重要なポイント
- UAE PDPL: Federal Decree-Law No. 45 of 2021。January 2, 2022に施行。規制当局:UAE Data Office(UAEDO)。
- 越境移転には、移転先国における適切な保護、またはStandard Contractual Clauses(SCCs)/ Binding Corporate Rules(BCRs)が必要です。2026年時点で、UAEの公式な適切性リストはまだ公表されていません。
- 完全コンプライアンス期限:January 1, 2027。 施行規則(Executive Regulations)はまだ保留中です — 実装の詳細については法的助言を推奨します。
- DPIAが必要(Article 21) となる高リスク処理:大規模なプロファイリング、法的効果を伴う自動化された意思決定、適切性のない法域への越境移転。
- データ主体は、法的またはそれに類する重大な影響を生む自動化された意思決定に対して異議を申し立てることができます。組織はアクセス請求に対して自動処理のロジックを開示しなければなりません。
- オンプレミスのローカルAI: 推論はUAE内部で行われ — 個人データは国境を越えることがなく — PDPLの越境移転エクスポージャーをby designで低減します。
- DIFC(DIFC Data Protection Law No. 5 of 2020、2025年7月改正)とADGMは独立したデータ保護制度を運用しています。連邦PDPLは独自の法律を持つフリーゾーンを明示的に除外しています。
- セクター: CBUAEはFebruary 25, 2026にSovereign Financial Cloud Services Infrastructure(SFCSI)を立ち上げました。医療:DHA + ADHICS。すべてのセクター層はPDPLの上に構築されます。
- *法的助言ではありません。個別のコンプライアンス義務については、資格を有するUAEの法律顧問またはDPOにご相談ください。*
📍 一文で説明
UAE国内でAI推論をオンプレミス実行すれば、データが国家インフラを離れないため、Federal Decree-Law No. 45 of 2021(UAE PDPL)下での個人データの越境移転がなくなります。
💬 簡潔に説明
UAEのデータ保護法では、個人データを他国へ送るには承認が必要です。AIがUAE国内でローカルに稼働していればデータは外に出ないため、移転に関する規則は適用されません。
UAE PDPL:法律、規制当局、タイムライン
UAE個人データ保護法(PDPL)はFederal Decree-Law No. 45 of 2021です。 January 2, 2022に施行され、UAEは包括的な連邦プライバシー法を制定した最初の湾岸国となりました。
規制当局:UAE Data Office(UAEDO)。 Data OfficeはPDPLの付随法であるFederal Decree-Law No. 44 of 2021によって設立されました。監査の実施、苦情の調査、ガイダンスの発行を行う権限を有します。
コンプライアンス期限:January 1, 2027。 組織はこの日までに完全なPDPLコンプライアンスプログラムを整備しなければなりません。
施行規則(Executive Regulations):まだ保留中。 SCCsのテンプレート、適切性フレームワーク、セクター別ルールを定める施行規則は、2026年初頭時点で公表されていませんでした。これは実装上の不確実性を生みます。個別の状況については、資格を有するUAEのDPOまたは法律顧問にご相談ください。
- 法律:Federal Decree-Law No. 45 of 2021(個人データ保護に関する法律)
- 施行日:January 2, 2022
- 規制当局:UAE Data Office(UAEDO)、Federal Decree-Law No. 44 of 2021により設立
- 完全コンプライアンス目標:January 1, 2027
- 施行規則(Executive Regulations):2026年初頭時点で保留中
- 適用範囲:UAE居住者の個人データをUAE法人が処理する場合、およびUAE居住者を対象とする域外処理者に適用
クラウドAI APIがPDPL下で越境移転リスクを生む仕組み
クラウドAI APIを呼び出すと、個人データはUAEを離れます。 一般的なエンタープライズワークフロー — 顧客のクエリを米国やEUにホストされたAPIエンドポイントに送信すること — は、たとえデータが一時的であってもPDPL下の越境移転に該当します。
PDPLは越境移転を制限します。 データは、UAE Data Officeが認める適切な水準の保護を移転先国が提供する場合、または特定の契約上の保護措置(SCCsまたはBCRs)が整っている場合にのみ移転できます。2026年時点で、UAE Data Officeは正式な適切性リストを公表していませんでした。
DPIAが必要となる場合があります。 適切性のない法域 — 適切性リストが保留中の現在はすべての国がこれに該当します — へ移転する場合、移転前にData Privacy Impact Assessment(Article 21)が必要となる場合があります。
リスクの実例:
