Skip to content
Published on

プライバシー & AI 規制 2026 — GDPR / EU AI Act(2026.8 全面施行)/ DSA / DMA / PIPA / APPI / NIST AI RMF / ISO 42001 ディープダイブ

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

プロローグ — 2026年、規制の時代が来た

2018年5月、GDPR が発効した日を覚えている人にとって、2026年の風景はどこか奇妙だ。8年が経ち、データ・AI 規制はもはや「ヨーロッパが特にうるさい領域」ではなく、グローバルなデジタルインフラの既定値になっている。EU は GDPR の上に EU AI Act、DSA、DMA、Data Act、Cyber Resilience Act を積み上げた。米国は連邦次元の一貫した法律がないまま、8つの州が包括プライバシー法を運用しており、IL BIPA は生体情報の別戦線を形成し、テキサス TDPSA・ミネソタ MIPA・オレゴン OCPA が 2024-2025 に続々と施行された。韓国 PIPA は 2024 改正で仮名情報・MyData・医療マイデータを整備し、日本 APPI は 2022 改正以来の外国移転規定を磨いてきた。中国 PIPL、ブラジル LGPD、OECD AI 原則、NIST AI RMF、ISO 42001、AISI(AI Safety Institute)多国間協定まで — 2026 年のあらゆるデジタル製品は「規制表面積(regulatory surface)」を意識せずには存在できない。

2026 年の見出しは一行で済む — EU AI Act が 2026 年 8 月に全面施行される。 2024 年 8 月に発効した EU AI Act は、2025 年 2 月に禁止条項が先に適用され、2026 年 8 月には高リスクシステム義務の大部分が一斉に発効する。これはクラウド事業者、LLM 提供者、SaaS、ロボティクス、HR、医療 — ほぼすべての製品カテゴリーに影響する。

この記事で扱うこと:

  1. 2026 年プライバシー/AI 規制マップ — EU / 米国 / 韓国 / 日本 / グローバルの 5 陣営
  2. GDPR — 8 年目、執行が成熟
  3. EU AI Act — 2024.8 発効 → 2025.2 禁止 → 2026.8 全面施行
  4. DSA + DMA — プラットフォーム規制
  5. EU Data Act — IoT 製造者のデータ共有
  6. EU Cyber Resilience Act — ソフトウェアベンダーの責任
  7. 米国州別法 — CCPA/CPRA・VCDPA・CPA・CTDPA・UCPA・MIPA・OAPA・TDPSA
  8. IL BIPA — 生体情報の別戦線
  9. 韓国 PIPA 2024 改正
  10. 日本 APPI — 外国移転と匿名加工情報
  11. 中国 PIPL・ブラジル LGPD・その他のグローバル
  12. OECD AI 原則・NIST AI RMF・ISO 42001
  13. AI Safety Institutes — 多国間協定
  14. 自社で何をすべきか — 段階的コンプライアンス
  15. 参考 / References

1章 · 2026 年プライバシー/AI 規制マップ

まず大きな構図から。2026 年 5 月時点、意味のあるデータ・AI 規制は 5 陣営に分かれる。

陣営 1 — EU:包括的・強制・域外適用モデル

GDPR(2018)の上に、EU AI Act(2024)、DSA(2022/2024)、DMA(2022/2024)、Data Act(2023/2025)、Cyber Resilience Act(2024/2027)が積まれている。共通点は(ア)域外適用、(イ)グローバル売上ベースの制裁金、(ウ)行政執行中心。EU 市民・EU 市場を狙うほぼすべてのデジタルサービスがこの規制表面に晒される。

陣営 2 — 米国:州別モザイク + 連邦の沈黙

連邦次元の包括プライバシー法は 2026 年 5 月時点で存在しない。代わりに 8 州で活性化した包括法(CCPA/CPRA・VCDPA・CPA・CTDPA・UCPA・MIPA・OAPA・TDPSA)と、IL BIPA のような分野別法律が多層構造を形成する。連邦次元の AI 行政命令(2023 Biden EO)とその後続ガイドラインは政府調達基準に影響するが、民間部門の義務は州法で決まる。

陣営 3 — 韓国・日本:包括法 + 分野別補強

韓国は PIPA(個人情報保護法)を 2024 年に改正し、仮名情報、MyData(個人情報送信要求権)、医療マイデータ、グローバル移転の適合性評価を整備した。日本は APPI(個人情報保護法)を 2022 改正以降、外国移転・匿名加工情報・通知義務を磨いてきた。日韓ともに GDPR との相互運用性を意識し、EU 適合性決定(adequacy decision)を受けている点が特徴。

