重要なポイント
- ローカルホスティングは必要だが十分ではありません。 自社ハードウェア上でモデルとベクトルストアを動かすことで越境移転は解消しprocessorリストは縮小しますが、GDPR第5、25、30、32、35条は依然として適用されます。データが社内に留まっても、適法性、データ最小化、監査ログ、処理の安全性、DPIAは任意になりません。
- 展開パターンを問わず6つの統制は妥協できません:Air-Gapまたは厳格なegress制御、ロールベースアクセスを伴うユーザー単位認証、改ざん防止監査ログ、保存時および転送時の暗号化、chunkからソース文書まで遡れる決定論的データ系統、ベクトルインデックスとキャッシュ済みembeddingを含む文書化された削除パス。
- 3つの展開パターンが規制対象ユースケースのほとんどをカバーします。 単独プロフェッショナルや案件レビューには単一ユーザーラップトップ、5〜50ユーザーの部門単位ナレッジベースにはOn-Premサーバー、完全Air-Gapより耐障害性が重要な複数法人展開にはプライベートEUクラウド(ソブリンリージョン、顧客管理鍵)。
- EU AI Actはほとんどのローカル RAGを「限定リスク」システムに分類します — ただしretrievalが自動化された決定(信用スコアリング、雇用スクリーニング、給付資格判定)に供される瞬間、展開は高リスクに移行し、完全な適合性評価、市場投入後のモニタリング、人間の監督義務が発生します。
- 第35条のDPIAは必須です — 特別カテゴリの個人データ(医療、法的、生体、政治、組合員)を大規模に取り込むRAG、または法的効果を持つ自動化決定を生成するシステムには。DPIAをスキップすれば、監査時の防御もスキップしたことになります。
- 忘れられる権利は、ほとんどの展開が落ちる削除テストです。 ソース文書は容易です。ベクトルインデックスは再構築可能です。キャッシュ済みembedding、retrievalログ、チャット履歴に保存された回答 — これらが見落とされる箇所であり、規制当局が必ず尋ねる箇所です。
- Open-source embeddingモデルは原則としてGDPRセーフですが、3条件付きです:(a)モデル重みを一度ダウンロードしてハッシュにピン留め、(b)inferenceは完全にローカルでテレメトリなし、(c)モデルカードとライセンスを確認し、機密業務利用と矛盾する条項がないことを確かめる。
クイックファクト
- 6つの必須統制: Air-Gap、RBAC、監査ログ、暗号化、データ系統、削除パス。
- 3つの展開パターン: 単一ユーザーラップトップ(単独プロフェッショナル)、On-Premサーバー(5〜50ユーザー)、プライベートEUクラウド(複数法人)。
- DPIAは第35条で必須: 特別カテゴリの個人データ(医療、法的、生体)を大規模に処理する場合。
- EU AI Act: ほとんどのローカルRAGは限定リスク。retrievalが自動化決定(信用、雇用、給付)に供されると高リスクに昇格。
- 忘れられる権利: ソース文書、ベクトルインデックス、キャッシュ済みembedding、回答履歴まで伝播必須。
- METIのAIガバナンス2024は、機微情報を扱う日本企業に対しデータ主権を確保する展開を推奨。ローカル推論はその要件を構造的に満たします。
- Open-source embeddingモデル:重みのピン留め、完全ローカルinference、ライセンス確認の3条件下でのみGDPR準拠。
展開パターン比較
どのパターンもGDPR準拠にできます。変わるのは統制のコストと、何かが起きたときの故障モードです。ユーザー数、文書の機密度、耐障害性要件に合う最もシンプルなパターンを選んでください。
| 統制 | 単一ユーザーラップトップ | On-Premサーバー | プライベートEUクラウド |
|---|---|---|---|
| Air-Gap(外向き通信なし) | 簡単 — ネットワーク無効化 | 可能 — VLAN+ファイアウォール | 困難 — egressのallowlistのみ |
| 監査ログ(誰が、何を、いつ) | 手動 — OSレベルのみ | 強力 — 集中ログパイプライン | 強力 — クラウドネイティブlogging |
| データ系統(chunk → ソース) | ローカルファイルのみ | 完全に追跡可能 | 完全 — リージョン横断 |
| EUデータレジデンシー | 本質的 — 物理所在地 | 本質的 — 物理所在地 | 構成 — ソブリンリージョン必須 |
| ユーザー別RBAC | 単一ユーザー — 該当なし | IDプロバイダ+グループ | IAM+SSO+コレクション別ACL |
| バックアップとDR | 暗号化外付けディスク | テープまたはオフサイトバックアップ | クロスAZレプリケーション |
| 初期コスト | ハードのみ — 低 | サーバー+統合 — 中 | サブスク+セットアップ — 中 |
| 継続コスト | なし — sysadmin工数 | IT運用+電力+冷却 | 月次経常 |
| 最適なケース | 単独プロフェッショナル、案件レビュー | 5〜50ユーザー、部門ナレッジベース | 複数法人、耐障害性展開 |
展開パターンの選択
正しい選択は、ユーザー数、文書の機密度、監査対応の緊迫度、社内のIT能力に依存します。 以下の判断ショートカットがほとんどの実シナリオをカバーします。
| 状況 | 推奨 |
|---|---|
| 案件を1件ずつレビューする単独の弁護士、医師、監査人 | 単一ユーザーラップトップ |
| 指名された3〜5名のレビュアーと終了日が決まったM&Aデータルーム | 単一ユーザーラップトップまたはOn-Prem(文書量に応じて) |
| 規制当局通信アーカイブを共有する10〜30名のコンプライアンスチーム | On-Premサーバー |
| 50名向けの臨床プロトコルアシスタントを構築する病院部門 | On-Premサーバー |
| 複数EU諸国の子会社にまたがる単一RAGを必要とするマルチエンティティグループ | プライベートEUクラウド(ソブリンリージョン+顧客管理鍵) |