- 顧客サポートのクエリをGPT-4o(米国ホスト)へ送信:個人識別子を含み得るクエリ内容の越境移転
- クラウドベースのドキュメントAIでHRファイルを処理:従業員の個人データがUAE国外へ送信される
- API経由での医療記録の翻訳:正式なSCCフレームワークがないまま機微(特別カテゴリ)データがUAEを離れる
- 独自の顧客データを用いたクラウドLLMのファインチューニング:国内に控えのコピーを保持しないまま大量の個人データを移転
オンプレミスAIがUAEのデータレジデンシーと主権にどう対応するか
オンプレミスAI推論とは:モデルがUAE国内のハードウェア上で稼働することです。 個人データはローカルで処理され、回答はローカルで返され、推論時に国境を越えるものは何もありません。
越境移転の問題が消えます。 データがUAEのインフラを一切離れなければ、推論のために適切性認定、SCC、BCRは必要ありません。レジデンシーは契約ではなくby designで維持されます。
ローカルLLMが主要な実装手段です。 オープンウェイトモデル(Falcon 3、Llama 3.1、Qwen3、Jaisなど)は、Ollama、vLLM、llama.cppを用いてUAE拠点のサーバーに展開でき — いずれも外部APIへデータを送信しません。
主権をby designで: モデルの重み、構成、すべての処理ログがUAEの法域内に留まります。これは、データを「未来の石油」と位置づけ国内ガバナンスを必要とするUAE National AI Strategy 2031と整合します。
- ✅ 推論データはUAE内に留まる — 実行時に個人データの越境移転なし
- ✅ 推論ステップに適切性認定やSCCは不要
- ✅ DPIAの範囲が縮小される — 処理はローカルであり越境ではない
- ✅ UAE AI Strategy 2031の国内データガバナンス目標と整合
- ✅ 監査ログとモデル出力はUAEの法域内に留まる
- ❌ 国内のハードウェア(GPUサーバー、NVMeストレージ、冷却)またはUAE拠点のクラウドGPUが必要
- ❌ Hugging Faceからのモデル重みのダウンロードには引き続きインターネットアクセスが必要 — 初回取得後にエアギャップ化する
- ❌ 技術チームがモデルの更新、監視、セキュリティを管理する必要がある
クラウドAI vs オンプレミス:PDPL越境リスク比較
この表は、クラウドAI APIとオンプレミスのローカルAI推論のPDPLコンプライアンス上の姿勢を比較します。法的助言ではありません — DPOにご相談ください。
| 要素 | クラウドAI API | オンプレミスのローカルAI |
|---|---|---|
| データがUAE国境を越えるか? | はい — 米国/EUのサーバーへ送信 | いいえ — ローカルで処理 |
| PDPLの越境移転義務があるか? | はい — 適切性またはSCCsが必要 | 該当なし(移転なし) |
| 適切性認定が必要か? | はい(リストは未公表) | いいえ |
| SCC/BCRが必要か? | はい(施行規則のテンプレート待ち) | いいえ |
| 越境移転によりDPIAが発動するか? | 機微データでは可能性が高い | 移転によるものではない(高リスク処理の場合のみ) |
| 監査ログの法域は? | 外国の法域 | UAEの法域 |
| UAEDOの執行の及ぶ範囲は? | 外国ベンダーには不確実 | UAEの法域で明確 |
| UAE AI Strategy 2031との整合は? | 部分的(外国インフラ) | 完全(国内データガバナンス) |
UAE組織向けのソブリンAI展開の選択肢
UAE国境内でAIを運用するための実践的な選択肢は以下のとおりです:
- 選択肢1 — 自社運用のオンプレミスGPUサーバー。 UAEのデータセンターにNVIDIA RTX 4090またはA100サーバーを展開します。OllamaまたはvLLMでFalcon 3-7B、Llama 3.1-8B、Qwen3-8Bを実行します。完全な主権:自社のハードウェア、自社の法域。
- 選択肢2 — UAE拠点のクラウドGPU。 UAEに物理的に所在するデータセンターを持つクラウドGPUプロバイダー(G42 Cloud、Microsoft Azure UAE North、AWS Middle East UAE)を利用します。データは国内に留まります。DPAの範囲を慎重に確認してください — Azure UAE NorthはMicrosoft UAEの条件で運用されるため、PDPLコンプライアンスをプロバイダーに確認してください。
- 選択肢3 — エアギャップ化されたオンプレミスシステム。 最大限の主権が必要な場合(政府、防衛、金融規制当局):モデルの重みを一度取得し、サーバーをエアギャップ化してオフラインで実行します。推論時の外向き通信なし。オンプレミスのエアギャップ化ローカルLLMを参照してください。
- 選択肢4 — ハイブリッド:ローカル推論、クラウドでのファインチューニング。 匿名化または合成データでファインチューニングし(非個人データであればクラウドでも許容)、ファインチューニング済みの重みをローカルに展開します。移転リスクを低減しつつ、モデル学習にクラウドの計算資源を活用できます。