陣営 4 — 中国・ブラジル・インドなど残りの巨大市場

中国 PIPL(2021)は GDPR と形式的には似ているが、国家安全・党優先のデータ分類が結合している。ブラジル LGPD(2020)は GDPR をほぼそのまま移植した形。インド DPDP Act(2023)は 2025-2026 に施行段階にあり、サウジ PDPL・UAE PDPL も運用中だ。

陣営 5 — AI 専用の国際規範陣営

OECD AI 原則(2019/2024 更新)、NIST AI RMF(2023, 1.0)、ISO 42001(2023, AI 管理システム)、英国・米国・韓国・日本・シンガポール・フランス・スペインの AISI 多国間協定。強制力はないが、EU AI Act・米国連邦調達・企業ガバナンスに吸収される。

一行要約:EU は強制、米国はモザイク、アジアは包括法 + データ主権、国際規範は床。

2章 · GDPR — 8 年目、執行が成熟

GDPR(General Data Protection Regulation, Regulation EU 2016/679)は 2018 年 5 月に発効した。2026 年 5 月で満 8 年。初期 5 年は「巨大な制裁金が本当に出るのか?」という懐疑があったが、2021 年 Amazon EUR 746M、2023 年 Meta EUR 1.2B、2024 年 TikTok EUR 345M といった決定が積み重なり、GDPR はもはや紙の虎ではない。

変わっていない 6 つの中核義務

  • 適法性根拠(Article 6) — 同意・契約・法的義務・生命保護・公益・正当な利益の 6 つから 1 つ。
  • 特別カテゴリー(Article 9) — 人種、宗教、組合員、健康、性生活、生体、遺伝情報は追加条件。
  • 移転(Chapter V) — EU 外への送信は適合性決定・SCC(Standard Contractual Clauses)・BCR(Binding Corporate Rules)のいずれか。
  • DPIA(Article 35) — 高リスク処理には影響評価。
  • DPO(Article 37) — 公的機関、体系的モニタリング、大規模機微データ処理時に任命義務。
  • 通知(Article 33-34) — 違反時 72 時間以内に監督機関へ通知。

2024-2026 で変わったこと

  • EU-US Data Privacy Framework(2023) — Schrems II で崩れた米国移転経路を新適合性決定(2023.7)で復元。ただし NOYB が Schrems III 訴訟進行中。2026 年 5 月時点で有効。
  • GDPR Procedural Regulation(2025 制定) — 加盟国間協力・一貫性手続きを簡素化。「ワンストップショップ」のボトルネック緩和。
  • AI Act との接点 — EU AI Act は GDPR を置き換えない。AI システムが個人情報を処理すれば、両方の法が同時に適用される。

制裁金の重み

GDPR 制裁金上限はグローバル売上 4% または EUR 20M の高い方。2024-2025 年の累積総額は EUR 5B を突破。単一最大は 2023 年 Meta(アイルランド DPC)の EUR 1.2B。

EU ユーザーに GDPR を知らずにサービス提供する時代は終わった。2026 年の GDPR は 「既定値」 だ。

3章 · EU AI Act — 2024.8 発効、2025.2 禁止、2026.8 全面施行

EU AI Act(Regulation EU 2024/1689)は 2024 年 6 月 13 日採択、2024 年 7 月 12 日 OJ 掲載、2024 年 8 月 1 日発効。段階的施行スケジュールが核心だ:

  • 2024.8.1 — 法発効。
  • 2025.2.2 — 禁止慣行(prohibited practices)+ 一般定義が適用。
  • 2025.8.2 — 汎用 AI モデル(GPAI)義務、ガバナンス、罰則規定が適用。
  • 2026.8.2 — 高リスクシステム義務、市場監視、その他大半の義務が全面施行。
  • 2027.8.2 — Annex I の安全コンポーネントに分類された高リスクシステム義務が追加で適用。

2026 年 5 月は「全面施行を 3 か月前にした瞬間」だ。EU 市場進入する AI 製品はその時点から新義務表に従わなければならない。

4 等級リスク分類

EU AI Act の核心はリスクベースアプローチ。AI システムを 4 等級に分ける。

  • 禁止(Prohibited) — Article 5 に列挙。社会的スコアリング、職場・教育での感情認識、無差別な顔認識データベース構築、子供を対象とした行動操作、脆弱層搾取、リアルタイム遠隔生体識別(例外あり)。
  • 高リスク(High-risk) — Annex III に列挙。採用・与信評価・教育評価・法執行・移民・司法・重要インフラ・医療機器(MDR と結合)。
  • 限定リスク(Limited) — チャットボット・ディープフェイクなど。透明性義務(ユーザーに AI と知らせる)。
  • 最小リスク(Minimal) — スパムフィルター・ゲーム NPC など。自主的遵守以外の義務なし。