| 24/7稼働要件とDR計画を持つ保険会社 | プライベートEUクラウド |
| 機密または取扱制限データを持つ官公庁 | Air-Gapped On-Premのみ — クラウドは対象外 |
| 6週間以内の規制当局向け監査防御 | On-Premサーバー(統制を実証する最速ルート) |
なぜ機密データにローカルRAGか
クラウドLLM-as-a-Serviceに対するローカルRAGの優位はイデオロギーではなく、GDPRリスクアセスメントの形そのものです。 クラウドRAGは多くのユースケースで実用的ですが、機密業務データに対しては、ローカルRAGが構造的に排除する5つのリスクを追加します。
📍 一文で説明
ローカルRAGは機密文書を自社ハードウェアに留めたままチームにAI検索を提供します — データは社外に出ず、第三者processorは触れず、越境移転の論点も生じません。
💬 簡潔に説明
法務チームが10,000件の案件ファイルを自然言語で検索できると想像してください — ただし文書はサーバルームを離れません。それがローカルRAGです:AIはあなたのハードウェア上で文書を読み、あなたのハードウェア上で質問に答え、何もどこにも送られません。コンプライアンス上の利点は機能ではなく、アーキテクチャです。
- 越境移転(第44〜49条)。 個人データをEU域外のprocessorに送るには標準契約条項、移転影響評価、受領管轄に召喚権限が及ぶかという確かな回答が必要です。ローカルRAGはデータを移転しないため、論点が発生しません。
- Sub-processorの増殖(第28条)。 クラウドLLMプロバイダはhyperscalerインフラ、コンテンツモデレーション、observabilityベンダーに依存しがちです。それぞれがリストアップ、契約、監査を要するsub-processorです。ローカルRAGはデフォルトでsub-processorが0です。
- 学習データ漏洩。 多くのクラウドLLM規約は、有償のエンタープライズ枠で学習除外条項が確認されない限り、顧客プロンプトをモデル改善に使う権利を留保します。ローカルRAGは自社で重みを管理するモデルを動かし、ホストから何も出ません。
- クライアント契約の機密保持条項。 外部弁護士契約、M&A NDA、患者データ契約は、保護対象を第三者processorに送ることをしばしば禁じます。ローカルRAGは条項を完全に回避します。
- 召喚および司法手続によるエクスポージャ。 クラウドプロバイダに保管された文書はプロバイダ宛ての法的手続で強制提出され得て、controllerが事前通知を受けない場合もあります。社外に出ない文書は、あなた自身に対してしか強制できません。
📌Note: ローカルRAGがすべてのワークロードに適しているわけではありません。公開情報のリサーチ、マーケティング草稿の生成、オープンソースリポジトリへのコード補助 — これらはGDPRエクスポージャが低くモデル品質差が効くため、通常クラウドLLMの方が良い結果になります。本記事の主張は、機密業務データ(法務、医療、金融、人事、規制当局通信、企業秘密)に特化したものです。
6つの必須統制
この6統制が床面です。 規制対象の展開はすべて6つを必要とし、展開パターンは実装方法だけを変えます。1つでも省くと、監査が悪化する最も多い原因になります。
- 1Air-Gapまたは厳格なegress制御
Why it matters: 文書とembeddingが外向き通信で漏れないことを確認します — テレメトリSDK、モデル更新プローブ、クラッシュレポーター、コンテンツモデレーションコールバック、フォントの第三者CDNなど。ネットワークアクセスを完全に無効化(真のAir-Gap)するか、署名付き更新サーバーのみ許可するegress allowlistを運用してください。 - 2ロールベースアクセスを伴うユーザー単位認証
Why it matters: 「誰がどの文書にアクセスしたか」を、規制当局が尋ねる前に答えられる必要があります。IDプロバイダに対するSSO、グループベースのコレクションアクセス、案件で必要なら文書単位のACL。共有アカウントは統制ではなく、起こるのを待つ監査失敗です。 - 3ingestおよびretrievalをカバーする改ざん防止監査ログ
Why it matters: 各文書について:誰がアップロードしたか、いつ、ソースパス、ハッシュ。各クエリについて:誰が尋ねたか、何を尋ねたか(ロギングポリシーが許す場合)、どのchunkがretrieveされ、どの文書IDから来たか、どの回答が返ったか。ログは改ざん検知可能(append-only、署名、規制当局の調査ウィンドウをカバーする保管期間)でなければなりません。プロンプトレベルの監査トレイル — バージョン管理、変更履歴、ロールバック — については[プロンプトのバージョン管理ワークフロー](/prompt-engineering/prompt-version-control-workflows?lang=ja)を参照してください。 - 4保存時および転送時の暗号化
Why it matters: ホストのディスク暗号化、内部のサービス間通信のTLS、盗難ラップトップや侵害された管理者アカウントを生き延びる鍵管理。クラウド展開では顧客管理鍵。これがないと、デバイス紛失が第33条の通知義務違反に転じます。 - 5chunkからソースまでの決定論的データ系統
Why it matters: retrieveされた各chunkは、ソース文書、ページ、セクション、バージョンに遡れる必要があります。これにより(a)回答の検証、(b)削除請求の履行、(c)生成された要約が法廷で問われたときの防御が可能になります。「どのchunkがどの回答を生んだか再現できない」は規制当局への許容回答ではありません。 - 6ベクトルインデックスおよびキャッシュ済みembeddingを含む文書化された削除パス
Why it matters: 忘れられる権利の請求は、ソースストアからベクトルインデックス、キャッシュ済みembedding、retrievalログの保管まで伝播する必要があります。多くの展開はソース削除はきちんと処理しますが、残りを忘れます。本番化前に削除runbookを文書化し、合成データでリハーサルしてください。
