「AIの適切な利活用等に向けた知的財産の保護及び透明性に関するプリンシプル型コード(仮称)(案)」について

AI 知的財産

「AIの適切な利活用等に向けた知的財産の保護及び透明性に関するプリンシプル型コード(仮称)(案)」に関するメモです。

 

  • AI推進法との不整合
    • AI推進法は、イノベーション促進とリスク対応の両立、国際整合性、政府の情報統制や過剰規制の回避を趣旨としており、EU法を移植することは同法全体の趣旨に反するのではないか。
    • AI推進法13条の「国際的な規範の趣旨に即した指針の整備」を定めているが、EU法の透明性義務は世界的に特異なものであり、これのみを参照することは同条の趣旨に反するのではないか。
    • AI推進法16条は、包括的な事前規制よりも、真に悪質な事案への対処を優先する趣旨と解されるところ、本コードを正当化するような態様で悪質事案が生じていることが示されたとは言えず、そのような状態でコードを策定することは同条の趣旨に反するのではないか。
  • 機関投資家と生成AI事業者の立場の違い等
    • 機関投資家は、顧客・受益者に対してフィデューシャリー・デューティーを負うが、生成AI事業者は、著作権者に対しては著作権を侵害しない義務を負うに過ぎないから、スチュワードシップ・コードを参照する合理性がないのではないか。
    • スチュワードシップ・コードを参照したのは、OECD勧告にいう“stewardship”を意識したのかもしれないが、OECD勧告における"stewardship"は危険源の管理者としての責任を意味しており、機関投資家の顧客・受益者利益を最大化する義務とは異なるのではないか。
    • 市場原理(競争)に言及があるが、生成AI利用者にとっては学習段階での権利侵害の有無は関係がない事柄であり、また、生成AI事業者と著作権者は当然には取引関係にはないから、市場原理が働くことはないのではないか。
    • 生成AI事業者と権利者の相互理解に言及があるが、知的財産権は、文化の発展等の観点から、対価回収の機会の保障と第三者の自由の保障の比較衡量の上にその保護範囲が定められ、準物権又は法定債権として行使されるものである(これに対し、ファンドをどのように運用するかは基本的に市場に委ねられている。)から、相互理解を促進すべき場面とは異なるのではないか。
  • 日EUの著作権法制の違い等
    • EUのDSM著作権指令4条では、合法アクセスやオプトアウト尊重が要件とされており、開発過程の慣行(ペイウォールの尊重、robots.txtの尊重等)が侵害の成否に影響しやすい。これに対し、日本の著作権法30条の4では、非享受目的や権利者の利益を不当に害しないことが要件とされており、これらは規範的かつ外形的事実(そこから推認可能な事実を含む。)から判断だから、EUのように広範囲な開発過程の開示を求める必要性が乏しいのではないか。
    • 特定URLが学習データに含まれるかについての回答は、EUでも求められておらず、出力から推認できるため必要性が乏しく、開発者負担が過大であるため相当性を欠くのではないか。
    • 本コードは、学習データのログ保存について、AI事業者ガイドラインを引用しているが、被引用箇所は、出力(推論)に関するものであって、学習に関するものではないのではないか。

韓国「人工知能発展と信頼基盤造成等に関する基本法施行令」の仮訳

AI

韓国の「人工知能発展と信頼基盤造成等に関する基本法施行令」(인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 시행령)の仮訳をClaudeで作成しましたので、公開します。

※本記事は大統領令の仮訳です。法律の仮訳はこちらにあります。

 

 

第1章 総則

第1条(目的)

この令は「人工知能発展と信頼基盤造成等に関する基本法」で委任された事項及びその施行に必要な事項を規定することを目的とする。

第2条(法の適用除外人工知能)

「人工知能発展と信頼基盤造成等に関する基本法」(以下「法」という。)第4条第2項で「大統領令で定める人工知能」とは、次の各号に該当する業務のみを遂行するために開発・利用される人工知能をいう。

  1. 次の各目のいずれか一つに該当する業務であって国防部長官が指定する業務
    • ア.「国防情報化基盤造成及び国防情報資源管理に関する法律」第2条第3号による国防情報通信網及び同条第4号による国防情報システムの構築・運営
    • イ.「防衛事業法」第3条第3号による武器体系及び同条第4号による戦力支援体系の開発・運用
  2. 次の各目のいずれか一つに該当する業務であって国家情報院長が指定する業務
    • ア.「経済安保のためのサプライチェーン安定化支援基本法」第15条第1項による早期警報システムの運営・管理
    • イ.「国家研究開発革新法」第21条第2項により保安課題として分類された研究開発課題の保安業務
    • ウ.「国家資源安保特別法」第20条第2項によるサイバー保安予防・対応体系の構築・運営
    • エ.「国家先端戦略産業競争力強化及び保護に関する特別措置法」第2条第1号による国家先端戦略技術の流出及び侵害行為等の調査及び措置
    • オ.「国民保護と公共安全のためのテロ防止法」第2条第6号による対テロ活動
    • カ.「防衛産業技術保護法」第2条第1号による防衛産業技術の保護と同法第11条による防衛産業技術の流出及び侵害を防止するために必要な調査及び措置
    • キ.「産業技術の流出防止及び保護に関する法律」第2条第2号による国家核心技術の流出及び侵害を防止するために必要な調査及び措置
    • ク.「電子政府法」第56条第3項により国家情報院長が安全性を確認した保安措置
    • ケ.「統合防衛法」第9条の2第1項による情報センター及び同条第2項による合同情報調査チームの対共(對共)情報業務
    • コ.「防諜業務規定」第3条による防諜業務
    • サ.「国家情報院法」第4条第1項第1号から第5号までに該当する業務
  3. 次の各目のいずれか一つに該当する業務であって警察庁長が指定する業務
    • ア.「国家先端戦略産業競争力強化及び保護に関する特別措置法」第2条第1号による国家先端戦略技術の流出及び侵害行為等の捜査及び措置
    • イ.「国民保護と公共安全のためのテロ防止法」第2条第6号による対テロ活動
    • ウ.「防衛産業技術保護法」第2条第1号による防衛産業技術の保護と同法第11条による防衛産業技術の流出及び侵害を防止するために必要な捜査及び措置
    • エ.「産業技術の流出防止及び保護に関する法律」第2条第2号による国家核心技術の流出及び侵害を防止するために必要な捜査及び措置
    • オ.「防諜業務規定」第3条による防諜業務
    • カ.「情報及び保安業務企画・調整規定」第2条第5号による情報事犯等に対する捜査及び逮捕

第2章 人工知能の健全な発展と信頼基盤造成のための推進体系

第3条(人工知能基本計画の樹立)

① 法第6条第1項但書で「大統領令で定める軽微な事項を変更する場合」とは、次の各号のいずれか一つに該当する場合をいう。

  1. 法第6条第1項による人工知能基本計画(以下「基本計画」という。)の基本方向、戦略及び目標が変更されない範囲で基本計画に含まれた細部課題の推進体系、推進日程、主管機関又は関係機関を変更する場合
  2. 基本計画の基本方向、戦略及び目標が変更されない範囲で「知能情報化基本法」第6条第1項による知能情報社会総合計画及び同法第7条第1項による知能情報社会実行計画との一貫性のある運営のために変更する場合
  3. 単純な誤謬、誤記(誤記)、脱落又は明白な誤りを訂正する場合
  4. 法令の制定・改正・廃止によりその内容を反映するために変更する場合

② 科学技術情報通信部長官は法第6条第1項により基本計画を樹立し又は変更した場合には、その内容を科学技術情報通信部のインターネットホームページに公告し、関係中央行政機関の長及び地方自治団体の長に通報しなければならない。

第4条(国家人工知能戦略委員会の構成等)

① 法第7条第4項第1号で「大統領令で定める関係中央行政機関」とは、次の各号の中央行政機関をいう。

  1. 財政経済部
  2. 科学技術情報通信部
  3. 教育部
  4. 外交部
  5. 法務部
  6. 国防部
  7. 行政安全部
  8. 文化体育観光部
  9. 産業通商部
  10. 保健福祉部
  11. 気候エネルギー環境部
  12. 雇用労働部
  13. 中小ベンチャー企業部
  14. 企画予算処
  15. 放送メディア通信委員会
  16. 個人情報保護委員会

② 法第7条第4項第4号に該当する者であって同条第3項により副委員長となった1名は常勤(常勤)とする。

③ 法第7条第4項第4号による委員の辞任等により新たに委嘱された委員の任期は前任委員任期の残余期間とする。

④ 法第7条第4項第4号による委員は同条第7項による任期が満了した場合にも後任(後任)委員が委嘱されるまでその職務を遂行できる。

⑤ 法第7条第1項による国家人工知能戦略委員会(以下「委員会」という。)の委員長(以下「委員長」という。)は同条第4項第4号による委員が次の各号のいずれか一つに該当する場合には該当委員を解嘱(解嘱)できる。

  1. 心身衰弱等により職務を遂行できなくなった場合
  2. 職務と関連した非違事実がある場合
  3. 職務怠慢、品位損傷又はその他の事由で委員として適合しないと認められる場合
  4. 法第9条第3項に該当するにもかかわらず回避しなかった場合
  5. 委員自ら職務を遂行することが困難であると意思を表明する場合
第5条(委員会の運営)

① 委員会は委員会の業務を遂行するために必要な場合には関係専門家の意見を聞き又は関係行政機関及びその他の機関・法人・団体等に資料提出又は意見提示等の協力を要請できる。

② 委員会は業務を遂行するために必要な場合には関係専門家又は機関・法人・団体等に調査又は研究を依頼できる。

③ 委員会は業務を遂行するために必要な場合には世論調査、公聴会及びセミナー開催等を通じて世論を収斂できる。

④ 委員会の委員、法第10条第1項による分科委員会(以下「分科委員会」という。)の委員、同条第2項による特別委員会(以下「特別委員会」という。)の委員、関係公務員及び関係専門家等には予算の範囲で手当、旅費とその他に必要な経費を支給できる。ただし、公務員が所管業務と直接関連して委員会に出席する場合には支給しない。

⑤ 第1項から第4項までで規定した事項以外に委員会運営に必要な事項は委員会の議決を経て委員長が定める。

第6条(国家人工知能戦略委員会支援団)

① 法第7条第12項による支援団(以下この条で「支援団」という。)には団長1名を置き、団長は次の各号の者の中から委員長が指名する。

  1. 大統領秘書室の人工知能に関する業務を補佐する秘書官
  2. 第3項により派遣され又は兼任する公務員(中央行政機関所属高位公務員団に属する公務員に限定する。)

② 支援団の団長は委員長の指揮を受けて支援団の事務を総括し所属職員を指揮・監督する。

③ 委員会は委員会又は支援団の運営等のために必要な場合中央行政機関及び地方自治団体の長又は関係機関・法人・団体等の長に所属公務員又は役職員の派遣又は兼任を要請できる。

④ 委員会は委員会又は支援団の業務遂行等のために必要な場合には予算の範囲で関連分野専門家を任期制公務員として置くことができる。

第7条(改善勧告の履行)

① 法第8条第3項により委員会から法令・制度の改善又は実践方案の樹立等に対する勧告又は意見の表明を受けた国、地方自治団体及び「公共機関の運営に関する法律」第4条による公共機関(以下「国家機関等」という。)の長は勧告又は意見の表明を受けた日から3ヶ月以内に法令・制度等の改善方案と実践方案等を樹立して委員会に報告しなければならない。

② 国家機関等の長はやむを得ない事由で第1項による期間内に改善方案と実践方案等を樹立して報告することが困難な場合には委員会にその事由を疎明し報告期間の延長を要請できる。

第8条(分科委員会等)

① 分科委員会の委員長と特別委員会の委員長は委員会の委員の中から委員長が指名する。

② 分科委員会の委員は法第7条第4項第4号による委員の中から委員長が指名する。ただし、必要な場合には副委員長(第4条第2項による常勤副委員長をいう。以下この条で同じ。)が該当分野で専門知識と経験が豊富な民間の専門家を分科委員会委員として追加委嘱できる。

③ 特別委員会の委員は委員会の委員の中から委員長が指名し又は次の各号の者の中から該当特別委員会の委員長の意見を聞いて副委員長が任命又は委嘱する。

  1. 特別委員会で議論する事案に関して学識と経験が豊富な専門家
  2. 特別委員会で議論する事案と関連した中央行政機関の長又は所属公務員
  3. 特別委員会で議論する事案と関連した公共機関(「公共機関の運営に関する法律」第4条による公共機関をいう。)の長又は所属役職員

④ 法第10条第3項による諮問団は人工知能、人工知能技術、人工知能産業及び人工知能社会(以下「人工知能等」という。)と関連した専門性があると認められる民間専門家の中から副委員長が委嘱する者で構成する。

⑤ 法第10条第4項による人工知能責任官は次の各号の者の中から委員会の要請により該当号の機関の長が指名する。

  1. 第4条第1項各号による中央行政機関の次官又は次官級公務員
  2. 特別市・広域市・特別自治市・道・特別自治道の副市長又は副知事
  3. 第1号による者以外に法第10条第4項による人工知能責任官協議会(以下「協議会」という。)の議長が協議会運営のために必要であると認める関係中央行政機関の次官又は次官級公務員(高位公務員団に属する一般職公務員又はこれに相当する公務員である副機関長を含む。)

⑥ 協議会の議長は委員会の委員の中から委員長が指名する。

⑦ 第1項から第4項までで規定した事項以外に分科委員会、特別委員会、諮問団の構成・運営等に必要な事項は委員会の議決を経て委員長が定める。

⑧ 第5項及び第6項で規定した事項以外に協議会の構成・運営等に必要な事項は協議会の議決を経て協議会の議長が定める。

第9条(人工知能政策センターの指定)

① 科学技術情報通信部長官は法第11条第1項により次の各号のいずれか一つに該当する機関・法人又は団体を人工知能政策センター(以下「人工知能政策センター」という。)として指定する。

  1. 「知能情報化基本法」第12条第1項による韓国知能情報社会振興院
  2. 次の各目のいずれか一つに該当する機関・法人又は団体であって科学技術情報通信部長官が人工知能に関する専門性を備えたと認める機関・法人又は団体
    • ア.「高等教育法」第2条による学校の付設研究所
    • イ.「公共機関の運営に関する法律」第4条による公共機関
    • ウ.「民法」第32条により設立された非営利法人であって人工知能関連政策の開発と国際規範定立・拡散のための業務を遂行する法人
    • エ.「政府出捐研究機関等の設立・運営及び育成に関する法律」第2条による政府出捐研究機関

② 科学技術情報通信部長官は第1項により人工知能政策センターを指定したときにはその事実を科学技術情報通信部のインターネットホームページに公告しなければならない。

第10条(人工知能安全研究所の運営等)

① 法第12条第2項第7号で「大統領令で定める事業」とは次の各号の事業をいう。

  1. 法第12条第1項による人工知能安全(以下「人工知能安全」という。)関連諮問及び教育
  2. 人工知能安全関連評価システムの構築及び運営
  3. 人工知能安全関連データ(「データ産業振興及び利用促進に関する基本法」第2条第1号によるデータをいう。)の確保及び公開
  4. 人工知能安全関連統計及び情報の分析・提供・共有
  5. その他に人工知能安全のために科学技術情報通信部長官が必要であると認める事業

② 科学技術情報通信部長官は法第12条第1項による人工知能安全研究所(以下「安全研究所」という。)の専門的で効率的な運営及び優秀な専門人力の確保等のために次の各号の事項が含まれた運営規定の基準を定めることができる。

  1. 組織及び人事に関する事項
  2. 研究保安及び倫理に関する事項
  3. 国内外協力体系構築及び運営に関する事項
  4. 予算及び会計に関する事項
  5. その他に安全研究所の専門的で効率的な運営のために必要な事項

③ 安全研究所は法第12条第2項各号の事業を遂行するために必要な場合には国家機関等に関連資料の提供を要請できる。

④ 安全研究所は前年度事業実績と該当年度の事業計画を毎年1月31日まで科学技術情報通信部長官に提出しなければならない。

第3章 人工知能技術開発及び産業育成

第1節 人工知能産業基盤造成

第11条(人工知能技術開発及び安全な利用支援)

法第13条第1項第5号で「大統領令で定める事業」とは次の各号の事業をいう。

  1. 人工知能技術の開発・研究・調査のためのインフラ構築及び活用支援
  2. 外国の人工知能技術の開発・研究・調査専門団体又は国際機構との協業・共同研究
  3. その他に中央行政機関の長が人工知能技術の開発・研究・調査と関連して必要であると認める事業
第12条(人工知能学習用データ支援対象事業等)

① 中央行政機関の長は法第15条第2項により次の各号の事業を支援対象事業として選定できる。

  1. 学習用データの生産及び加工技術開発事業
  2. 人工知能サービス(法第2条第6号による人工知能サービスをいう。以下同じ。)開発のための学習用データの生産・収集・管理・流通・活用促進及び品質水準確保等に関する事業
  3. 関連法制度研究及び学習用データ活用等に必要なガイド・標準契約書開発等に関する事業
  4. その他に中央行政機関の長が学習用データの生産・収集・管理・流通・活用促進及び品質水準確保のために必要であると認める事業

② 中央行政機関の長は第1項による支援対象事業を選定するときには次の各号の事項を考慮しなければならない。

  1. 法第15条第1項により推進する施策との連係性
  2. 学習用データの生産・収集・管理・流通・活用促進及び品質水準確保等に対する寄与度
  3. 人工知能産業でのデータ活用度向上、人工知能産業活性化、創業・雇用創出等予想される経済的波及効果
  4. 制度的・技術的実現可能性及び関連法令遵守如何
  5. その他に学習用データの生産・収集・管理・流通・活用促進及び品質水準確保等に関する施策の効率的推進のために必要な事項

③ 中央行政機関の長は法第15条第3項による学習用データ構築事業の円滑な施行のために必要な場合には国家機関等、法人、機関及び団体と官民協議体を構成・運営できる。

④ 第1項から第3項までで規定した事項以外に支援対象事業を選定するための評価の細部基準と評価手続等に関して必要な事項は科学技術情報通信部長官が定めて告示する。

第13条(学習用データ統合提供システムの構築及び管理)

