセル、12月18日 - 欧州データ保護委員会（EDPB）は、AIモデルの開発および展開における個人データの利用に関する意見*を採択した。この意見書では、1）AIモデルが匿名とみなされるのはどのような場合か、2）AIモデルの開発または利用の法的根拠として正当な利益を適用できるか、また適用できる場合、その適用方法はどのようなものか、3）違法に処理された個人データを利用してAIモデルが開発された場合、どのような影響があるか、について検討している。また、ファーストパーティデータおよびサードパーティデータの利用についても考察している。
The opinion was requested by the Irish Data Protection Authority (DPA) with a view to seeking Europe-wide regulatory harmonisation. To gather input for this opinion, which deals with fast-moving technologies that have an important impact on society, the EDPB organised a stakeholders’ event and had an exchange with the EU AI Office.	この意見は、欧州全域での規制の調和を求めるという観点から、アイルランドデータ保護局（DPA）によって要請された。社会に重要な影響を与える急速に進化するテクノロジーを取り扱うこの意見のために意見を収集するため、EDPBは利害関係者のイベントを企画し、EU AI Officeと意見交換を行った。
EDPB Chair Talus said: “AI technologies may bring many opportunities and benefits to different industries and areas of life. We need to ensure these innovations are done ethically, safely, and in a way that benefits everyone. The EDPB wants to support responsible AI innovation by ensuring personal data are protected and in full respect of the General Data Protection Regulation (GDPR).”	EDPB議長のタラス氏は次のように述べた。「AI技術は、さまざまな産業や生活のさまざまな分野に多くの機会と利益をもたらす可能性がある。これらのイノベーションが倫理的かつ安全に、そしてすべての人に利益をもたらす形で実施されることを確保する必要がある。EDPBは、個人データの保護を確保し、一般データ保護規則（GDPR）を完全に尊重することで、責任あるAIイノベーションを支援したいと考えている。
Regarding anonymity, the opinion says that whether an AI model is anonymous should be assessed  on a case by case basis by the DPAs. For a model to be anonymous, it should be very unlikely (1) to directly or indirectly identify individuals whose data was used to create the model, and (2) to extract such personal data from the model through queries. The opinion provides a non-prescriptive and non-exhaustive list of methods to demonstrate anonymity.	匿名性に関しては、AIモデルが匿名であるかどうかは、DPAsがケースバイケースで評価すべきであるという意見が述べられている。モデルが匿名であるためには、(1) モデルの作成に使用されたデータを持つ個人を直接または間接的に特定する可能性が極めて低く、(2) 問い合わせによりモデルからそのような個人データを抽出することができないものでなければならない。意見書では、匿名性を証明するための方法として、規定的でも網羅的でもないリストが提示されている。
With respect to legitimate interest, the opinion provides general considerations that DPAs should take into account when they assess if legitimate interest is an appropriate legal basis for processing personal data for the development and the deployment of AI models.	正当な利益に関しては、意見書は、AIモデルの開発および展開における個人データの処理について、正当な利益が適切な法的根拠であるかどうかを評価する際にDPAsが考慮すべき一般的な考慮事項を提示している。
A three-step test helps assess the use of legitimate interest as a legal basis. The EDPB gives the examples of a conversational agent to assist users, and the use of AI to improve cybersecurity. These services can be beneficial for individuals and can rely on legitimate interest as a legal basis, but only if the processing is shown to be strictly necessary and the balancing of rights is respected.	3段階テストは、正当な利益を法的根拠として使用するかどうかを評価するのに役立つ。EDPBは、ユーザーを支援する会話型エージェントや、サイバーセキュリティの向上を目的としたAIの利用を例示している。これらのサービスは個人にとって有益であり、法的根拠として正当な利益に依拠できるが、処理が厳密に必要なものであり、権利のバランスが尊重されている場合に限られる。
The opinion also includes a number of criteria to help DPAs assess if individuals may reasonably expect certain uses of their personal data. These criteria include: whether or not the personal data was publicly available, the nature of the relationship between the individual and the controller, the nature of the service, the context in which the personal data was collected, the source from which the data was collected, the potential further uses of the model, and whether individuals are actually aware that their personal data is online.	また、この意見書には、個人が自身の個人データの特定の用途を合理的に期待できるかどうかをDPAが評価する際に役立つ基準もいくつか含まれている。これらの基準には、個人データが公開されていたかどうか、個人と管理者との関係の性質、サービスの性質、個人データが収集された状況、データ収集元、モデルの今後の利用可能性、および個人が実際に自身の個人データがオンライン上にあることを認識しているかどうか、などが含まれる。
If the balancing test shows that the processing should not take place because of the negative impact on individuals, mitigating measures may limit this negative impact. The opinion includes a non-exhaustive list of examples of such mitigating measures, which can be technical in nature, or make it easier for individuals to exercise their rights or increase transparency.	バランステストにより、個人への悪影響を理由に処理を行わないべきであると示された場合、緩和措置によりこの悪影響を制限することができる。意見書には、このような緩和措置の例として、技術的なものや、個人が権利を行使しやすくするもの、透明性を高めるものなど、網羅的なリストではないが例示されている。
Finally, when an AI model was developed with unlawfully processed personal data, this could have an impact on the lawfulness of its deployment, unless the model has been duly anonymised.	最後に、違法に処理された個人データを用いてAIモデルが開発された場合、そのモデルが適切に匿名化されていない限り、その展開の適法性に影響を及ぼす可能性がある。
Considering the scope of the request from the Irish DPA, the vast diversity of AI models and their rapid evolution, the opinion aims to give guidance on various elements that can be used for conducting a case by case analysis.	アイルランドデータ保護委員会からの要請の範囲、AIモデルの多様性、およびその急速な進化を考慮し、意見書は、ケースバイケースの分析を行う際に使用できるさまざまな要素に関する指針を提供することを目的としている。
In addition, the EDPB is currently developing guidelines covering more specific questions, such as web scraping.	さらに、EDPBは現在、ウェブスクレイピングなど、より具体的な問題を扱うガイドラインを策定中である。
Note to editors:	編集後記：
*An Article 64(2) opinion addresses a matter of general application or produces effects in more than one Member State.	*第64条(2)に基づく意見は、複数の加盟国にわたって一般的に適用される問題を取り扱うか、または複数の加盟国に影響を及ぼすものである。

