Skip to main content
PromptQuorumPromptQuorum
ホーム/ローカルLLM/サウジPDPLとデータ主権:なぜAIは王国内で稼働させる必要があるのか(2026年)
Enterprise

サウジPDPLとデータ主権:なぜAIは王国内で稼働させる必要があるのか(2026年)

·13分で読める·Hans Kuepper 著 · PromptQuorumの創設者、マルチモデルAIディスパッチツール · PromptQuorum
言語を選択:
🇺🇸en🇩🇪de🇫🇷fr🇯🇵ja🇨🇳zh🇪🇸es🇧🇷pt🇸🇦ar🇰🇷ko

サウジPDPL(Royal Decree M/19)は一律のデータローカライゼーション義務を課してはいませんが、その第29条の国境を越えた移転の枠組みは、SAMAのセクター固有の王国内要件および米国CLOUD Actと相まって、サウジ拠点でAIをローカルに稼働させることを、個人データを扱う企業ワークロードにとって最も防御可能なコンプライアンス経路としています。

サウジアラビアの個人データ保護法(PDPL — Royal Decree M/19、2021年9月16日)と、2024年9月以降のSDAIAによる積極的な執行により、国境を越えたAIデータ移転は大幅に複雑になっています。PDPL第29条は、SDAIAによる十分性承認、国家安全保障審査、そして受領管轄区域における同等の保護を要求していますが、SDAIAはまだ十分性のある国のリストを公表していません。これに、金融データに関するSAMAのより厳格な王国内保管義務と、米国CLOUD Actの域外適用が加わることで、王国内でAIをローカルに稼働させることが、機微データのワークロードにとって最も防御可能なコンプライアンス経路となります。本ガイドでは、規制環境、国境を越えるリスク、そしてオンプレミスでのAI導入方法を説明します。本記事は情報提供のみを目的としています。コンプライアンスに関する判断を下す前に、DPOおよびサウジアラビアの有資格法律顧問にご相談ください。

重要なポイント

  • PDPL = Royal Decree M/19(2021年9月16日公布、2023年にM/148で改正):2023年9月14日施行、2024年9月14日以降は完全な遵守が必須。規制当局:SDAIA(サウジデータ人工知能庁)。
  • 一律のローカライゼーション義務はなし。 PDPLは規制された*移転*の枠組み(第29条)であり、絶対的な王国内保管ルールではありません。ただし移転条件は厳格で、SDAIAはまだ十分性のある国のリストを公表していません。
  • 積極的な執行: SDAIAの執行委員会は、2024年9月に完全執行が始まって以来、48件の正式な違反決定を出しています。
  • 罰則: 最大500万SAR(約133万USD)、再犯者には倍額。機微データの意図的開示には最大300万SARの刑事罰金に加え訴追。
  • CLOUD Actリスク: 米国本社のクラウドプロバイダー(AWS、Azure、Google Cloud)は、サウジリージョンのデータセンターからでも18 U.S.C. § 2713に基づきデータ提出を強制されうる。米国・サウジ間の二国間CLOUD Act協定は存在しません。
  • SAMAはより厳格: 金融機関は、コアバンキング・顧客・取引データを物理的に王国内に保持し、いかなるクラウドサービスを利用する前にもSAMAの事前承認を取得しなければなりません。
  • ローカルAIは第29条を完全に排除: 推論がオンプレミスから一切外に出なければ、規制すべき国境を越えた移転は存在せず、CLOUD Actの攻撃対象領域も消滅します。
  • 法的助言ではありません。 本記事のいかなるコンプライアンス上の立場に依拠する前にも、DPOおよびサウジの有資格顧問にご相談ください。

📍 一文で説明

サウジPDPL第29条、SAMAの金融セクター規則、そして米国CLOUD Actが相まって、オンプレミスのローカルAIが王国内の個人データにとって最も防御可能なコンプライアンス経路となります。

💬 簡潔に説明

サウジ法はすべてのデータを国内に留めることを強制してはいませんが、データを国外へ移転することは厳しく制限されています。コンプライアンスを保つ最もシンプルな方法は、サウジアラビア国内の自社ハードウェア上でAIを稼働させ、データが国境を越えないようにすることです。