Air-Gapとegress制御
Air-Gapはホストに外向き経路がないこと、egress制御は厳格にallowlistされた経路があることを意味します。 どちらも許容ですが、運用が支えられる最強モデルを選んでください。
- 真のAir-Gap — DHCPなし、公的宛先へのDNS解決なし、外向きTCPなし。更新は管理者が物理的に接続する署名付きメディア経由。機密業務、特定の病院ネットワーク、悪意ある依存関係を脅威モデルに含む展開に最適です。
- Egress allowlist — 外向き通信は名前付き宛先の小リスト(モデル更新サーバー、IDプロバイダ、内部コレクタへのログフォワーダ)にのみ許可。それ以外はファイアウォールでドロップ。規制対象の部門展開のほとんどでは、これが現実的なデフォルトです。
- プラットフォームで確認すべき点: デフォルトのテレメトリゼロ、inference中の外向き呼び出しなし、UIにフォントCDNなし、ペイロードを送るクラッシュレポーターなし。Little Snitch等のツールやパケットキャプチャでテストベンチで検証してから本番昇格してください。
- 更新ガバナンス — モデル重み、embedder重み、アプリケーションコード、OSパッチはすべて統制された更新ウィンドウを通ります。更新を昇格する管理者が書面でサインオフし、変更がログに残ります。
- よくあるAir-Gap破れ: 第三者UIコンポーネントに同梱されたanalytics SDK、アプリケーションchromeのフォントCDN参照、起動時に走る「アップデート確認」プローブ。だから検証ステップが重要です — デフォルトを信用してはいけません。
💡Tip: アプリケーションを開いたまま24時間のパケットキャプチャをホストで実行してください。allowlistにない外向きはすべて指摘事項です。アプリ更新のたびに繰り返してください — リリースノートは新しい外向き呼び出しを過小報告するのが常です。
監査に耐えるaudit logging
監査ログは規制当局が最初に読む成果物です。 retrieveのたびに2つの問いに答える必要があります:誰が尋ねたか、システムが何を返したか。それなしでは言葉で議論することになります。適切なロギングがあれば、領収書を見せられます。
- Ingestイベント: 文書ID、ハッシュ(SHA-256)、ファイル名、ソースパス、アップロード者、タイムスタンプ、分類タグ、サイズ、ページ数、所有グループ、保管クラス。ingest時に各文書をタグ付けしてください — 大規模コーパスの遡及分類は困難で完全になることは稀です。
- Retrievalイベント: クエリID、ユーザーID、タイムスタンプ、retrieveされたchunk ID(およびその由来文書ID)、retrievalスコア、最終回答ハッシュ、モデル識別子、embedder識別子、使用したtop-K。クエリテキストそのものは機微 — 処理の目的が許す場合のみログし、そうでなければハッシュとタイムスタンプのみログしてください。
- 管理イベント: モデル昇格、embedder変更、インデックス再構築、ユーザー/グループ変更、ACL変更、アクセスポリシー変更。各イベントは責任ある管理者によって署名されます。
- 改ざん耐性: append-onlyログ、ハッシュチェーン(各エントリは前エントリのハッシュを参照)、out-of-band署名鍵、別管理者または書込専用メディアに保管された別コピーとの定期的整合確認。
- 保管期間: 規制当局の調査ウィンドウに整合 — 最低でも案件の保管期間、規制業界では一般的に6〜7年、業界規則がある場合はそれ以上。
- パイプライン: アプリケーションは構造化イベントを発し、forwarderが書込制限された別ログストアへ送ります。アプリケーションサーバーはログエントリを削除・書換できる権限を絶対に持つべきではありません — 職務分離がログを信頼性のあるものにします。
📌Note: クエリテキストのロギングは独自のGDPR論点を生みます — クエリ自体が個人データを含み得ます(例:「患者Xの病歴を要約せよ」)。設計時に、処理の目的がクエリロギングをカバーするか決めてください。カバーしない場合は、監査と運用診断に必要なメタデータのみログします。
chunkからソースまでのデータ系統
データ系統は他のすべての統制の背骨です。 系統がなければ削除請求は失敗し、回答検証は不可能、監査トレイルは崩壊します。最初のingestから組み込んでください、後付けではなく。
- 文書レベルの系統: 各文書は安定した内部ID、コンテンツハッシュ、ingestタイムスタンプ、所有者、分類、保管クラスを持ちます。原本ファイルはソースストアに留まり、RAGシステムは参照のみを保持します。
- chunkレベルの系統: 各chunkは親文書ID、ページ(PDF)、セクション(構造化文書)、文字オフセット、長さ、chunking戦略バージョンを参照します。再chunkするとき(必ず行います)、古いchunkはin-place削除ではなくtombstoneにし、古いretrievalログが解決可能なまま保ちます。
- embeddingレベルの系統: 各embeddingベクトルはchunk IDとembedder識別子を参照します。embedderを変えるとき、新しいembeddingが検証され、それを参照する案件がクローズされるまで古いベクトルを保持し、その後にパージします。
- 回答レベルの系統: 各生成回答は、それを生んだchunk ID、モデル識別子、プロンプトテンプレートバージョン、タイムスタンプを参照します。「この回答はどこから来たか」をユーザーが尋ねたとき、システムはchunk → 文書 → ページを1クリックで解決します。
- 系統を壊さない再インデックス: 再構築は文書IDを保持し、chunking戦略バージョンをインクリメントします。古いchunk IDはretrievalログ内で解決可能なまま残り、ライブインデックスが進んでも問題ありません。