 

意見書...

・2024.12.18 Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models

・[PDF]

・[DOCX][PDF] 仮訳

 

目次

1 Introduction	1 序文
1.1 Summary of facts	1.1 事実の概要
1.2 Admissibility of the Request for an Article 64(2) GDPR opinion	1.2 GDPR第64条2項意見書の請求の可否
2 Scope and key notions	2 範囲と重要な概念
2.1 Scope of the Opinion	2.1 意見の範囲
2.2 Key notions	2.2 主要な概念
2.3 AI models in the context of the Opinion	2.3 意見の文脈におけるAIモデル
3 On the merits of the request	3 要求の是非について
3.1 On the nature of AI models in relation to the definition of personal data	3.1 個人データの定義に関するAIモデルの性質について
3.2 On the circumstances under which AI models could be considered anonymous and the related demonstration	3.2 AIモデルが匿名とみなされる状況と、それに関連するデモンストレーションについて
3.2.1 General consideration regarding anonymisation in the context at hand	3.2.1 匿名化に関する一般的な考察
3.2.2 Elements to evaluate the residual likelihood of identification	3.2.2 識別の残存可能性を評価する要素
3.3 On the appropriateness of legitimate interest as a legal basis for processing of personal data in the context of the development and deployment of AI Models	3.3 AIモデルの開発・展開における個人データの処理の法的根拠としての正当な利益の妥当性について
3.3.1 General observations	3.3.1 一般的な見解
3.3.2 Considerations on the three steps of the legitimate interest assessment in the context of the development and deployment of AI models	3.3.2 AIモデルの開発と展開における正当な利益評価の3つの段階に関する考察
3.4 On the possible impact of an unlawful processing in the development of an AI model on the lawfulness of the subsequent processing or operation of the AI model	3.4 AIモデルの開発における違法な処理が、その後のAIモデルの処理または運用の適法性に及ぼす可能性のある影響について
3.4.1 Scenario 1. A controller unlawfully processes personal data to develop the model, the personal data is retained in the model and is subsequently processed by the same controller (for instance in the context of the deployment of the model)	3.4.1 シナリオ 1：管理者がモデル開発のために個人データを不法に処理し、その個人データがモデル内に保持され、その後同じ管理者によって処理される（例えばモデルの展開において）。
3.4.2 Scenario 2. A controller unlawfully processes personal data to develop the model, the personal data is retained in the model and is processed by another controller in the context of the deployment of the model	3.4.2 シナリオ2：管理者がモデル開発のために個人データを不法に処理し、個人データがモデル内に保持され、モデルの展開に関連して別の管理者によって処理される。
3.4.3 Scenario 3. A controller unlawfully processes personal data to develop the model, then ensures that the model is anonymised, before the same or another controller initiates another processing of personal data in the context of the deployment	3.4.3 シナリオ 3：管理者がモデルの開発のために個人データを違法に処理し、その後、同じ管理者または別の管理者が展開の文脈で個人データの別の処理を開始する前に、モデルが匿名化されるようにする。
4 Final remarks	4 最終発言