サウジPDPLとSDAIA:規制環境

サウジアラビアの個人データ保護法は、2021年9月16日にRoyal Decree No. M/19により制定され、Royal Decree No. M/148(2023年3月27日)により実質的に改正され、その施行規則とともに2023年9月14日に施行されました。 1年間の猶予期間が続き、完全な遵守はすべての公的・民間主体に対し2024年9月14日以降義務付けられています。

SDAIA(サウジデータ人工知能庁)が所管規制当局です。 SDAIAはPDPLを監督・執行し、専門の執行委員会を運営し、Vision 2030のもとで国家データガバナンスとAI戦略を担っています。

執行は理論上のものではなく現実のものです。 完全執行の開始以来、SDAIAの執行委員会はPDPL違反を確認する48件の正式決定を出しています。一般的な違反類型には、有効な法的根拠のない個人データの処理、無許可の開示、技術的・組織的保護措置の実装の不備、迷惑マーケティングが含まれます。

域外適用範囲: PDPLは、処理を行う組織の所在地にかかわらず、サウジアラビアに居住する個人の個人データのあらゆる処理に適用されます。これはGDPRと同じ広範な適用範囲モデルです。

機微個人データは、より高い保護を受ける独立したカテゴリーで、7つの種類を対象とします:人種的・民族的出自、宗教的・思想的・政治的信条、犯罪歴、識別に用いられる生体データ、遺伝データ、健康データ、および不明な血縁を示すデータ。機微データの継続的または大規模な国境を越えた移転には、移転規則に基づく義務的なリスクアセスメントが必要です。

罰則: 最大500万SAR(約133万USD)の行政罰金(再犯の場合は倍額となりうる)。害を与える目的または個人的利益のための機微個人データの意図的開示には、最大300万SARの刑事罰金に加え、懲役の可能性があります。

クラウドAIの国境を越えるリスク:第29条、CLOUD Act、SDAIA十分性

プロンプトをクラウドAIのAPIに送信することは、そのプロンプトが個人データを含み、推論サーバーが王国外にある時点で、国境を越えたデータ移転となります。 PDPL第29条はまさにこのシナリオを規律します。

第29条は、あらゆる国境を越えた移転に3つの累積的条件を課します: (1) 移転が王国の国家安全保障または重要な利益を害さないこと、(2) 受領管轄区域がSDAIAの評価により、少なくともPDPLと同等のデータ保護水準を提供すること、(3) 必要最小限の個人データのみが移転されること(データ最小化)。

SDAIAはまだ十分性のある国のリストを公表していません。 公表されるまで、組織は「この国は十分である」という単純な判断に依拠できません。実務上、適法な移転は、SDAIAが発行する標準契約条項(SCCs、4つのモジュラー型)、グループ内移転のための拘束的共通規則(BCRs)、または認定証明書に依存します。そのいずれもが法的負担と継続的なリスクアセスメント義務を追加します。

米国CLOUD Act(18 U.S.C. § 2713)は、ほとんどのサウジ企業が見落としている構造的問題です。 これは米国本社のクラウドプロバイダー(AWS、Microsoft Azure、Google Cloud)に対し、有効な米国政府命令に応じてデータを保全・提出することを、*そのデータが物理的にどこに保管されているかにかかわらず*要求します。AWSリヤドリージョンやAzureサウジアラビアにあるデータも依然として到達可能です。

これは直接的な法的抵触を生みます。 サウジアラビアのクラウドコンピューティング規制枠組み(CCRF)は、クラウドサービスプロバイダーがサウジ法で要求される場合を除き、加入者データを開示することを禁止しています。CLOUD Act命令を受けた米国プロバイダーは、米国法により開示を強制されると同時に、サウジ法によりそれを禁止されます。米国・サウジ間の二国間CLOUD Act執行協定は存在せず(英国とオーストラリアのみが米国とそのような協定を締結)、明確な解決メカニズムはありません。