💡Tip: 系統チェーンを四半期ごとにテストしてください。監査ログからランダムにretrievalを選び、chunk ID → 文書ID → ソースストアの原本 → 保管クラス、と遡ります。どこかが壊れていれば、次の規制当局検査の前にスキーマを直してください — 検査中ではなく。
暗号化とアクセス制御
保存時暗号化、転送時暗号化、既存のIDプロバイダにマップするアクセス制御。 よく理解された統制です。失敗モードは選んだ層を雑に実装することではなく、3層のうち1つを忘れることです。
- 保存時暗号化 — ホストのフルディスク暗号化(Linux:LUKS、Windows:BitLocker、macOS:FileVaultはラップトップ向け)。サーバーではベクトルストアやingestステージング領域のパーティションも暗号化してください。クラウド展開には顧客管理鍵を、ポリシーに従い鍵ローテーション。
- 転送時暗号化 — サービス間ホップごとにTLS、localhost上でも。業界ベースラインに合わせた暗号スイート方針。脅威モデルが正当化する場合はMutual TLS — クラウド展開のサーバー間が典型例。
- 認証 — 既存IDプロバイダ(OIDC、SAML)に対するSSO。本番にはローカルアカウントなし。管理権限または機微コレクションへのアクセスを持つユーザーにはMFAを強制。
- 認可 — コレクションレベルのグループベースアクセス、案件で必要な場合は文書レベルACL(M&Aデータルーム、雇用調査など)。retrievalパイプラインはクエリ時にACLを強制する必要があります — UIだけではダメです。文書を見られないユーザーにはchunkも返ってはいけません。
- 管理アクセス — インデックスを読む・再構築する、監査ログを見る、ACLを変える権限を持つアカウントには特権アクセス管理(PAM)。常時管理者権限より、ログ付き正当化を伴うjust-in-time昇格が優れています。
- エンドポイントセキュリティ — ラップトップ展開には管理デバイス(MDM登録、暗号化、画面ロックポリシー強制)。文書ストアが復号されたまま無人でカフェに置かれた単独プロフェッショナルのラップトップは、書きたくないGDPR違反です。
単一ユーザーラップトップパターン
単一ユーザーラップトップは最もAir-Gap化しやすく、最もスケールしにくいパターンです。 単独プロフェッショナルや単発の案件レビューに最適、単一ユーザーを超えて存続する必要のあるものや退職に耐える必要のあるものには不適です。
- ハードウェア — フルディスク暗号化、専用GPU(または近年のunified-memoryマシン)、最低32 GBのRAMを備えたワークステーションクラスのラップトップ。モデルとembedderはベクトルストアキャッシュとともにメモリに収まる必要があります。VRAMによるハード要件とモデル選択についてはローカルLLMハードウェアガイドを参照してください。
- ソフトウェア — ローカルで動く自己完結型のデスクトップRAGアプリ、重みを一度ダウンロードしハッシュにピン留めしたOpen-source LLM、Open-source embedder、暗号化ディスク上のローカルベクトルストア。ローカルRAGに適したオープンソースモデルの比較はOllama向けトップオープンソースモデルを参照してください。
- ネットワークposture — 業務中はAir-Gap、明示的な署名付き更新時のみ再接続。OSファイアウォールをデフォルトで全外向きdrop、更新ワークフロー用に明示的例外を作成してください。
- 文書の取り扱い — 暗号化ディスク上のソース文書、案件ごとの分離フォルダ構造、別場所保管の外付けディスクへの週次暗号化バックアップ。
- 監査posture — OSレベルの監査ログ(ログイン、ファイルアクセス、周辺機器イベント)が床面。アプリケーションレベルイベントはOn-Premパターンの方が容易ですが、ラップトップパターンではOSログを主記録として扱い、案件ごとの手書き記録で補完します。
- 限界 — 単一ユーザーラップトップはマルチユーザープラットフォームではありません。ラップトップやアカウントを共有する、文書ストアを同僚のマシンにコピーするのは、監査postureと適法性評価の両方を壊します。
💡Tip: 機密案件を扱う単独プロフェッショナルにとって、単一ユーザーラップトップパターンは利用可能な最強のプライバシーpostureです — どのクラウドより良く、多くのOn-Prem展開より強固です。トレードオフは運用面:ラップトップが故障すると、案件はバックアップ規律の復旧時間を継承します。
On-Premサーバーパターン
On-Premサーバーは規制対象の部門単位RAGの主役パターンです。 5〜50ユーザーと数千件の文書にスケールし、適切な監査ロギングをサポートし、物理的境界内に留まります。代償は本物のIT運用作業です。
- ハードウェア — エンタープライズGPU 1〜2基(小規模コーパスならワークステーションGPUも可)、冗長化ディスク、ECCメモリ、UPS搭載のサーバー。生コーパスの2〜4倍のストレージを、ベクトル、インデックス、ログ、バックアップ向けに見込んでください。
- ネットワーク — 企業ファイアウォール背後の専用VLAN、脅威モデルに応じてegress allowlistまたは完全Air-Gap。社内アクセスは企業ネットワーク経由のみ、公的ingressなし。
- ソフトウェアスタック — セルフホスト型RAGプラットフォーム(スタンドアロンのサーバーイメージかコンテナ化展開)、チャットモデルとしてのOpen-source LLM、Open-source embedder、コーパスサイズに応じたベクトルストア。アプリケーションサーバー、ベクトルストア、ログforwarderは別プロセス・別サービスアカウントで動作させます。
- ID — 企業IDプロバイダに対するフェデレーション、グループメンバシップがコレクションアクセスを駆動。機微コレクションは追加承認ワークフローでゲートします。