① 科学技術情報通信部長官は法第15条第4項による統合提供システム(以下「統合提供システム」という。)が次の各号の機能を遂行できるよう構築・管理しなければならない。

  1. 学習用データの統合検索
  2. 学習用データの体系的分類
  3. 学習用データ出処提供
  4. 統合提供システムと国家機関等及び民間団体等が運営する他のデータプラットフォームとの連係
  5. 学習用データの価値評価及び品質管理関連情報の提供
  6. その他に科学技術情報通信部長官が学習用データ構築事業の効率的遂行のために必要であると認める機能

② 科学技術情報通信部長官は中央行政機関の長、地方自治団体の長又は公共機関(「知能情報化基本法」第2条第16号による公共機関をいう。以下同じ。)の長に統合提供システムと各機関が保有した個別システム及びデータとの連係、統合提供システムの運営のために必要な情報及び資料の提出等協力を要請できる。この場合要請を受けた機関の長は特別な事由がない限りこれに従わなければならない。

③ 科学技術情報通信部長官は統合提供システムを通じて提供する学習用データの最新性、正確性及び相互連係性が維持されるよう努力しなければならない。

第14条(費用の徴収)

① 科学技術情報通信部長官は法第15条第5項により統合提供システムを利用する者に対して費用を徴収でき、学習用データの種類及び活用目的により利用料を差等適用できる。

② 科学技術情報通信部長官は第1項にもかかわらず次の各号のいずれか一つに該当する場合には統合提供システムの利用料を減免できる。

  1. 中央行政機関、地方自治団体又は公共機関が利用する場合
  2. 非営利研究機関又は教育機関が学術研究又は教育目的で利用する場合
  3. その他に科学技術情報通信部長官が学習用データの種類及び活用目的を考慮して減免が必要であると認める場合

③ 統合提供システムの利用料賦課基準、減免対象及び賦課手続等に関する細部事項は科学技術情報通信部長官が定めて告示する。

第2節 人工知能技術開発及び人工知能産業活性化

第15条(人工知能技術導入・活用支援)

① 法第16条第2項第5号で「大統領令で定める事項」とは次の各号の事項をいう。

  1. 人工知能システムと人工知能システム構築・実行のための機器・装備又は基盤施設の構築及び提供
  2. 人工知能技術及び国家機関等の人工知能技術導入・活用事例に関する情報提供
  3. 利用者又は影響を受ける者を保護するために必要な教育及び技術支援
  4. その他に人工知能技術導入及び活用を促進するために中央行政機関の長又は地方自治団体の長が必要であると認める事項

② 科学技術情報通信部長官は関係中央行政機関の長又は地方自治団体の長と協議して法第16条第2項各号による支援の具体的方案を樹立して支援できる。

③ 科学技術情報通信部長官は第2項により支援の具体的方案を樹立したときには科学技術情報通信部のインターネットホームページに公告し又は案内資料を製作して企業及び公共機関等に提供しなければならない。

第16条(国際協力及び海外市場進出支援委託)

① 中央行政機関の長は法第22条第3項により同条第2項各号の事業を委託し又は代行させようとする場合には人工知能産業の振興、研究開発及び国際協力関連業務を遂行する公共機関又は団体の中から選定しなければならない。

② 中央行政機関の長は法第22条第3項により業務を委託し又は代行させる場合には委託を受け又は代行する機関又は団体と委託又は代行する業務の内容を該当中央行政機関のインターネットホームページに公告しなければならない。

第17条(人工知能集積団地指定等)

① 科学技術情報通信部長官又は地方自治団体の長は法第23条第2項により人工知能集積団地(以下「人工知能集積団地」という。)を指定するときには次の各号の事項を考慮しなければならない。

  1. 基本計画符合如何
  2. 人工知能産業の地域的集積化及び競争力強化効果
  3. 雇用創出等地域経済発展に対する寄与可能性
  4. 他の人工知能集積団地との地域的・機能的重複性、連係性、接近性及び効率性
  5. その他に専門人力確保と持続発展可能性等科学技術情報通信部長官が定めて告示する事項

② 科学技術情報通信部長官又は地方自治団体の長は人工知能集積団地を指定したときには次の各号の事項を該当機関のインターネットホームページに公告しなければならない。

  1. 人工知能集積団地の指定事実
  2. 人工知能集積団地の位置、範囲及び区域
  3. 人工知能集積団地の専担機関(法第23条第4項による専担機関をいう。以下同じ。)がある場合には専担機関の連絡先、所在地及び専担機関の長の氏名
  4. 人工知能集積団地の運営に関する基本的な事項

③ 科学技術情報通信部長官又は地方自治団体の長は法第23条第3項により人工知能集積団地の指定を取消した場合にはその事実を該当機関のインターネットホームページに公告しなければならない。

第18条(人工知能集積団地専担機関)

① 科学技術情報通信部長官は法第23条第4項により専担機関を設置し又は次の各号の要件をすべて備えた機関又は団体を専担機関として指定できる。この場合地方自治団体の長が人工知能集積団地を指定した場合にはその地方自治団体の長の申請を受けて専担機関を指定できる。

  1. 次の各目のいずれか一つに該当する機関又は団体であること
    • ア. 公共機関
    • イ.「地方自治団体出資・出捐機関の運営に関する法律」第5条により指定・告示された地方自治団体出資・出捐機関
    • ウ. その他に「民法」又は他の法律により設立された機関・団体の中で科学技術情報通信部長官が人工知能集積団地支援に関する専門性を備えたと認める機関・団体
  2. 人工知能集積団地の支援のための専担人力を5名以上常時雇用すること
  3. 人工知能集積団地として指定され又は指定される地域内又は隣接特別市、広域市、特別自治市、道、特別自治道に位置すること
  4. 業務を遂行するための事務室及び会議室を確保すること
  5. 業務を遂行するための会計・人事管理等情報システムを確保すること

② 専担機関は毎会計年度が始まる前まで次の会計年度の事業運営計画と予算に関して科学技術情報通信部長官に報告しなければならない。

③ 科学技術情報通信部長官又は地方自治団体の長が法第23条第3項により人工知能集積団地の指定を取消したときには該当人工知能集積団地の専担機関はその指定が取消されたものとみなす。

④ 科学技術情報通信部長官は第1項により指定した専担機関が次の各号のいずれか一つに該当する場合にはその指定を取消すことができる。ただし、第1号に該当する場合にはその指定を取消さなければならない。

  1. 虚偽又はその他の不正な方法で指定を受けた場合
  2. 第1項による指定基準に6ヶ月以上適合しなくなった場合

⑤ 科学技術情報通信部長官は専担機関が第4項第2号に該当する場合には同項により指定を取消す前に30日以上の期間を定めて違反事項を是正するようにできる。

第19条(人工知能実証基盤造成)

① 法第24条第2項で「大統領令で定める機関」とは次の各号のいずれか一つに該当する機関をいう。

  1. 「公共機関の運営に関する法律」第5条第4項第1号による公企業
  2. 「科学技術分野政府出捐研究機関等の設立・運営及び育成に関する法律」第2条による科学技術分野政府出捐研究機関
  3. 「産業技術革新促進法」第42条第1項による専門生産技術研究所
  4. 「地方公企業法」第3条第1項による地方公企業
  5. 「地方自治団体出捐研究院の設立及び運営に関する法律」第2条による地方自治団体出捐研究院
  6. 「特定研究機関育成法」第2条による特定研究機関
  7. 国公立大学

② 中央行政機関の長又は地方自治団体の長は第1項各号による機関に法第24条第2項による開放に必要な次の各号の資料提出を要請できる。

  1. 法第24条第1項による実証基盤等(以下「実証基盤等」という。)の種類及び位置
  2. 実証基盤等の利用条件、開放時間及び利用手続
  3. その他に実証基盤等の開放・活用のために必要な資料

③ 中央行政機関及び地方自治団体は法第24条第2項により開放する実証基盤等を保有している機関及び実証基盤等を活用しようとする者に必要な行政的・財政的・技術的支援をすることができる。

④ 科学技術情報通信部長官は法第24条第1項により構築し又は同条第2項により開放した実証基盤等の種類、利用条件及び利用費用を科学技術情報通信部のインターネットホームページに公開しなければならない。

第20条(韓国人工知能振興協会の設立認可・指定等)

① 人工知能等と関連した研究及び業務に従事する者は法第26条第1項により韓国人工知能振興協会(以下「協会」という。)を設立しようとする場合には人工知能等と関連した研究及び業務に従事する者50名以上が発起人となって定款を作成した後発起人総会の議決を経て科学技術情報通信部長官に認可を申請しなければならない。

② 第1項により認可を申請しようとする者は次の各号の書類を添付して科学技術情報通信部長官に提出しなければならない。

  1. 定款
  2. 発起人の名簿及び履歴書
  3. 事業計画書と予算の収入・支出計画書

③ 協会の定款には次の各号の事項が含まれなければならない。

  1. 目的
  2. 名称
  3. 事務所の所在地
  4. 協会の業務とその執行に関する事項
  5. 会員の資格、加入・脱退、権利・義務に関する事項
  6. 役員に関する事項
  7. 会費に関する事項
  8. 総会に関する事項
  9. 財政・会計に関する事項
  10. 定款の変更に関する事項
  11. 解散と残余財産の処理に関する事項

④ 第1項から第3項までにもかかわらず「民法」第32条により設立し人工知能等と関連した研究及び業務に従事する者50名以上の会員を保有した非営利法人であって法第26条第1項により協会として指定を受けようとする者は次の各号の書類を添付して科学技術情報通信部長官に申請しなければならない。

  1. 定款(第3項各号の事項が含まれた定款をいう。)
  2. 会員の名簿及び履歴書
  3. 事業計画書と予算の収入・支出計画書

第4章 人工知能倫理及び信頼性確保

第21条(人工知能倫理原則の制定及び公表)

① 科学技術情報通信部長官は法第27条第1項による人工知能倫理原則(以下「倫理原則」という。)を関係中央行政機関と協議して制定し又は改正できる。

② 科学技術情報通信部長官及び関係中央行政機関は第1項により制定し又は改正された倫理原則を該当機関のインターネットホームページ等に公表しなければならない。

第22条(人工知能安全性・信頼性検・認証等支援)

① 法第30条第1項第5号で「大統領令で定める事項」とは次の各号の事項をいう。

  1. 法第30条第1項による検証・認証活動(以下「検・認証等」という。)の基準、方法及び手続等の普及
  2. 検・認証等関連教育及びコンサルティング
  3. 検・認証等の品質診断及び管理
  4. 検・認証等関連研究・開発及び国際協力
  5. その他に検・認証等を支援するために科学技術情報通信部長官が必要であると認める事業

② 科学技術情報通信部長官は法第30条第2項により次の各号の情報を科学技術情報通信部のインターネットホームページ等を通じて提供できる。

  1. 検・認証等の基準、方法及び手続
  2. 検・認証等を提供する機関
  3. 検・認証等関連支援事業
  4. 検・認証等の国際基準及び活用等に関する事項
  5. その他に検・認証等と関連して科学技術情報通信部長官が必要であると認める情報

③ 科学技術情報通信部長官は法第30条第2項により検・認証等を受けようとする中小企業等(法第16条第2項第3号による中小企業等をいう。)に対して予算の範囲で検・認証等に必要な費用の全部又は一部を支援できる。

第23条(人工知能透明性確保義務)

① 法第31条第1項により人工知能事業者は高影響人工知能又は生成型人工知能を利用した製品又はサービス(以下「製品等」という。)を提供する場合次の各号のいずれか一つに該当する方法で製品等が該当人工知能に基づいて運用されるという事実を利用者に事前に告知しなければならない。

  1. 製品等に直接記載し又は契約書、使用説明書、利用約款等に記載
  2. 利用者の画面又は端末機等に表示
  3. 製品等を提供する場所(該当場所と合理的に関連した範囲の場所を含む。)に認識しやすい方法で掲示
  4. その他に製品等の特性を考慮して科学技術情報通信部長官が認める方法

② 人工知能事業者が法第31条第2項による表示をするときには次の各号のいずれか一つに該当する方法でできる。

  1. 人が認識できる方法
  2. 機械が読取できる方法。この場合その結果物が生成型人工知能により生成されたという事実を1回以上案内文句・音声等で提供しなければならない。

③ 法第31条第3項による告知又は表示は人工知能事業者が次の各号の事項を考慮して利用者が明確に認識できる方式でしなければならない。

  1. 利用者が視覚、聴覚等を通じ又はソフトウェア等を利用して容易に内容を確認できる方法で告知又は表示すること
  2. 主たる利用者の年齢、身体的・社会的条件等を考慮して告知又は表示すること

④ 第1項から第3項までの規定にもかかわらず次の各号のいずれか一つに該当する場合には第1項から第3項までの規定の中で全部又は一部を適用しないことができる。

  1. 製品・サービス名、利用者画面又は製品外面及び結果物に表示された文句等を考慮するとき高影響人工知能又は生成型人工知能を活用した事実が明白な場合
  2. 人工知能事業者の内部業務用途でのみ使用される場合
  3. その他に製品等の類型・特性又は結果物の内容、利用形態及び技術水準等を考慮して法第31条第1項から第3項までの規定の中で全部又は一部に対する適用例外が必要であると科学技術情報通信部長官が定めて告示する場合
第24条(人工知能安全性確保義務)

① 法第32条第1項で「大統領令で定める基準以上である人工知能システム」とは次の各号の基準をすべて充足する人工知能システムをいう。

  1. 学習に使用された累積演算量が10の26乗浮動小数点演算以上であること
  2. 人工知能技術の発展水準を考慮するとき現在人工知能システムに活用される人工知能技術の中で最先端の人工知能技術を適用して構成・運営されていること
  3. 人工知能システムの危険度が人の生命、身体の安全及び基本権に広範で重大な影響を及ぼす懸念があること

② 第1項第1号による学習に使用された累積演算量の具体的な算定方式は科学技術情報通信部長官が定めて告示する。

第25条(高影響人工知能の確認手続等)

① 人工知能事業者が法第33条第1項により高影響人工知能に該当するかに対して確認を要請しようとする場合には別紙書式の高影響人工知能確認要請書に次の各号の書類を添付して科学技術情報通信部長官に提出しなければならない。

  1. 該当人工知能製品又は人工知能サービスの概要書
  2. 該当人工知能システムの開発及び学習に使用された学習用データの概要
  3. 該当人工知能システムを活用する過程及び結果を確認できる資料
  4. その他に高影響人工知能該当如何の確認に参考になり得る書類

② 第1項による要請を受けた科学技術情報通信部長官は次の各号の事項を考慮して高影響人工知能該当如何を判断しなければならない。

  1. 人工知能が法第2条第4号各目のいずれか一つの領域で活用されるか如何
  2. 人の生命、身体の安全及び基本権に招来し得る危険の影響、重大性、頻度及び活用領域別特殊性
  3. 法第33条第1項により人工知能事業者が事前に検討した結果
  4. 法第33条第2項による専門委員会(以下「専門委員会」という。)の諮問を受けた場合にはその諮問結果
  5. その他に高影響人工知能の該当如何を確認するのに必要な事項であって科学技術情報通信部長官が定めて告示する事項

③ 科学技術情報通信部長官は第1項による要請を受けた場合には要請を受けた日から30日以内にその結果を回信しなければならない。ただし、製品等の複雑性及び重要性等を考慮して30日以内に回信できない場合には30日の範囲で一度延長でき、この場合確認を要請した者に延長事由と延長期間を文書で知らせなければならない。

④ 第3項により回信を受けた人工知能事業者は回信結果に異議があるときには回信を受けた日から10日以内に科学技術情報通信部長官に別紙書式の高影響人工知能再確認要請書に次の各号の書類を添付して科学技術情報通信部長官に提出しなければならない。

  1. 既存確認要請により科学技術情報通信部長官が回信した結果
  2. その他に高影響人工知能該当如何の再確認に参考になり得る書類

⑤ 第4項による再確認要請を受けた科学技術情報通信部長官は専門委員会の諮問を受けて高影響人工知能に該当するかを再確認し、再確認要請を受けた日から30日以内にその結果を回信しなければならない。

⑥ 科学技術情報通信部長官は第1項による要請又は第4項による再確認要請と関連して必要な場合には関係機関に意見提出を要請できる。

第26条(専門委員会の設置及び運営)

① 専門委員会は50名以上の委員で構成し、次の各号の者の中から科学技術情報通信部長官が任命し又は委嘱する。

  1. 人工知能関連業務を担当する中央行政機関所属公務員であって該当中央行政機関の長が推薦した者
  2. 人工知能関連技術・倫理・法律等の分野で学識と経験が豊富な者
  3. 法第2条第4号各目の分野に専門性があると中央行政機関の長が推薦した者

② 専門委員会の委員長は委員の中から科学技術情報通信部長官が指名する。

③ 専門委員会委員の任期は2年とし、一度だけ連任できる。

④ 専門委員会は法第33条第2項による高影響人工知能に対する諮問業務を効率的に遂行するために5名の委員で構成される小委員会を置くことができる。

⑤ 専門委員会委員長は専門委員会の会議案件と関連して必要な場合関連専門家を会議に出席させて発言させることができる。

⑥ 第1項から第5項までで規定した事項以外に専門委員会運営に必要な事項は科学技術情報通信部長官が定めて告示する。

第27条(高影響人工知能と関連した事業者の責務)

① 人工知能事業者は法第34条第1項各号の措置の中で次の各号に該当する内容を人工知能事業者の事務所・事業場又はインターネットホームページ等に掲示しなければならない。ただし、「不正競争防止及び営業秘密保護に関する法律」第2条第2号による営業秘密に該当する事項は除外できる。

  1. 危険管理政策及び組織体系等法第34条第1項第1号による危険管理方案の主要内容
  2. 法第34条第1項第2号による説明方案の主要内容
  3. 法第34条第1項第3号による利用者保護方案
  4. 法第34条第1項第4号による該当高影響人工知能を管理・監督する者の氏名及び連絡先