 

 

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
AI technologies create many opportunities and benefits across a wide range of sectors and social activities.	AI技術は、幅広い分野や社会活動において、多くの機会と利益を生み出す。
By protecting the fundamental right to data protection, GDPR supports these opportunities and promotes other EU fundamental rights, including the right to freedom of thought, expression and information, the right to education or the freedom to conduct a business. In this way, GDPR is a legal framework that encourages responsible innovation.	データ保護の基本的権利を保護することで、GDPRはこうした機会を支援し、思想、表現、情報の自由、教育を受ける権利、事業を行う自由など、EUの他の基本的権利を促進する。このように、GDPRは責任あるイノベーションを奨励する法的枠組みである。
In this context, taking into account the data protection questions raised by these technologies, the Irish supervisory authority requested the EDPB to issue an opinion on matters of general application pursuant to Article 64(2) GDPR. The request relates to the processing of personal data in the context of the development and deployment phases of Artificial Intelligence (“AI”) models. In more details, the request asked: (1) when and how an AI model can be considered as ‘anonymous’; (2) how controllers can demonstrate the appropriateness of legitimate interest as a legal basis in the development and (3) deployment phases; and (4) what are the consequences of the unlawful processing of personal data in the development phase of an AI model on the subsequent processing or operation of the AI model.	アイルランドの監督当局は、これらの技術によって提起されるデータ保護上の問題を考慮し、GDPR第64条2項に従い、一般的な適用事項に関する意見を出すようEDPBに要請した。この要請は、人工知能（「AI」）モデルの開発・展開段階における個人データの処理に関するものである。具体的には、(1)いつ、どのようにAIモデルを「匿名」とみなすことができるのか、(2)開発段階および(3)展開段階において、管理者は法的根拠としての正当な利益の適切性をどのように証明することができるのか、(4)AIモデルの開発段階における個人データの違法な処理が、その後のAIモデルの処理または運用にどのような結果をもたらすのか、といった内容である。
With respect to the first question, the Opinion mentions that claims of an AI model’s anonymity should be assessed by competent SAs on a case-by-case basis, since the EDPB considers that AI models trained with personal data cannot, in all cases, be considered anonymous. For an AI model to be considered anonymous, both (1) the likelihood of direct (including probabilistic) extraction of personal data regarding individuals whose personal data were used to develop the model and (2) the likelihood of obtaining, intentionally or not, such personal data from queries, should be insignificant, taking into account ‘all the means reasonably likely to be used’ by the controller or another person.	最初の質問に関して、EDPBは、個人データを用いて学習されたAIモデルは、すべての場合において匿名であるとは言えないと考えているため、AIモデルの匿名性の主張は、管轄のSAがケースバイケースで評価すべきであると意見書は言及している。AIモデルが匿名であるとみなされるためには、(1)モデルの開発に個人データが使用された個人に関する個人データが直接（確率的なものを含む）抽出される可能性、および(2)意図的であるか否かにかかわらず、問い合わせからそのような個人データを取得する可能性の両方が、管理者または他の者によって「合理的に使用される可能性のあるすべての手段」を考慮して、重要でないことが必要である。
To conduct their assessment, SAs should review the documentation provided by the controller to demonstrate the anonymity of the model. In that regard, the Opinion provides a non-prescriptive and non-exhaustive list of methods that may be used by controllers in their demonstration of anonymity, and thus be considered by SAs when assessing a controller’s claim of anonymity. This covers, for instance, the approaches taken by controllers, during the development phase, to prevent or limit the collection of personal data used for training, to reduce their identifiability, to prevent their extraction or to provide assurance regarding state of the art resistance to attacks.	アセスメントを実施するために、SAは、モデルの匿名性を実証するために管理者から提供された文書を確認すべきである。この点に関して、本意見書は、管理者が匿名性を証明する際に使用することができ、したがってSAが管理者の匿名性の主張を評価する際に考慮することができる方法の非規定的かつ非網羅的なリストを提供している。例えば、開発段階において、管理者が、訓練に使用される個人データの収集を防止または制限するため、識別可能性を低減するため、抽出を防止するため、または攻撃に対する最新の耐性に関する保証を提供するためにとるアプローチが対象となる。