下記の表は、3つの導入モデルをサウジの主要なコンプライアンス次元と比較したものです。

要素米国拠点のクラウドAPIサウジリージョンのクラウド(AWS/Azure)オンプレミスのローカルAI
PDPL第29条の移転発生 — SDAIA承認+十分性+SCCsが必要データはKSA内だがプロバイダーは米国本社 — 十分性は未解決発生しない — 国境を越えた移転なし
CLOUD Actへのエクスポージャー高 — 米国政府が提出を強制可能高 — サウジリージョンのサーバーはCLOUD Act保護を提供しないなし — ハードウェアは王国内、米国管轄外
SAMA(金融セクター)不適合部分的 — KSA内データセンター+SAMA承認が必要完全適合
SDAIA執行リスク中 — CLOUD Actのギャップが残る最小
機微データのリスクアセスメント大規模時は必須機微データ移転には必要不要 — 国境を越えた移転なし

王国内のローカルAIがコンプライアンス課題をどう解決するか

サウジアラビア国内に物理的に設置されたハードウェア上でAIを稼働させることは、国境を越えた移転を完全に排除し、それとともにPDPLコンプライアンスの最も困難な部分を排除します。

第29条は単純に適用されません。 プロンプトとその推論がオンプレミスから一切外に出なければ、評価すべき移転も、待つべき十分性判断も、締結すべきSCCsも、提出すべき移転リスクアセスメントもありません。PDPLで最も複雑な義務がアーキテクチャレベルで取り除かれます。

CLOUD Actの攻撃対象領域が消滅します。 自社のGPU上で、自社のファイアウォールの背後で処理されるデータは、米国本社のプロバイダーが保持しておらず、したがって米国政府の提出命令で到達されることはありません。

SAMAコンプライアンスが容易になります。 コアバンキングと顧客データを王国内に保持しなければならない金融機関は、同じ国内インフラ上でAI推論を実行でき、別個のクラウド承認も、監視すべき外向きトラフィックも不要です。

完全な監査証跡を保持できます。 すべてのプロンプト、モデル、出力が自社の管理するログに残ります。これはまさに、SDAIA、SAMA、NCAがデータフローとアクセス記録を監査する際に確認したいものです。

これは国家の方向性と一致します。 サウジアラビアは2026年を人工知能の年と宣言し、Global AI Hub Law草案(2025年)はデータ主権を戦略的優先事項として扱っています。王国内のローカルAIは回避策ではなく、規制環境が積極的に向かっているアーキテクチャです。

王国内ローカルAI導入のためのツールとモデル

本番のローカルAIスタックには、推論ランタイム、サービング層、モデルが必要であり、これらはすべてオープンソースで、サウジでホストされるハードウェア上に導入可能です。

  • Ollama — オープンモデルをローカルで実行する最もシンプルな方法。1行でのモデルプル、OpenAI互換API、GPUアクセラレーションを標準装備。基礎についてはローカルLLMとは?を参照。
  • llama.cpp — GGUF量子化モデルの基盤となる推論エンジン。量子化、コンテキスト長、CPUまたはGPU向けのハードウェアチューニングを最大限に制御。
  • vLLM — マルチユーザーの企業ワークロード向けの高スループットサービング。同時アラビア語リクエスト向けのpaged attentionと連続バッチング。
  • Open WebUI — ロールベースアクセス制御と監査ログを備えたセルフホスト型チャットフロントエンド。社内チームに適しています。
  • ALLaM 7B — サウジで開発されたアラビア語モデル(NCAI/SDAIA、現在はHUMAIN)。Apache 2.0で公開され、Hugging Face上のGGUF量子化はOllamaとllama.cppで直接動作します。公開で自己ホスト可能な主要なアラビア語モデル。
  • Qwen2.5 — アラビア語に加えて広範な言語カバレッジが必要な場合の有力な多言語の代替。トレードオフは多言語ローカルLLMで確認してください。
  • ハードウェアのサイジング — 7BモデルはQ4_K_Mで約6〜8 GBのVRAMが必要。70Bモデルは40〜48 GBが必要。調達前にVRAM計算機を使って王国内のGPUをサイジングしてください。

