スペインAEPD:DNI、NIE、LATAM識別子
スペインのデータ保護機関であるAEPDは、2023年に847件の執行決定を発行しました。これはEUのどの監督機関よりも高い件数です。個別の罰金はアイルランドのDPCやオランダのAPより小さい場合が多いです。しかし、その件数はスペインで事業を行うすべての企業に実際のリスクをもたらします。
AEPDのAI執行フレームワーク
スペインの規制当局は、データ保護に関してEUで最も詳細なAIガイダンスを公表しました。2つの領域をカバーしています。
AIとGDPRガイド(2020年、2024年更新): このガイドは、個人データを処理するすべてのAIシステムにDPIAを義務付けています。GDPR第35条の閾値を満たさない場合でも適用されます。これはEUで最も広範なDPIA規則の1つです。スペインのデータでAIを使用するすべての企業は、ローンチ前にDPIAを完了する必要があります。
スペインAI法の実施: スペインは、高リスクシステムを対象とした国家AIレジストリを持つ最初のEU加盟国の1つです。AEPDはスペインのAI監督機関と協力しています。両者が共同でAI法とGDPRのルールを執行します。企業は両方の機関から監査リスクを受けます。
スペインの国家識別子:検出のギャップ
汎用NLPツールは、スペイン語文書においてDNIとNIEを34%の精度でしか検出できません。AEPDはこれを2024年の報告書で発表しました。各識別子には、汎用ツールが失敗する理由を説明する構造があります。
DNI: 8桁の数字と1つの制御文字。文字は数字を23で割った余りから導出されます。その値は固定の文字シーケンスに対応します。特定の文字は除外されており、AからZではありません。このアルゴリズムはスペイン固有です。汎用ツールはこれを省略します。モジュラスステップなしで数字パターンのみを確認するツールは誤った結果を生成します。
NIE: プレフィックス文字(X、Y、またはZ)、7桁の数字、そして制御文字。NIEはスペインの外国人市民に発行されます。税務および行政目的に使用されます。各プレフィックスは異なる発行期間を反映しています。制御文字はDNIと同じアルゴリズムを使用します。NIEは雇用契約、税務申告書、および在留書類に記載されています。
CIF法人税番号: 1文字、7桁の数字、そして制御文字。最初の文字は企業の種類を示します。制御文字はDNIとNIEとは別のアルゴリズムを使用します。
健康保険カード: スペインの健康保険カードの形式は地域によって異なります。各自治州は独自の形式を使用しています。これにより、単一の国家標準と比較して自動検出がより困難になります。
EU諸国の識別子ギャップの詳細については、EU識別子ギャップガイドをご覧ください。
ラテンアメリカの識別子:全市場でのコンプライアンス
スペインとラテンアメリカのつながりは、コンプライアンス要件をスペイン国外にまで広げています。スペイン語圏の市場にサービスを提供するすべての企業は、より広いPIIカバレッジが必要です。
メキシコ: CURPは18文字の英数字コードです。生年月日、性別、出生州、名前のイニシャルをエンコードします。RFCは個人向けの13文字の税務識別子、企業向けは12文字です。両方とも雇用および税務書類に記載されています。
アルゼンチン: CUILはチェックデジット付きの11桁の数字です。CUITは同じ形式を使用します。アルゼンチンの国民身分証明書は7〜8桁です。3つすべてが給与計算、銀行、政府記録に記載されています。
チリ: RUTとRUNは7〜9桁、ダッシュ、チェックデジットで構成されています。チェックはモジュラス11アルゴリズムを使用します。チリのすべての個人と企業が持っています。誤ったマッチを避けるために、検出にはチェックデジットのステップを実装する必要があります。
コロンビア: 国民身分証明書は8〜10桁です。NITは9桁にチェックデジットを加えたもので、企業に適用されます。
スペイン語圏市場の完全なカバレッジには、スペインのEU識別子とラテンアメリカの国家IDの両方が必要です。グローバルPII識別子ガイドでは、これらを米国のSSN、インドのAadhaar、その他の国家IDと比較しています。
AEPDの2024年執行内訳
847件の執行決定はEUで最高の件数です。スペインの規制当局は、高い苦情受付量と積極的なセクタースイープによってこれを達成しています。事案はセクター別に分類されます:
通信と金融サービス: 決定の42%。主な問題:無断の信用照会、過剰な保持期間、マーケティングへの同意欠如。
医療と保険: 決定の22%。同意なしで共有された医療データ、研究目的の脆弱な匿名化、予約システムへの生体情報処理。
雇用: 決定の19%。従業員監視、ソーシャルメディアスクリーニング、適切な通知なしのビデオ監視。
AIシステム: 成長中のカテゴリ。当局は、DPIAを完了せずにAIを運用しているスペイン企業を複数発見しました。これはAEPD独自のAIガイドに違反します。
スペイン語PIIコンプライアンスの技術的な基準は、制御文字の検証を伴うDNIとNIEの検出です。スペイン語の固有表現認識を追加してください。次に、CURP、RUT、CUIL、国民身分証明書のカバレッジを追加して、ラテンアメリカの完全なサポートを実現します。
スペインのルールに基づくDPIAワークフロー全体については、AEPD AI DPIAコンプライアンスガイドをご覧ください。