高リスクシステムの中核義務

  • リスク管理システム(Article 9) — ライフサイクル全般でリスク特定・評価・緩和。
  • データガバナンス(Article 10) — 学習・検証・テストデータの品質・代表性・バイアス管理。
  • 技術文書(Article 11)+ Annex IV — システム・データ・ログ・結果の文書化。
  • 自動ログ(Article 12) — システム運用ログを保存し追跡可能に。
  • 透明性(Article 13) — ユーザーに使用説明・限界・正確度を提供。
  • 人間による監督(Article 14) — 自然人が効果的に監督・停止可能。
  • 正確性・堅牢性・サイバーセキュリティ(Article 15) — 適切な精度と回復力。
  • 適合性評価(Article 43) — 自己評価または第三者認証。
  • CE マーキング + EU データベース登録(Article 49, 71) — 市場に出す前に登録。

GPAI(General-Purpose AI)モデル — Article 51-55

基盤モデル提供者には別途義務。学習データ要約の公開、著作権遵守ポリシー、技術文書、ダウンストリーム統合者への情報提供。「システミックリスク(systemic risk)」モデル(現在 10^25 FLOPs 学習閾値適用)は追加でモデル評価・敵対的テスト・重大事故通知・サイバーセキュリティ義務。

制裁金

  • 禁止違反 — 最大 EUR 35M またはグローバル売上 7%。
  • 高リスク義務違反 — 最大 EUR 15M または 3%。
  • 不正確な情報提供 — 最大 EUR 7.5M または 1%。

GDPR の 4% を超える 7% — 数字が意図を語る。

EU AI Office

2024 年に欧州委員会内に設立。EU AI Act の GPAI 部分を直接執行し、加盟国の市場監視機関と協力する。Code of Practice(2025 年 5 月最終版)などのガイドラインを発行。

4章 · DSA + DMA — プラットフォーム規制

EU AI Act がモデル・システムの安全を扱うなら、DSA(Digital Services Act)と DMA(Digital Markets Act)はプラットフォームの行為を扱う。

DSA(Regulation EU 2022/2065)

2022 年 11 月採択。2024 年 2 月からすべてのオンライン仲介・ホスティング・プラットフォームに全面適用。核心は:

  • 不法コンテンツ通知 + 対応義務(Article 16) — 通報 → 迅速な検討 → 決定。決定理由と異議手続きをユーザーに知らせる(Article 17)。
  • リスク評価(Article 34) — Very Large Online Platforms(VLOP, MAU 4500 万超)と VLOSE(検索)はシステミックリスク年 1 回評価義務。
  • 推薦システム透明性(Article 27, 38) — 推薦アルゴリズムのパラメータ開示。VLOP は非プロファイリングオプションを 1 つ以上提供。
  • 広告透明性(Article 26, 39) — 広告と明示、広告識別子・基準・資金提供者を開示。未成年・機微カテゴリーをターゲットにした広告は禁止。
  • ダークパターン禁止(Article 25) — ユーザー意思決定を歪めるインターフェースは禁止。

2024-2025 にかけて欧州委員会は X、Meta、AliExpress、TikTok、Temu に正式手続きを開始。最初の決定が迫っている。

DMA(Regulation EU 2022/1925)

指定された「ゲートキーパー(gatekeeper)」に対する事前規制。2024 年 3 月から全面適用。2026 年 5 月時点で指定ゲートキーパーは Alphabet、Amazon、Apple、ByteDance、Meta、Microsoft、Booking。中核義務:

  • 相互運用性 — Messenger・WhatsApp のようなメッセンジャーは他社メッセンジャーとのメッセージ送受信が可能であること。
  • 自社優遇禁止 — 検索・アプリストア・OS で自社サービスを不当に上位に置くことを禁止。
  • データ結合の同意 — 別サービス間のユーザーデータ結合には明示的同意。
  • アプリストア外決済・サイドローディング — Apple iOS はアプリストア外決済を許可する義務。

Apple は 2024-2025 にかけて DMA 不遵守で EUR 1.8B(独禁)+ EUR 500M(DMA Article 5(4))などの決定を受け、米国政府との外交摩擦まで引き起こした。

含意

DSA・DMA はもはや「欧州だけの話」ではない。ゲートキーパーが EU 市場で行った変更(例:iOS サイドローディング、Meta の広告同意)はグローバル製品に影響する。韓国・日本のプラットフォーム規制(公正取引委員会・総務省)は DMA を頻繁に引用する。

5章 · EU Data Act — IoT 製造者のデータ共有

EU Data Act(Regulation EU 2023/2854)は 2024 年 1 月発効、2025 年 9 月から適用。発想はシンプル — 「私が作った IoT 製品が生成するデータは誰のものか?」 Data Act はこのデータに対するユーザーのアクセス権を明示する。