- バックアップとDR — 文書ストアとベクトルインデックスの夜次インクリメンタルバックアップ、週次フルバックアップ、ITが保持するオフサイトコピー。文書化された復元runbookを少なくとも年1回テスト。
- 運用 — 変更管理ポリシーに従ったパッチウィンドウ、四半期アクセスレビュー、忘れられる権利の請求向けに練習済み削除runbook、系統を保持するモデル・embedderアップグレードパスの文書化。
- 容量計画 — 数千件の文書と5〜50同時ユーザーは、単一のmid-range GPUサーバーで快適に収まります。それを超えるなら、より高性能なホストかプライベートクラウドパターンへの移行を計画してください。
📌Note: On-Prem RAGは非技術的理由で最も失敗しやすいパターンです:一度も復元されたことのないバックアップ、IT職員間で共有される管理者アカウント、誰もテストしていないUPS、2か月静かにイベントを落としているログforwarder。技術的統制は運用衛生より易しいのです。
On-Prem RAG向けベクトルデータベース選択肢
ベクトルストアの選択がコンプライアンスを決めることはまれですが、運用コスト、スケール上限、削除runbookのクリーンさを左右します。 規制対象展開のほとんどはこの6つのいずれかを選びます。
| ベクトルDB | タイプ | EUセルフホスト | 最適なRAGパターン |
|---|---|---|---|
| Chroma | オープンソース、軽量 | ✅ | ラップトップ+小規模On-Prem |
| Qdrant | オープンソース、高性能 | ✅ | On-Premサーバー、フィルタリング重視 |
| Weaviate | オープンソース、フル機能 | ✅ | On-Prem+ハイブリッドサーチ |
| Milvus | オープンソース、エンタープライズ | ✅ | 大規模On-Prem |
| pgvector | PostgreSQL拡張 | ✅ | すでにPostgresを使うチーム |
| Pinecone | マネージドSaaS | ⚠️ US-hosted | プライベートEUクラウドのみ(留保あり) |
プライベートEUクラウドパターン
プライベートEUクラウドパターンは、ソブリンリージョンクラウドプロバイダ、顧客管理鍵、EU限定データレジデンシー、顧客データへのAI学習禁止の契約条項を採用します。 複数法人展開、複数リージョンの耐障害性要件、真のOn-Prem運用能力を持たないチームに最適です。
- プロバイダ選定 — hyperscalerのEUソブリンオファリングか欧州系クラウドプロバイダ。DPAは全sub-processorをリストアップ必須、EEA外のsub-processorがいる場合は移転メカニズムを示す必要があります。Schrems II型の移転影響評価は、直接のprocessorがEU所在でもファイルに含めます。
- リージョン — EU限定、明示的なデータレジデンシー保証付き。クロスリージョンレプリケーションは他のEUリージョンのみ。バックアップ目的でも一時的でもUSリージョンへのfailoverは不可。
- 暗号化 — ローテーション付き顧客管理鍵、プロバイダがサポートする場合はbring-your-own-key、鍵アクセスイベントはクラウドプロバイダの運用ログとは別に記録。
- ネットワーク — 公的ingressなしのプライベートVPC、企業ネットワークからの専用接続またはVPN経由のみアクセス、外向き依存にはegress allowlist。
- ID — 企業IdPに対するフェデレーション、共有サービスアカウントではなくユーザーIDに紐付くクラウドネイティブIAM、retrievalパイプラインで強制されるコレクション別ACL。
- Logging — クラウドネイティブの監査ログを既存SIEMに供給、アプリケーション監査イベントは別取込、規制当局期待に応える改ざん耐性保管。
- 契約 — DPAは第28条準拠、sub-processor列挙、必要に応じてSCCs対処、LLM重みおよび付随サービス(検索、テレメトリ、サポート)をカバーする明示的な学習禁止条項を含む必要があります。
💡Tip: プライベートEUクラウドパターンは第三者processorを使うため On-Premより寛容に見えます — しかしソブリンリージョン、顧客管理鍵、契約上の学習禁止条項、適切なegress制御を備えれば、可用性と監査postureの両面でOn-Premに匹敵または上回ります。コンプライアンスファイルは厚くなりますが、運用リスクは小さくなります。
EU AI Actの分類:限定リスク vs 高リスク
ほとんどのローカルRAG展開はEU AI Act上の限定リスクAIシステムです — しかしretrievalが人に影響する自動化決定に供される瞬間、分類は高リスクへスライドし、義務が倍増します。 構築前に分類してください。
- 限定リスク(ほとんどのローカルRAG) — 文書をretrieve・要約して人を補助し、人が判断します。義務は主に透明性:ユーザーはAIと対話していることを認識する必要があり、生成コンテンツはそのことが識別可能で、操作的・欺瞞的設計は禁止。
- 高リスク — retrievalがActで列挙された領域(信用スコアリング、雇用スクリーニング、教育入学、必須公的サービス、法執行、移民、司法、生体識別、重要インフラ)の自動化決定に供されるケース。治療を推奨する臨床意思決定支援RAGは高リスク。臨床プロトコル要約RAGで医師がガイドラインを速く読むのを助けるものは高リスクではありません。
- 高リスクの義務 — ライフサイクルにわたるリスクマネジメントシステム、データガバナンス(学習・検証・テストデータの文書化)、技術文書、自動イベントロギング、ユーザーへの透明性と情報、人間の監督、精度と頑健性、上市前の適合性評価、市場投入後モニタリング。
- 汎用AIの考慮 — 汎用LLM(オープンソース問わず)の利用は、高リスク義務をモデルプロバイダに移しません。デプロイヤ(あなたの組織)が、そのモデルで構築するシステムの高リスク義務を負います。
- 禁止行為 — 社会スコアリング、無差別な顔画像スクレイピング、職場・学校での感情認識、特定のリアルタイム生体カテゴリ化。どれだけローカルで動かそうと、これらは対象外です。
