GDPR対応のAIワークフロー:データレジデンシー、DPA、監査証跡
EUのチームが実業務のワークフローにLLMステップを足すとき、つまずく場所はほぼ同じです。プロトタイプは動く。そこで誰かが「個人データはどこへ行くのか」と尋ねます。答えが「たぶん米国のAPIへ」なら、プロジェクトは次の四半期を法務レビューに費やすことになります。
GDPRはLLMの利用を禁止していません。既知の問いのリストに答えることを求めているだけで、そのほとんどは書類仕事ではなくアーキテクチャの判断です。最初の1週間でこれらを確定するチームは、無視するチームとほぼ同じ速度でAIワークフロー自動化を本番に届けられます—後からの手戻りがない分、実際には速いくらいです。
PoCの前に法的根拠を確定する
最初に話すべき相手はエンジニアではありません。ワークフローを1ページにまとめ、プライバシーの責任者—DPO、法務、あるいはその帽子をかぶる創業者—と次の5つの問いを確定します。
ワークフローが触れる個人データの各カテゴリについて、法的根拠は何か:契約、正当な利益、同意のいずれか?
個人に法的効果または同等の重大な影響を与える決定を生むステップはあるか(第22条)?
モデルプロバイダを含め、各ステップで誰が管理者で誰が処理者か?
データはEU域外に出るか。出るならどの移転メカニズムに基づくか?
入力・出力・ログの保持期間はどれだけで、誰が削除できるか?
最も重要なのは第22条の問いです。アーキテクチャを変えるからです。ワークフローが与信、雇用、保険、住宅など同等の事項に影響するなら、最後の形だけの承認ではなく、実質的な人の判断ポイントが必要になります。それはポリシー文書の一文ではなく、設計し予算を割くべき画面です。
レコードではなくフィールドを送る
データ最小化は最も安価なコンプライアンス施策であり、多くの場合モデル出力も同時に改善します。原則は、そのステップに必要なものだけをモデルに見せることです。
ステップが使う特定のフィールドだけを送る—CRMレコード全体ではなく、苦情本文とカテゴリ一覧。
モデル呼び出しの前に氏名・メールアドレス・口座番号を内部IDに置換し、応答後に再結合する。
プロンプトに入る前に検索結果をフィルタし、RAGチャンクをワークフローが本当に必要とする範囲に絞る。
可能な範囲で自由記述の入力を仮名化する。貼り付けられたメールスレッドに紛れ込む個人データも個人データです。
何を送ったかを正確にログに残す。監査人に示せない最小化は、最小化として数えられません。
ここはコンプライアンスとエンジニアリングが同じ方向を向く場所です。フィールド単位のプロンプトは、テストしやすく、安く動き、説明もしやすい。
レジデンシー、DPA、保持期間
モデルをどこで動かすかは調達判断であり、コントロールとコストの低い順に3つの現実的な選択肢があります。
EUリージョンのエンドポイント。 主要なモデルプロバイダはEU域内での推論を提供しており、プロバイダの標準DPAの下でEU内処理が成立します。多くのプロジェクトの妥当なデフォルト。
自社クラウドへのデプロイ。 自社のAWS / Azure / GCPテナントのEUリージョンでモデルを動かし、すでに審査済みのクラウド契約の中にデータをとどめる。
セルフホストのオープンウェイトモデル。 コントロールは最大、運用コストも本物。規制当局や顧客契約が要求する場合に選ぶものであり、反射的に選ぶものではありません。
どれを選んでも、DPAの連鎖は明示します。当社がワークフローを構築する場合、当社はDPAの下であなたの処理者として動き、モデルプロバイダは固有の条件を持つサブプロセッサとして明記されます。PoC開始前に、プロバイダ条件の2点を確認してください。API入力がモデル学習に使われないこと(ビジネス向けプランでは標準ですが、書面で確認すること)、そして不正利用監視のための保持期間—通常0〜30日—がDPOに伝えた内容と一致していることです。
監査ログはGDPRの機能である
監査ログをエンジニアリングの間接コストと見なすチームは多いですが、GDPRの下では二重の役割を果たします。ワークフロー内のすべてのモデル呼び出しで、次を記録すべきです。
実際に送信された最小化済みの入力ペイロード
モデル、そのバージョン、プロンプトのバージョン
出力と、取得できる場合は信頼度シグナル
承認・修正・却下を行ったレビュアー
タイムスタンプと、削除を駆動する保持期限
この1つのテーブルが、第30条の処理活動記録を支え、自動処理に関する開示請求に答え、本人が決定に異議を申し立てたときに示せる具体物になります。さらに、第22条の下でAIワークフローにおける人の確認を実質化するのもこのログです。ログのないレビューは意見にすぎず、ログのあるレビューは説明責任になります。
コンプライアンス対応の2週間PoCに含まれるもの
ここまでの内容に長期プログラムは要りません。2週間のPoCでは、コンプライアンスは並走タスクではなく成果物の一部です。
個人データが触れるすべてのシステムを記した、モデルエンドポイントとそのリージョンを含むデータフロー図
DPOが確認するための法的根拠・第22条ワークシートの草案—法務の代替ではなく、法務へのインプット
ワークフロー境界での仮名化と、モデル呼び出し後に限定した再識別
最初の1週間で合意するEUリージョンまたは自社クラウドのエンドポイント(3か月目の後付けにしない)
初日から稼働する、全モデル呼び出しを覆う監査ログテーブル
第22条に近づく決定のための人手レビュー画面
エンジニア同席なしでDPOが読める引き渡しドキュメント
これらは追加のソフトウェアではなく設計判断なので、Quick DX PoC(2週間、$12,500–$18,000)の範囲に収まります。スコープはパッケージを参照してください。EU法人(ポーランド)と組むことは周辺の実務も単純にします。EU域内請求、SEPA、そして処理者自身がGDPRの適用下にあることです。
最後に率直な注意を1つ。私たちはエンジニアであって弁護士ではありません。この記事はGDPRレビューを速くする技術的判断の地図であり、法的根拠や第22条に関する法的判断はDPOまたは法務のものです。実務的な一手はシンプルです。1ページのデータフローを最初の1週間で彼らの前に置くこと。それだけで法務レビューはブロッカーから承認手続きに変わります。