- UAEソブリン展開向けの推奨モデル: Falcon 3(1B–10B、TII Abu Dhabi — UAEネイティブモデル)、Jais(13B–30B、Core42/G42/MBZUAI — アラビア語-英語、Abu Dhabi)、Llama 3.1(8B–70B、Meta、Apache 2.0)、Qwen3(8B–32B、アラビア語を含む多言語)。
DIFCとADGM:フリーゾーンのデータ保護制度
UAE PDPLは、すでに独自のデータ保護法を持つフリーゾーンを明示的に除外しています。 DIFCとADGMの両方がこれに該当します。
DIFC(Dubai International Financial Centre): GDPRをモデルとした制度であるDIFC Data Protection Law No. 5 of 2020の下で運用されています。2025年7月にAmendment Law No. 1 of 2025が施行され(effective July 15, 2025)、国際的なベストプラクティスとより緊密に整合し、越境移転について文書化された適切性評価を義務付けました。DIFC Commissioner of Data Protectionが規制当局です。
ADGM(Abu Dhabi Global Market): 独自のGDPR整合型データ保護フレームワーク。特筆すべきは「legitimate interests(正当な利益)」を許容される法的根拠として含む点であり — これは同意により重きを置く連邦PDPLでは利用できない根拠です。
3層のコンプライアンス: UAE本土とフリーゾーンの両方で事業を行う組織は、両制度の下でコンプライアンスを管理しなければなりません。DIFC子会社を持つUAEの持株会社は、連邦PDPLとDIFC法の両方に直面します。
- DIFC:DIFC Data Protection Law No. 5 of 2020 + Amendment Law No. 1 of 2025(July 15, 2025)
- ADGM:ADGM Data Protection Regulations(GDPRモデル、「legitimate interests」根拠を含む)
- 連邦PDPLは独自の法律を持つフリーゾーン(DIFC、ADGM)を除外
- マルチエンティティグループ:各法人を適用される制度に個別にマッピングする
- オンプレミスAIの利点:ゾーン内のハードウェアが3つの制度すべてを同時に満たす
UAEセクター別のAIコンプライアンスの考慮事項
連邦PDPLがベースラインです。規制対象のセクターはその上にさらなる要件を加えます:
- 銀行・金融(CBUAE、DFSA): UAE中央銀行(CBUAE)は、FIT Programmeの一環として、世界初のSovereign Financial Cloud Services Infrastructure(SFCSI)をFebruary 25, 2026に立ち上げました。顧客データを処理する金融機関は、PDPLに上乗せされるCBUAEのガバナンス要件に直面します。DFSAはDIFC規制対象企業を別途カバーします。
- 医療(DHA、ADHICS): 健康データはPDPL下で「特別カテゴリ」の個人データであり、強化された保護が課されます。Dubai Health Authority(DHA)およびAbu Dhabi Healthcare Information and Cyber Security Standard(ADHICS)はセクター固有のデータガバナンス要件を追加します。臨床現場で使用されるAIは、PDPLと医療規制フレームワークの両方に対応しなければなりません。
- 政府・公共部門: 政府機関は通常、デフォルトでUAE国内インフラ内でデータを処理します。UAE AI Strategy 2031は政府AIに対して国内データガバナンスフレームワークを義務付けています。オンプレミスAIは政府展開におけるデフォルトで安全な選択肢です。
- 通信: 既存の通信規制フレームワークが通信データをカバーします。PDPLは通信事業者が処理する個人データに連邦レベルのオーバーレイを加えます。
UAE PDPLとAIコンプライアンスに関するよくある質問
UAE PDPLはGDPRと似ていますか?
UAE PDPLはGDPRから着想を得ていますが、同一ではありません。主な違い:PDPLは法的根拠として同意により重きを置きます(GDPRはlegitimate interestsも許容しますが、これは標準的なPDPLの根拠ではありません)。施行規則は保留中です(GDPRの実装は成熟しています)。そして執行はまだ発展途上です。DIFCおよびADGMのデータ保護法はGDPRをより緊密にモデルとしており、legitimate interestsを含みます。
UAE PDPLはデータローカライゼーション — データをUAE国内に物理的に保存すること — を義務付けていますか?
連邦PDPLはデータローカライゼーション(すべてのデータを国内に保存することの要求)を明示的に義務付けてはいません。PDPLは越境移転を規制し — データがUAEを離れる際に適切な保護または契約上の保護措置を求めます。ただし、セクター固有のルール(例:金融サービス向けのCBUAE SFCSI)が実質的に国内保存を促す場合があります。オンプレミスAIは処理をローカルに保つことでレジデンシーを実現します。
UAE PDPL違反の罰則は何ですか?