② 人工知能事業者は法第34条第1項各号の措置を履行しその根拠を文書で5年間保管(電子的方法を通じた保管を含む。)しなければならない。

③ 法第34条第1項第1号から第3号までの措置をすべて又は一部履行した人工知能事業者から人工知能システムを提供を受けた人工知能利用事業者が該当人工知能システムの本来目的又は用途を顕著に変更する等重大な機能変更をしなかった場合には法第34条第1項第1号から第3号までの措置をすべて又は一部履行したものとみなす。

④ 人工知能利用事業者は人工知能開発事業者に法第34条第1項による責務を履行するために必要な資料の提供を要請でき、人工知能開発事業者はこれに協力するよう努力しなければならない。

⑤ 法第34条第3項により人工知能事業者が同条第1項による措置を履行したものとみなす場合は別表1の通りである。

第28条(高影響人工知能影響評価)

① 法第35条第1項による影響評価(以下「影響評価」という。)には次の各号の事項が含まれなければならない。

  1. 該当高影響人工知能を利用した製品等により人の生命、身体の安全及び基本権に影響を受ける可能性がある個人又は集団に対する識別
  2. 該当高影響人工知能と関連して影響を受け得る基本権類型の識別
  3. 該当高影響人工知能により発生し得る人の基本権に対する社会的・経済的影響の内容及び範囲
  4. 該当高影響人工知能の使用行態
  5. 影響評価で活用した定量的又は定性的評価指標及び結果算出方式
  6. 該当高影響人工知能による危険の予防・緩和・損失復旧等に関する事項
  7. 影響評価の結果改善が必要な場合にはその履行計画に関する事項

② 人工知能事業者は直接又は第三者に依頼して影響評価を実施できる。

③ 第1項及び第2項で規定した事項以外に影響評価に必要な事項は科学技術情報通信部長官が定めて告示する。

第29条(国内代理人指定事業者の基準)

① 法第36条第1項各号外の部分で「大統領令で定める基準に該当する者」とは次の各号のいずれか一つに該当する人工知能事業者をいう。

  1. 前年度(法人である場合には前事業年度をいう。)売上額が1兆ウォン以上である人工知能事業者
  2. 人工知能サービス部門前年度(法人である場合には前事業年度をいう。)売上額が100億ウォン以上である人工知能事業者
  3. 前年度末基準該当人工知能事業者の人工知能製品及び人工知能サービスに対する直前3ヶ月間国内利用者数が1日平均100万名以上である人工知能事業者
  4. 法第43条第1項第3号による過怠料を賦課を受けた事実がある人工知能事業者

② 第1項第1号及び第2号による売上額は前年度(法人である場合には前事業年度をいう。)平均為替レートを適用してウォンに換算した金額を基準とする。

第5章 補則

第30条(実態調査、統計及び指標の作成)

① 法第38条第1項による実態調査(以下「実態調査」という。)と統計及び指標の作成範囲は次の各号の通りである。

  1. 人工知能産業の現況と国内外市場規模
  2. 人工知能事業者の売上実績及び事業現況
  3. 人工知能産業従事者の人力現況及び需要・供給現況
  4. 人工知能産業関連施設現況及び運営現況
  5. 人工知能産業関連技術動向及び研究開発現況
  6. 人工知能技術及び人工知能産業関連国際動向
  7. 人工知能産業関連国内外主要法・制度動向
  8. 人工知能産業関連投資誘致現況
  9. その他に科学技術情報通信部長官が基本計画及び人工知能等に関する施策と事業の企画・樹立・推進のために必要であると認める事項

② 実態調査、統計及び指標の作成は現場調査、文献調査及び世論調査等の方法で実施するが、必要な場合には情報通信網及び電子メールを活用した電子的方式で実施できる。

③ 実態調査の結果、統計及び指標は科学技術情報通信部のインターネットホームページ等を通じて公表しなければならない。

第31条(業務の委託)

① 法第39条第2項第7号で「大統領令で定める事務」とは次の各号の事務をいう。

  1. 法第19条第2項による人工知能融合製品及びサービスの開発支援
  2. 法第25条第2項第2号による人工知能データセンター利用支援
  3. 法第33条第2項による専門委員会運営支援
  4. 法第38条による実態調査、統計及び指標の作成

② 科学技術情報通信部長官は法第39条第2項により同項各号及びこの条第1項第1号・第2号・第4号の業務を公共機関又は協会に委託できる。

③ 科学技術情報通信部長官は法第39条第2項によりこの条第1項第3号に関する業務を人工知能政策センター又は安全研究所に委託できる。

④ 科学技術情報通信部長官は第2項及び第3項により業務を委託した場合には委託を受けた機関又は団体と委託する業務の内容を科学技術情報通信部のインターネットホームページに公告しなければならない。

第32条(過怠料の賦課基準)

法第43条第1項による過怠料の賦課基準は別表2の通りである。

第33条(規制の再検討)

科学技術情報通信部長官は次の各号の事項に対して2026年1月1日を基準として3年ごとに(毎3年になる年の1月1日前までをいう。)その妥当性を検討して改善等の措置をしなければならない。

  1. 第18条による人工知能集積団地専担機関の指定及び指定取消基準
  2. 第24条による人工知能安全性確保義務対象システムの基準
  3. 第29条による国内代理人指定事業者の基準

附則 <第36053号,2026. 1. 21.>

第1条(施行日)

この令は2026年1月22日から施行する。ただし、別表1の中でデジタル医療機器に関する部分は2026年1月24日から施行する。

第2条(他の法令の廃止)

「国家人工知能戦略委員会の設置及び運営に関する規定」は廃止する。

第3条(専担機関に関する特例)

法律第20676号人工知能発展と信頼基盤造成等に関する基本法附則第3条で「組織、人力等大統領令で定める要件」とは第18条第1項各号の要件をいう。

第4条(国家人工知能戦略委員会の事務移管等に関する経過措置)

① この令施行当時従前の「国家人工知能戦略委員会の設置及び運営に関する規定」第2条による国家人工知能戦略委員会(以下「従前国家人工知能戦略委員会」という。)は法第7条による国家人工知能戦略委員会とみなす。

② この令施行当時従前国家人工知能戦略委員会の所管事務は法第7条による国家人工知能戦略委員会が承継する。

③ この令施行前に従前の「国家人工知能戦略委員会の設置及び運営に関する規定」により行われた従前国家人工知能戦略委員会の審議・議決及びその他の行為又は従前国家人工知能戦略委員会に対する行為は法第7条による国家人工知能戦略委員会の審議・議決及びその他の行為又は法第7条による国家人工知能戦略委員会に対する行為とみなす。

④ この令施行前に従前の「国家人工知能戦略委員会の設置及び運営に関する規定」第3条第3項第4号により委嘱された委員は法第7条第4項第4号により委嘱されたものとみなし、委嘱された委員の任期はその残余期間とする。

第5条(国家人工知能戦略委員会支援団に関する経過措置)

① この令施行当時従前の「国家人工知能戦略委員会の設置及び運営に関する規定」第10条により設置された国家人工知能戦略委員会支援団は第6条による国家人工知能戦略委員会支援団とみなす。

② この令施行当時従前の「国家人工知能戦略委員会の設置及び運営に関する規定」第10条により設置された国家人工知能戦略委員会支援団の所管事務及び予算は第6条による国家人工知能戦略委員会支援団が承継する。

第6条(派遣公務員等に関する経過措置)

この令施行当時従前の「国家人工知能戦略委員会の設置及び運営に関する規定」第11条により国家人工知能戦略委員会支援団に派遣され又は兼任中である公務員又は役職員は第6条第3項により国家人工知能戦略委員会支援団に派遣され又は兼任中である公務員又は役職員とみなす。

 

韓国「人工知能発展と信頼基盤造成等に関する基本法」の仮訳(若干の解説付き)

AI

韓国の「人工知能発展と信頼基盤造成等に関する基本法」(인공지능 발전과 신뢰 기반 조성 등에 관한 기본법)の仮訳をClaudeで作成しましたので、公開します。

全体として、「日本のAI推進法を大幅に詳細化したものとEUのAI法を大幅に簡略化したものの折衷」という印象を受けました。第2章、第3章は、日本のAI法に類似します(ただし、日本のAI推進法より先に制定されているので、日本のAI推進法を真似したというよりは、韓国にも日本と同じような「基本法」の立法パターンがあり、それに沿って作ったのではないかと推察します。)。第4章は、規制法的であり、①透明性義務(31条)、②先端的AIシステム(累積演算量で判定)のリスク評価・低減とリスクマネジメント義務(32条)、③高影響AI(2条4項で定義され、列挙された分野と安全性・基本権への影響の二重の基準で判定)のリスクマネジメント義務・基本権影響評価義務(33条〜35条)を定めています(いずれもProvider相当の者とDeployer相当の者の双方に適用。両者の役割分担は法律上は明示されず)。これらの義務はEU法を想起させますが、EU法と比べると相当に概括的であり、大統領令に委任されている部分も多いのが特徴的です。これらの実効性確保のため、第5章では、科学技術情報通信部長官に調査権限と措置命令権限が与えられ(40条)、第6章では、透明性義務違反と措置命令違反について3千万ウォン(約323万円)以下の罰金が定められています(透明性義務違反は、直罰と措置命令違反罪の双方が定められていることになります)。

※本記事は法律の仮訳です。大統領令の仮訳はこちらにあります。

 

 

第1章 総則

第1条(目的)

この法律は、人工知能の健全な発展と信頼基盤造成に必要な基本的事項を規定することにより、国民の権益と尊厳性を保護し、国民の生活の質の向上と国家競争力を強化することに寄与することを目的とする。

第2条(定義)

この法律で使用する用語の意味は次のとおりである。

  1. 「人工知能」とは、学習、推論、知覚、判断、言語の理解等、人間が持つ知的能力を電子的方法で実現したものをいう。
  2. 「人工知能システム」とは、多様なレベルの自律性と適応性を持ち、与えられた目標のために実際及び仮想環境に影響を及ぼす予測、推薦、決定等の結果物を推論する人工知能基盤システムをいう。
  3. 「人工知能技術」とは、人工知能を実現するために必要なハードウェア・ソフトウェア技術又はその活用技術をいう。
  4. 「高影響人工知能」とは、人の生命、身体の安全及び基本権に重大な影響を及ぼすか危険を招くおそれがある人工知能システムとして、次の各目のいずれか一つの領域で活用されるものをいう。
    • a. 「エネルギー法」第2条第1号によるエネルギーの供給
    • b. 「飲用水管理法」第3条第1号による飲用水の生産工程
    • c. 「保健医療基本法」第3条第1号による保健医療の提供及び利用体系の構築・運営
    • d. 「医療機器法」第2条第1項による医療機器及び「デジタル医療製品法」第2条第2号によるデジタル医療機器の開発及び利用
    • e. 「原子力施設等の防護及び放射能防災対策法」第2条第1項第1号による核物質と同項第2号による原子力施設の安全な管理及び運営
    • f. 犯罪捜査や逮捕業務のための生体認識情報(顔・指紋・虹彩及び掌紋静脈等、個人を識別できる身体的・生理的・行動的特徴に関する個人情報をいう)の分析・活用
    • g. 採用、貸出審査等、個人の権利・義務関係に重大な影響を及ぼす判断又は評価
    • h. 「交通安全法」第2条第1号から第3号までによる交通手段、交通施設、交通体系の主要な作動及び運営
    • i. 公共サービス提供に必要な資格確認及び決定又は費用徴収等、国民に影響を及ぼす国家、地方自治体、「公共機関の運営に関する法律」第4条による公共機関等(以下「国家機関等」という)の意思決定
    • j. 「教育基本法」第9条第1項による幼児教育・初等教育及び中等教育での学生評価
    • k. その他、人の生命・身体の安全及び基本権保護に重大な影響を及ぼす領域として大統領令で定める領域
  5. 「生成型人工知能」とは、入力したデータ(「データ産業振興及び利用促進に関する基本法」第2条第1号によるデータをいう。以下同じ)の構造と特性を模倣して文章、音、絵、映像、その他の多様な結果物を生成する人工知能システムをいう。
  6. 「人工知能産業」とは、人工知能又は人工知能技術を活用した製品(以下「人工知能製品」という)を開発・製造・生産又は流通するか、これと関連したサービス(以下「人工知能サービス」という)を提供する産業をいう。
  7. 「人工知能事業者」とは、人工知能産業と関連した事業をする者として、次の各目のいずれか一つに該当する法人、団体、個人及び国家機関等をいう。
    • a. 人工知能開発事業者:人工知能を開発して提供する者
    • b. 人工知能利用事業者:aの事業者が提供した人工知能を利用して人工知能製品又は人工知能サービスを提供する者
  8. 「利用者」とは、人工知能製品又は人工知能サービスの提供を受ける者をいう。
  9. 「影響を受ける者」とは、人工知能製品又は人工知能サービスにより自身の生命、身体の安全及び基本権に重大な影響を受ける者をいう。
  10. 「人工知能社会」とは、人工知能を通じて産業・経済、社会・文化、行政等全ての分野で価値を創出し発展を導いていく社会をいう。
  11. 「人工知能倫理」とは、人間の尊厳性に対する尊重を基礎として、国民の権益と生命・財産を保護できる安全で信頼できる人工知能社会を実現するために、人工知能の開発、提供及び利用等全ての領域で社会構成員が守るべき倫理的基準をいう。

[施行日:2026. 1. 24.] 第2条第4号d目中デジタル医療機器に関する部分

第3条(基本原則及び国家等の責務)

① 人工知能技術と人工知能産業は、安全性と信頼性を向上させて国民の生活の質を向上させる方向で発展されなければならない。

② 影響を受ける者は、人工知能の最終結果導出に活用された主要基準及び原理等について、技術的・合理的に可能な範囲で明確で意味のある説明の提供を受けることができなければならない。

③ 国家及び地方自治体は、人工知能事業者の創意精神を尊重し、安全な人工知能利用環境の造成のために努力しなければならない。

④ 国家及び地方自治体は、人工知能がもたらす社会・経済・文化と国民の日常生活等全ての領域での変化に対応して、全ての国民が安定的に適応できるよう施策を講じなければならない。

第4条(適用範囲)

① この法律は、国外で行われた行為であっても国内市場又は利用者に影響を及ぼす場合には適用する。

② この法律は、国防又は国家安保目的のみで開発・利用される人工知能として大統領令で定める人工知能に対しては適用しない。

第5条(他の法律との関係)

① 人工知能、人工知能技術、人工知能産業及び人工知能社会(以下「人工知能等」という)に関して他の法律に特別な規定がある場合を除いては、この法律で定めるところによる。

② 人工知能等に関して他の法律を制定又は改正する場合には、この法律の目的に符合するようにしなければならない。

第2章 人工知能の健全な発展と信頼基盤造成のための推進体系

第6条(人工知能基本計画の樹立)

① 科学技術情報通信部長官は、関係中央行政機関の長及び地方自治体の長の意見を聴いて、3年ごとに人工知能技術及び人工知能産業の振興と国家競争力強化のために、人工知能基本計画(以下「基本計画」という)を第7条による国家人工知能委員会の審議・議決を経て樹立・変更及び施行しなければならない。ただし、基本計画中、大統領令で定める軽微な事項を変更する場合にはそうでない。

② 基本計画には次の各号の事項が含まれなければならない。

  1. 人工知能等に関する政策の基本方向と戦略に関する事項
  2. 人工知能産業の体系的育成のための専門人力の養成及び人工知能開発・活用促進基盤造成等に関する事項
  3. 人工知能倫理の拡散等、健全な人工知能社会実現のための法・制度及び文化に関する事項
  4. 人工知能技術開発及び人工知能産業振興のための財源の確保と投資の方向等に関する事項
  5. 人工知能の公正性・透明性・責任性・安全性確保等、信頼基盤造成に関する事項
  6. 人工知能技術の発展方向及びそれによる教育・労働・経済・文化等、社会各領域の変化と対応に関する事項
  7. その他、人工知能技術及び人工知能産業の振興と国際協力等、国家競争力強化のために科学技術情報通信部長官が必要と認める事項

③ 科学技術情報通信部長官は、基本計画を樹立するときには「知能情報化基本法」第6条第1項による総合計画及び同法第7条第1項による実行計画を考慮しなければならない。

④ 科学技術情報通信部長官は、関係中央行政機関、地方自治体及び公共機関(「知能情報化基本法」第2条第16号による公共機関をいう。以下同じ)の長に基本計画の樹立に必要な資料の提出を要請できる。この場合、資料の提出を要請された機関の長は、特別な事情がなければこれに従わなければならない。

⑤ 基本計画は、「知能情報化基本法」第13条第1項による人工知能及び人工知能産業分野の部門別推進計画とみなす。

⑥ 中央行政機関の長及び地方自治体の長は、所管主要政策を樹立し執行するときに基本計画を考慮しなければならない。

⑦ 基本計画の樹立・変更及び施行に必要な事項は大統領令で定める。

第7条(国家人工知能委員会)

① 人工知能発展と信頼基盤造成等のための主要政策等に関する事項を審議・議決するために、大統領所属として国家人工知能委員会(以下「委員会」という)を置く。

② 委員会は、委員長1名と副委員長1名を含む45名以内の委員で構成する。この場合、第4項第4号による委員が全体委員の過半数にならなければならず、特定性(性)のみで委員会を構成することはできない。

③ 委員会の委員長は大統領になり、副委員長は第4項第4号に該当する人の中から大統領が指名する人になる。

④ 委員会の委員は次の各号の人になる。

  1. 大統領令で定める関係中央行政機関の長
  2. 国家安保室の人工知能に関する業務を担当する次長
  3. 大統領秘書室の人工知能に関する業務を補佐する首席秘書官
  4. 人工知能関連専門知識と経験が豊富な人の中から大統領が委嘱する人

