ドイツ 行政機関におけるAI – 初期段階からデータ保護を考慮に入れる (2025.12.22)
こんにちは、丸山満彦です。
行政機関が大規模言語モデルを含む人工知能を利用する際には、便利さを優先するよりも、個人の情報を守るための仕組みを計画段階から組み込むことが不可欠ということですよね...
ドイツの行政機関を監督するBfDIが今回のガイドを作成したのは、個人データ保護法とAI法に行政機関が従う原則を早めに示し、行政機関が適切にAIを活用できるようにするためですかね...
日本はAI法では規制がなく、経産省と総務省が共同で作成したAI事業者ガイドライン (Ver1.1) で開発者、提供者、利用者に対する指針を与えるという感じです。で、行政機関向けには、デジタル庁が、「デジタル社会推進標準ガイドライン DS-920 行政の進化と革新のための生成 AI の調達・利活用に係るガイドライン」を公表していますよね...法的な規制がないので、実質的な行為規範となっているという感じですね...
ドイツはEUのAI法とGDPRがあるので、それをベースにBfDIが個人データの取り扱いについてのガイドをつくれます...日本の個人情報保護委員会もAIの利活用における個人データの取り扱いガイドをつくれますよね...(すでに検討中からもしれないですが...)
その際には個人情報保護法の内容はGDPRに近いので参考にできるかもですね...
● BfDI
・2025.12.22 KI in Behörden – Datenschutz von Anfang an mitdenken
目次...
| Einleitung | 1. はじめに |
| 1.1. Bezug zur KI-VO | 1.1. AI 規則との関係 |
| 1.2. Datenschutzrechtliche Herausforderungen großer Sprachmodelle | 1.2. 大規模言語モデルにおけるデータ保護法の課題 |
| 2. Datenschutzkonforme KI | 2. データ保護に準拠した AI |
| 2.1. Personenbezug | 2.1. 個人情報 |
| 2.2. Verantwortlichkeit | 2.2. 責任 |
| 2.2.1. Entwicklung | 2.2.1. 開発 |
| 2.2.2. Produktivbetrieb | 2.2.2. 生産運用 |
| 2.2.2.1. Personenbezogene Daten in Eingaben und Ausgaben | 2.2.2.1. 入力および出力における個人データ |
| 2.2.2.2. Memorisierte Daten | 2.2.2.2. 記憶されたデータ |
| 2.3. Zweckbestimmung | 2.3. 目的限定 |
| 2.3.1. Entwicklung | 2.3.1. 開発 |
| 2.3.2. Produktivbetrieb | 2.3.2. 生産運用 |
| 2.4. Rechtsgrundlagen | 2.4. 法的根拠 |
| 2.4.1. Entwicklung | 2.4.1. 開発 |
| 2.4.1.1. Spezifische Rechtsgrundlagen | 2.4.1.1. 具体的な法的根拠 |
| 2.4.1.2. Erfüllung einer öffentlichen Aufgabe | 2.4.1.2. 公共の任務の遂行 |
| 2.4.2. Produktivbetrieb | 2.4.2. 生産運用 |
| 2.4.2.1. Spezifische Rechtsgrundlagen | 2.4.2.1. 具体的な法的根拠 |
| 2.4.2.2. Erfüllung einer öffentlichen Aufgabe | 2.4.2.2. 公共の任務の遂行 |
| 2.4.2.3. Erfüllung einer gesetzlichen Verpflichtung | 2.4.2.3. 法的義務の履行 |
| 2.5. Besondere Kategorien personenbezogener Daten | 2.5. 特別な種類の個人データ |
| 2.5.1. Entwicklung (z.B. Erheben von Daten für das Training und das Training selbst) | 2.5.1. 開発(例:トレーニングのためのデータ収集およびトレーニング自体) |
| 2.5.2. Produktivbetrieb | 2.5.2. の実稼働 |
| 2.6. Datenminimierung und Speicherbegrenzung | 2.6. データの最小化と保存制限 |
| 2.7. Menschliche Aufsicht | 2.7. 人間の監督 |
| 2.7.1. Automatisierte Entscheidungen einschließlich Profiling | 2.7.1. プロファイリングを含む自動化された意思決定 |
| 2.7.2. Menschliche Aufsicht bei Hochrisiko-KI-Systemen | 2.7.2. 高リスク AI システムにおける人間の監督 |
| 2.8. Datenschutz-Folgenabschätzung | 2.8. データ保護影響評価 |
