GDPR × 生成AI ― 忘れられる権利をモデルから実現する現実解

GDPR × 生成AI ― 忘れられる権利をモデルから実現する現実解

GDPR第17条「忘れられる権利」は個人データ削除を事業者に義務づける一般データ保護規則の中核条項である^[1]。しかし、数千億パラメータの生成AIモデルに埋め込まれた個人情報を、本当にモデル側から削除できるのか――この問いは、2023年以降の欧州各国データ保護当局（DPA）による制裁、noybの集団訴訟、そして「Machine Unlearning」研究の急進を通じ、法務・CISO・AIガバナンス責任者の最重要論点となった。本稿は、GDPR第17条と生成AIの構造的摩擦、代表事案、技術的限界、実装可能な対応パターン、そして日本企業がEU市場でAIサービスを提供する際の実務手順を、最新の規制動向と研究成果に基づき整理する^[2][3]。

GDPR第17条と生成AIの構造的な摩擦

GDPR第17条は、(a) 取得・処理目的の消滅、(b) 同意の撤回、(c) 異議申立て、(d) 違法な処理、(e) 法的義務、(f) 子どもへのオンラインサービス提供時のデータ取得――の6つの事由のいずれかが成立した場合、管理者（controller）は「不当な遅延なく（without undue delay）」当該個人データを消去する義務を負うと定める^[1]。本条項の起源は、2014年の欧州司法裁判所（ECJ）判決 Google Spain v AEPD and Mario Costeja González（C-131/12）にあり、検索エンジンを「データ管理者」と認定したうえで、検索結果からの除外請求権を認めた歴史的事例である^[4]。

ここで生成AI固有の難問が立ち上がる。第一に、LLMは学習データを重み行列に統計的パターンとして溶け込ませるため、特定個人情報がどの重みにどの程度寄与するかの特定は事実上不可能で、ピンポイント削除は技術的に成立しない^[5]。第二に、ハルシネーションで個人を名誉毀損する誤情報を生成する場合、学習データに存在しない個人情報までも17条の射程に入りうる。第三に、再学習には数百万ドル規模の費用と数週間を要し、削除請求のたびにフル再訓練する素朴な対応は経済的に成立しない^[6]。EDPBは2024年12月のOpinion 28/2024で、AIモデル自体が個人データを含むか否かの判定基準を示し、匿名化が「合理的手段で再識別できない」水準に達していなければモデル自体がGDPR規制対象となりうると明確化した^[2]。

代表事案 ― Italian DPA、CNIL、noybの動向

2023年3月31日、イタリアのデータ保護当局 Garante per la protezione dei dati personali は ChatGPT のイタリア国内での処理を一時的に制限する緊急措置を発令した^[7]。学習データの法的根拠の欠如、未成年者保護機構の不備、ユーザーへの情報提供義務の不履行が主要争点であり、OpenAIは年齢確認、オプトアウト機構、透明性ノーティスを実装することで4月末に提供を再開した。その後、Garante は調査を継続し、2024年12月20日には同社に対し €1,500万（約24億円）の制裁金を科した^[8]。決定文では、(i) 学習目的での個人データ処理に適切な法的根拠を欠いていたこと、(ii) 2023年3月のデータ漏洩事案を 72時間以内に通知しなかったこと、(iii) 透明性原則違反、(iv) 子どもの保護機構の不備が認定された。さらに6か月間にわたる啓発キャンペーンの実施が命じられている。

並行して、Max Schrems率いるnoyb（オーストリア）は2024年4月、OpenAIに対する苦情をオーストリアDPAへ提出した。ChatGPTが特定個人の生年月日を誤って出力し、訂正・削除請求にOpenAIが「技術的に不可能」と回答した点を、第5条1項(d)（正確性原則）および第16条（訂正権）違反として争っている^[9]。noybは2024年6月にも、MetaがFacebook/Instagramのユーザーデータを生成AI学習に流用する計画について欧州11か国のDPAに苦情提出し、Metaは欧州での学習開始を一時停止した^[10]。フランスCNILは2024年4月に「AI開発に関するレコメンデーション」を公表し、学習データセット構築段階での法的根拠選定（特に正当な利益のバランステスト）とDPIA実施を求めた^[11]。スペインAEPDは2023年にEDPBへChatGPT問題のEUレベル協調調査を要請し、専用タスクフォースが設置された^[12]。ドイツ・ハンブルクのHmbBfDIは2024年7月、「LLM重みは個人データを構成しない」とする独自解釈を示したが、出力段階の処理は依然GDPR規制対象との留保付きで、EDPB Opinion 28/2024と部分的に相反する論争を生んでいる^[13]。