SAMA・政府・医療セクターの注記

セクター固有の規則はPDPLの上に重なり、しばしばより厳格です。特にデータローカライゼーションについてそうです。

金融サービス(SAMA)。 サウジ中央銀行の「Artificial Intelligence Principles for Financial Institutions」(2023年)は、すべてのSAMA認可主体にAIガバナンス、リスク管理、説明責任の要件を課しています。SAMAのクラウドコンピューティング規制枠組みは、いかなるクラウドサービスの利用前にも事前承認を、王国外クラウドには別個の承認を要求し、コアバンキングシステム、顧客データ、取引記録、決済認証情報を物理的にサウジアラビア国内にホストすることを義務付けています。国家サイバーセキュリティ庁(NCA)は並行して必須サイバーセキュリティ管理策(ECC)を執行します。金融AIにとって、オンプレミス推論は規制上の抵抗が最も少ない経路です。

政府および重要インフラ。 クラウドコンピューティング規制枠組みは、政府主体および重要国家インフラが機微なワークロードに外国のクラウドサービスを利用することを制限します。Global AI Hub Law草案(2025年)は主権的データセンターモデルを強化します。ローカルAIの導入はこの姿勢に直接合致します。

医療。 健康データはPDPLの7つの機微データカテゴリーの一つであり、最も厳格な移転条件と大規模時の義務的リスクアセスメントを伴います。保健省のデータ取扱いの期待は、国内処理へと強く後押しします。ローカルAIは患者データを最初から最後までオンプレミスに保持します。なお日本でも、METIのガイドラインとAPPI(個人情報保護法)が機微情報の国内処理を後押しする同様の方向性を示しています。検証手順についてはローカルLLMセキュリティ・プライバシーチェックリストを参照してください。

これは法的助言ではありません。 規制の解釈は、お客様固有のデータ、セクター、処理活動によって異なります。本ガイドの内容に基づいて行動する前に、DPOおよびサウジの有資格法律顧問にご相談ください。

よくある質問:サウジPDPLとローカルAI

サウジPDPLはすべてのデータをサウジアラビア国内に留めることを要求していますか?

いいえ。PDPLは一律のデータローカライゼーション法ではありません。その第29条は規制された国境を越えた移転の枠組みであり、国外への移転は国家安全保障、十分な保護、データ最小化の条件を満たす場合にのみ許可されます。ただし、SDAIAがまだ十分性のある国のリストを公表しておらず、セクター規則(SAMA、医療)が王国内保管を義務付けうるため、データを国内に留めることがしばしば最もシンプルな適法経路です。

SDAIAとは何で、どのような権限を持っていますか?

SDAIA(サウジデータ人工知能庁)はPDPLの所管規制当局です。コンプライアンスを監督し、執行委員会を運営し、標準契約条項や移転ガイダンスを発行し、最大500万SARの行政罰金(再犯者には倍額)を科すことができます。2024年9月の完全執行開始以来、48件の正式な違反決定を出しています。

PDPL第29条はクラウドAIサービスにどのように適用されますか?

プロンプトが個人データを含み、王国外の推論サーバーに送信される場合、それは第29条の対象となる国境を越えた移転です。国家安全保障審査を満たし、受領管轄区域における同等の保護(十分性リストがまだ存在しないため、通常はSDAIA SCCs経由)を証明し、必要最小限のデータのみを移転しなければなりません。推論をローカルで実行すればこれらすべてを回避できます。

AWSリヤドやAzureサウジアラビアはPDPLリスクから保護してくれますか?

部分的にです。サウジクラウドリージョンにデータをホストすることは物理的なデータレジデンシーには役立ちますが、プロバイダーは依然として米国本社であり、したがって米国CLOUD Actの対象となります。同法は保管場所にかかわらずデータ提出を強制しうます。プロバイダーの本国管轄区域の十分性の問題も未解決のままです。オンプレミスのローカルAIが、両方の問題を取り除く唯一のモデルです。

CLOUD Actとは何で、なぜサウジ企業にとって重要なのですか?

米国CLOUD Act(18 U.S.C. § 2713)は、米国本社のクラウドプロバイダーに対し、データが外国のデータセンターにある場合でも、有効な米国政府命令に応じてデータを提出することを要求します。サウジ企業にとってこれは、プロバイダーがサウジ法で要求される場合を除きデータを開示することを禁止するクラウドコンピューティング規制枠組みと直接抵触します。抵触を調停する米国・サウジ間の二国間CLOUD Act協定は存在しません。

SDAIAはどのような罰則を科すことができますか?