2026年時点で、施行規則による罰則フレームワークは公表されていませんでした。PDPLの法文は罰金を含む罰則を想定していますが、具体的な金額や執行手続きは施行規則待ちでした。この不確実性そのものが、January 2027の期限に先立ってコンプライアンスに準拠した運用を確立すべき理由です。最新の罰則ガイダンスについてはUAEの法律顧問にご相談ください。
AIをローカルで運用すれば自動的にPDPLに準拠したことになりますか?
いいえ — ローカルAI展開は越境移転リスクに対処しますが、自動的に準拠したことにはなりません。引き続き、個人データ処理の適法な根拠、高リスク活動に対するDPIA、データ主体の権利に関する手続き(アクセス、削除、異議)、データ保持およびセキュリティのポリシーが必要です。ローカルAIは重要なコンプライアンスの助けですが、完全な解決策ではありません。
UAE Data Officeとは何で、何をするのですか?
UAE Data Office(UAEDO)は、Federal Decree-Law No. 44 of 2021によって設立された連邦のデータ保護規制当局です。PDPLの実装を監督し、監査を実施し、苦情を調査し、ガイダンスを発行します。2026年初頭時点で、Data Officeはまだ執行能力を構築中であり、January 2027の期限までに施行規則を公表すると見込まれていました。
当社がUAE国外を拠点としている場合、UAE PDPLは適用されますか?
PDPLには域外適用範囲があります:UAE居住者またはUAE国内の個人の個人データを処理するUAE国外の組織に適用される場合があります。正確な域外適用範囲は施行規則によって明確化されます。UAEの顧客やユーザーを持つ組織は、本社所在地にかかわらず自社の義務を評価すべきです。
UAE PDPL下でAIプロジェクトのDPIAをどのように実施しますか?
Article 21の下では、高リスクをもたらす可能性が高い処理にDPIAが必要です:自動化された意思決定、大規模なプロファイリング、機微データの処理、適切性のない法域への越境移転。DPIAは次を文書化すべきです:処理の性質と目的、必要性の評価、特定されたリスク、緩和措置。範囲や目的が変わった場合はDPIAを更新してください。
PDPL下でクラウドAIベンダーとData Processing Agreement(DPA)が必要ですか?
はい — クラウドベンダーがあなたに代わって個人データを処理する場合、GDPR Article 28のDPAと同様に、その処理義務を規定する契約上の取り決めが必要です。クラウドAIプロバイダーはUAE PDPLに準拠したData Processing Agreementを提供すべきです。越境移転が関わる場合、SCCsまたはBCRsも必要です(施行規則のテンプレート待ち)。
本土PDPL、DIFC法、ADGM法の違いは何ですか?
UAE本土の法人は連邦PDPL(Federal Decree-Law No. 45 of 2021)によって規律されます。DIFCの法人はDIFC Data Protection Law No. 5 of 2020(2025年7月改正)に従います。ADGMの法人はADGM Data Protection Regulationsに従います。PDPLは独自の法律を持つフリーゾーンを明示的に除外しています。マルチエンティティグループは各法人を適用される制度にマッピングしなければなりません。
UAEのソブリン展開に最適なオープンウェイトAIモデルはどれですか?
有力な3つの選択肢:Falcon 3(1B–10B、Technology Innovation Institute(Abu Dhabi)製 — UAEネイティブのモデルファミリー)、Jais(13B–30B、Core42/G42/MBZUAI(Abu Dhabi)製 — アラビア語-英語のバイリンガル)、Llama 3.1(8B–70B、Meta、Apache 2.0)。いずれもOllamaまたはvLLMでオンプレミス展開できます。FalconとJaisは特にUAEのAI主権目標と整合しています。最良のアラビア語ローカルLLMガイドを参照してください。
出典
- UAE Federal Decree-Law No. 45 of 2021(個人データ保護に関する法律)— uaepdpl.com
- UAE Data Office(UAEDO)— uaedataoffice.gov.ae
- DIFC Data Protection Law No. 5 of 2020 および Amendment Law No. 1 of 2025 — difc.ae/business/laws-and-regulations/
- ADGM Data Protection Regulations — adgm.com/setting-up/financial-services-regulations
- CBUAE Sovereign Financial Cloud Services Infrastructure(SFCSI)発表、February 25, 2026 — centralbank.ae
- Securiti UAE PDPL Overview — securiti.ai/uae-personal-data-protection-law
- Chambers and Partners — Data Protection & Privacy 2026, UAE — practiceguides.chambers.com