スペインAEPD:AIと従業員データ保護規則
2026年版に更新済み
AEPD:EUで最も積極的な監督機関
AEPD(Agencia Española de Protección de Datos)はスペインのプライバシー監視機関です。2023年に847件の制裁決定を下しました。他のEU機関はどこも近づけませんでした。同年の制裁総額は1,200万ユーロを超えました。
機関のアプローチは多くのEU機関と異なります。大企業への高額制裁だけに注力するのではありません。中小企業、自治体、中規模組織にも対応します。これによりスペイン経済全体に広範な圧力が生まれています。
2024年の主要執行分野:
- カメラと生体認証チェック(件数の29%)
- マーケティングと迷惑連絡(24%)
- 従業員監視と人事ファイル(18%)
- AIシステムと自動化された意思決定(15%—増加傾向)
- 健康データと特別カテゴリ(14%)
AEPDのAI向けDPIA義務
規制機関の2024年版「Guía de adecuación al RGPD de tratamientos con IA」は明確な規則を定めています。個人ファイルを処理するすべてのAIツールに、データ保護影響評価(DPIA)が必要です。
GDPR第35条は、処理が「高いリスクをもたらす可能性がある」場合にDPIAを求めています。これは状況に応じた評価です。スペインの当局はより厳格な立場をとります。個人ファイルに触れるMLツールはすべてDPIA義務を発動すると規定しています。事前の個別リスク審査は不要です。
スペインの組織がDPIAの実施・文書化を必要とするAI:
- 顧客サービス用チャットボット
- 採用スクリーニングツール
- マーケティングツール
- テキスト処理モデル(匿名化ツールを含む)
- 従業員または顧客ファイルを扱うすべてのAIツール
スペインで使用するツールごとに専用のDPIAファイルが必要です。ツールが低リスクと思われても同様です。
AEPDの匿名化基準
機関の匿名化ガイドはCNILの取り組みをベースとしています。スペイン固有の国民識別子に関する要件が追加されています。
スペインのID種別:
- DNI(Documento Nacional de Identidad):8桁の数字+チェック文字
- NIE(Número de Identificación de Extranjero):文字+7桁の数字+文字(外国人向け)
- NIF(Número de Identificación Fiscal):DNIと同形式、税務目的で使用
- Número de Seguridad Social:スペインの社会保障番号
当局はNERモデルがNIE番号を見落とすことが多いと指摘しています。スペインには多くの移民が居住しています。非スペイン人のファイルを処理する場合は、ツールがNIEを検出できることを確認してください。
スペイン語の人名パターン:
スペインの命名習慣は二つの苗字(apellidos compuestos)を使います。一つの苗字のみのデータで訓練されたNERモデルは失敗する可能性があります。「García López, Juan Carlos」という名前には苗字が二つあり、複合姓ではありません。スペイン語NERモデルはこの構造に対応する必要があります。
AEPDの従業員監視事例
件数の18%が従業員監視に関するものです。スペインはEstatuto de los Trabajadores(労働者規程)により使用者の監視を制限しています。規制機関はこの制限をGDPRと合わせて執行しています。
当局の主要な立場:
- キーロガー:キーロガーの秘密インストールはほとんどの場合GDPR違反です。スクリーンショットツールは書面による正当化と比例性審査が必要です。
- GPS追跡:従業員への明確な通知がある場合、社用車での使用は可能。私用車での使用は禁止。
- メールチェック:事前の書面通知とポリシー文書があれば可能。内容分析には追加の正当化が必要。
- AIトラッキングツール:従業員の行動を追跡するモデルはDPIAが必要。EDPBのルールも適用されます。
自動化された監視はスペインのDPAから最も厳しい審査を受けます。
AEPD準拠のAI文書化
スペインでAIツールを使用する組織には、四つの文書セットが必要です。
1. AIシステム台帳
スペインの個人ファイルを処理するすべてのツールをリスト化します。記録事項:システム名、ベンダー、目的、ファイル種別、保持期間、DPA状況。
2. システムごとのDPIA
規制機関が公表しているDPIAテンプレートを使用します。対象項目:
- 目的、法的根拠、ファイル種別、受領者
- 比例性の検証
- 影響を受ける人々へのリスク評価
- リスク管理措置:技術的・プロセス的
- DPO協議記録(DPOが必要な場合)
3. 技術的管理措置の記録
各ツールについて、不正アクセスを防ぐ管理措置を記録します:
- 事前フィルタリング(モデル実行前の個人情報削除)
- 処理済み出力へのアクセス制御
- 保持期限の適用
- 侵害検出と対応手順
4. 従業員監視ポリシー
いずれかのツールが従業員を監視する場合、書面のポリシーを追加します。範囲の明示、従業員への通知、法的根拠の特定、比例性の実証が必要です。
AEPDの監査はAI台帳とDPIAから始まります。これらを準備している組織は監査をはるかに早く完了させます。GDPRコンプライアンスガイドで文書化の範囲を確認できます。セキュリティコンプライアンス概要では技術的管理措置を説明しています。スペイン語のPII検出については、多言語PII検出ガイドをご覧ください。