⑤ 委員会の委員長は、委員会を代表し委員会の事務を統括する。

⑥ 委員会の委員長は、必要な場合、副委員長にその職務を代行させることができる。

⑦ 第4項第4号による委員の任期は2年とするが、一度に限り再任できる。

⑧ 委員会に幹事委員1名を置き、幹事委員は第4項第3号の委員になる。

⑨ 委員会の委員は、その職務上知り得た秘密を他人に漏洩したり職務上目的外の用途で使用してはならない。ただし、他の法律に特別な規定がある場合にはそうでない。

⑩ 委員会の委員長は、委員会の会議を召集しその議長になる。

⑪ 委員会の会議は、委員過半数の出席で開議し、出席委員過半数の賛成で議決する。

⑫ 委員会の業務及び運営を支援するために、委員会に支援団を置く。

⑬ 委員会は、この法律施行日から5年間存続する。

⑭ その他、委員会と第12項による支援団の構成及び運営等に必要な事項は大統領令で定める。

第8条(委員会の機能)

① 委員会は次の各号の事項を審議・議決する。

  1. 基本計画の樹立・変更及び施行の点検・分析に関する事項
  2. 人工知能等関連政策に関する事項
  3. 人工知能等に関する研究開発戦略樹立に関する事項
  4. 人工知能等に関する投資戦略樹立に関する事項
  5. 人工知能産業発展と競争力を阻害する規制の発掘及び改善に関する事項
  6. 人工知能データセンター(「知能情報化基本法」第40条第1項によるデータセンターをいう。以下同じ)等、インフラ拡充方案に関する事項
  7. 製造業・サービス業等、産業部門及び公共部門での人工知能活用促進に関する事項
  8. 人工知能国際規範作成等、人工知能関連国際協力に関する事項
  9. 第2項による勧告又は意見の表明に関する事項
  10. 高影響人工知能規律に関する事項
  11. 高影響人工知能と関連した社会的変化様相と政策的対応に関する事項
  12. この法律又は他の法律で委員会の審議事項と定めた事項
  13. その他、委員会の委員長が必要と認めて委員会の会議に付する事項

② 委員会は、国家機関等の長及び人工知能事業者等に対して、人工知能の正しい使用と人工知能倫理の実践、人工知能技術の安全性・信頼性に関する勧告又は意見の表明をすることができる。

③ 委員会が国家機関等の長に法令・制度の改善又は実践方案の樹立等について第2項による勧告又は意見の表明をしたときには、該当国家機関等の長は法令・制度等の改善方案と実践方案等を樹立しなければならない。

第9条(委員の除斥・忌避及び回避)

① 委員会の委員は、業務の公正性確保のために次の各号のいずれか一つに該当する場合には、該当案件の審議・議決から除斥される。

  1. 委員又は委員が属する法人・団体等と直接的な利害関係がある場合
  2. 委員の家族(「民法」第779条による家族をいう)が利害関係人である場合

② 審議対象案件の当事者(当事者が法人・団体等である場合にはその役員及び職員を含む)は、委員に公正な職務執行を期待し難い事情があれば委員会に忌避申請をすることができ、委員会は忌避申請が妥当と認めれば議決で忌避を決定しなければならない。

③ 委員は、第1項又は第2項の事由に該当すれば自ら該当案件の審議を回避しなければならない。

第10条(分科委員会等)

① 委員会は、委員会の業務を専門分野別に遂行するために必要な場合、分科委員会を置くことができる。

② 委員会は、人工知能等関連特定懸案を討議するために必要な場合、特別委員会を置くことができる。

③ 委員会は、人工知能等関連事項を専門的に検討するために、関係専門家等で構成された諮問団を置くことができる。

④ その他、分科委員会、特別委員会及び諮問団の構成・運営等に必要な事項は大統領令で定める。

第11条(人工知能政策センター)

① 科学技術情報通信部長官は、人工知能関連政策の開発と国際規範定立・拡散に必要な業務を総合的に遂行するために、人工知能政策センター(以下「センター」という)を指定できる。

② センターは次の各号の事業を遂行する。

  1. 基本計画の樹立・施行に必要な専門技術の支援
  2. 人工知能と関連した施策の開発及び関連事業の企画・施行に関する専門技術の支援
  3. 人工知能の活用拡散による社会、経済、文化及び国民の日常生活等に及ぼす影響の調査・分析
  4. 人工知能及び人工知能技術関連政策開発を支援するための動向分析、社会・文化変化と未来予測及び法・制度の調査・研究
  5. 他の法令でセンターの業務と定めるか、センターに委託した事業
  6. その他、国家機関等の長が委託する事業

③ その他、センターの指定等に必要な事項は大統領令で定める。

第12条(人工知能安全研究所)

① 科学技術情報通信部長官は、人工知能と関連して発生し得る危険から国民の生命・身体・財産等を保護し、人工知能社会の信頼基盤を維持するための状態(以下「人工知能安全」という)を確保するための業務を専門的かつ効率的に遂行するために、人工知能安全研究所(以下「安全研究所」という)を運営できる。

② 安全研究所は次の各号の事業を遂行する。

  1. 人工知能安全関連危険定義及び分析
  2. 人工知能安全政策研究
  3. 人工知能安全評価基準・方法研究
  4. 人工知能安全技術及び標準化研究
  5. 人工知能安全関連国際交流・国際協力
  6. 第32条による人工知能システムの安全性確保に関する支援
  7. その他、人工知能安全に関する事業として大統領令で定める事業

③ 政府は、安全研究所の運営と事業推進等に必要な経費を予算の範囲で出捐又は支援できる。

④ その他、安全研究所の運営等に必要な事項は大統領令で定める。

第3章 人工知能技術開発及び産業育成

第1節 人工知能産業基盤造成

第13条(人工知能技術の開発及び利用の促進等)

① 政府は、人工知能技術の競争力と人工知能サービス品質を向上させるために、次の各号の事業を推進できる。

  1. 人工知能技術、人工知能製品又は人工知能サービスの研究開発及び標準化
  2. 人工知能技術に関する創業及び企業成長支援
  3. 人工知能基盤の新製品・新技術・新サービスの開発及び実証事業
  4. 人工知能技術の活用促進のための公共部門及び民間部門への拡散事業
  5. 人工知能技術、人工知能製品又は人工知能サービスの国際標準の開発
  6. その他、人工知能技術、人工知能製品又は人工知能サービスの開発及び利用促進のために必要な事業

② 政府は、第1項各号の事業を効率的に推進するために必要と認めれば、人工知能関連基盤施設・装備を構築し支援できる。

③ 政府は、第1項各号の事業を推進する者に対して予算の範囲で必要な経費の全部又は一部を支援できる。

第14条(人工知能インフラ拡充)

① 政府は、人工知能技術及び人工知能産業の発展を促進するために、次の各号の人工知能インフラの拡充に関する政策を樹立し推進しなければならない。

  1. 「クラウドコンピューティング発展及び利用者保護に関する法律」第2条第2号によるクラウドコンピューティングサービス
  2. 人工知能データセンター等、人工知能開発に必要な計算インフラ
  3. 「知能情報化基本法」第2条第9号による知能情報技術及び同条第10号による知能情報サービス
  4. その他、人工知能技術及び人工知能産業の発展のための必要なインフラとして大統領令で定めるもの

② 政府は、第1項に規定した政策を効率的に推進するために必要な場合には予算の範囲で必要な経費を支援できる。

第15条(学習用データの構築・活用等)

① 政府は、人工知能技術及び人工知能産業の競争力を強化するために学習用データ(人工知能の開発及び性能向上等のために活用されるデータをいう。以下同じ)の構築・活用に関する次の各号の施策を推進できる。

  1. 学習用データの収集・生産、管理・保存、流通・利用、連携・統合に関する事項
  2. 学習用データの品質向上及び高度化に関する事項
  3. 学習用データの安全な構築及び活用に関する事項
  4. 学習用データの円滑な構築及び活用のための法令・制度の改善に関する事項
  5. その他、学習用データの構築・活用の活性化のために大統領令で定める事項

② 政府は、学習用データの円滑な構築を支援するために学習用データの生産・収集・管理・流通及び活用等に関する事業を推進できる。

③ 政府は、第2項による事業を効率的に遂行するために学習用データの構築事業を推進できる。

④ 政府は、第1項から第3項までの規定による施策及び事業を推進するために必要な場合には予算の範囲で必要な経費の全部又は一部を支援できる。

⑤ 第2項及び第3項による学習用データ関連事業の推進等に必要な事項は大統領令で定める。

第16条(学習用データ統合提供システムの構築・運営)

① 科学技術情報通信部長官は、第15条第2項及び第3項による学習用データ構築事業の成果物を含む学習用データを体系的に管理し多様な需要者が円滑に利用できるようにするために、学習用データ統合提供システム(以下「統合提供システム」という)を構築・運営できる。

② 科学技術情報通信部長官は、統合提供システムの構築・運営のために関係中央行政機関、地方自治体及び公共機関の長に学習用データの提供を要請できる。この場合、関係中央行政機関、地方自治体及び公共機関の長は、特別な事情がなければこれに従わなければならない。

③ その他、統合提供システムの構築・運営等に必要な事項は大統領令で定める。

第17条(人工知能人材養成)

① 政府は、人工知能技術を専門的に研究開発する人材を養成し、人工知能関連産業に従事する人材を育成するための事業を推進できる。

② 政府は、第1項による事業を効率的に推進するために必要な場合には予算の範囲で関連事業に対する必要な経費を支援できる。

第18条(人工知能産業の創業活性化)

① 政府は、人工知能産業での創業を促進し、人工知能を活用した創業を活性化するために、人工知能技術に基づいた創業及び事業化の支援に関する政策を樹立し推進しなければならない。

② 政府は、第1項による事業化の支援のために予算の範囲で人的・物的資源を供給できる。

第19条(人工知能産業の中小企業等の支援)

① 政府は、人工知能産業の中小企業等(「中小企業基本法」第2条による中小企業、「中堅企業成長促進及び競争力強化に関する特別法」第2条第1号による中堅企業及び「中小企業創業支援法」第2条第2号による創業者をいう。以下同じ)が成長できるよう支援するために、次の各号の事業を推進できる。

  1. 人工知能関連技術支援及びコンサルティング
  2. 人工知能関連技術事業化支援
  3. 人工知能技術を活用した製品及びサービスの海外進出支援
  4. 人工知能産業投資財源の拡大及び投資連携支援
  5. その他、人工知能産業の中小企業等の支援に必要な事項として大統領令で定める事項

② 政府は、第1項による事業を推進するために必要な場合には予算の範囲で必要な経費を支援できる。

第20条(租税減免等)

政府は、人工知能産業の発展を促進するために、人工知能関連技術開発及び人工知能製品・人工知能サービスの生産・供給・利用促進等に必要な租税減免及び財政・金融上の支援施策を講じることができる。

第21条(公共調達)

政府及び地方自治体は、人工知能産業の活性化及び中小企業等の人工知能製品の販路拡大のために、人工知能製品の優先購買等、必要な施策を講じることができる。

第2節 人工知能産業の集積化支援

第22条(人工知能融合集積地の指定)

① 科学技術情報通信部長官は、人工知能産業の体系的育成及び人工知能開発・活用のための基盤造成等のために、既存の産業集積地域を人工知能融合集積地(以下「集積地」という)として指定できる。

② 第1項による集積地の指定基準、指定手続等に必要な事項は大統領令で定める。

第23条(集積地の育成)

① 科学技術情報通信部長官は、集積地の効率的造成及び運営・管理のために専門機関(以下「専担機関」という)を指定できる。

② 専担機関は、集積地の効率的造成及び運営・管理を支援するために、次の各号の事業を推進できる。

  1. 集積地の運営・管理に関する事項
  2. 集積地入居機関・企業の支援に関する事項
  3. 集積地の施設及び装備の構築・運営に関する事項
  4. 集積地と関連した国際交流・協力に関する事項
  5. その他、集積地の効率的造成及び運営・管理のために科学技術情報通信部長官が必要と認める事項

③ 政府は、専担機関の運営に必要な経費の全部又は一部を予算の範囲で支援できる。

④ 専担機関の指定基準、指定手続、指定取消等に必要な事項は大統領令で定める。

第24条(人工知能融合地区の指定)

① 科学技術情報通信部長官は、人工知能製品及び人工知能サービスの開発・実証を支援するために、一定地域を人工知能融合地区(以下「融合地区」という)として指定できる。

② 融合地区では、人工知能製品及び人工知能サービスの開発及び実証のために、関係中央行政機関の長との協議を経て、既存法令の全部又は一部を適用しないか、異なる基準を適用する実証特例を与えることができる。

③ 第2項による実証特例の付与手続等に関しては「産業融合促進法」第10条から第16条までの規定を準用する。この場合「産業通商資源部長官」は「科学技術情報通信部長官」と、「産業融合促進計画」は「基本計画」と、「産業融合新製品等」は「人工知能製品又は人工知能サービス」とみなす。

④ 第1項による融合地区の指定基準、指定手続等に必要な事項は大統領令で定める。

第25条(人工知能中核研究開発インフラの構築)

① 政府は、人工知能技術の研究開発、人工知能製品の開発及び人工知能サービスの試験・実証のために、人工知能中核研究開発インフラ(以下「中核インフラ」という)を構築・運営できる。

② 中核インフラには次の各号の施設及び装備を含むことができる。

  1. 人工知能研究開発に必要な施設及び装備
  2. 人工知能製品の開発のために必要な試験・認証施設及び装備
  3. 人工知能サービスの試験・実証のために必要な施設及び装備
  4. その他、人工知能中核研究開発のために大統領令で定める施設及び装備

③ 政府は、中核インフラの構築・運営のために必要な経費を予算の範囲で支援できる。

④ その他、中核インフラの構築・運営等に必要な事項は大統領令で定める。

第26条(韓国人工知能振興協会)

① 人工知能等と関連した研究及び業務に従事する者は、人工知能の開発・利用促進、人工知能産業及び人工知能技術の振興、人工知能等に対する教育・広報等のために、大統領令で定めるところにより科学技術情報通信部長官の認可を受けて韓国人工知能振興協会(以下「協会」という)を設立するか、協会として指定を受けることができる。

② 協会は法人とする。

③ 協会は次の各号の業務を遂行する。

  1. 人工知能技術、人工知能製品又は人工知能サービスの利用促進及び拡散
  2. 人工知能等に対する現況及び関連統計調査
  3. 人工知能事業者のための共同利用施設の設置・運営及び専門人力養成のための教育等
  4. 人工知能事業者及び人工知能関連専門人力の海外進出支援
  5. 安全で信頼できる人工知能の開発・活用のための教育及び広報
  6. この法律又は他の法律により協会が委託を受けた事業
  7. その他、協会の設立目的を達成するのに必要な事業として定款で定める事業

④ 国家及び地方自治体は、人工知能産業の発展と信頼基盤造成のために必要な場合、予算の範囲で協会の事業遂行に必要な資金を支援するか、運営に必要な経費を補助できる。

⑤ 協会会員の資格と役員に関する事項、協会の業務等は定款で定め、その他、定款に含めるべき事項は大統領令で定める。

⑥ 科学技術情報通信部長官は、第1項による認可をしたときには、その事実を公告しなければならない。

⑦ 協会に関してこの法律に規定されたことを除いては、「民法」中社団法人に関する規定を準用する。

第4章 人工知能倫理及び信頼性確保

第27条(人工知能倫理原則等)

① 政府は、人工知能倫理の拡散のために、次の各号の事項を含む人工知能倫理原則(以下「倫理原則」という)を大統領令で定めるところにより制定・公表できる。

  1. 人工知能の開発・活用等の過程で人の生命と身体、精神的健康等に害にならないようにする安全性と信頼性に関する事項
  2. 人工知能技術が適用された製品・サービス等を全ての人が自由かつ便利に利用できる接近性に関する事項
  3. 人の生活と繁栄への貢献のための人工知能の開発・活用等に関する事項

② 科学技術情報通信部長官は、社会各界の意見を収斂して、倫理原則が人工知能の開発・活用等に関与する全ての人により実現されるよう実践方案を樹立し、これを公開及び広報・教育しなければならない。

③ 中央行政機関又は地方自治体の長が人工知能倫理基準(その名称及び形態を問わず、人工知能倫理に関する法令、基準、指針、ガイドライン等をいう)を制定又は改正する場合、科学技術情報通信部長官は、倫理原則及び第2項による実践方案との連携性・整合性等に関する勧告又は意見の表明をすることができる。

第28条(民間自律人工知能倫理委員会の設置等)

① 次の各号の機関又は団体は、倫理原則を遵守するために民間自律人工知能倫理委員会(以下「民間自律委員会」という)を置くことができる。

  1. 人工知能技術研究及び開発を遂行する人が所属する教育機関・研究機関
  2. 人工知能事業者
  3. その他、大統領令で定める人工知能技術関連機関

② 民間自律委員会は次の各号の業務を自律的に遂行する。

  1. 人工知能技術研究・開発・活用において倫理原則の遵守有無確認
  2. 人工知能技術研究・開発・活用の安全及び人権侵害等に関する調査・研究
  3. 人工知能技術研究・開発・活用の手続及び結果に関する調査・監督
  4. 該当機関又は団体の研究者及び従事者に対する倫理原則教育
  5. 人工知能技術研究・開発・活用に適合した分野別人工知能倫理指針作成
  6. その他、倫理原則具現に必要な業務

③ 民間自律委員会の構成・運営等に必要な事項は、該当機関又は団体等で自律的に定める。ただし、その構成を特定の性(性)のみでできず、社会的・倫理的妥当性を評価できる経験と知識を備えた人及びその機関又は団体に従事しない人をそれぞれ含めなければならない。

④ 科学技術情報通信部長官は、民間自律委員会の公正かつ中立的な構成・運営のために標準指針等を作成して普及できる。

第29条(人工知能信頼基盤造成のための施策の作成)

政府は、人工知能が国民の生活に及ぼす潜在的危険を最小化し、安全な人工知能の利用のための信頼基盤を造成するために、次の各号の施策を作成しなければならない。

  1. 安全で信頼できる人工知能利用環境造成
  2. 人工知能の利用が国民の日常生活に及ぼす影響等に関する展望と予測及び関連法令・制度の整備
  3. 人工知能の安全性・信頼性確保のための安全技術及び認証技術の開発及び拡散支援
  4. 安全で信頼できる人工知能社会実現及び人工知能倫理実践のための教育・広報
  5. 人工知能事業者の安全性・信頼性関連自律的な規約の制定・施行支援
  6. 人工知能事業者、利用者等で構成された人工知能関連団体(以下「団体等」という)の人工知能の安全性・信頼性増進のための自律的な協力、倫理指針制定等、民間活動の支援及び拡散
  7. その他、人工知能の安全性・信頼性確保のために大統領令で定める事項