With respect to the second and third questions, the Opinion provides general considerations for SAs to take into account when assessing whether controllers can rely on legitimate interest as an appropriate legal basis for processing conducted in the context of the development and the deployment of AI models.	2つ目と3つ目の質問に関して、本意見は、AIモデルの開発・展開の文脈で行われる処理について、統制が正当な利益を適切な法的根拠として依拠できるかどうかを評価する際に、SAが考慮すべき全般的な考慮事項を示している。
The Opinion recalls that there is no hierarchy between the legal bases provided by the GDPR, and that it is for controllers to identify the appropriate legal basis for their processing activities. The Opinion then recalls the three-step test that should be conducted when assessing the use of legitimate interest as a legal basis, i.e. (1) identifying the legitimate interest pursued by the controller or a third party; (2) analysing the necessity of the processing for the purposes of the legitimate interest(s) pursued (also referred to as “necessity test”); and (3) assessing that the legitimate interest(s) is (are) not overridden by the interests or fundamental rights and freedoms of the data subjects (also referred to as “balancing test”).	意見書は、GDPRが規定する法的根拠には序列がなく、管理者が自らの処理活動に適切な法的根拠を特定する必要があることを想起している。その上で、法的根拠としての正当な利益の利用をアセスメントする際に実施すべき3段階のテスト、すなわち、以下の3点を挙げている。(1) 管理者または第三者が追求する正当な利益を特定すること、(2) 追求する正当な利益（ ）の目的に対する処理の必要性を分析すること（「必要性テスト」ともいう）、(3) 正当な利益がデータ対象者の利益または基本的権利および自由（「均衡テスト」ともいう）に優先されないことを評価すること（「均衡テスト」ともいう）。
With respect to the first step, the Opinion recalls that an interest may be regarded as legitimate if the following three cumulative criteria are met: the interest (1) is lawful; (2) is clearly and precisely articulated; and (3) is real and present (i.e. not speculative). Such interest may cover, for instance, in the development of an AI model - developing the service of a conversational agent to assist users, or in its deployment - improving threat detection in an information system.	第1段階に関して、本意見書は、以下の3つの累積的規準が満たされる場合、利益は合法的なものとみなされる可能性があることを想起している：(1)利益が合法的である、(2)明確かつ正確に明示されている、(3)現実に存在する（すなわち推測的ではない）。このような関心には、例えば、AIモデルの開発-ユーザーを支援する会話エージェントのサービス開発-や、その展開-情報システムにおける脅威検知の改善-が含まれる。
With respect to the second step, the Opinion recalls that the assessment of necessity entails considering: (1) whether the processing activity will allow for the pursuit of the legitimate interest; and (2) whether there is no less intrusive way of pursuing this interest. When assessing whether the condition of necessity is met, SAs should pay particular attention to the amount of personal data processed and whether it is proportionate to pursue the legitimate interest at stake, also in light of the data minimisation principle.	第2段階に関して、同意見は、必要性のアセスメントには、(1)処理活動が正当な利益の追求を可能にするかどうか、および(2)この利益を追求するために、より侵入的でない方法がないかどうかを検討することが含まれることを想起する。必要性の条件を満たすかどうかを評価する際、SAは、処理される個人データの量と、データ最小化の原則に照らしても、問題となっている正当な利益を追求するのに比例しているかどうかに特に注意を払うべきである。
With respect to the third step, the Opinion recalls that the balancing test should be conducted taking into account the specific circumstances of each case. It then provides an overview of the elements that SAs may take into account when evaluating whether the interest of a controller or a third party is overridden by the interests, fundamental rights and freedoms of data subjects.	第3段階に関して、意見書は、バランステストは各ケースの具体的な状況を考慮して実施されるべきであることを想起している。その上で、データ管理者またはサードパーティの利益が、データ対象者の利益、基本的権利および自由に優先するかどうかを評価する際に、SAが考慮しうる要素の概要を示している。
