重要なポイント
- GDPR(第44条): EU内に個人データを留める必要がある。データサブジェクトには権利がある(アクセス、削除、ポータビリティ)。Cloud APIはこれに違反。
- HIPAA(164.306): 患者データは暗号化、アクセスログ、監査ログ、インシデント報告が必要。
- SOC2 Type II: 6ヶ月以上のコントロール証拠が必要(暗号化、アクセスコントロール、インシデント対応)。
- EU AI Act(2024): AIシステムはドキュメント化、透明性、監査が必要。違反: €20M or 4% revenue.
- Local LLMsはすべてのコンプライアンス要件を満たします。データはあなたのインフラを離れない。
- 罰金: GDPR最大€20M(4% 売上)、HIPAA最大$1.5M per violation.
- 2026年4月時点で、ローカル展開はコンプライアンス認証への最速パス。
GDPR: AIコンプライアンスの意味は?
GDPR(一般データ保護規制)はEU住民の個人データ処理に適用される。企業の所在地に関係なく。
第44条(データ転送): 個人データはEU外への転送が禁止。特定のセーフガードがない限り。US サーバーへのCloud APIは違反。
第12-22条(データサブジェクト権): 個人はアクセス、削除("削除権")、またはデータのポータビリティをリクエストできる。30日以内に対応する必要がある。
第5条(原則): データは最小化、正確、法的に処理されなければならない。目的制限: 新しい目的のためにデータは同意なしに使用できない。
罰金: €20百万または年間グローバル売上の4%、いずれか高い方。
HIPAAは患者プライバシーをどう保護するか?
HIPAA(医療保険の携行可能性と説明責任法)は医療提供者、保険会社、PHI(保護健康情報)を扱うすべての者に適用。
164.306(セキュリティルール): 行政、物理、技術セーフガードが必要。
物理: 施設はセキュア(ロック、監視)。
技術: 暗号化、アクセスコントロール、auditログ。
行政: ポリシー、トレーニング、インシデント対応。
患者データをCloud APIに送信することは禁止。HIPAAは"ビジネスアソシエイト契約"をベンダーと結ぶ必要があるが、Cloud AIサービスはしばしば署名を拒否。
罰金: 違反カテゴリーあたり年間最大$1.5百万。
SOC2 Type IIは何が必要か?
SOC2(サービス組織コントロール)はエンタープライズデータ処理組織のコンプライアンス認証。 Type IIは6ヶ月以上の監査証拠が必要。
認証監査人が審査:
- アクセスコントロール(誰がシステムにアクセスできるか)
- 暗号化(保存時と転送時のデータ)
- インシデント対応(セキュリティインシデント手順)
- 変更管理(アップデート承認方法)
- バックアップとディザスタリカバリ手順
Local LLMsはSOC2達成を支援。あなたがすべてのシステムをコントロールするから。Cloud APIはベンダーに制御を委譲、認証を複雑化。
EU AI Actは何が必要か?
EU AI Act(2024)はEUに展開されたAIシステムに新要件を課す。ベンダーの場所に関係なく。
禁止されたAI: 顔認識(公共)、予測的ポリシング、感情検出。
高リスクAI: リスク評価、ドキュメント化、人間監視が必要。
要求ドキュメント:
- トレーニングデータのソースとサイズ
- 異なる人口のモデル性能
- 制限とエラー率
- 意図された使用と禁止用途
Local LLMsはすべてをドキュメント化可能(トレーニング制御)。Cloud APIはドキュメント化を難化(ベンダー制御)。
ドキュメントと監査ログは何が必要か?
コンプライアンスは包括的なドキュメントとログを要求:
- データインベントリ: 個人/機密データは何が処理されるか、どこで、誰が。
- データフロー: データはシステムを通じてどう流れるか。
- アクセスログ: 誰が何データにアクセスしたか、いつ、なぜ。
- 変更ログ: モデル、データ、ポリシーが何時に変わったか。
- インシデント報告: セキュリティインシデント、違反、不正アクセス。
- データ保持ポリシー: データは多くの間保持されるか、何時に削除。
- サードパーティリスク: データを処理するベンダーと請負業者。
よくあるエンタープライズコンプライアンス間違い
- Cloud ベンダーがあなたのためにコンプライアンスと仮定。 ベンダーがSOC2を持っていても、あなたはGDPRとHIPAAコンプライアンスで責任がある。Cloudは責任を排除しない。
- AIトレーニングデータをドキュメント化しない。** EU AI Actはドキュメント化を要求。ドキュメント化できなければ、法律違反。
- 悪いアクセスコントロール。 "パスワード持つ誰でも"はセキュアではない。多要素認証、ロールベースアクセスを要求。
- インシデント対応計画がない。 違反が起きるとき(if notすると)、何日で対応する必要がある。事前に計画。
- 監査ログを無視。 ログは保持、保護、確認される必要がある。ログなしでコンプライアンスを証明できない。
エンタープライズコンプライアンスについてよくある質問
Local LLM展開はGDPRコンプライアンスを保証するか?
いいえ -- Local展開は必要ですが十分ではない。適切なアクセスコントロール、暗号化、データ保持ポリシー、インシデント対応手順が必要。Local LLMsはCloud ベンダーリスク要因を削除しますが、コンプライアンス責任は削除しない。
SOC2 Type II認証はどのくらい時間がかかるか?
通常6-12ヶ月。6ヶ月以上の継続的なセキュリティコントロール(暗号化、アクセスログ、インシデント対応)のコンプライアンス証拠を示す必要がある。Local LLM展開はすべての要求コントロールの完全な制御を提供してこれを加速化できる。
Local LLMsを使用中に違反されたら何が起きるか?
72時間以内に影響を受けた個人と規制当局に通知する必要がある(GDPR)。監査ログ、インシデント対応手順、暗号化を持つことは罰金を削減し注意を示す。Local LLMsは支援します。すべてのログはオンプレミスに留まるから。
機密データでLocal LLMをファインチューンできるか?
はい -- オンプレミスファインチューンはデータをあなたの完全なコントロール下に保つ。データはあなたのインフラを離れない。GDPRとHIPAAとSOC2を満たす。あなたは完全な所有権と監査ログを保有。
どの規制が最も難しく満たすか?
HIPAAは最も厳しい: 暗号化、auditログ、アクセスコントロール、即時違反通知を要求。SOC2は最も手続き的(ドキュメント化要求)。GDPRは最も広い(グローバルデータ処理をカバー)。Local LLMsはすべてに支援。
Local AI展開のための別個の保険が必要か?
あなたのサイバー保険プロバイダーに確認。いくつかのポリシーはオンプレミスvsCloud を区別する。Local LLMsは実は保険料を削減できます。サードパーティベンダーリスクを削除するから。
ソース
- GDPR公式テキスト -- gdpr-info.eu
- HIPAA Final Rule -- hhs.gov/hipaa
- SOC2 Trust Services -- aicpa.org/soc2
- EU AI Act -- ec.europa.eu/digital-single-market/en/news/proposal-regulation