第30条(人工知能安全性・信頼性検・認証等支援)

① 科学技術情報通信部長官は、団体等が人工知能の安全性・信頼性確保のために自律的に推進する検証・認証活動(以下「検・認証等」という)を支援するために、次の各号の事業を推進できる。

  1. 人工知能の開発に関するガイドライン普及
  2. 検・認証等に関する研究の支援
  3. 検・認証等に利用される装備及びシステムの構築・運営支援
  4. 検・認証等に必要な専門人力の養成支援
  5. その他、検・認証等を支援するために大統領令で定める事項

② 科学技術情報通信部長官は、検・認証等を受けようとする中小企業等に対して、大統領令で定めるところにより関連情報を提供するか、行政的・財政的支援をすることができる。

③ 人工知能事業者が高影響人工知能を提供する場合、事前に検・認証等を受けるよう努力しなければならない。

④ 国家機関等が高影響人工知能を利用しようとする場合には、検・認証等を受けた人工知能に基づいた製品又はサービスを優先的に考慮しなければならない。

第31条(人工知能透明性確保義務)

① 人工知能事業者は、高影響人工知能や生成型人工知能を利用した製品又はサービスを提供しようとする場合、製品又はサービスが該当人工知能に基づいて運用されるという事実を利用者に事前に告知しなければならない。

② 人工知能事業者は、生成型人工知能又はこれを利用した製品又はサービスを提供する場合、その結果物が生成型人工知能により生成されたという事実を表示しなければならない。

③ 人工知能事業者は、人工知能システムを利用して実際と区分し難い仮想の音響、イメージ又は映像等の結果物を提供する場合、該当結果物が人工知能システムにより生成されたという事実を利用者が明確に認識できる方式で告知又は表示しなければならない。この場合、該当結果物が芸術的・創意的表現物に該当するか、その一部を構成する場合には、展示又は享有等を阻害しない方式で告知又は表示できる。

④ その他、第1項による事前告知、第2項による表示、第3項による告知又は表示の方法及びその例外等に関して必要な事項は大統領令で定める。

第32条(人工知能安全性確保義務)

① 人工知能事業者は、学習に使用された累積演算量が大統領令で定める基準以上である人工知能システムの安全性を確保するために、次の各号の事項を履行しなければならない。

  1. 人工知能ライフサイクル全般にわたる危険の識別・評価及び緩和
  2. 人工知能関連安全事故をモニタリングし対応する危険管理体系構築

② 人工知能事業者は、第1項各号による事項の履行結果を科学技術情報通信部長官に提出しなければならない。

③ 科学技術情報通信部長官は、第1項各号による事項の具体的な履行方式及び第2項による結果提出等に必要な事項を定めて告示しなければならない。

第33条(高影響人工知能の確認)

① 人工知能事業者は、人工知能又はこれを利用した製品・サービスを提供する場合、その人工知能が高影響人工知能に該当するかについて事前に検討しなければならず、必要な場合、科学技術情報通信部長官に高影響人工知能に該当するか否かの確認を要請できる。

② 科学技術情報通信部長官は、第1項による要請がある場合、高影響人工知能該当有無を確認しなければならず、必要な場合、専門委員会を設置して関連諮問を受けることができる。

③ 科学技術情報通信部長官は、高影響人工知能の基準と例示等に関するガイドラインを樹立して普及できる。

④ その他、第1項による確認手続等に関して必要な事項は大統領令で定める。

第34条(高影響人工知能と関連した事業者の責務)

① 人工知能事業者は、高影響人工知能又はこれを利用した製品・サービスを提供する場合、高影響人工知能の安全性・信頼性を確保するために、次の各号の内容を含む措置を大統領令で定めるところにより履行しなければならない。

  1. 危険管理方案の樹立・運営
  2. 技術的に可能な範囲での人工知能が導出した最終結果、人工知能の最終結果導出に活用された主要基準、人工知能の開発・活用に使用された学習用データの概要等に対する説明方案の樹立・施行
  3. 利用者保護方案の樹立・運営
  4. 高影響人工知能に対する人の管理・監督
  5. 安全性・信頼性確保のための措置の内容を確認できる文書の作成と保管
  6. その他、高影響人工知能の安全性・信頼性確保のために委員会で審議・議決された事項

② 科学技術情報通信部長官は、第1項各号による措置の具体的な事項を定めて告示し、人工知能事業者にこれを遵守するよう勧告できる。

③ 人工知能事業者が他の法令により第1項各号に準ずる措置を大統領令で定めるところにより履行した場合には、第1項による措置を履行したものとみなす。

第35条(高影響人工知能影響評価)

① 人工知能事業者が高影響人工知能を利用した製品又はサービスを提供する場合、事前に人の基本権に及ぼす影響を評価(以下「影響評価」という)するために努力しなければならない。

② 国家機関等が高影響人工知能を利用した製品又はサービスを利用しようとする場合には、影響評価を実施した製品又はサービスを優先的に考慮しなければならない。

③ その他、影響評価の具体的な内容・方法等に関して必要な事項は大統領令で定める。

第36条(国内代理人指定)

① 国内に住所又は営業所がない人工知能事業者として、利用者数、売上額等が大統領令で定める基準に該当する者は、次の各号の事項を代理する者(以下「国内代理人」という)を書面で指定し、これを科学技術情報通信部長官に申告しなければならない。

  1. 第32条第2項による履行結果の提出
  2. 第33条第1項による高影響人工知能該当有無確認の要請
  3. 第34条第1項各号による安全性・信頼性確保措置の履行に必要な支援(同項第5号による文書の最新性・正確性に対する点検を含む)

② 国内代理人は、国内に住所又は営業所がある者とする。

③ 国内代理人が第1項各号と関連してこの法律に違反した場合には、該当国内代理人を指定した人工知能事業者がその行為をしたものとみなす。

第5章 補則

第37条(人工知能産業の振興のための財源の拡充等)

① 国家は、基本計画及びこの法律による施策等を効果的に推進するために必要な財源を持続的かつ安定的に拡充できる方案を作成しなければならない。

② 科学技術情報通信部長官は、人工知能産業の振興のために必要な場合には、公共機関に人工知能産業の振興に関する事業等に必要な支援をするよう勧告できる。

③ 国家及び地方自治体は、企業等民間が積極的に人工知能産業の振興と関連した事業に投資できるよう必要な措置を作成しなければならない。

④ 国家及び地方自治体は、人工知能産業の発展段階等を総合的に考慮して投資財源を効率的に執行するよう努力しなければならない。

第38条(実態調査、統計及び指標の作成)

① 科学技術情報通信部長官は、統計庁長と協議して、基本計画及び人工知能等関連施策と事業の企画・樹立・推進のために、国内外人工知能等に関する実態調査、統計及び指標を「科学技術基本法」第26条の2による統計と連携して作成・管理し公表しなければならない。

② 科学技術情報通信部長官は、第1項による統計及び指標の作成のために、関係中央行政機関の長、地方自治体の長及び公共機関の長に資料の提出等、協力を要請できる。この場合、協力を要請された機関の長は、特別な事情がなければこれに従わなければならない。

③ その他、第1項による実態調査、統計及び指標の作成・管理及び公表等に必要な事項は大統領令で定める。

第39条(権限の委任及び業務の委託)

① 科学技術情報通信部長官又は関係中央行政機関の長は、この法律による権限の一部を大統領令で定めるところにより所属機関の長又は特別市長・広域市長・特別自治市長・道知事・特別自治道知事(以下この条で「市・道知事」という)に委任できる。この場合、市・道知事は委任を受けた権限の一部を市長(「済州特別自治道設置及び国際自由都市造成のための特別法」第11条第2項による行政市長を含む)・郡守・区庁長(自治区の区庁長をいう)に再委任できる。

② 政府は次の各号の業務を大統領令で定めるところにより関連機関又は団体に委託できる。

  1. 第13条による人工知能技術開発及び利用関連事業に対する支援
  2. 第15条第2項及び第3項による学習用データの生産・収集・管理・流通及び活用等に関する支援対象事業の選定・支援と学習用データ構築事業の推進
  3. 統合提供システムの構築・運営及び管理
  4. 第18条による創業活性化のために科学技術情報通信部長官が必要と認める事項
  5. 第30条第2項による検・認証等関連支援
  6. 第38条による実態調査、統計及び指標の作成
  7. その他、人工知能産業の育成及び人工知能倫理の拡散のために大統領令で定める事務

第40条(事実調査等)

① 科学技術情報通信部長官は、次の各号のいずれか一つに該当する場合には、人工知能事業者に対して関連資料を提出させるか、所属公務員に必要な調査をさせることができる。

  1. 第31条第2項・第3項、第32条第1項・第2項又は第34条第1項に違反する事項を発見したり嫌疑があることを知った場合
  2. 第31条第2項・第3項、第32条第1項・第2項又は第34条第1項の違反に対する申告を受けたり苦情が接受された場合

② 科学技術情報通信部長官は、第1項による調査のために必要な場合、所属公務員に人工知能事業者の事務所・事業場に出入りして帳簿・書類、その他の資料や物件を調査させることができる。この場合、調査の内容・方法及び手続等に関してこの法律で定める事項を除いては「行政調査基本法」で定めるところによる。

③ 科学技術情報通信部長官は、第1項及び第2項による調査結果、人工知能事業者がこの法律に違反した事実があると認められれば、人工知能事業者に該当違反行為の中止や是正のために必要な措置を命じることができる。

第41条(罰則適用で公務員擬制)

① 委員会の委員中、公務員でない委員は「刑法」第129条から第132条までによる罰則を適用するときには公務員とみなす。

② 第39条第2項により委託を受けた業務に従事する機関又は団体の役職員は、「刑法」第127条及び第129条から第132条までによる罰則を適用するときには公務員とみなす。

第6章 罰則

第42条(罰則)

第7条第9項に違反して職務上知り得た秘密を他人に漏洩したり職務上目的外の用途で使用した者は、3年以下の懲役又は3千万ウォン以下の罰金に処する。

第43条(過怠料)

① 次の各号のいずれか一つに該当する者には3千万ウォン以下の過怠料を賦課する。

  1. 第31条第1項に違反して告知を履行しなかった者
  2. 第36条第1項に違反して国内代理人を指定しなかった者
  3. 第40条第3項による中止命令や是正命令を履行しなかった者

② 第1項による過怠料は、大統領令で定めるところにより科学技術情報通信部長官が賦課・徴収する。

附則 <第20676号, 2025. 1. 21.>

第1条(施行日)

この法律は公布後1年が経過した日から施行する。ただし、第2条第4号d目中デジタル医療機器に関する部分は2026年1月24日から施行する。

第2条(この法律施行のための準備行為)

この法律を施行するために必要な委員会委員の委嘱、分科委員会、特別委員会、諮問団及び支援団の構成等は、この法律施行前にできる。

第3条(専担機関に関する特例)

この法律施行当時、第23条第1項による集積化を地域に効果的に定着させるために政府から関連予算を支援されて運営中の機関中、組織、人力等、大統領令で定める要件を充足した機関は、第23条第4項にもかかわらず、この法律により専担機関として指定されたものとみなす。

EU AI法はなぜ失敗したか

AI

EU AI法は失敗したという評価については、薄々コンセンサスが形成されつつあると思いますが、なぜ失敗したのかは、あまり分析されていないように思います。この点について、初期的なメモを掲載します。

 

 

ハイリスクAIシステム関係(第3章)

  • 第3章は、ハイリスクAIシステムを対象とする。ハイリスクAIシステムは、組込み型AIシステム(①(a)Annex IのEU整合(調和)法令の対象となっている製品の安全コンポーネントとして使われることが意図された、又は(b)当該製品それ自体であるAIシステムで、②当該製品の上市に当たり第三者による適合性評価が要求されているもの)と、スタンドアロン型AIシステム(Annex IIIに列挙されたAIシステム)に分けられる。組込み型AIシステムでは、主として製品安全上のリスクが問題となり、スタンドアロン型AIシステムでは、主として個人データ保護を含む基本権に対するリスクが問題となる。
  • AI法は、組み込み型AIシステムとスタンドアロン型AIシステムに一律に製品安全の規制枠組み(NLF)を適用しているが、設計→出荷→(流通→)利用というライフサイクルをたどる「製品」(product)と、ProviderからDeployer (User)に直接提供され、常にアップデートされ続ける「役務」(service)では、適切な規制のあり方は違って然るべきであり、基本的に後者に当たるスタンドアロン型AIシステムに製品安全の規制枠組みを適用したこと自体が、失敗に繋がっているのではないか。
    • なお、企業Aが企業Bにスタンドアロン型のAIシステムを提供し、企業Bがこれを利用して個人データ処理を行う場合、AI法上は企業AがProvider、企業BがDeployerとなり、GDPR上は企業BがController、企業AがProcessorとなることが多いと思われる。この場合、企業Bは、GDPRを遵守する上で必要な情報、能力、(企業Aに対する)交渉力を持たない可能性があり、その限りで、AIという(個人データ処理の)手段に着目した規制は有効でありうる。しかしながら、そのことは、製品安全の規制枠組みをスタンドアロン型AIシステムの提供者に及ぼすことの適切性を基礎づけない。
  • また、前者に当たる組込み型AIシステムについても、製品の性質や流通・利用形態によって求められる要件は異なるはずであり、一律の規制を課したことが、失敗に繋がっているのではないか(AI法は、製品ごとの整合規格を予定しているが、それならば、最初から製品ごとに規範形成すれば足りたはずである。機械学習技術の特性は共通であり、それを分析することは有益であるが、そのことは、機械学習技術の応用について共通のルールを形成する必要性を基礎づけない。)。

 

透明性義務関係(50条)

  • 第50条、特に第2項と第4項は、一部のユースケースのみを念頭に、詳細かつ広範な(≒射程の広い)な義務を課しすぎているのではないか。

 

GPAIモデル関係(第5章)

  • AI法は、GPAIモデルの提供者に対し、GDPR / DSAのようなリスク評価・低減義務を課している。しかしながら、GDPRのDPIA / DPbDDは個人データ処理に適用され、DSAはオンラインプラットフォーム(≒SNS・動画共有サイト等とオンラインマーケットプレイス)に適用されるため、リスクはある程度特定可能だが、GPAIモデルは、まさにgeneral-purposeであるがゆえに、単に同様の義務を課すのでは、事実上無限定の義務を課すことになってしまう(実際、CoPのSafety and Security章のAppendix 1では、そのことが確認されていると言える。)。このような違いを踏まえない立法が、失敗の原因の一つとなっているのではないか。
  • AI法のCode of Practiceのような共同規制は、柔軟性(規制対象者側の知識の活用、迅速な意思決定)と民主的正統性・法的強制力を両立できる点が長所とされる。共同規制は、事前に一定のルールを設定する点では、直接規制や(業界レベルでの)自主規制を共通しているが、risk assessment and mitigation義務(「メタ規制」と呼ばれることがある。)は、そもそもそのような事前のルール設定が困難となっているか、適切でなくなっているがゆえに広まりつつある可能性があある。このような違いを踏まえない立法が、失敗の原因の一つとなっているのではないか。
  • AI法は、直接的には著作権をrisk assessment and mitigationの対象とはしていないが、Code of PracticeのCopyright章は、リスクマネジメント的な実務を要求している。しかしながら、著作権は、もともと創作物利用の対価回収の保障の必要性と、第三者の自由の保障の必要性のバランスの下に、政策的にその保護範囲が設定されているものであり、そもそもAI法のような「業法」による保護には適さないのではないか。

 

関連文献

「リーガルテック業法」の可能性について

AI

第6回 デジタル・AIワーキング・グループ 資料を見て思ったことを書いていきます。

 