As part of the third step, the Opinion highlights specific risks to fundamental rights that may emerge either in the development or the deployment phases of AI models. It also clarifies that the processing of personal data that takes place during the development and deployment phases of AI models may impact data subjects in different ways, which may be positive or negative. To assess such impact, SAs may consider the nature of the data processed by the models, the context of the processing and the possible further consequences of the processing.	第3段階として、本意見書は、AIモデルの開発段階または展開段階のいずれかに出現する可能性のある、基本的権利に対する特定のリスクを強調している。また、AIモデルの開発・展開段階で行われる個人データの処理は、データ対象者に様々な形で影響を与える可能性があり、それは肯定的である場合も否定的である場合もあることを明確にしている。このような影響を評価するために、SAは、モデルによって処理されるデータの性質、処理の文脈、処理によって起こり得る更なる結果を考慮することができる。
The Opinion additionally highlights the role of data subjects’ reasonable expectations in the balancing test. This can be important due to the complexity of the technologies used in AI models and the fact that it may be difficult for data subjects to understand the variety of their potential uses, as well as the different processing activities involved. In this regard, both the information provided to data subjects and the context of the processing may be among the elements to be considered to assess whether data subjects can reasonably expect their personal data to be processed. With regard to the context, this may include: whether or not the personal data was publicly available, the nature of the relationship between the data subject and the controller (and whether a link exists between the two), the nature of the service, the context in which the personal data was collected, the source from which the data was collected (i.e., the website or service where the personal data was collected and the privacy settings they offer), the potential further uses of the model, and whether data subjects are actually aware that their personal data is online at all.	本意見書はさらに、均衡テストにおけるデータ対象者の合理的な期待の役割を強調している。これは、AIモデルで使用される技術が複雑であり、データ対象者がその潜在的な用途の多様性や、関連するさまざまな処理活動を理解することが困難であるという事実のために重要である。この点で、データ対象者に提供される情報と処理のコンテクストの両方が、データ対象者が個人データの処理を合理的に期待できるかどうかを評価するために考慮されるべき要素に含まれる可能性がある。コンテクストに関しては、個人データが公的に利用可能であったかどうか、データ対象者と管理者の関係の性質（および両者の間にリンクが存在するかどうか）、サービスの性質、個人データが収集されたコンテクスト、データが収集されたソース（すなわち、個人データが収集されたウェブサイトまたはサービスおよびそれらが提供するプライバシー設定）、モデルの潜在的なさらなる使用、およびデータ対象者が自分の個人データがオンライン上にあることを実際に認識しているかどうかが含まれる。
The Opinion also recalls that, when the data subjects’ interests, rights and freedoms seem to override the legitimate interest(s) being pursued by the controller or a third party, the controller may consider introducing mitigating measures to limit the impact of the processing on these data subjects. Mitigating measures should not be confused with the measures that the controller is legally required to adopt anyway to ensure compliance with the GDPR. In addition, the measures should be tailored to the circumstances of the case and the characteristics of the AI model, including its intended use. In this respect, the Opinion provides a non-exhaustive list of examples of mitigating measures in relation to the development phase (also with regard to web scraping) and the deployment phase. Mitigating measures may be subject to rapid evolution and should be tailored to the circumstances of the case. Therefore, it remains for the SAs to assess the appropriateness of the mitigating measures implemented on a case-by-case basis.	本意見書はまた、データ対象者の利益、権利および自由が、管理者またはサードパーティが追求する正当な利益に優先すると思われる場合、 の管理者は、データ対象者に対する処理の影響を制限する緩和措置の導入を検討することができることを想起する。緩和措置は、GDPRの遵守を確保するために管理者がいずれにせよ採用することが法的に義務付けられている措置と混同してはならない。さらに、その措置は、ケースの状況や、その使用目的を含むAIモデルの特徴に合わせたものでなければならない。この点に関して、本意見書は、開発段階（ウェブスクレイピングに関しても）および展開段階に関する緩和措置の例を非網羅的に列挙している。緩和手段は急速に進化する可能性があり、事案の状況に合わせて調整されるべきである。したがって、ケースバイケースで実施される緩和措置の妥当性を評価するのは、依然としてSAの役割である。