Machine Unlearning ― 研究の現状と限界

「学習済みモデルから特定データの影響を取り除く」研究領域は Machine Unlearning と呼ばれ、Cao & Yang (2015) を嚆矢として、Bourtoule らの SISA (Sharded, Isolated, Sliced, Aggregated) アーキテクチャ (2021) が代表的な厳密手法として知られる^[14][15]。SISAは学習データをシャードに分割し、各シャード単位でモデルを保持することで、削除要求時には該当シャードのみを再学習すればよい設計である。しかし、LLMのような数千億パラメータの基盤モデルでは、シャード分割によって性能が劣化し、また訓練・推論コストも線形に増大するため、商用LLMへの直接適用は困難である^[6]。

近年は「Approximate Unlearning（近似的忘却）」が主流である。代表手法には、(i) Gradient Ascent で対象データへの損失を最大化する方向に微調整、(ii) Knowledge Distillation による忘却専用蒸留モデル構築、(iii) Influence Function での重み寄与度推定、(iv) LoRA/Adapter層への学習局所化と差替え、がある^[16]。NeurIPS 2023 Machine Unlearning Challengeは、画像分類でも上位チームが完全忘却を達成できず、評価指標標準化も未確立であることを示した^[17]。Differential Privacy（差分プライバシー）を学習段階から適用するDP-SGDは特定個人の影響を理論的に上限化できるが、ε（プライバシー予算）を実用水準に設定するとモデル精度が大幅劣化し、生成AIの実用品質との両立は研究課題である^[18]。

実装可能な対応パターン ― 4層防御モデル

研究の限界を踏まえつつ、実務で「合理的に可能な範囲（state of the art）」を満たすには、単一技術ではなく層状の防御で対応するのが現実解である。第一層はPre-training Filter。学習データ段階でPII検出器（spaCy、Microsoft Presidio等）により氏名・住所・電話・メールをマスキングし、Common Crawl由来データへDPA要請ブロックリストを適用する。第二層はRLHF/SFTでの拒否学習。特定個人に関する出力を拒否するよう報酬モデルを設計する。第三層は出力ガードレール。Llama Guard、NVIDIA NeMo Guardrails、Azure AI Content Safety等を推論パイプラインに挿入し、PII漏洩・名誉毀損表現を検知して差し戻す。第四層は削除請求対応の運用基盤。SAR受付窓口、72時間DPA通知体制、ベクトルDB（RAG層）からの即時削除フロー、再学習計画への請求集約――を業務プロセスとして整える^[19]。RAG層削除は技術的に容易（該当ベクトル除去のみ）であり、「外部知識はRAG、内部重みは汎用知識のみ」という設計思想が、削除権との両立を実装上やりやすくする。

日本企業がEU提供時の実務 ― DPIA拡張と契約整備

日本企業がEU域内ユーザーへ生成AIサービスを提供する場合、GDPR第3条2項の域外適用により、(a) EU代理人（Art.27 Representative）の選任、(b) DPIA（Data Protection Impact Assessment）の実施、(c) 越境移転に関するSCC（標準契約条項）または十分性認定を根拠とする移転スキーム整備、が必須である^[20]。日本は2019年に十分性認定を取得しているが、追加保護措置（補完的ルール）の遵守が条件であり、AI学習用途での利用は別途検討を要する^[21]。

DPIAテンプレートは従来の業務システム向けでは不十分で、AI拡張版が必要となる。最低限カバーすべき項目は、(1) 学習データの源泉と法的根拠（同意・契約・正当な利益のいずれか）、(2) 学習データに含まれるPIIの定量的推定、(3) 出力ハルシネーションリスクの評価、(4) 削除請求への対応プロセス（受付から完了まで）、(5) Machine Unlearning技術の採用状況と限界の開示、(6) Re-identification リスク評価、(7) サブプロセッサ（OpenAI、Anthropic、Google等）との契約条項――である。CNILの「AIにおけるDPIAガイダンス」は、これらをチェックリスト形式で示している^[11]。