中核義務

  • ユーザーのデータアクセス権(Chapter II) — IoT 製品のユーザーはその製品が生成したデータに無料でアクセス可能。ユーザーはそのデータを自分が指定する第三者に送る権利を持つ。
  • B2G(Business-to-Government)義務共有(Chapter V) — 公衆衛生緊急事態のような例外的必要時、公的機関は企業にデータを要請可能。
  • クラウド切替(Chapter VI) — クラウド事業者間の切替を妨げるロックイン慣行を制限。
  • 相互運用性(Chapter VIII) — データ空間(data spaces)のための標準。

影響を受ける者

自動車メーカー、家電メーカー、産業 IoT、農業機械など「データ発生製品」を作るすべての企業。Tesla、John Deere、BMW、Siemens、Samsung、LG が直接影響。付随的にそれらの企業が使う AWS、Azure、GCP、OCI のようなクラウド事業者も切替義務に影響を受ける。

韓国・日本への影響

自動車・半導体・家電領域で EU 市場進入のために Data Act 遵守が必要。韓国 ETRI・KISA・KISDI で Data Act 関連ガイドライン作成作業が進行中。

6章 · EU Cyber Resilience Act — ソフトウェアベンダーの責任

EU Cyber Resilience Act(CRA, Regulation EU 2024/2847)は 2024 年 12 月発効。報告義務は 2026 年 9 月から、中核義務は 2026 年 12 月から、全面施行は 2027 年 12 月。発想はシンプル — 「デジタル製品にも自動車のような安全基準があるべきだ。」

適用範囲

EU 市場に出される「デジタル要素のある製品」のほぼ全部 — ハードウェア + ファームウェア + ソフトウェア。ただし医療機器 MDR、自動車型式承認、民間航空のように他の EU 規定が既に扱う分野は除外。

中核義務

  • 必須サイバーセキュリティ要件(Annex I) — 設計段階からセキュリティ考慮、既知の脆弱性なしに出荷、セキュリティ既定値。
  • 脆弱性処理 — 製品ライフサイクル(最短 5 年)の間、脆弱性報告・パッチ義務。
  • 実際に悪用された脆弱性の通知 — 認知後 24 時間以内に ENISA への事前通知、72 時間以内に正式通知、14 日以内に完全報告。
  • CE マーキング — 適合性評価後 CE マーキング、使用説明、EU データベース登録。

オープンソースの一部免除

非商用オープンソースは免除。オープンソースソフトウェアスチュワード(open source software steward)という概念を新設し、一部義務を軽減するが、免除ではない。

制裁金

中核サイバーセキュリティ要件違反 — 最大 EUR 15M またはグローバル売上 2.5%。

EU AI Act + GDPR + CRA を合わせると、2026-2027 年の EU 市場に進入するデジタル製品は 3 重の認証・文書・ログ・通知義務を同時に背負うことになる。

7章 · 米国州別法 — 8 つの活性 + モザイク

2026 年 5 月時点、米国連邦次元の包括プライバシー法は存在しない。American Privacy Rights Act(APRA, 2024 年 5 月議会提出)のような試みはあったが通過しなかった。その間、州は各自の立法を加速させた。

活性化した 8 つの州包括法

  • California — CCPA(2020)+ CPRA(2023) — 最強。グローバル売上 USD 25M 超、カリフォルニア居住者データ 10 万件以上、または売上の 50% 以上がデータ売買から発生するすべての事業者に適用。CPPA(California Privacy Protection Agency)という専門規制機関が存在。自動意思決定技術(ADMT)規定とサイバーセキュリティ監査義務が 2025-2026 に段階的適用。
  • Virginia — VCDPA(2023) — Consumer Data Protection Act。カリフォルニア外で最初に通過した法。同意・DPIA・機微カテゴリー・オプトアウトが核心。
  • Colorado — CPA(2023) — Colorado Privacy Act。CPRA に次いで強力。普遍的オプトアウトシグナル(UOOM)義務。
  • Connecticut — CTDPA(2023) — Connecticut Data Privacy Act。VCDPA・CPA の折衷版。
  • Utah — UCPA(2023) — Utah Consumer Privacy Act。比較的軽い義務。同意ベースよりオプトアウトベース。
  • Texas — TDPSA(2024.7 施行) — Texas Data Privacy and Security Act。すべての人口基準ではなくテキサス居住者データを扱う事業者に広範に適用。
  • Minnesota — MIPA(2025.7 施行) — Minnesota Consumer Data Privacy Act。プロファイリング拒否権を明示。
  • Oregon — OCPA(2024.7 施行) — Oregon Consumer Privacy Act。CTDPA に近い構造。