最大500万SAR(約133万USD)の行政罰金で、再犯の場合は倍額となりえます。害を与える目的または個人的利益のための機微個人データの意図的開示には、刑事罰が伴います。最大300万SARの罰金と懲役の可能性です。より軽い制裁として警告も利用可能です。

SAMAは別個のデータローカライゼーション要件を持っていますか?

はい、そして一般的なPDPLよりも厳格です。SAMAは金融機関に対し、コアバンキングシステム、顧客データ、取引記録、決済認証情報を物理的にサウジアラビア国内に保持すること、いかなるクラウドサービスの利用前にも事前承認を取得すること、王国外のあらゆるクラウドには別個の承認を取得することを要求します。NCAは並行してサイバーセキュリティ管理策を執行します。オンプレミスAIはデフォルトで完全に適合します。

PDPLのもとでどの機微データカテゴリーがより厳格な取扱いを受けますか?

7つのカテゴリーです:人種的・民族的出自、宗教的・思想的・政治的信条、犯罪歴、識別に用いられる生体データ、遺伝データ、健康データ、および不明な血縁を示すデータ。これらのカテゴリーの継続的または大規模な国境を越えた移転には、移転規則に基づく義務的なリスクアセスメントが必要です。

AIをローカルで実行すればすべてのPDPL義務が排除されますか?

いいえ。最も困難な国境を越えた移転義務(第29条)は排除されますが、処理のための適法な根拠は依然として必要であり、データ主体の権利(アクセス、訂正、削除)を尊重し、技術的・組織的保護措置を実装し、監査ログを維持しなければなりません。すべてが自社の管理下に留まるため、ローカル導入はこれら残りの義務の充足を容易にします。

サウジのGlobal AI Hub Law草案とは何ですか?

これは2025年の草案法で、データとAI処理を王国内に留めつつ外国投資を誘致するように設計された、主権的AIインフラとデータセンターの枠組みを重視しています。閣僚評議会が2026年を人工知能の年と宣言したことと相まって、王国内AI能力への明確な国家的方向性を示しており、ローカル導入はこれを直接支えます。

出典

  • SDAIA — Personal Data Protection Law(公式) — sdaia.gov.sa
  • ICLG — Data Protection Laws and Regulations: Saudi Arabia 2025–2026 — iclg.com
  • A&O Shearman — Enforcement of the Saudi PDPL — aoshearman.com
  • Clyde & Co — Enforcement of the Saudi PDP Law is live (March 2026) — clydeco.com
  • King & Spalding — International Personal Data Transfers under the Saudi PDPL — kslaw.com
  • Chambers & Partners — Data Protection & Privacy 2026: Saudi Arabia — chambers.com
  • ITIF — Saudi Arabia Cross-Border Data Transfer Regulation (June 2025) — itif.org
  • Kiteworks — SAMA Cloud Computing & Data Residency Compliance — kiteworks.com
  • US Congress — CLOUD Act overview (18 U.S.C. § 2713) — congress.gov
  • Simmons & Simmons — Cloud Computing Regulatory Framework (CCRF) in Saudi Arabia — simmons-simmons.com

サードパーティの情報に関する注意

この記事はサードパーティのAIモデル、ベンチマーク、価格、ライセンスを参照しています。AIの状況は急速に変化しています。ベンチマークスコア、ライセンス条件、モデル名、API価格は執筆時とお読みになる時の間で変わる可能性があります。この記事に基づいてデプロイやコンプライアンスに関する決定を下す前に、各プロバイダーの公式ソース(ライセンスとベンチマークはHugging Faceのモデルカード、API価格はプロバイダーのウェブサイト、現在のGDPRとEU AI法のテキストはEUR-Lex)で最新の数値を確認してください。この記事は2026年5月時点で公開されている情報を反映しています。

ローカルLLM、独自のAPIキー、またはその両方でPromptQuorumを使用できます — バックエンドはあなたが選択します。

PromptQuorumウェイトリストに参加する →

← ローカルLLMに戻る

サウジPDPLとデータ主権:ローカルAI 2026 | PromptQuorum