イタリアのガランテ:AIと個人情報コンプライアンス
2026年更新版
ガランテの執行実績
イタリアのデータ保護機関はガランテ(Garante per la protezione dei dati personali)です。EUで最も積極的なAI規制機関です。2つの主要な措置がそのアプローチを定義しています。
2023年3月 — ChatGPT禁止令: ガランテはOpenAIに対し、イタリアのユーザー向けにChatGPTを停止するよう命令しました。当局はデータ処理の有効な法的根拠を見つけられませんでした。また、未成年者向けの年齢確認もありませんでした。OpenAIはこれに従い、年齢確認機能、トレーニング用オプトアウト、イタリア語のプライバシー通知を追加しました。サービスは2023年4月に再開されました。
2024年12月 — 1,500万ユーロの制裁金: ガランテはOpenAIに1,500万ユーロの制裁金を課しました。3つの違反が原因でした。第一:有効な法的根拠の欠如。第二:トレーニング利用に関する透明性の欠如。第三:未成年者の年齢確認なし。
継続中の調査(2024–2025年): 当局はReplika、Worldcoin、および複数のAIスタートアップに対して正式な調査を開始しました。
イタリアはEUの中でAIツール展開においてリスクが最も高い場所です。明確な適合措置なしに個人記録を扱うツールは法的リスクを生み出します。早めに対応してください。
ガランテが求めること
執行措置は、AIツールを使用する際に組織が何をすべきかを明確にしています。
法的根拠: すべてのAIツールはGDPR第6条に基づく文書化された法的根拠が必要です。当局はAIトレーニングにおける「正当な利益」を疑っています。明示的な同意または契約上の必要性が優先される根拠です。
データ処理契約: 処理者としてサードパーティのAIツールを使用する組織は、GDPR準拠のDPAを締結する必要があります。当局はベンダーのDPAがデータ利用制限をカバーしているか確認しました。不備は監査を引き付けます。
入力制御: 違法処理への当局の注目は入力制御を必要とします。AIモデルに到達する前に個人記録を除去する技術的フィルターが核心的な問題を解決します。文書化要件についてはコンプライアンスガイドをご覧ください。
年齢確認: 消費者がアクセスできるAIシステムは未成年者の年齢を確認する必要があります。このルールはChatGPT禁止令から直接生まれました。
明確な通知: プライバシー通知はイタリア語でなければなりません。トレーニング利用を含め、AIシステムが個人記録をどのように使用するかを説明する必要があります。
63%の企業格差
2024年のガランテ調査では、AIツールを使用する企業の63%がGDPR準拠のAI利用ポリシーを持っていないことがわかりました。当局がAIプログラムを拡大するにつれ、この格差は広がっています。
ChatGPT禁止後、DPO登録は340%増加しました。組織はDPOなしのAI展開が法的リスクを生み出すことを認識しました。しかしDPO単独では十分ではありません。技術的制御のない書面によるポリシーは実施が困難です。当局はまさにこの格差を標的としています:従業員の自己規律に依存する企業です。保護概要でコントロールがポリシーをどのように支えるかをご確認ください。
技術的実装
イタリアにユーザーを持つ組織向けの、ガランテ準拠の技術的設定には以下が含まれます。
送信前のPIIフィルタリング: Chrome拡張機能またはMCPサーバーがユーザーとAIモデルの間に介在します。モデルに到達する前に個人記録を除去します。個人データが入力されなければ違法な処理は発生しません。これが核心的な解決策です。
地域固有のエンティティタイプ: 標準的なPIIツールは地域固有のIDタイプを見落とします。ツールは以下を検出する必要があります:
- コーディチェ・フィスカーレ(Codice fiscale) — 16文字の国民識別コード
- パルティータ・イバ(Partita IVA) — 11桁の企業番号
- カルタ・ディデンティタ(Carta d'identità) — 国民ID カード
- テッセラ・サニタリア(Tessera sanitaria) — コーディチェ・フィスカーレを含む健康保険証
- イタリアのIBANフォーマット
コーディチェ・フィスカーレは主要な国民識別子です。見落とすと重大な欠陥が生じます。完全なカバレッジの詳細はエンティティガイドをご覧ください。実際の地域データでテストしてください。
監査証跡: ガランテの調査では技術的コントロールの証拠が求められます。送信前フィルタリングが適用されたことを示す一元化されたログがその証拠を提供します。
DPA文書: 処理者として使用する各AIベンダーに対して:完成したDPAレビューを保持してください。データ利用制限とトレーニング条件を記録してください。見つけやすい場所に保管してください。一般的なDPAの質問はFAQをご覧ください。
セクター別重点分野
ガランテは特定のセクターに注目しています。
医療: 健康データはGDPR第9条に基づき高リスクです。患者記録を扱うAIツールは、明示的な法的根拠、DPA、および強力な保護措置が必要です。AI診断ツールと臨床文書ツールはDPIAが必要です。
金融サービス: AIを使用した消費者プロファイリングが監視を受けています。信用決定やパーソナライゼーションにAIを使用する銀行と金融機関はDPIAを実施し、説明可能性コントロールを導入する必要があります。
HR: 採用、評価、スタッフ監視のためのAIツールはDPIAが必要です。ガランテは2023年に従業員監視に関する具体的なガイダンスを発行しました。
教育: 学校でのAIツールは、学生データに関する2024年のガランテガイダンスに基づく追加要件があります。
これらのセクターの組織は、基本要件を超えたセクター固有の文書が必要です。同業者が適合性をどのように管理しているかはケーススタディをご覧ください。規制市場向けに構築する際の創業者の視点は創業者ステートメントでご確認いただけます。プランと料金はすべてのセクターをカバーしています。