これ以外にも Tennessee TIPA、Iowa、Indiana、Montana、Delaware DPDPA などが 2024-2026 に追加施行。整理すると 2026 年 5 月時点で 包括法を施行中の州は約 15-18 だ。

共通パターン — VCDPA 後続法の 6 つの権利

  • アクセス権(Right to Access)
  • 修正権(Right to Correct)
  • 削除権(Right to Delete)
  • データポータビリティ(Right to Portability)
  • オプトアウト(Right to Opt-out of Sale/Sharing/Targeted Advertising)
  • プロファイリングオプトアウト(Right to Opt-out of Profiling)

CPRA のみ別途(ア)機微カテゴリー使用制限権、(イ)自動意思決定拒否・アクセス権を追加付与。

連邦次元 — AI 行政命令とその後

  • Biden AI EO(2023.10) — 14110 号。AI 安全評価、レッドチーム、合成コンテンツのウォーターマーク、AISI 設立。
  • Trump 政権(2025-) — Biden EO を一部廃止し自主規制を強調。ただし NIST AI RMF は政府調達基準として維持。
  • California SB 1047(AI 安全、2024 否決) — 知事拒否権。後続 SB 53 のような案件が 2025-2026 に進行。
  • Colorado AI Act(2024.5 制定、2026.2 施行) — 米国初の包括 AI 差別防止法。高リスク AI に影響評価・差別防止義務。

制裁金

CCPA 最大は意図的違反 USD 7,500/件。CPRA は子供事例で加算。他の州は数千〜数万 USD の範囲。ただし集団訴訟リスクは別途(CCPA は個人情報漏洩事件に限り個人訴訟権を認める)。

米国陣営の含意

  • すべての事業者は 州別マトリクスを管理しなければならない。「カリフォルニアだけ見ればいい」時代は終わった。
  • IAB(Interactive Advertising Bureau)の GPC(Global Privacy Control)、UOOM(Universal Opt-Out Mechanism)のような技術標準がますます重要に。
  • 連邦法がない限りコンプライアンスコストは増え続ける。APRA が復活すれば大きな変化の可能性。

8章 · IL BIPA — 生体情報の別戦線

Illinois Biometric Information Privacy Act(BIPA)は 2008 年に通過した、最も古い生体情報法だ。2026 年でも米国企業にとって最大の単一訴訟リスクである。

なぜ別戦線か

  • 個人訴訟権(Private Right of Action) — 違反当たり USD 1,000(過失)または USD 5,000(故意)の損害賠償。
  • 回数ベースの計算 — ユーザー 1 名の顔スキャンが 100 回発生したなら違反が 100 回 — という解釈が 2023 年 White v. Cintas 判例まで維持された。

集団訴訟事例

  • Facebook(Meta)— 2020 年に USD 650M で和解。
  • TikTok — 2021 年に USD 92M で和解。
  • Google — 2022 年に USD 100M で和解。
  • Snap — 2022 年に USD 35M で和解。
  • Clearview AI — 2022 年に ACLU との和解 + 複数州の訴訟進行。

2024 BIPA 改正

2024 年 8 月、イリノイ州は BIPA を改正し、違反をユーザー・セッション単位で計算するように明文化した。回数累積計算の時代は終わったが、依然として米国内で最も危険な生体情報法。

Texas CUBI、Washington HB 1493

Texas Capture or Use of Biometric Identifier(CUBI)は検事のみが執行可能。ワシントンも類似。BIPA ほど怖くはないが、別マトリクスに含める必要がある。

示唆

AI・コンピュータビジョン・生体認証を扱うすべての企業 — 特に米国ユーザーがいる場合 — は BIPA 同意(署名・電子同意)、保有方針、廃棄手続きを別ラインで運用しなければならない。

9章 · 韓国 PIPA 2024 改正 — 仮名情報・MyData・医療マイデータ

韓国個人情報保護法(PIPA, Personal Information Protection Act)は 2011 年制定。2020 年の「データ 3 法」改正で仮名情報を導入、2023 年 9 月改正で EU GDPR 水準の権利を整備。そして 2024 年 3 月改正は以下を追加した。

2024 改正の核心

  • 個人情報送信要求権(MyData)の一般化 — 従来金融・公共分野でのみ運用されていた MyData をすべての分野に拡張可能な法的根拠を整備。施行令は 2025 年から段階適用。
  • 自動化された決定に対する権利 — 自動化された意思決定(採用・与信・教育など)が情報主体に重大な影響を与える場合、拒否・説明要求権を明示。
  • ポータビリティ + 相互運用性 — データ標準化・中継機関・課金上限などの運用インフラ。
  • グローバル移転の適合性評価手続きの整備 — 個人情報保護委員会(PIPC)の適合性決定手続きを明文化。
  • 制裁金算定基準 — 全体売上ベースで賦課可能(従来は違反関連売上に限定されていたものを拡張)。GDPR に類似した構造。