- 監査成果物としての文書 — 高リスクシステムに必要な技術ファイルは一度きりの納品物ではなく、生きた文書です。変更管理プロセスと連動させ、モデル昇格、embedder変更、ACL変更ごとに反映させてください。
📌Note: 高リスクと限定リスクの境界はユースケースが引き、技術ではありません。同じベクトルストアと同じモデルが、研究アシスタント展開では限定リスクで、HRスクリーニング展開では高リスクになり得ます。プラットフォーム単位ではなくユースケース単位で分類してください。
DPIA要件(第35条)
データ保護影響評価(第35条)は、データ主体に高リスクをもたらす可能性のある処理に対して必須です。 規制対象のローカルRAGのほとんどが範囲内です。DPIAをコンプライアンスの後付け成果物ではなく、設計ドキュメントとして扱ってください。
- 必須となるとき — 法的効果を伴うプロファイリングを含む系統的かつ広範な評価、特別カテゴリの個人データ(医療、法的、生体、人種、政治、宗教、組合)の大規模処理、公的領域の系統的監視。各国規制当局がDPIAを必ず要する処理リストを公表しています — 自分のものを確認してください。
- DPIAの範囲 — 目的および適法性、処理活動の記述、必要性と比例性、データ主体へのリスク評価、緩和策と残存リスク、DPOとの協議、残存リスクが高い場合は処理開始前に規制当局と協議。
- RAG固有のリスク: retrieveされたchunkからの個人再識別、人に影響する不正確な情報の生成、ログやバックアップ経由の漏洩、忘れられる権利の削除完全性、コレクション間の汚染、power userへの過大なアクセス。
- 文書化すべき緩和策 — 上記の6統制、加えて適法性が同意または正当な利益の場合のchunkレベルの黒塗り・仮名化、リハーサル証拠付き削除runbook、定義されたケイデンスのアクセスレビュー。
- レビュアー — DPOが承認、緩和後の残存リスクが高いままなら規制当局と協議。署名されたDPIAは、システムが高リスクでもある場合はEU AI Act適合文書とともに技術ファイルへ。
- 生きた文書 — コーパスが大きく拡張するとき、モデルやembedderが変わるとき、アクセス境界が変わるとき、またはベースラインとして毎年DPIAを再実施。変更管理プロセスに連動させてください。
💡Tip: プロジェクト2週目に書かれるDPIAは計画ツールです。10週目に書かれるDPIAは防御文書です。前者の方がはるかに有用で、最終残存リスクを下げる設計変更を浮上させがちです。デプロイ後ではなく、調達決定前にDPIAを始めてください。
ドイツ固有の留意点(Datenschutz)
ドイツのデータ保護実務は、GDPRベースラインの上にBDSG-Neu、業界別規則、BSI-Grundschutzバウシュタイン、Betriebsratの共同決定権を重ねます。 一般的なGDPRを満たすRAG展開でも、これらを見落とすとドイツのレビューで落ちることがあります。
- Betriebsratの共同決定 — §87 BetrVGにより、従業員のパフォーマンスや行動を監視するシステムは、展開前にBetriebsratとの合意を要します。従業員作成コンテンツ(メール、社内文書)に対するRAGは典型的にこれを発動させます。設計時にBetriebsratを巻き込み、合意(Betriebsvereinbarung)を適法性ファイルに含めてください。
- 業界別の守秘 — §203 StGBは職業上の守秘義務違反(弁護士、医師、税理士、監査人)を犯罪化します。守秘義務に拘束されないスタッフや外部processorに保護対象クライアントデータをさらすRAG展開は、民事ではなく刑事問題になり得ます。これらの業界ではOn-PremまたはAir-Gappedパターンが安全な選択です。
- TelemediengesetzおよびTTDSG — エンドユーザーデバイスに触れる外向きテレメトリはGDPRだけでなくTTDSGにも規律されます。Air-Gapはこの問いを取り除きます。egress制御展開では、外向き呼び出しが同意済み、必要、または厳格に技術的なものであることを検証する必要があります。
- BSI-Grundschutzバウシュタイン — 行政機関やKRITIS事業者には、BSI-Grundschutz-Kompendiumが拘束的な基準を提供します。中堅企業でも、OPS.1.2.4(クラウド利用)、OPS.2.1(アウトソーシング)、APP.4.4(Webアプリ)等のバウシュタインはアーキテクチャ文書の有用な参照になります。
- 監督機関(連邦・州レベル) — 民間部門のデータ保護監督は州レベルで組織されます。第36条に基づく協議が必要なら、所管のLandesbeauftragte für Datenschutzに相談してください。
- 文書言語 — ドイツの監督機関は英語の文書を受け付けますが、主要なユーザー向け成果物(プライバシー通知、透明性開示、Betriebsrat合意)は法的・実務的理由からドイツ語で書くべきです。
本番化前のコンプライアンスチェックリスト
本番ロールアウト前にこのリストを最後まで歩いてください。 各項目は実監査からの実故障モードです。実際に使われるよう意図的に短くしてあります。
- ☐ 適法性が文書化されている — 各カテゴリのソースデータについて:同意、契約、法的義務、生命に関わる利益、公的任務、または比例衡量を伴う正当な利益。
- ☐ DPIAがDPOによって承認、リハーサル済み削除runbookが添付されている。
- ☐ 処理活動の記録(第30条) が更新され、RAGシステム、データカテゴリ、保管、受信者、移転メカニズム(ローカルRAGでは典型的になし)を含む。
- ☐ 6統制がエンド・ツー・エンドで検証 — Air-Gapまたはegress allowlist、RBAC、監査ログ、暗号化、系統、削除パス。
- ☐ 外向きパケットキャプチャ が24時間soakテストでクリーン、アプリ更新ごとに繰り返される。
- ☐ IDプロバイダ統合 が各アクセス層の実ユーザーでテスト済み、機微コレクションアクセスは別の昇格を要する。