  • 弁護士法上、報酬を得る目的での法律事件に関する法律事務の取り扱いは、弁護士又は弁護士法人でなければ行うことができない(同法72条)。ところが、弁護士法人は、所有と経営の一致した無限責任法人なので(同法30条の4第1項、30条の12、30条の15)、弁護士法人は、リーガルテックサービス(=高度な情報処理技術を用いた法律事務処理サービス。多義的なので、このように読み替えることとしたい。)の提供主体としてはおよそ不適格である。
  • 一方で、「法律事務取扱業」としての弁護士の業務独占の範囲を定めた弁護士法72条の解釈のみによってリーガルテックサービスの品質や適切なサービス提供体制を担保することは、もとより無理があり、適切ではない。厚労省は医師法17条に関してそれを試みてきたとも言えるが、著しく法的安定性を欠いており、真似するべきではない。
  • この問題に関して、解決の糸口を提供しうるのは、ソフトウェア医療機器の提供行為が医業に該当するかという問題がどのように解決されているかであると思われる。
    • 医師法は、医業について免許制を定め、免許要件として、医師国家試験(臨床上必要な医学・公衆衛生に関する知識・技能を試験するものとされている。)への合格、成年であること、欠格事由(心身の障害、薬物中毒、罰金以上の刑に処せられたこと、医事に関する犯罪・不正行為)を定め、医師について、研修や行政処分(実質は懲戒処分であるが、そのようには呼ばれない。)などの、知識・技能と職業倫理を担保するための制度を定めている。当然ながら、医師は自然人である。
      • なお、医療法上、医療法人制度があるが、医療法人は、医師が医業を行う場所である病院・診療所の開設を目的とする法人であり、医療法人の医業というものは観念されない。
    • 一方、薬機法は、疾病の診断・治療・予防に使用されることが目的とされている機械器具等(ソフトウェアを含む)(極めて簡略化したので注意)である医療機器について、製造販売業者の許可制、(個別の)医療機器の製造販売の承認・認証制(届出制もあるが、ソフトウェアには適用されない。)を定め、各種の体制整備義務(GCP/GQP/GVP/GPSP等)、副作用等の報告義務、広告規制(ただし「何人も」規制として。なお、厚労省通達である医薬品等適正広告基準が実務上の基準となっている。)を課している。医療機器の製造販売業者は、通常、株式会社である。
    • 薬機法がない世界では、医学的なアドバイスをするスマホアプリの提供は、通常、医業に該当するはずであるが、医療機器として薬機法の規制を遵守して提供されている限りは、通常は、医業とはみなされない。
  • 仮にリーガルテックサービスについて法制度を整備するのであれば、薬機法の医療機器規制のような制度を設けることが考えられる。この場合、リーガルテックサービスについては、①医療機器のような承認・認証基準が確立されていないこと、②医療機器と異なり生命・身体への被害が生じる蓋然性は高くないこと、③法務省が高度な情報処理技術を用いた法律事務処理サービスたるリーガルテックサービスに対し、日常的に適時かつ適切なエンゲージメントを行うことは期待し難く、イノベーション阻害を回避するためには、現実に権利侵害が多発したような場合に限って権限を行使すべきと考えられることからすれば、法制度を整備する場合でも、業規制は最低限のものとすべきである。具体的には、例えば、届出制、包括的な体制整備義務、包括的な情報提供義務、調査権限(報告徴求命令、立入検査)、是正権限(業務改善命令、業務禁止命令等)のみを定めることが考えられる。
    • なお、医療機器規制は、事実上、医家向けと家庭用で異なる扱いがなされている(他の例として、金商法も、機関投資家と一般投資家を区別している。)。リーガルテックサービスについても、そのような区別は有用であるが、それを法律自体に書き込み、義務規定を分けると、イノベーションを阻害する可能性が高く、あくまで事業者が体制整備義務を履行する上で自主的に考慮しうる要素と位置づけておくのがよいのではないか。
  • なお、以上に対し、(本記事で定義したような)リーガルテックサービスではないAIサービスが法律について回答する事態をどうするかは、別の問題として、併せて考える必要がある。例えば、ChatGPTに具体的な紛争について専門性に基づく回答を期待する人は少ないであろうし、仮にいたとしても、政府のリソースによって保護する必要まではなく、自己責任としてよい(事業者の立場から見れば、自らリーガルテックサービスとして訴求する者は、相応の責任を果たすべきであるが、ChatGPTのような売り方をするに過ぎないのであればそうとは言えない)、と考えるのであれば、少なくとも現時点で規制の対象とする必要はないであろう。その場合でも、誤認防止措置(情報提供義務)を課すべきかは問題となりうるが、例えばLLMの回答に毎回注意喚起文言を入れることは、ユーザー体験を損ない、サービス提供コストを引き上げること(全ての業法が同種の注意喚起を要求する事態を考えれば明らかであろう。)を考慮すれば、適切ではなく(EUのAI法50条がどうなっているかはよく考えるべきである。)、現時点では自主的取組に委ねることでもよいかもしれない。

データ利活用関係法制は個情法の監督実務に転換を迫るか?

個人情報保護

デジタル行財政改革会議(第12回)に提出された「デジタル行財政改革の今後の取組方針について」について書いていきます。

 

  • 取組方針は、「データ利活用関係法制」として、「デジタル庁(及び事業所管省庁)は、協議等を経て、データ利活用の事業計画が指針に照らして適切であることの確認や、関係する個人情報保護法等の法令上の適切性について確認することで、個人データ含むデータの適正な取扱いと透明性を確保」する仕組みを提案している。
  • 図では、
    • 事業者は、「個人データを含むデータ利活用を推進する事業計画」を「デジタル庁(及び事業所管省庁)」に「申請」すると、「デジタル庁(及び事業所管省庁)」は、「個人情報が含まれる場合には法定協議」を個情委に対して行い、「個人情報保護委員会は協議された当該事業計画について確認し回答」し、これを受けて、「デジタル庁(及び事業所管省庁)」が「事業計画の認定」を行うとされている。
    • デジ庁と個情委は、「適切な案件形成に向けたアドバイス」や、「認定後のフォローアップ等」に向けて協力とされている。
    • デジ庁は、「関係行政機関の長」とも何らかのやり取りを行うことが示されている。
  • この制度は、課徴金制度と併せて、個情委の監督実務を、漏洩報告を受けて行うセキュリティ中心の事後的な指導から、個人データ処理のリスクそのものに対処するための、実態調査(horizon scanning)、ガイダンス、個人データ処理の設計段階での助言・意見表明(最終的には立法や行政機関も対象とすべきであろう。)、真に保護法益を侵害/危殆化する慣行に対する強力な法執行を組み合わせた総合的かつ一貫性あるものに転換していくためのファーストステップとなりうるかもしれない。
  • EUでは、GDPRにおいて、DPIAの結果ハイリスクとみなされた個人データ処理の事前協議(GDPR第36条1項)、個人データ処理に関連する立法時の事前協議(同条4項)が定められ、(例として挙げるが)AMLR(Regulation (EU) 2024/1624)では、マネロン対策目的の情報共 有パートナーシップについて、DPIAの実施が一律に義務付けられるとともに(AMLR第75条4項(h))、AMLの文脈での個人データ処理に即したセーフガードが定められている(同条各項)。これらのDPIAや立法時の協議は、個人データ保護当局が情報を収集し、懸念を表明し、是正を働きかけるための重要なチャネルとなっている。
  • なお、GDPRのDPIA実施義務と事前協議義務は、DPD下での個人データ保護当局への処理の一律の通知義務(ただし加盟国法による適用除外はあった。)に代わるものであるが(GDPR Recital 89)、日本においても、番号法は、個人情報ファイル保有時の事前通知義務(個情法74条1項)の特則として、特定個人情報ファイル保有時に、DPIAの実施と個情委の事前承認を受ける義務を課している(番号法28条1項)。
  • 立法時の事前協議義務(意見聴取義務としてもよい。)は、例えば、日本版DBS法(児童対象性暴力等防止法)や、刑事デジタル法のような立法において、個情委の関与の機会を確保する役に立つ。個情委の意見表明は、公開で行うことが、民主的基盤を持たない個情委が、立法者や世論を味方につけ、自らの立場に対するフィードバックを得、個人データ処理関連立法全般に対する立場を各省庁の政策立案者に示していく上で有効である。
  • DPIA実施義務は、それ自体としてはリスクアセスメント義務であるが、このように、(DPOとともに、)エンフォースメント手段としての側面も強く有している。令和3年個情法改正時には、意見具申権限の導入が提案されつつ、実現しなかったが、今後、個情委に与えられた裁量の範囲内で、先に述べたような転換を実行しつつ、次回3年ごと見直しにおいては、行政機関及びハイリスク処理を行う民間事業者に対し、DPO(専門的知識・能力を有し、利益相反業務から隔離されていなければならない。)の選任を義務付け、ハイリスク処理を行う行政機関・民間事業者に対し、DPIAの実施・事前通知を義務付けることを検討すべきではないか。
  • なお、法人格や行政機関の枠を超えた個人データ処理の広まりは、処理概念中心の規制体系への転換や、コントローラー概念の導入を必要とすると思われる。この点については、個人情報保護法第5章(旧行個法)の論点を参照。 

【オランダ税務当局②】不正検知システムの目的不特定・部門横断的利用に関する制裁金決定

個人情報保護

オランダデータ保護当局APは、2022年4月7日、税務当局における不正検知システムの利用に関し、複数の違反を認定し、財務大臣に対し合計370万ユーロの制裁金を課しました(Boete Belastingdienst zwarte lijst FSV | Autoriteit Persoonsgegevens)。

本件は、行政機関による個人データ処理に関し、参考になると思いますので、決定文の抄訳を掲載します(Claudeで全訳→語法を手作業で訂正→重要部分を抜粋→下線を引く、というプロセスで作成しています。)。

 

 

概要

決定文序文。

「個人データ保護機関(以下:AP)は、財務大臣に対し、総額3,700,000ユーロの行政制裁金を科すことを決定した。APは、財務大臣が税務当局の処理のコントローラーとして、2013年11月4日から2020年2月27日まで、不正シグナリング機能(以下:SV)アプリケーションにおける個人データの処理により、適法性、目的特定、正確性及び保存制限の原則に違反して行動したと結論付けた。

前述の4つの原則の違反に加えて、APは、税務当局がFSVの個人データに適切なセキュリティレベルを保証するために、アクセスセキュリティ、ロギング及びロギングの管理に関して、十分かつ適切な技術的及び組織的措置を講じていなかったと結論付けた。最後に、APは、税務当局がFSVのデータ保護影響評価(以下:DPIA)の実施において、データ保護責任者(以下:DPO)を適切かつ適時に関与させなかったと結論付けた。

APは以下でこの決定について詳しく説明する。第1章はイントロダクションであり、第2章には調査結果が含まれている。第3章では行政制裁金の(金額の)詳細が説明され、第4章には最後に主文及び法的救済条項が含まれている。」

 

調査結果の要約

決定文2.1。

「税務当局は、FSVに主に不正を犯した者及び税金又は給付金の不正を犯した可能性があると疑われた者を記録した。FSVは税務当局内で税務申告及び給付金の申請の評価に使用され、他の政府機関からの情報要求の登録に使用された。FSVはリスクモデルの作成にも参照され、税金又は給付金の債務の徴収に関連して罰金を科すべきかどうかの判断にも使用された。

2013年11月4日から2020年2月27日の期間において、税務当局は、疑われた不正及び確定した不正のシグナルと情報要求をFSVに登録、変更、参照、使用、結合し、FSV外に少なくとも244,273人及び30,000事業者について拡散した。これにより、税務当局は、GDPR第4条柱書及び1、2及び15号、GDPR第10条並びに旧オランダデータ保護法第1条柱書及びa及びb号並びに旧オランダデータ保護法第16条の意味における個人データ(健康、国籍及び刑事個人データに関するデータを含む)を処理した。

APは、財務大臣がGDPR第4条柱書及び7号並びに旧オランダデータ保護法第1条柱書及びd号に定められているように、税務当局によるFSVにおける個人データ処理のコントローラーであることを確認する。本決定において税務当局が言及される場合、APはこれを財務大臣と同等とする。

次にAPは、税務当局が2013年11月4日から2020年2月27日まで、FSVにおける個人データの処理により、適法性、目的特定、正確性及び保存制限の原則に違反して行動したことを確認する。APは以下でこれらの違反について説明する。

個人データは、GDPR第5条第1項柱書及びa号並びに旧オランダデータ保護法第6条に定められている適法性の原則に従って処理されなければならない。これは、GDPR第6条第1項及び旧オランダデータ保護法第8条に記載されている個人データの処理の根拠が存在しなければならないことを意味する。APは、FSVにおける個人データの処理には根拠がなかったと結論付ける。税務当局はこれらの処理について、「法的義務」を根拠として援用することに成功しなかった。なぜなら、(可能な)不正のシグナル及び情報要求を反対情報として処理する義務がなかったからである。

税務当局による「公共の利益に基づくタスクの履行又は公的権限の行使の枠組みにおけるタスクの履行に必要」という根拠の援用も成功しない。一般国税法、一般所得依存規制法、Awb第5.2編及び実体法の体系は、税務当局に(具体的なケースにおいて)監督目的で個人データを収集する権限を確かに与えている。しかし、この法律は、FSVにおける別個の、構造的な、大規模でセグメントを超えた多様な、(過度に)詳細な(特別及び刑事)個人データの収集の根拠として機能するには十分に具体的ではない。さらに、FSVにおける処理は、税務当局が税金及び給付金に関する法律の遵守を監督する公的タスクを履行するために必要ではなかった。関係者の利益への侵害が処理によって達成される目的と比較して不均衡であったため、比例性の原則が満たされていなかった。その際、FSVの目的が明確に定められておらず、したがって不明確であったことが重要である。さらに、APは、追求される目的が他の、より制限的な方法で、すなわちFSVなしで、又は他のより制限的なアプリケーションの形成によって達成できるため、補完性の原則も満たされていないと考える。

個人データはさらに、GDPR第5条第1項柱書及びb号並びに旧オランダデータ保護法第7条に定められている目的特定の原則に従って処理されなければならない。これは、個人データが明確に定められた明示的な目的のためにのみ収集されることを意味する。APは調査の後、FSVにおける個人データの収集の事前に定式化された目的が明確に定められていなかったと結論付ける。

個人データはさらに、GDPR第5条第1項柱書及びd号並びに旧オランダデータ保護法第11条第2項に定められている正確性の原則に従って処理されなければならない。これは、個人データが正確でなければならず、必要に応じて更新されなければならないことを意味する。APは、FSVには不正確で更新されていない個人データがあり、税務当局がこれらの個人データを修正又は削除するための合理的な措置を講じなかったことを確認する。

個人データは、GDPR第5条第1項柱書及びe号並びに旧オランダデータ保護法第10条第1項に定められている保存制限の原則に従っても処理されなければならない。これは、個人データが必要以上に長く保存されてはならないことを意味する。APの調査から、FSVの個人データがFSVの個人データに適用される保存期間よりも長く保存されていたことがわかる。これにより、税務当局は個人データを(したがって)必要以上に長く保存した。

前述の4つの規範及び基礎となる原則の違反に加えて、APは、税務当局がFSVの個人データに適切なセキュリティレベルを保証するために、アクセスセキュリティ、ロギング及びロギングの管理に関して十分かつ適切な技術的及び組織的措置を講じていなかったと結論付ける。これにより、税務当局は2013年11月4日から2020年2月27日まで、GDPR第32条第1項及び旧オランダデータ保護法第13条に違反して行動した。

最後に、APは、税務当局がFSVのGEBの実施においてDPOを適切かつ適時に関与させなかったと結論付ける。この行為により、税務当局はGDPR第38条第1項及びGDPR第35条第2項に違反して行動した。」

 

侵害の性質・重大性・期間関係

決定文3.3.1。制裁金額を決定する文脈での言及。

「FSVにおける個人データの不正な処理の性質及び範囲を考慮すると、APは税務当局による違反が非常に重大であると考える。税務当局は、FSVにおいて270,000人以上の関係者に関する540,000以上のシグナルを不正に処理した。この非常に大きなグループの市民(数百人の未成年者を含む)は、個人データ保護の権利において深刻な影響を受けた。その際、APは、関係市民が税務当局に対して従属的で不平等な立場にあることを考慮する。市民は税務当局に対して税務申告を行う義務又は特定の給付金を申請する可能性のみを有するからである。税務当局の意見提出後、税務当局がFSVからのデータを他の政府機関及び民間当事者とも共有していたことが判明した。APは、税務当局がその広範な権限及び市民に対して占める不平等な立場を考慮すると、この場合、その権限を極めて不注意に扱ったことを非難に値すると考える。

違反の期間に関して、APは、税務当局が6年以上の期間にわたって侵害を犯したこと、すなわち2013年11月4日から2020年2月27日まで犯したことを確認した。違反がこのように長期間にわたって構造的に継続したという事実を、APは非常に重大であると考える。

FSVに(潜在的)不正者として記録された市民への結果は非常に大きかった可能性がある。場合によっては、市民は十分な調査に基づかずに「不正者」という烙印を押された。そして、調査が行われ、不正がないことが判明した場合でも、この結論はFSVに記録されないことが多く、不正の疑いがFSVに残った。FSVへの登録(他の指標との組み合わせの可能性がある)は、その市民にとって汚名、より集中的な監督につながる可能性があり、及び/又は否定的な財政的結果をもたらした。

より集中的な監督は、例えば、その市民にとって不利に所得税申告が修正される、又は介護、住宅又は育児給付金の資格を得るための申請が却下されるという結果をもたらす可能性があった。また、給付金債務に対する個人的な支払い計画の要求又は税金又は給付金債務に対する任意の債務整理は、その市民のFSV登録のために自動的に却下された。市民はこれにより、財政状況について非常に長い間不確実性の中にいた。さらに、関係者は自分がFSVに記載されているという事実について通知されず、そのような趣旨の閲覧要求の後でも通知されなかった。これにより、関係者は自分がFSVに記載されていることを知らず、したがって権利を行使できなかったという結果が生じた。

税務当局の調査から、税務当局内及び税務当局と他の政府機関との間のコミュニケーションにおいて、リスクのシグナリングに関する例が見つかったことがさらに判明した。そこでは、国籍や外見などの個人的特徴に基づいて不正リスクが示された。例えば、(指示)文書において、外国籍(トルコ、モロッコ、東ヨーロッパなど)がさらなる税務調査の選択基準として使用された。しかし、モスクへの寄付や、「–ić」で終わる姓を持つ納税者による医薬品使用に関連する高額の控除も、不正のリスク指標として使用された。不正リスク選択におけるこの不平等な取り扱いは、汚名のリスクが大きい。さらに、税務当局がこの差別的でしたがって不適切なデータ処理方法について合理的で客観的な正当化を有していたことは示されていない。

 

個人データのカテゴリ関係

決定文3.3.2。制裁金額を決定する文脈での言及。具体的なデータ項目がかかれているのはここだけに見えます。

税務当局はFSVにおいて多くの(異なる)個人データを処理した。FSVのシグナルは、少なくとも市民サービス番号及び住所、氏名、居住地データ、口座番号、IPアドレスなどを含むいくつかの入力フィールドで構成されていた。シグナルには人の国籍及び犯罪行為及び刑事判決に関する文書が含まれることもあった。税務当局はさらに、場合によっては市民の身体的又は精神的健康に関するデータも処理した。これはGDPRの下で追加の保護を受ける特別カテゴリーの個人データである。APはまた、シグナルがシグナルが(直接)関係しない者、例えば家族、税務サービス提供者、保育者に関するデータを含む可能性があることを確認した。範囲及び機密性の高い個人データの性質を考慮して、APはこの根拠に基づいても違反が特に重大であると考える。」

 

DPIA関係

決定文3.4。制裁金額を決定する文脈での言及。

「DPOは、特にGDPRの内部遵守の監督においてコントローラーを支援する。このためには、コントローラーがDPOを個人データの保護に関連するすべての問題に適切かつ適時に関与させることが重要である。APは、税務当局がFSVのDPIAの実施においてDPOを適切かつ適時に関与させなかったことを確認した。