医療マイデータ(2024-2025)

保健福祉部の医療データ活用・保護総合計画により医療マイデータ事業が本格化。患者が自分の診療記録・処方・検査結果を外部アプリ(My Health Way など)に送る権利。2025-2026 年に総合病院・医院に拡大。

EU 適合性決定

韓国は 2021 年 12 月に EU の適合性決定を受けた。これは EU から韓国へのデータ移転が別途 SCC なしに可能という意味。適合性維持のため、PIPC は GDPR 水準の権利・執行を維持しなければならない — 2024 改正はそれを意識した側面もある。

AI 関連ガイドライン — KISA・PIPC

  • 2023 年 PIPC「人工知能個人情報保護自主点検表」発表。
  • 2024 年 PIPC「生成型 AI 個人情報処理方針ガイドライン」発表。
  • 2025 年 KISA「AI 学習用データの匿名・仮名処理技術ガイド」更新。

制裁金

全体売上の最大 3% — GDPR の 4% より低いが EU との整合方向。2024-2025 年にカカオ・SKT などに数十億ウォン台の制裁金が賦課された。

10章 · 日本 APPI — 外国移転と匿名加工情報

日本個人情報保護法(個人情報保護法、APPI - Act on the Protection of Personal Information)は 2003 年制定、2017 年・2022 年に大規模改正。2025 年に追加改正検討が進行中。

基本構造

  • 個人識別符号 — 指紋・DNA・パスポート番号など識別符号の定義。
  • 要配慮個人情報 — 人種・信条・病歴・犯罪歴など機微カテゴリー。
  • 匿名加工情報 — GDPR 匿名化と韓国匿名情報の日本版。学術・産業活用のための制度。
  • 仮名加工情報 — 2022 改正で新設。韓国仮名情報に類似。同意なしに社内活用可能、外部提供は制限。

2022 改正の核心

  • 外国移転 — 移転対象国の個人情報保護水準情報を本人に提供。
  • 漏洩等報告義務 — 一定規模以上は PPC(個人情報保護委員会)に報告 + 本人通知。
  • 不正取得・不正利用 — 明示的禁止を追加。
  • 仮名加工情報を新設。
  • 違反処罰強化 — 法人最大 JPY 100M。

EU 適合性決定

日本も 2019 年に EU 適合性決定を受けた。日 EU 間の双方向適合性認定で両者間のデータフローが自由。

2024-2026 改正論議

PPC は 2024 年から 3 年周期の再検討を準備中。核心テーマ:

  • 団体訴訟導入の検討。
  • 同意要件の強化・再構成。
  • 外国事業者に対する域外適用の強化。
  • AI に対する明示的規定導入の可能性。

AI 関連ガイドライン — 日本政府

  • 2024 年 4 月、経済産業省・総務省合同「AI 事業者ガイドライン」発表。強制力のないガイドラインだが OECD AI 原則・NIST AI RMF と整合。
  • 2023 年 G7 広島 AI プロセス → 国際行動規範。

11章 · 中国 PIPL・ブラジル LGPD・その他のグローバル

中国 PIPL(2021)

中国個人情報保護法(个人信息保护法)は 2021 年 11 月施行。GDPR と形式的には似ているが違いは:

  • 重要情報インフラ(CII)運営者はデータを中国国内に保存しなければならない。
  • 国家安全・党利益優先 — 国家が要求すればデータ提供。
  • 外国移転 — CAC(国家インターネット情報弁公室)の安全審査、標準契約、認証のいずれか。2024 年 3 月の緩和措置で売上額・件数基準による一部免除を新設。
  • 機微カテゴリー — 14 歳以下の未成年者・生体・宗教・金融など。

PIPL 違反制裁金は売上 5% または RMB 50M。2024 年にアリババ・ディディ・テンセントなどに累積数十億 RMB が賦課された。

ブラジル LGPD(2020)

ブラジル一般データ保護法(Lei Geral de Proteção de Dados)は 2020 年 9 月施行、2021 年 8 月から執行開始。GDPR をほぼそのまま移植した構造。監督機関は ANPD(Autoridade Nacional de Proteção de Dados)。制裁金上限は売上 2% または BRL 50M。

インド DPDP Act(2023)

インド Digital Personal Data Protection Act は 2023 年 8 月制定。施行は段階的、2025-2026 に本格施行。核心は:

  • 同意中心。
  • データ受託者(Data Fiduciary)概念導入。
  • 子供・障害者データの追加保護。
  • データ保護委員会新設。

サウジ PDPL(2023)、UAE PDPL(2023)

中東の 2 か国も GDPR インスパイアの包括法を運用中。サウジは SDAIA・NDMO が監督。UAE はデータ自治区(DIFC、ADGM)で別途 GDPR 整合規定を運用。