- ☐ バックアップが取得され、復元が実際にテスト されている — ステータスパネルでの確認だけでなく分離ハードでの実テスト。
- ☐ 忘れられる権利runbookがリハーサル済み — 合成データでソースストア、ベクトルインデックス、キャッシュ済みembedding、retrievalログ保管をカバー。
- ☐ EU AI Act分類 確認済み(限定リスク vs 高リスク)、高リスクなら技術ファイル準備済み。
- ☐ ベンダー契約(あれば)レビュー済み — DPAが第28条準拠、sub-processor列挙、顧客データをカバーする学習禁止条項。
- ☐ Betriebsrat合意 が、従業員作成コンテンツが範囲に含まれる場合に存在する(ドイツ、類似のEUルールが他国にも)。
- ☐ 透明性通知 がユーザー向け平易な言葉で起草され、AI支援、human-in-the-loop、データフローを説明。
- ☐ インシデント対応runbook がRAG固有シナリオを含めて更新 — インデックス漏洩、ログ改ざん、削除失敗、下流系統を壊すモデル交換。
- ☐ 四半期アクセスレビュー がスケジュール・割当済み、本番化前に最初のレビューがカレンダーに。
- ☐ 年次DPIAリフレッシュ がスケジュール済み、変更管理プロセスに連動。
よくある誤り
- 誤り1:「ローカル」を「準拠」の同義語として扱う。 On-Prem運用は移転とprocessorの問いを解きますが、適法性、DPIA、監査ロギング、データ主体権は解きません。コンプライアンスは多層プログラムであり、展開選択ではありません。
- 誤り2:システムが「ただの検索ツール」だからとDPIAをスキップする。 特別カテゴリの個人データを大規模にingestする検索ツールこそが第35条の対象です。DPIAをスキップすれば監査時の防御もスキップしたことになります。
- 誤り3:適法性を確認せずにクエリテキストをログする。 クエリは個人を参照すれば自身が個人データです。設計時に処理目的がクエリロギングをカバーするか決め、カバーしないならハッシュとメタデータのみログしてください。
- 誤り4:削除runbookでキャッシュ済みembeddingを忘れる。 ソース削除は機能します。ベクトルインデックス再構築も機能します。プラットフォームがパフォーマンス目的で追加したキャッシュ層、retrievalログ内のembedding指紋、チャットストアの回答履歴は見落とされる箇所です。
- 誤り5:power userにコレクションACLのバイパスを許す。「管理者は全部見える」は便利でとても一般的ですが、監査が悪化する単独最大の理由でもあります。特権アクセス自体がアクセス制御され、時間制限され、利用ごとに正当化される必要があります。
- 誤り6:複数案件・クライアントで1ワークスペースを使い回す。 引用とコンテキストの相互汚染は、外部に見られる前から守秘失敗です。1ワークスペース1案件・1クライアント、ACL分離、保管分離。
- 誤り7:Air-Gapを買って、テストに私物スマホを差す。 Air-Gap境界はデータを越境させ得る人を含む必要があります。エンドポイントポリシーは統制の一部であり、別件ではありません。
- 誤り8:モデルとembedderの選択を「設定して放置」と扱う。 すべてのアップグレードはDPIA、系統、監査トレイルへの含意を持つ変更管理イベントです。最初の本番展開前にアップグレードワークフローを計画してください。
出典
- GDPR全文(公式) — 一般データ保護規則の完全テキスト、条文ごとの注釈付き。
- EU AI Act全文 — リスク分類フレームワークを含む完全な規則テキスト。
- NIST AI Risk Management Framework — AIリスク評価に適用可能な米連邦ガバナンスフレームワーク。
- BDSG-Neu(ドイツ連邦データ保護法) — 業界別追加を含むGDPRのドイツでの実装。
- EDPBによるDPIAガイドライン — DPIAをいつ・どう実施するかに関する欧州データ保護理事会の指針。
- METI AI事業者ガイドライン — 経済産業省のAIガバナンス指針、日本企業のAI展開に対するベストプラクティス。
FAQ
RAGをローカルで動かせば自動的にGDPRを満たしますか?
いいえ。ローカルホスティングは越境移転の問いを解きprocessorリストを縮小しますが、第5条のGDPR原則(適法性、公正性、透明性、目的制限、データ最小化、正確性、保管制限、完全性と機密性、説明責任)は依然適用されます。第25条(データ保護バイデザインおよびバイデフォルト)、第30条(処理活動記録)、第32条(処理の安全性)、第35条(DPIA)はモデルがどこで動くかに関係なく適用されます。ローカルRAGは強力な出発点であって、完成したコンプライアンスpostureではありません。
ローカルRAG展開のEU AI Act準拠には何が必要ですか?
ユースケースを限定リスクか高リスクに分類してください。ほとんどのretrievalアシスタント展開は限定リスクで、透明性義務(ユーザーがAIとの対話を認識、生成コンテンツが識別可能)を要します。retrievalが列挙領域(信用、雇用、教育、公的サービス、法執行、移民、司法、生体、重要インフラ)の自動化決定に供される瞬間、展開は高リスクとなり、完全な義務(リスクマネジメントシステム、データガバナンス、技術文書、自動イベントロギング、透明性、人間の監督、精度と頑健性、適合性評価、市場投入後モニタリング)が適用されます。
ローカルRAGにDPIAは必要ですか?
第35条のDPIAは、データ主体に高リスクをもたらす可能性のある処理に必須です — 特別カテゴリの個人データ(医療、法的、生体、人種、政治、宗教、組合)の大規模処理や、法的効果を伴う系統的プロファイリングを含みます。規制対象のローカルRAG(法務、医療、金融、HR調査)のほとんどが範囲です。早期にDPIAを実施し、設計ドキュメントとして扱い、緩和策 — 特に削除runbook — を本番化前にリハーサルしてください。
ローカルRAG展開を部門間で共有できますか?