| 2.8.1. Rechtlicher Rahmen und Anwendungsvoraussetzungen | 2.8.1. 法的枠組みと適用要件 |
| 2.8.2. Besonderheiten bei KI-Systemen | 2.8.2. AI システムにおける特殊性 |
| 2.8.3. Zusammenspiel mit der Grundrechte-Folgenabschätzung nach der KI-VO | 2.8.3. AI 規則に基づく基本権影響評価との相互関係 |
| Praxisempfehlungen für die Durchführung | 実施に関する実践上の推奨事項 |
| 2.9. Transparenz und Informationspflichten | 2.9. 透明性と情報提供義務 |
| 2.9.1. Datenschutzrechtliche Transparenz | 2.9.1. データ保護法における透明性 |
| 2.9.1.1. Informationspflichten | 2.9.1.1. 情報提供義務 |
| 2.9.1.2. Auskunftsrecht und Recht auf Erläuterung | 2.9.1.2. 情報に対する権利および説明を受ける権利 |
| 2.9.2. Vorgaben der KI-Verordnung | 2.9.2. AI 規則の要件 |
| 2.9.3. Empfehlungen im Zusammenhang mit Transparenz | 2.9.3. 透明性に関する推奨事項 |
| 2.10. Berichtigung und Löschung | 2.10. 修正および削除 |
| 2.10.1. Berichtigung | 2.10.1. 修正 |
| 2.10.2. Löschung | 2.10.2. 削除 |
| 2.11. Datenrichtigkeit | 2.11. データの正確性 |
| 2.12. Fairness | 2.12. 公平性 |
| 2.12.1. Bias im Training mitigieren | 2.12.1. トレーニングにおけるバイアスの軽減 |
| 2.12.2. Prüfung eines LLMs hinsichtlich Bias | 2.12.2. LLM のバイアスに関する検証 |
| 2.12.3. Umgang mit Bias in LLMs | 2.12.3. LLM におけるバイアスの取り扱い |
| 2.13. KI-Kompetenz | 2.13. AI 能力 |
| 2.14. Rechenschaftspflicht, Monitoring, Datenschutzverträge | 2.14. 説明責任、モニタリング、データ保護契約 |
| 2.14.1. Rechenschaftspflicht hinsichtlich des Trainings des KI-Modells durch den Hersteller | 2.14.1. メーカーによる AI モデルのトレーニングに関する説明責任 |
| 2.14.2. Ausschluss des Trainings mit personenbezogenen Eingaben und Ausgaben | 2.14.2. 個人データを入力および出力するトレーニングの除外 |
| 3. Übersicht und Erläuterung mitigierender Maßnahmen anhand des KI-Lebenszyklus | 3. AI ライフサイクルに基づく緩和策の概要と説明 |
| 3.1. Entwicklung des LLMs | 3.1. LLM の開発 |
| 3.1.1. Planung | 3.1.1. 計画 |
| 3.1.2. Preprocessing | 3.1.2. 前処理 |
| 3.1.3. Pre-Training & Fine-Tuning | 3.1.3. 事前トレーニングと微調整 |
| 3.1.4. Ergänzende Systeme | 3.1.4. 補完システム |
| 3.1.5. Überprüfen der Schwachstellen | 3.1.5. 脆弱性の確認 |
| 3.2. Produktivbetrieb | 3.2. 生産運用 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.02.16 デンマーク 公共部門における個人データの処理におけるAIシステムの開発および利用に関する法案
・2025.05.28 デジタル庁 DS-920 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン (2025.05.27)
・2025.03.02 内閣府 人工知能関連技術の研究開発及び活用の推進に関する法律案
・2024.04.20 総務省 経済産業省 AI事業者ガイドライン(第1.0版)
« 米国 NIST SP 1800-39(初期公開ドラフト)データ格付の実践 (2026.02.12) | Main | オランダ データ保護庁 OpenClawのようなAIエージェントに重大なセキュリティリスクがある (2026.02.12) »
Comments