12章 · OECD AI 原則・NIST AI RMF・ISO 42001

法ではないがグローバル標準となった 3 ガイドライン。

OECD AI 原則(2019、2024 更新)

OECD AI Principles は 2019 年 5 月採択、38 加盟国 + 非加盟国の多数が同意。2024 年 5 月に(ア)生成 AI、(イ)安全・情報の完全性を反映して更新。5 原則:

  • 包摂的成長・持続可能な発展・ウェルビーイング。
  • 人権・民主的価値 + 公正性・プライバシー。
  • 透明性・説明可能性。
  • 堅牢性・セキュリティ・安全性。
  • 説明責任。

ほとんどの国内法・ガイドラインが OECD AI 原則を引用する。EU AI Act、NIST AI RMF、韓国 AI 倫理ガイドラインすべて。

NIST AI RMF(2023)

米国国立標準技術院(NIST)の AI Risk Management Framework 1.0 は 2023 年 1 月発表。強制力はないが米国連邦調達基準に吸収され、事実上の標準となった。4 機能:

  • Govern — ガバナンス・ポリシー・役割。
  • Map — 文脈・リスク・利害関係者の識別。
  • Measure — 定量・定性測定。
  • Manage — リスク処理・優先順位・リソース配分。

2024 年 7 月、NIST は Generative AI Profile(NIST AI 600-1)を追加発表。EU AI Act・ISO 42001 とのマッピングガイドも別途提供。

ISO/IEC 42001(2023)

ISO/IEC 42001:2023 は世界初の AI 管理システム認証標準。2023 年 12 月公式発表。ISO 9001(品質)+ ISO 27001(情報セキュリティ)の AI 版と見れば正確だ。

中核要素:

  • AI ポリシー・役割・責任。
  • AI リスク評価・影響評価。
  • データ・モデル・運用の統制。
  • ライフサイクル管理 — 開発・評価・展開・モニタリング・廃棄。
  • 継続的改善。

2024-2025 に BSI・DNV・TÜV などの認証機関が認証サービスを開始。グローバルビッグテックが ISO 42001 認証を続々取得中。韓国・日本企業にも急速に拡散。

ISO 42001 は EU AI Act 適合性評価の推定根拠(presumption of conformity)ではない — ただし、実務では中核証拠となる。

13章 · AI Safety Institutes — 多国間協定

2023 年 11 月、英国 Bletchley Park で開催された初の AI Safety Summit 以降、主要国は AI Safety Institute(AISI)を設立し、多国間協定ネットワークを構築した。

加盟国 — 2026 年 5 月時点

  • UK AISI — 2023.11 設立。Bletchley・Seoul Declaration の事実上の事務局。
  • US AISI — NIST 傘下に 2024.2 設立。Anthropic・OpenAI と事前評価協約。
  • Japan AISI — 2024.2 設立。
  • Korea AISI — 2024.11 設立。
  • Singapore AISI — 2024.5 設立。
  • France AISI / INESIA — 2025 年設立。
  • Spain AESIA — 2024 年設立。
  • Canada AISI、EU AI Office との別途覚書 — 多国間協定に追加。

何をするのか

  • モデル事前評価 — フロンティアモデル(GPT-4・Claude・Gemini・Llama 4 など)出荷前のリスク評価。Anthropic・OpenAI は自発的協約を締結。
  • 共同評価標準 — レッドチーム・CBRN・サイバー・自律性・欺瞞能力の標準化。
  • 事故報告共有 — 重大な事故は多国間で共有。
  • 研究資金・コホート — 安全評価ツール開発。

Seoul Declaration(2024.5)と Paris Action(2025.2)

  • Seoul Declaration — 2024 年 5 月のソウル首脳会議。AI 安全・革新・包摂の 3 軸。
  • Paris Action — 2025 年 2 月のパリ首脳会議。行動計画・リソースのコミットメント。

限界と意義

AISI は法律ではない — 自発的で行政協議に近い。しかし (ア)モデル出荷前の政府評価慣行を作り、(イ)EU AI Act の GPAI Code of Practice に影響を与え、(ウ)産業の自主規制ガバナンス軸となる。

14章 · 自社で何をすべきか — 段階的コンプライアンス

理論は長かったが、実務の段階は明確だ。

段階 0 — 適用範囲の確認(1 週間)

  • EU 市民・EU 市場ユーザーがいるか? — いれば GDPR・EU AI Act・DSA・CRA の表面に晒される。
  • 米国州別 — CCPA・VCDPA・CPA・CTDPA・UCPA・TDPSA・MIPA・OCPA マトリクス作成。売上・ユーザー数・機微データ基準を確認。
  • 韓国・日本ユーザー — PIPA・APPI マトリクス。
  • 中国ユーザー — PIPL 表面。データローカライゼーションが必要かを検討。
  • AI 機能 — リスク等級の自己分類(禁止・高・限定・最小)。