チェックリスト ― 法務・CISOの最終確認5項目

• 1. 学習データ法的根拠の文書化：Common Crawl等公開データを利用する場合でも、各カテゴリのデータについて第6条1項のいずれの根拠に依拠するかを明文化し、正当な利益（LIA）の場合はバランステストの記録を保管する。
• 2. SAR（Subject Access Request）窓口の整備：削除・訂正請求を受け付けるDPO連絡先を公開し、受付から30日以内の一次回答プロセスを構築する。技術的不可能性を理由に拒否する場合の代替策（出力フィルタ強化等）を準備する。
• 3. RAG層と重み層の分離設計：個人を特定可能な情報はモデル重みではなくRAG/ベクトルDBに保持し、削除請求時に即時除去できるアーキテクチャを採用する。
• 4. DPIA AI拡張版の実施と更新：CNIL/EDPBの最新ガイダンスに基づくAI特化DPIAを実施し、モデルバージョン更新時にも再評価する。
• 5. インシデント72時間通知体制：データ漏洩・モデル経由のPII露出が判明した場合、第33条に基づき監督機関へ72時間以内に通知できる体制と、判定基準（「リスクをもたらす可能性が低い」場合の除外要件）を明文化する。

打ち手 ― 6か月ロードマップ

第1〜2か月：法務・セキュリティ・データサイエンスの合同タスクフォース組成、現行AIサービスの個人データ処理マッピング、EDPB Opinion 28/2024の3段階テスト（学習データ法的根拠／モデル匿名性／出力段階処理）に基づくギャップ分析。第3〜4か月：DPIA AI拡張版テンプレート策定と優先プロダクトへの適用、SAR受付ワークフローのチケット管理システム（Jira等）への組込みとSLA設定。第5〜6か月：RAG層への個人データ集約設計、出力ガードレールの本番投入、EU代理人選任とDPA一次窓口の確立。これらは規制当局の調査時に「合理的努力（appropriate measures）」を示せるかどうかの分岐点となる。

「LLMが個人データを記憶しているかという問いは、もはや技術的好奇心ではなく、現実の制裁リスクである。EDPB Opinion 28/2024 が示したのは、モデル自体がGDPRの射程に入りうるという、産業全体の前提を覆す立場だ。日本企業がEU市場で生き残るには、『学習データのクリーニング』『出力ガードレール』『削除請求への運用対応』を一体として設計する以外に道はない。Machine Unlearning は技術的銀の弾丸ではないが、『合理的努力』の証跡として法務的に意味を持つ」

結論 ― 3つの本質

第一に、「忘れられる権利のモデル側からの完全実現」は2026年時点で技術的に未解決である。SISAやApproximate Unlearning は研究進展しているものの、商用LLMで「該当個人の影響をゼロにした」と立証できる手法は存在しない。法務はこの技術的限界を前提に、運用層・出力層での補償を設計する必要がある。

第二に、規制当局の関心は「結果としての完全削除」よりも「合理的努力の証跡」に移っている。Italian DPAのOpenAI制裁の主因は、削除技術の不備ではなく、法的根拠・透明性・通知義務の運用不備であった。CISOは技術投資以上に、ガバナンス文書・DPIA・SAR窓口の整備に資源を配分すべきである。

第三に、設計思想の転換が必要である。「すべての知識をモデル重みに込める」のではなく、「汎用能力は重み、個別知識はRAG」という分離設計が、削除権との実務的両立点となる。これはアーキテクチャ判断であり、開発組織のレベルでの早期合意が必要となる。

経営者視点 ― EUは「規制市場」ではなく「制度設計の発信地」

経営層にとってGDPR対応は「コスト」として理解されがちだが、これは構造を見誤っている。EUのデジタル規制（GDPR、DSA、DMA、AI Act）は、過去10年間にわたり、米国カリフォルニア州（CCPA/CPRA）、ブラジル（LGPD）、日本（個人情報保護法令和2年改正）、韓国（PIPA改正）、中国（PIPL）――と世界各国の制度設計を実質的に駆動してきた。EUで通用する仕組みを構築することは、グローバル展開時の「最大公約数」を先取りすることに等しい。