With respect to the fourth question, the Opinion generally recalls that SAs enjoy discretionary powers to assess the possible infringement(s) and choose appropriate, necessary, and proportionate measures, taking into account the circumstances of each individual case.  The Opinion then considers three scenarios.	第4の質問に関し、意見書は一般的に、SAが侵害の可能性を評価し、個々の事案の状況を考慮した上で、適切かつ必要で相応の措置を選択する裁量権を享受していることを想起している。  その上で、本意見書は3つのシナリオを検討している。
Under scenario 1, personal data is retained in the AI model (meaning that the model cannot be considered anonymous, as detailed in the first question) and is subsequently processed by the same controller (for instance in the context of the deployment of the model). The Opinion states that whether the development and deployment phases involve separate purposes (thus constituting separate processing activities) and the extent to which the lack of legal basis for the initial processing activity impacts the lawfulness of the subsequent processing, should be assessed on a case-by-case basis, depending on the context of the case.	シナリオ1では、個人データはAIモデル内に保持され（つまり、最初の質問で詳述したように、モデルは匿名とはみなされない）、その後同じデータ管理者により処理される（例えば、モデルの展開において）。アセスメントでは、開発段階と展開段階が別個の目的を含むかどうか（したがって、別個の処理活動を構成する）、および最初の処理活動の法的根拠の欠如がその後の処理の合法性にどの程度影響するかは、事案の状況に応じてケースバイケースで評価されるべきであると述べている。
Under scenario 2, personal data is retained in the model and is processed by another controller in the context of the deployment of the model. In this regard, the Opinion states that SAs should take into account whether the controller deploying the model conducted an appropriate assessment, as part of its accountability obligations to demonstrate compliance with Article 5(1)(a) and Article 6 GDPR, to ascertain that the AI model was not developed by unlawfully processing personal data. This assessment should take into account, for instance, the source of the personal data and whether the processing in the development phase was subject to the finding of an infringement, particularly if it was determined by a SA or a court, and should be less or more detailed depending on the risks raised by the processing in the deployment phase.	シナリオ2では、個人データはモデル内に保持され、モデルの展開に関連して別の管理者によって処理される。この点に関して、意見書は、SAは、モデルを展開する管理者が、AIモデルが個人データの違法な処理によって開発されたものでないことを確認するために、第5条1項（a）および第6条GDPRの遵守を証明する説明義務の一環として、適切なアセスメントを実施したかどうかを考慮すべきであると述べている。このアセスメントは、例えば、個人データの出所や、開発段階における処理が侵害の認定対象者であったかどうか（特にSAまたは裁判所によって決定された場合）を考慮すべきであり、展開段階における処理によって生じるリスクに応じて、より詳細であるべきである。
Under scenario 3, a controller unlawfully processes personal data to develop the AI model, then ensures that it is anonymised, before the same or another controller initiates another processing of personal data in the context of the deployment. In this regard, the Opinion states that if it can be demonstrated that the subsequent operation of the AI model does not entail the processing of personal data, the EDPB considers that the GDPR would not apply. Hence, the unlawfulness of the initial processing should not impact the subsequent operation of the model. Further, the EDPB considers that, when controllers subsequently process personal data collected during the deployment phase, after the model has been anonymised, the GDPR would apply in relation to these processing operations. In these cases, the Opinion considers that, as regards the GDPR, the lawfulness of the processing carried out in the deployment phase should not be impacted by the unlawfulness of the initial processing.	シナリオ3では、管理者がAIモデルを開発するために個人データを違法に処理し、その後、同じ管理者または別の管理者が展開の文脈で個人データの別の処理を開始する前に、そのデータが匿名化されるようにする。この点に関して、EDPBは、その後のAIモデルの運用が個人データの処理を伴わないことを証明できる場合、GDPRは適用されないと考えるとしている。したがって、最初の処理の違法性は、その後のモデルの運用には影響しないはずである。さらに、EDPBは、モデルが匿名化された後、管理者が展開段階で収集された個人データの処理を行う場合、これらの処理業務に関してはGDPRが適用されると考えている。このような場合、GDPRに関しては、展開段階で行われた処理の合法性は、最初の処理の違法性によって影響されるべきではないと本意見書は考える。