成果物:規制適用マトリクス 1 ページ。

段階 1 — データマッピング(2-4 週間)

  • どんな個人情報がどこから入り、どこに保存され、どこに送られるか? — RoPA(Record of Processing Activities、GDPR Article 30)。
  • 処理の適法性根拠 — 同意・契約・正当な利益?
  • 機微カテゴリー — 何がどこで処理されているか?
  • 移転 — 国境を越えるデータフローの SCC・BCR 状態。

成果物:データフロー図 + 適法性表。

段階 2 — ポリシー + 権利応答手続き(2-4 週間)

  • プライバシーポリシー多言語 + 複数管轄の更新。
  • DSAR(データアクセス権)応答手続き — 30 日/45 日の時計。
  • オプトアウト手続き + GPC・UOOM 技術シグナルの認識。
  • 子供のデータ — COPPA(米国)+ CCPA Children + GDPR 13 歳未満。

成果物:権利応答 SOP + ポリシー文書。

段階 3 — DPIA・AI 影響評価(4-8 週間)

  • 高リスク処理には GDPR DPIA — 与信評価・大規模モニタリング・新技術導入。
  • AI システムには EU AI Act 影響評価 — Article 27 Fundamental Rights Impact Assessment(公的機関・高リスク提供者)。
  • 自動意思決定 — GDPR Article 22、韓国 PIPA 自動決定権応答。

成果物:DPIA レポート + リスク登録簿。

段階 4 — 技術統制(8-12 週間)

  • 暗号化 — 保存・伝送・鍵管理。
  • アクセス制御 + 監査ログ。
  • 仮名・匿名処理 — KISA ガイド、ISO 27018。
  • 保有 + 廃棄の自動化。
  • サイバーセキュリティ — CRA に備えた SBOM(Software Bill of Materials)、脆弱性報告。

成果物:統制カタログ + 監査証跡。

段階 5 — ガバナンス(6-8 週間)

  • DPO/CPO 指定 — GDPR Article 37、韓国 PIPA 義務。
  • AI 委員会または責任者 — ISO 42001 Clause 5。
  • 定期的なリスク評価 + 経営レビュー + 内部監査。
  • 漏洩対応プラン — 72 時間 / 24-72 時間の通知時計。
  • サプライチェーン — 処理者契約・SCC・DPA(Data Processing Agreement)。

成果物:ガバナンス RACI + 漏洩プレイブック。

段階 6 — 認証・文書・公示(8-12 週間)

  • ISO 27001(情報セキュリティ)+ ISO 42001(AI)認証の検討。
  • EU AI Act 適合性評価 — 高リスクシステムは自己評価または第三者。
  • EU データベース登録 — 高リスク AI システム。
  • 透明性レポート — DSA VLOP、EU AI Act 基盤モデル、Anthropic・OpenAI のような自発的公示。

成果物:認証 + 登録 + 公示カレンダー。

段階 7 — 運用(常時)

  • 定期監査(年 1 回以上)+ 変更影響評価。
  • 事故対応訓練 — 漏洩シミュレーション。
  • AISI・政府事前評価への参加(フロンティアモデル事業者)。
  • 新法令の追跡 — EU AI Office・各国監督機関の公示モニタリング。

一行整理:コンプライアンスは「1 回限りのプロジェクト」ではなく「常時システム」だ。

15章 · 参考 / References

公式の一次資料を優先。

EU

米国

韓国

日本

中国・ブラジル・インド

国際標準

参考資料

エピローグ — 規制は敵ではなく製品だ

この記事の一行要約:2026 年のデジタル製品は規制表面積を「機能」として扱わなければならない。 GDPR が「マーケティングコスト」だった時代は過ぎた。EU AI Act はモデル学習段階からデータ・ログ・文書・評価を要求する。CRA は SBOM・脆弱性報告を組み込みで要求する。CCPA・PIPA は「オプトアウトボタン」1 つで終わらない。

しかし — これすべてが「コスト」にしか見えないなら半分しか見ていない。規制表面をうまく扱った企業が(ア)グローバル市場進入速度を高め、(イ)信頼を資本化し、(ウ)事故が起きたときの回復力が速い。コンプライアンスは製品設計の一部だ。

「法は常に技術に遅れる — という言葉はもはや真実ではない。2026 年の EU AI Act は技術とほぼ同時に到達した。規制と一緒に走る方法を身につけることが、これからの 10 年の核心能力だ。」

— プライバシー & AI 規制 2026、終わり。

Discuss on TwitterView on GitHub