2024年8月発効のEU AI Actは、汎用AIモデル（GPAI）提供者に対し、学習データ著作権遵守状況の概要公表、システミックリスク評価、インシデント報告を義務化した^[22]。GDPRとAI Actのダブル規制下で「EUは難しいから諦める」という選択は、グローバル市場における将来の交渉力放棄を意味する。逆に、削除請求対応プロセス、DPIA実施履歴、ガバナンス体制を整備した企業は、サプライチェーン上の発注元から「信頼できるAI調達先」として優先選定される。法務・CISOへの投資は防衛的支出ではなく、未来の市場アクセス権への投資である――この視座を経営層と共有することが、AIガバナンス責任者の最重要任務となる。

参考文献

1. Regulation (EU) 2016/679 (General Data Protection Regulation), Article 17 “Right to erasure (‘right to be forgotten’)”, Official Journal of the European Union, L 119, 4 May 2016.
2. European Data Protection Board, “Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models”, adopted 17 December 2024.
3. European Data Protection Board, “ChatGPT Taskforce Report”, 23 May 2024.
4. Court of Justice of the European Union, Case C-131/12, Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González, Judgment of 13 May 2014.
5. Carlini, N. et al., “Extracting Training Data from Large Language Models”, USENIX Security Symposium, 2021.
6. Zhang, D. et al., “Right to be Forgotten in the Era of Large Language Models: Implications, Challenges, and Solutions”, arXiv:2307.03941, 2023.
7. Garante per la protezione dei dati personali, “Provvedimento del 30 marzo 2023 [9870832] – ChatGPT”, 31 March 2023.
8. Garante per la protezione dei dati personali, “ChatGPT: Italian DPA fines OpenAI EUR 15 million”, Press release, 20 December 2024.
9. noyb (None of Your Business), “ChatGPT provides false information about people, and OpenAI can’t correct it”, Complaint filed with Austrian DPA, 29 April 2024.
10. noyb, “noyb urges 11 DPAs to immediately stop Meta’s abuse of personal data for AI”, 6 June 2024.
11. Commission Nationale de l’Informatique et des Libertés (CNIL), “AI how-to sheets: Recommendations on the development of artificial intelligence systems”, April 2024 / updated 2024-2025.
12. Agencia Española de Protección de Datos (AEPD), “AEPD has commenced ex officio preliminary investigation proceedings against OpenAI”, 13 April 2023; EDPB ChatGPT Taskforce establishment, 13 April 2023.
13. Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI), “Discussion paper: Large Language Models and Personal Data”, July 2024.
14. Cao, Y. & Yang, J., “Towards Making Systems Forget with Machine Unlearning”, IEEE Symposium on Security and Privacy, 2015.
15. Bourtoule, L. et al., “Machine Unlearning” (SISA), IEEE Symposium on Security and Privacy, 2021.
16. Nguyen, T. T. et al., “A Survey of Machine Unlearning”, arXiv:2209.02299, updated 2024.
17. Triantafillou, E. et al., “NeurIPS 2023 Machine Unlearning Challenge”, NeurIPS Competition Track, December 2023.
18. Abadi, M. et al., “Deep Learning with Differential Privacy” (DP-SGD), ACM CCS, 2016; Anil, R. et al., “Large-Scale Differentially Private BERT”, EMNLP Findings, 2022.
19. NIST, “AI Risk Management Framework (AI RMF 1.0)”, NIST AI 100-1, January 2023; ENISA, “Multilayer Framework for Good Cybersecurity Practices for AI”, June 2023.
20. European Data Protection Board, “Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)”, Version 2.1, adopted 12 November 2019.
21. European Commission, “Commission Implementing Decision (EU) 2019/419 on the adequate protection of personal data by Japan”, 23 January 2019; Personal Information Protection Commission of Japan, “Supplementary Rules”, January 2019.
22. Regulation (EU) 2024/1689 (Artificial Intelligence Act), Chapter V “General-Purpose AI Models”, Official Journal of the European Union, 12 July 2024.