税務当局は、2018年11月6日から2019年1月21日までDPIAを実施した。この期間から1年以上経過して初めて、DPOにDPIAについて助言するよう求められた。したがって、税務当局はDPIAの実施中にDPOに助言を求めなかった。この結果、DPOは自らのタスクを適切に実行できず、したがって税務当局にGDPRの遵守について適時に助言することができなかった。適時の協議があれば、DPOは税務当局にFSVにおける個人データの不正な処理に関連するリスクについてより早く警告できたであろう。

前述のように、税務当局はFSVにおいて何十万人もの市民の非常に多くの(機密性の高い)個人データを処理した。多数の関係者に不利な結果をもたらす可能性のある大規模な個人データ処理の場合、税務当局は適時にDPIAを実施し、その件に関してDPOに助言を求めるべきである。APは、税務当局による重大な違反があり、財務大臣がコントローラーとして責任を負うと考える。

最後に、APはこの違反についても、税務当局が財務大臣の責任の下で重大に帰責可能な過失により行動したという判断に至る。税務当局がDPIAの実施から1年以上経過し、メディアからのFSVに関する質問の結果として初めてDPOに助言を求めたことを、APは重大な過失であると考える。

【オランダ税務当局①】育児給付金申請の審査等において二重国籍をリスク指標として使用したことに関する制裁金決定

個人情報保護

オランダデータ保護当局APは、2021年11月25日、2022年4月7日、税務当局における育児給付金申請の処理に関し、複数の違反を認定し、財務大臣に対し合計275万ユーロの制裁金を課しました(Boete Belastingdienst kinderopvangtoeslag | Autoriteit Persoonsgegevens)。

本件は、行政機関による個人データ処理に関し、参考になると思いますので、プレスリリースの抄訳を掲載します(Claudeで全訳→語法を手作業で訂正→重要部分を抜粋→下線を引く、というプロセスで作成しています。)。

 

 

概要

決定文序文。

「個人データ保護機関(以下:AP)は、財務大臣に対し、総額€2,750,000の行政罰を科すことを決定した。これは、一般データ保護規則(以下:GDPR)第5条第1項柱書及び(a)号と第6条第1項柱書及び(e)号、並びに個人データ保護法(以下:旧オランダデータ保護法)第6条と第8条の違反に対するものである。税務当局・給付金部門(以下:給付金部門)が、(1)少なくとも2016年1月1日から2020年6月30日まで、オランダ国籍保有者の二重国籍をいわゆる給付金支給システムに保存し続けたこと、(2)少なくとも2016年3月から2018年10月まで、育児給付金申請者の国籍をいわゆるリスク分類モデルの指標として処理したこと、(3)少なくとも2016年1月1日から2019年2月まで、組織的不正の摘発のために育児給付金申請者の国籍を処理したこと、これらの処理は給付金部門の公的任務の遂行に必要ではなかった。さらに、給付金部門は、リスク分類モデル及び組織的不正の摘発における前述の処理において、GDPR第5条第1項柱書及び(a)号、並びに旧オランダデータ保護法第6条に定める公正性の原則に違反して行動した。

 

調査結果の概要

決定文2。

「5. APは、給付金部門による育児給付金申請者の国籍処理に関する職権調査を開始した。これは、2017年4月に受け取った、給付金部門による育児給付金申請者の二重国籍の処理の可能性に関する通報を受けてのものである。この調査により、APは2020年7月16日に調査報告書(以下:調査報告書)を確定した。

6. 調査報告書では、給付金部門は税務当局の組織部門であり、育児給付金の認定、支払い、返還請求を担当していると説明されている。育児給付金に関する規制の遵守監視も給付金部門の公的任務に属する。この公的任務を遂行するため、給付金部門は人口登録由来の個人データを使用しており、その中には個人の国籍も含まれる。

7. 調査報告書において、APはまず、育児給付金申請者の国籍に関するさまざまな処理の適法性を評価した。3種類の処理について、APはこれらが違法であった/あると確認し、給付金部門の処理に関する処理責任者としての財務大臣が、GDPR第5条第1項柱書及び(a)号とGDPR第6条第1項柱書及び(e)号、並びに旧オランダデータ保護法第6条と旧オランダデータ保護法第8条に違反したと確認した。

8. 1の処理は、オランダ人申請者の二重国籍の処理に関するものである。調査報告書では、これらのデータは2014年1月以降、給付金部門が使用する給付金支給システム(以下:TVS)に保存され続けており、給付金部門はこれらのデータを任務の遂行に必要としていないと結論付けられた。したがって、給付金部門はこれらのデータを処理すべきではなかった。調査報告書によれば、この違反は2014年1月6日に開始され、報告書の確定時点ではまだ完全には終了していなかった。

9. 第2の処理は、リスクの高い申請を自動的に選択し、人的能力を投入するシステム、いわゆるリスク分類モデルにおける指標としての申請者の国籍の使用に関するものである。APは調査報告書において、この目的での国籍の使用は必要ではなかったと結論付けた。より侵害の少ない処理形態が可能であったためである。この違反は2016年3月から2018年10月まで継続した。

10. 第3の処理は、組織的不正の摘発において育児給付金申請者の国籍を使用したことに関するものである。APは調査報告書において、この目的での国籍の使用は必要ではなかったと結論付けた。この違反は2013年から2019年6月まで継続した。

11 次にAPは、これらの処理の公正性を評価した。調査報告書によれば、第2及び第3の処理は差別的であり、したがって不公正である。これらの処理は客観的な正当化なしに国籍に基づく区別を行っているためである。これにより、財務大臣はGDPR第5条第1項柱書及び(a)号、並びに旧オランダデータ保護法第6条にも違反した。調査報告書によれば、これらの不適正な処理は、少なくとも2016年3月から2018年10月まで、及び2013年から2019年2月までそれぞれ行われた。」

 

個人データ処理の概要

決定文6.2.1。

「28. 以下で、APは前述の3つの処理において個人データの処理があるかどうかを評価する。

29. 給付金部門は、給付金の認定、支払い、返還請求を担当している。育児給付金の申請者(及びその給付金パートナー)は、給付金部門が直接識別できる自然人である。これは、給付金部門が個人に給付金を支払う任務に固有のものである。調査報告書の第2章から、給付金部門は申請者の国籍も保有していることがわかる。これは、給付金部門にとって識別可能な自然人に関する情報である。したがって、申請者の国籍は、GDPR第4条柱書及び(1)号、並びに旧オランダデータ保護法第1条柱書及び(a)号の意味における個人データである。申請者は、GDPR第4条柱書及び(1)号、並びに旧オランダデータ保護法第1条柱書及び(f)号の意味におけるデータサブジェクトである。

30. 調査報告書の第2.1項から第2.4項から、給付金部門が申請者の国籍に関するデータを、とりわけ収集、保存、使用、照会、記録していることがわかる。これにより、給付金部門は、GDPR第4条柱書及び(2)号、並びに旧オランダデータ保護法第1条柱書及び(b)号の意味における個人データの処理を行ってている。

31. 調査報告書の第2.3項から、給付金部門がリスク分類モデルを使用していることがわかる。給付金部門によるリスク分類モデルの使用は、GDPR第4条柱書及び(4)号に定める3つの条件すべてを満たすため、プロファイリングの一形態である。第一に、自動化された処理形態である。リスク分類モデルは、人的能力を投入する申請を自動的に選択するアルゴリズムであるためである。第二に、処理は個人データに関するものである。モデルで使用される指標は、とりわけ申請者の子供の数、及び申請者がオランダ国籍を持っているか否かである。リスク分類モデルの指標に使用される情報は、GDPR第4条柱書及び(1)号の意味における個人データである。第三に、処理はリスク分類モデルによって個々の特性を評価し分類することを目的としている。申請者の個人的側面に基づいて評価され、それに基づいて申請者が誤った申請を提出したリスクがどの程度かが推定され、それに応じて監視が調整される。

 

必要性欠如

第1の処理(TVSにおける二重国籍の処理)の必要性欠如

決定文6.3.2。

「40. APは調査報告書において、給付金部門がオランダ人の育児給付金申請者の二重国籍を違法に処理したと確認した。

41. 育児給付金を受けるためには、育児給付金の申請者(及びその給付金パートナー、以下まとめて:申請者)はオランダ国籍を保有しているか、オランダに合法的に滞在する外国人でなければならない。したがって、個人データである国籍の処理は、給付金部門の公的任務に必要である。この処理がなければ、給付金部門が育児給付金の受給資格を決定し、この点で公的任務を適切に遂行することは不可能であるためである。調査報告書で説明されているように、ここでも比例性及び補完性の要件が満たされている。ただし、これは育児給付金の受給資格の決定に関連する国籍についてのみ適用される。

42. 調査報告書では、給付金部門が育児給付金の受給資格の決定に関連する個人の国籍だけでなく、GBA(注:基礎自治体登録)から収集され2014年1月6日以降TVS(注:給付金支給システム)に保存され続けたオランダ国籍保有者の二重国籍も保有していることが確認された。これらのデータは育児給付金の受給資格の決定には関連せず、給付金部門の公的任務には必要ではないと判断された。要約すると、オランダ国籍が既に受給資格を与えるためである。これは、GDPRに定める原則、すなわち個人データはデータサブジェクトに関して適法な方法で処理されなければならないという原則に違反することを意味する。したがって、調査報告書は、2014年1月6日から少なくとも2020年4月10日まで、GDPR第5条第1項柱書及び(a)号とGDPR第6条第1項、並びに旧オランダデータ保護法第6条と旧オランダデータ保護法第8条の違反があったと結論付けている。

43. (略:財務大臣が違反を認めたこと)

44. これを踏まえ、APは、財務大臣がオランダ国籍保有者の二重国籍の処理において、GDPR第5条第1項柱書及び(a)号とGDPR第6条第1項の違反を犯したと結論付ける。これはまた、2018年5月25日以前の期間について、旧オランダデータ保護法第6条と旧オランダデータ保護法第8条の違反をもたらす。論拠については、APは調査報告書の第3.4.2項も参照する。この違反は2014年1月6日に開始され、2020年6月30日に終了した。」

 

第2の処理(リスク分類モデルにおける国籍の使用)の必要性欠如

決定文6.3.2。

「45. APは調査報告書において、給付金部門が2013年以降、いわゆるリスク分類モデルを使用して、誤りのリスクが高い(個別の)育児給付金の申請及び変更に管理能力を投入していることを確認した。リスク分類モデルはすべての申請を審査し、そのようなリスクが高い概念決定を選択する。これは指標に基づいて行われる。指標は、申請が行われる事実と状況についての示唆を与える。指標の1つは、オランダ国籍/非オランダ国籍であった。この指標は、過去の監視活動における確認に基づいてモデルに含まれた。

46. リスク分類モデルは1か月間のすべての申請を審査し、その際に自己学習アルゴリズムを使用する。このアルゴリズムに基づいて、人的能力を投入する申請が自動的に選択される。モデルは、さまざまな指標に基づいて、誤った申請が提出されたリスクがどの程度かを推定する。その月に最も高いリスクスコアを持つ100件の申請が、その後、従業員による手動検査のために提供される。モデルの指標の1つは、少なくとも2016年3月から2018年10月まで、「オランダ国籍/非オランダ国籍」の指標であった。二重国籍の場合、オランダ国籍も含まれている場合は、オランダ国籍とみなされた。

47. APは調査報告書において、要約すると、非オランダ国籍(どの国籍かは考慮されない)が他の指標と組み合わせて、より高いリスクスコアをもたらし、給付金部門の従業員による手動検査につながる可能性があったと確認した。特定の場合、申請者の国籍が追加検査の可能性に寄与した。

48. APは調査報告書において、リスク分類モデルにおける「非オランダ国籍」データの処理は補完性原則を満たしておらず、したがって必要性要件を満たしていないと判断した。オランダ国籍/非オランダ国籍の指標は、申請者がその(二重)国籍に基づいて育児給付金の受給資格があるかどうかについて決定的な答えを与えなかった。ここでは、申請者がオランダの自治体に登録されているか、又はオランダに合法的に滞在しているかどうかも関連する。したがって、合法的滞在を確定するには、より多くの基準が重要である。したがって、合法的滞在内で国籍のみに基づいて判断する選択には客観的な正当化がない。給付金についてより多くを語る客観的指標は、「オランダ国籍を持つか、オランダの自治体に登録されているEU国籍を持つか、非EU国籍で有効な滞在許可を持つ」というものである。このような指標は、給付金部門の行動が国籍に依存する可能性を減らすであろう。つまり、より侵害の少ない処理形態が可能であった、すなわち指標を国籍のみに基づかせないことによって。

49. (略:財務大臣が違反を認めたこと)

50. これを踏まえ、APは、オランダ国籍/非オランダ国籍の指標に対する国籍の処理は不公正な処理であり、財務大臣がGDPR第5条第1項柱書及び(a)号とGDPR第6条第1項に違反したと結論付ける。これはまた、2018年5月25日以前の期間について、旧オランダデータ保護法第6条の違反をもたらす。論拠については、APは調査報告書の第3.5.2項も参照する。この違反は少なくとも2016年3月から2018年10月まで継続した。」

 

第3の処理(組織的不正の摘発における国籍の使用)の必要性欠如

決定文6.3.2。

「51. APは調査報告書において、給付金部門が2013年から2019年6月まで、育児給付金における組織的不正の摘発のために個人データである国籍を使用した(している)と確認した。

52. 調査報告書から、不正対策において育児給付金申請者の国籍が給付金部門によって、クエリの実行を通じて処理されたことがわかる。

53. 第一に、申請者の国籍は、2013年7月9日以降、給付金部門によって使用され、給付金ポータルにおけるすべての申請者の国籍に関するクエリを原因なく定期的に実行することにより、申請者グループの活動を把握していた。これにより、国籍ごとの申請数のイメージが生まれた。

54. 第二に、2013年以降、具体的な不正信号がそのための原因を与えた場合、とりわけTVSから、とりわけ個人データである国籍及び場合によっては二重国籍に関するクエリが実行された。その結果はExcelファイルに表示され、調査すべき信号がある場合は、2014年以降、表の形式でさらに処理され、内部文書、いわゆるクイックスキャンに記録された。2018年5月25日から2019年2月14日までの期間に、合計213件のクエリが実行された。すべてのクエリで国籍が照会された。

55. 税務当局がこの処理の最も重要な理由として挙げたのは、国籍が調査対象集団の同質性の兆候である可能性があり、経験的に、国籍に基づくものを含む同じ生活環境にいる市民が組織的濫用の兆候である可能性があることが示されたというものであった。

56. 第三に、調査報告書では、2014年の2つの事例が確認されており、給付金部門が不正信号を受けて、特定の国籍を持つすべての申請者の追加データを照会していた。これには、i)2013年1月1日以降に給付金を申請したガーナ国籍を持つすべての市民に関するクエリ、及びii)2013年6月1日から2014年1月1日までに給付金申請を行ったブルガリア国籍を持つすべての申請者に関するクエリが含まれる。これらの申請者は、オランダ国籍も保有している可能性があった。事実上、これはオランダ国籍と他の国籍の両方を持つ申請者が、オランダ国籍にもかかわらず、他の国籍に基づいて給付金申請が不正について評価される可能性があったことを意味する。

57. 調査報告書では、給付金部門が2019年6月7日に、育児給付金における組織的不正の摘発に関する分析及び調査の一部となることを防ぐため、クエリ要求で申請者の国籍を照会することを停止することを決定したことも確認されている。さらに、APは申請者の国籍が照会されたすべてのクエリ及びクイックスキャンを要求した。2018年5月25日から2019年2月14日までの期間に、合計213件のクエリが実行された。税務当局はまた、2019年2月14日以降、クエリプロセス及び形式が調整され、「国籍」データがクエリ結果に含まれなくなったと述べた。

58. APは調査報告書において、要約すると、上記の処理が育児給付金不正の摘発に必要ではなかったと判断した。比例性及び補完性の要件が満たされていなかったためである。

59. 申請者グループを把握するためには、より侵害の少ない処理形態が可能である。それは、国籍内での活動の増加があるかどうかを調査するのは、より具体的な原因がある場合のみである。さらに、税務当局は調査中に、給付金ポータルにおけるすべての育児給付金申請者の国籍の把握は、比例性及び補完性の要件を満たしていなかったと述べた。

60. さらに、調査報告書では、給付金部門が使用したクエリ及びクイックスキャンは、国籍が育児給付金の組織的濫用の摘発において関連するデータであるという立場を一切支持しないと結論付けている。それとは別に、グループの同質性の程度を確定するために、より侵害の少ない処理形態が可能であった。給付金部門も、不正信号を受けて育児給付金申請者の国籍をクエリ及びクイックスキャンで処理することが、育児給付金不正の摘発及び対策に必要であった理由を説明できなかった。それどころか、税務当局は調査中に、不正信号を受けて申請者の国籍を照会し使用することにより、給付金部門が補完性及び比例性の要件に十分注意を払っておらず、不正対策において行き過ぎたと述べた。

61. 不正信号を受けて給付金部門が特定の国籍を持つすべての申請者の追加データを照会した2014年の2つの事例については、調査報告書でも、国籍の使用は組織的不正の摘発において必要ではなく、国籍から不正を確定できる関連データを導き出すことはできなかったと結論付けている。したがって、処理は給付金部門の公的任務の遂行に必要ではなかった。調査中に、税務当局は、現在の知識では、国籍のみで選択されたクエリは不均衡であると述べた。

62. (略:財務大臣が違反を認めたこと)

63 これを踏まえ、APは、財務大臣が組織的不正の摘発における育児給付金申請者の国籍の使用において、GDPR第5条第1項柱書及び(a)号とGDPR第6条第1項に違反したと結論付ける。これはまた、2018年5月25日以前の期間について、旧オランダデータ保護法第6条と旧オランダデータ保護法第8条の違反をもたらす。論拠については、APは調査報告書の第3.6.2項も参照する。この違反は少なくとも2013年に開始され、2019年2月に終了した。

 

公正性欠如

判断枠組み

決定文6.4。

「64. 調査報告書では、前述の処理の一部が、GDPR第5条第1項柱書及び(a)号、並びに旧オランダデータ保護法第6条の意味において不公正でもあったとさらに確認されている。GDPR第5条第1項柱書及び(a)号と旧オランダデータ保護法第6条は、同じ法的利益を保護することを目的としており、この点に関する規制に(本質的な)実質的変更はない。

65. コントローラーには、個人データを公正な方法で処理する義務がある。GDPRにおける公正性の原則は、とりわけ、個人データは公正かつ透明な方法で処理されなければならず、処理は一般的な法原則及びデータサブジェクトの基本的権利、例えばとりわけ欧州連合基本権憲章(以下:憲章)第21条に定める差別禁止と矛盾してはならないことを意味する。

66. 差別があるかどうかの評価において、すべての点で同一の2つの事例が発生することは要求されないことが重要である。重要なのは、関係する事例が関連する点で十分に比較可能かどうかである。さらに、差別禁止は、関連する点で同一の事例のすべての不平等な扱いを妨げるものではなく、行われた区別に合理的かつ客観的な正当化がないため、不当な区別とみなされなければならない扱いのみを妨げる。これは、その区別が正当な目的に資さない場合、又は使用される手段と実現しようとする目的との間に合理的で比例的な関係がない場合に発生する。この審査基準は、国際人権B規約第26条、憲章第21条、欧州人権条約第12議定書第1条、あらゆる形態の人種差別の撤廃に関する国際条約第1条、及び憲法第1条に等しく適用される。

67. APは、給付金部門が育児給付金申請者の国籍を区別基準として、又は育児給付金の監視における考慮事項として使用したかどうか、そのための客観的な正当化がないかを調査した。そのような処理は、簡単に言えば、差別的であり、そのためGDPR第5条第1項柱書及び(a)号の意味における公正性の原則に反するとみなすことができる。調査報告書に記載されたさまざまな国籍処理が差別的であったかどうかを判断するため、処理は以下の累積的基準(注:4要件が「かつ」の関係であることを意味する。)に照らして審査された:

  1. 相対する利益は、関連する点で十分に比較可能である。
  2. これらの事例の間に区別が行われた。
  3. 区別は扱いにおける不利益をもたらした。
  4. 区別は合理的かつ客観的に正当化されない。正当な目的に資さず、及び/又は区別と意図された目的との間に合理的で比例的な関係がないために。

68. (略:第2の処理、第3の処理がいずれもこれに違反するとの結論)」

 

第2の処理の公正性欠如

決定文6.4。

「69. 調査報告書によれば、リスク分類モデルにおいて行われた区別は、合理的かつ客観的に正当化されていない。相対する2つの事例間の区別、及びそれから生じる扱いにおける不利益は、意図された目的との合理的かつ比例的な関係にない。リスク分類モデルの指標は、誤りのリスクが最も高い申請及び変更を選択することを目的としている。オランダ国籍/非オランダ国籍の指標は、申請者がその(二重)国籍に基づいて育児給付金の受給資格があるかどうかについて完全な答えを与えなかった。ここでは、申請者がオランダの自治体に登録されているか、又はオランダに合法的に滞在しているかどうかも関連する。したがって、合法的滞在を確定するには、より多くの基準が重要である。したがって、合法的滞在内で国籍のみを判断する選択には客観的な正当化がない。給付金についてより多くを語る客観的指標は、「オランダ国籍を持つか、オランダの自治体に登録されているEU国籍を持つか、非EU国籍で有効な滞在許可を持つ」というものである。このような指標は、給付金部門の行動が国籍にも依存する可能性を減らすであろう。つまり、より侵害の少ない処理形態が可能であった、すなわち指標を国籍のみに基づかせないことによって。

70. (略:財務大臣が違反を認めたこと)

71 これを踏まえ、APは、オランダ国籍/非オランダ国籍の指標に対する国籍の処理は不公正な処理であり、財務大臣がGDPR第5条第1項柱書及び(a)号に違反したと結論付ける。これはまた、2018年5月25日以前の期間について、旧オランダデータ保護法第6条の違反をもたらす。論拠については、APは調査報告書の第3.7項も参照する。この違反は少なくとも2016年3月から2018年10月まで継続した。

第3の処理の公正性欠如

72. 給付金部門による申請者の国籍の使用により、申請者グループの活動を把握することについて、調査報告書において、要約すると、以下のように結論付けられている。個々の申請者を国籍に基づいて分類することにより区別が行われ、これにより申請数が増加した国籍を持つ申請者に不利益をもたらした。特定の国籍内での活動の増加は、他の変数と組み合わせて、給付金部門にとってさらなる調査の原因となる可能性があった。これらの申請者は、活動が増加した国籍に属さない申請者と比較して、検査される可能性が高かった。行われた区別は合理的かつ客観的に正当化されていない。それから生じる扱いにおける不利益は、意図された目的との合理的かつ比例的な関係にない。より侵害の少ない形態が可能であるためである。それは、国籍内での活動の増加があるかどうかを調査するのは、より具体的な原因がある場合のみである。しかし、給付金部門は、すべての国籍について定期的かつ具体的な原因なしに申請数の概要を作成していた。

73. 不正信号を受けてクイックスキャンで国籍を処理することについて、調査報告書において、要約すると、以下のように結論付けられている。一方ではすべての申請者と、他方では不正信号を受けてクエリ及びクイックスキャンに含まれた申請者との間に区別が行われた。給付金部門はこの際、とりわけ国籍を使用した。意図は、これにより調査対象集団の同質性を評価することであった。これは給付金の組織的濫用を示す可能性があると給付金部門は考えた。この区別は、そのようなクエリ及びクイックスキャンに含まれた申請者に対する扱いにおける不利益をもたらし、合理的かつ客観的に正当化されていない。それから生じる扱いにおける不利益は、意図された目的との合理的かつ比例的な関係にない。申請者の国籍を処理することの必要性は、関連する法令からも、実際の処理結果からも明らかではなかったためである。(略)

74. 不正信号を受けて給付金部門が特定の国籍を持つすべての申請者の追加データを照会した2014年の2つの事例については、調査報告書において、要約すると、以下のように結論付けられている。特定の期間における特定の国籍を持つすべての申請者に関する追加情報の要求によってクエリを実行することにより区別が行われた。この区別は、ガーナ国籍又はブルガリア国籍を持つ申請者が追加の監視措置の対象となったため、扱いにおける不利益をもたらした。これは特定の国籍を持つ申請者にのみ向けられているため、疑わしい区別である。欧州人権裁判所の確立した判例によれば、疑わしい区別の実施は、非常に重大な理由がある場合にのみ許可される。給付金部門は非常に重大な理由に依拠することはできない。申請者の国籍を処理することの必要性は、ここでも関連する法令からも、実際の処理結果からも明らかではなかった。(略)

75. (略:財務大臣が違反を認めたこと)

76. これを踏まえ、APは、財務大臣が組織的不正の摘発における育児給付金申請者の国籍の使用において、GDPR第5条第1項柱書及び(a)号に定める公正性要件に違反したと結論付ける。これはまた、2018年5月25日以前の期間について、旧オランダデータ保護法第6条の違反をもたらす。論拠については、APは調査報告書の第3.8項も参照する。この違反は2013年から2019年2月まで継続した。」

 

制裁金の増額事由

決定文7.3。関係部分のみ抜粋。

「85. 違反の性質については、APは、これが差別にセンシティブな個人データ、すなわち国籍の処理に関するものであり、その処理には個人が不必要に特定のグループに分類されるという通常より高いリスクが伴うことを重視する。市民の国籍を処理する際には、特に慎重に行動する必要がある。さらに、給付金の申請者は政府に対して非常に依存的かつ不平等な立場にある。育児費用は非常に高額であるため、親は通常、育児給付金なしではこれを負担できない。これは、彼らがしばしば、これを取得するために政府による個人データの処理を受け入れざるを得ないことを意味する。自由な選択、又は親がこの処理を拒否する可能性はない。このような依存的で不平等な立場では、政府が最大限に慎重に行動し、GDPRを含むすべての関連法規を遵守することが特に重要である。これが行われなかったことを、APは非常に深刻であると考える。また、違反の組織的、したがって偶発的ではない性質、すなわち長期間にわたり体系的に不必要な個人データ処理が行われたことも、違反の重大性の判断において重視される。

86. (略:数十万人~100万人以上が影響を受けたこと)

87. (略:違反が長期に及んだこと)

88. さらに、違反はデータサブジェクトの生活に大きな影響を与えた。国籍の不必要な処理により、申請者は不当に詐欺師とみなされるリスクが高まった。給付金スキャンダルの余波で明らかになったように、これにより一部の世帯は既に受け取った給付金数万ユーロを返還しなければならなくなる可能性があった。多くの申請者はこれにより長年にわたり深刻な財政問題に陥り、これは彼らの個人生活に大きな影響を与えた(与えている)。」

個人情報保護法第5章(旧行個法)に関する追加メモ―DPIA、DPO、法化

個人情報保護

個人情報保護法第5章(旧行個法)の論点に関する追加メモです。

 

DPIA

  • DPIAの実施・事前相談義務はDPD第9章の通知ないし届出(notification)を置き換えたもの(GDPR Recital 89)。
  • DPIAはそれ自体としてはrisk assessmentを求めるにすぎないが、アカウンタビリティ原則やDPbDDと結びつくことで、事実上、risk assessment and mitigationを求めていた。
  • この意味で、GDPRのDPIA、DSAのsystemic risk assessment / mitigation、AIAのfundamental rights impact assessmentは延長線上にあるといえる。DPIAガイドライン(WP248)はISO 31000を参照している。
  • 日本では、番号法がDPIAを規定しているが、特定個人情報ファイル保有時の義務になっており、個情法第5章の個人情報ファイル保有時の義務の上乗せ規定になっている。

 

DPO

  • DPOは規制遵守の促進者(facilitator)であり、そのために、専門的知識・能力と利益相反の防止が求められる。ガイドライン(WP243)は、利益相反となりやすい職として、CEO、COO、CFO、chief medical officer、マーケティング部門長、人事部門長、IT部門長を挙げている。
  • DPOは、しばしばcontact pointであると言われるが、単なるmessengerではなく、事業者・行政機関内部における当局のカウンターパートと理解したほうがよい。
  • 日本では、「個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)」の「4-8 (別添)行政機関等の保有する個人情報の適切な管理のための措置に関する指針」で総括保護管理者の選任が求められているが、官房長等をもって充てるとされている。このことは、指揮監督権限を通じた法の遵守という観点からは一定の合理性があるが、専門性や利益相反の防止とは正面から対立する。
  • 日本では、例えば、第1種金融商品取引業においては、「営業部門とは独立してコンプライアンス部門(担当者)が設置され、その担当者として知識及び経験を有する者が確保されていること。」が要求されており、これが最も近いのではないか。

 

個人データ保護当局の戦略

  • 個人データ保護当局は、新興勢力であり、特に行政機関における個人データ保護の実効性を確保するためには、よく考えられた戦略が必要である。
  • 外国当局や、国内においては裁判所や公取委の実務をよく研究する必要があるが、基本的には、「法化(脱政治化)」が基本戦略となるはずである。
  • そのような基本戦略の下では、首尾一貫した理論的正当化、手続的公正、情報収集手段、早期かつ構造を重視した働きかけ、核心的利益の侵害に的を絞った強力な法執行、といったことが重視されるべきであり、DPO/DPIAはそのためのツールとして位置づけられるべきである。これらについて、考え方を明確化し、公表することも、個情委の権威を高め、行政機関の受容を促進するであろう。

 

GDPRの公的部門における運用状況のリサーチ方法について

  • GDPRの公的部門における執行は、①EDPBの活動が控えめであり、加盟国の裁量に委ねられている部分が大きい、②早期是正に重点が置かれ、データ保護当局が(まずは)非強制的手段を採用しがちである、③対象当局も(最終的には)データ保護当局の意見を尊重しがちであるといった背景のため、EUレベルの問題(例えばEDPBガイドライン、EDPBの拘束的決定、CJEU判決)になりにくく、加盟国当局の運用を個別に調べる必要性が大きいようである。
    • 民間部門のように、巨額の制裁金事例やCJEU判例を起点にしたリサーチでは不十分になりやすそうである。
  • 加盟国当局では、ひとまず、4大国(独仏伊西)とオランダを参照するのがよさそうである。アイルランドやルクセンブルクは、米系・中国系巨大企業の欧州法人が所在するため、民間部門での法執行においては存在感があるが、規模が小さく(アイルランドは千葉県より人口が少なく、ルクセンブルクは江戸川区や足立区くらいの規模である。)、おそらくあまり参考にならない。
  • 実務を調べる足がかりとしては、まずは各国当局の年次報告書を調べるのがよさそうである。

個人情報保護法第5章(旧行個法)の論点

個人情報保護

最近参加した学会とデジ行宍戸意見を踏まえて思ったことを(雑駁ですが)書いていきます。

 

 

情報公開・公文書管理法制との分離

平成15年制定時に生じた「歪み」を取り除くという観点からは、以下が検討事項となりうる。

  • 規律の対象を「保有個人情報」から民間と同等の処理情報に改めるべきである。これは、①体系的構成(≒個人情報ファイルを構成する個人情報であること)を要求することと、②行政文書への記録を要求しないことの2つを意味する。
    • 情報公開法上の行政文書は、一時的に生成・記録される電磁的記録を含まない。行政文書開示という目的からは自然な定義ないし解釈であるが、個人データ保護の観点からは、記録しなければ規制を免れるというのは不合理である(かといって、個人データ保護の必要性がある場面全体にまで公文書管理法4条を及ぼすのはやり過ぎであろう。)。
    • 同時に、データベース/ファイル概念を官民で統一し(体系的構成が重要で、保存(storage)は重要ではないので、「データセット」などと呼んだほうがよいかもしれない。)、民間部門でもデータベース/ファイルごとの利用目的の通知・公表を求めたほうがよいかもしれない(というか、本来、処理目的ごとにデータベース/ファイルを観念すべきなのだと思われる。)。
  • その上で、いわゆる行政文書の本人開示は、情報公開法に特則を設けるのが筋ではないか。いわゆる「制度の谷間」の本質は、(情報公開法5条1号の)保護法益の帰属主体が当該利益を放棄しているのに、当該利益を理由とする不開示が認められることにあり、そうであるとすれば、本人請求/本人同意の場合には不開示を認めないこととすれば足りるはずである(商標法4条1項8号参照)。
    • 行政文書の「探索」の問題は、行政文書と個人情報ファイルの違いを十分考慮することなく本人開示を個人情報保護法制に引き受けさせたことの弊害と言える。行政文書は行政文書としてインデックスされている(はずな)ので、文書特定事項があれば容易に探せるはずであるし、個人情報ファイルを構成する個人情報は個人情報としてインデックスされているので、本人特定事項があれば容易に探せるはずであるが、行政文書に散在的に記載された個人情報は、個人情報としてはインデックスされていないので、「藁の中から針を探す」作業になる。
  • なお、公文書管理・情報公開法制は、それはそれとして見直されるべきである。
    • 例えば、ヴォーン・インデックス、インカメラ審理、裁判所(司法行政文書、裁判文書)の規律、公文書管理委員会の地位と権限の強化等が検討課題となろう。
    • 情報公開法5条1号本文は、前段で個人識別情報(その定義は「容易に」の点を除いて個人情報保護法制における個人情報の定義と類似している。)を定め、後段で個人が識別されないが開示により権利侵害が生じるおそれがある情報を定めているが、個人識別情報の開示は、類型的に権利侵害を生じさせるとは言えず(個人情報保護法制は個人識別情報に類似する「個人情報」の取扱いを規制対象としているが、それは、その体系的処理に起因する権利侵害を防止するために過ぎない。)、単に開示により個人の権利利益を侵害するおそれのある情報とすることも考えられるのではないか。

 

エンフォースメントの強化

また、エンフォースメント強化の観点からは、以下が検討事項となりうる。

  • ファイル保有時の事前通知義務の適用除外を精緻化すべきではないか。事前通知義務は、個情委による監視権限発動の端緒となるものであり、事務の性質上本人通知等が適切ではない場面では、監視権限発動の必要性はより大きい。現行法の適用除外規定は、基本的には昭和63年法制定時に作られたものであるが(高鳥総務庁長官が当時の苦労を答弁している。)、個情委は独立監督機関であるし、委員・事務局職員の守秘義務も国家公務員法のそれと比べて強化されている。
  • 行政機関においてこそ、DPOの選任とDPIAの実施・通知を義務付けるべきではないか。前者については、個人情報保護責任者は既に既に設置されているから、大きな混乱なく導入できると思われる(ただし、独立性と利益相反の防止は要求する必要がある。)。後者についても、ファイル保有時の事前通知義務の拡充と考えれば、それほど大きな変化ではないだろう(そのような形で導入した上で、徐々にやり方を洗練させ、よりプロアクティブな監視権限行使に繋げていけばよい。)。

 

Processing中心の規制体系への移行

より根本的な問題は、activity-basedな規制にどのように切り替えていくかである。宍戸意見が「AIの学習や利用、データの共有や連携等の拡大を見据えて、検討を行うべき」と指摘するとおり、今後、個人データ処理は官民問わずますます越境的(個情法第4章であれば法人格、個情法第5章であれば行政機関の枠を越えるという意味で)になる。そのような実態に対して、entity-basedな側面の強い規制体系は有効でなくなっていく可能性が高い。そこで、一連のprocessing activitiesに着目し、必要な者に責任を割り当てるという、activity-basedな規制体系への転換が必要であるが(See, Seiichi Igaya, Osamu Sudoh, Ignored discrepancies in the fundamental concepts of data protection laws in Japan and the EU)、一方で、EUは、file概念を放棄したことにより、処理情報と散在情報の区別がつかなくなっているように見える。例えば処理概念に体系性を読み込みつつ(UK DPA 1984のように)、セキュリティ義務など(「など」の範囲が問題であるが)は別建てとするのか、データベース/ファイル概念を残しつつ、データベース/ファイルと処理を一対一で観念するのかといったことを考える必要がある。官民の情報連携が今後ますます増えることを考えると(例えば警察と金融機関/通信事業者/オンラインサービス)、この見直しは、4章・5章同時に行う必要がある。