はい、注意して。コレクションレベルのアクセス制御、単一IDプロバイダに対するユーザー単位認証、各部門の利用に明確な適法性が床面です。DPIAは最も広い処理目的セットをカバーする必要があります。ある部門が異なる適法性を要する場合(例:HR調査が正当な利益で、臨床スタッフが公的任務で運用するとき)、別コレクション・別アクセスグループの方が、複雑なACLを持つ単一コレクションより防衛しやすいです。
誰がどの文書にアクセスしたかをどう監査しますか?
各retrievalをユーザーID、タイムスタンプ、retrieveされたchunk ID、その由来文書IDとともにログします。イベントを、アプリケーションサーバーとは別の管理下にある書込制限ログストアへ転送します(職務分離)。改ざん検知のためにハッシュチェーン付きappend-onlyストレージを使用します。保管期間は規制当局の調査ウィンドウと業界別ルールに整合させます — 規制業界では6〜7年が一般的です。
Open-source embeddingモデルはGDPRセーフに使えますか?
原則として可能、3条件付きで。第一に、重みは一度ダウンロードしてハッシュにピン留めし、何が動いていたか証明できるように。第二に、inferenceはテレメトリや外向き呼び出しなく完全にローカル — 文書だけでなくパケットキャプチャで検証してください。第三に、モデルカードとライセンスをレビューし、機密業務利用と矛盾する条項(一部のopen-weightライセンスはデータ種別やユースケースに制限を付けます)がないことを確認します。規制対象展開の現実的なデフォルトは、検証済みembedderの小リストをallowlistし、アップグレードごとに再レビューすることです。
AI生成出力のデータ系統はどうなりますか?
各生成回答は、それを生んだchunk ID、モデル識別子、プロンプトテンプレートバージョン、タイムスタンプを参照する必要があります。chunkはさらに文書IDへ、文書IDはソース文書へ解決されます。このチェーンが、回答の検証、異議に対する防御、削除請求の履行、後の結果再現を可能にします。それなしでは「AIがそう言った」が監査時の防御となり、それは防御ではありません。
クライアント機密文書にローカルRAGを使えますか?
しばしば可、時に不可。多くの外部弁護士契約、M&A NDA、患者データ契約は、データが定義された境界を越えず特定の統制が満たされる限り、AI支援レビューを許可します。ローカルRAGは構造的に境界要件を満たします。契約固有の統制リスト(暗号化、アクセス、監査、保管、違反通知)は引き続き遵守する必要があります。契約がAI処理を完全に禁じる場合、どの展開パターンも修復できません — 禁止はAIがローカルかリモートかを問わず適用されます。
コンプライアンスにはどのloggingが必要ですか?
Ingestイベント(文書ID、ハッシュ、ソース、アップロード者、タイムスタンプ、分類)、Retrievalイベント(ユーザーID、クエリメタデータまたはハッシュ、retrieveされたchunk ID、回答参照、モデル/embedder識別子)、管理イベント(モデル昇格、embedder変更、ACL変更、ユーザー/グループ変更)、運用イベント(バックアップ、復元、鍵ローテーション)。すべてのイベントを別ログストアへ転送、append-only、ハッシュチェーン化、案件・業界要件に従って保管。
RAGで忘れられる権利の請求にどう対応しますか?
各層を通して削除を導く文書化されたrunbookで:ソース文書ストア、ベクトルインデックス、キャッシュ済みembedding、retrievalログ保管(適法性がログエントリ削除を許す場合)、チャット履歴に保存された回答。ソース削除は単純、ベクトルインデックス再構築はよく理解されています。キャッシュ済みembeddingと回答履歴がほとんどの展開が見落とす箇所です。runbookを合成データでリハーサルし、リハーサルを文書化し、runbookをインシデント対応プロセスに連動させて、実請求がリハーサル済みシーケンスを発動し即興にならないようにしてください。
ローカルLLMデプロイメントでMETI AIガバナンス2024をどう適用しますか?
経済産業省の「AI事業者ガイドライン(2024年)」は、AI開発者・AI提供者・AI利用者に対し、リスクベースアプローチ、データガバナンス、人間中心の意思決定、説明責任、適切なログ管理を求めます。ローカルRAG展開は構造的にこのガイドラインのいくつかの推奨を満たしやすい設計です:データが社外に出ないため越境移転リスクが除外され、自社ハードウェア上のログ保管によりトレーサビリティが確保され、組織内権限管理によりアクセス統制が明確になります。実務上のステップは:(1)RAGの「AI利用者」としての位置付けを明確化、(2)社内AIガバナンス文書(基本方針、リスク管理プロセス、責任者の任命)を整備、(3)上記の6統制を実装してMETIガイドラインの「説明可能性」「監査可能性」を満たす、(4)機微情報(個人情報保護法上の要配慮個人情報、不正競争防止法上の営業秘密)を扱うコレクションには厳格なRBACとアクセスログを適用、(5)モデル・embedder変更ごとに影響評価を実施。GDPRと併存する場合、両方の最も厳格な要件を採ることでメティとEU両当局に対する防御が成立します。
日本企業のエンタープライズ展開で、ローカル推論で機微情報のセキュリティをどう確保しますか?
日本のエンタープライズ展開では、On-Premまたは国内データセンター内のプライベートクラウドが現実的な選択肢です。具体的には:(1)ハードウェア — 国内ベンダーのGPUサーバー(NVIDIA H100/L40S搭載モデル等)または国内DCホスティングを採用し、物理的データレジデンシーを確保、(2)認証 — 既存のActive Directory、Keycloak、Microsoft Entra IDとフェデレーション、MFAを必須化、(3)ネットワーク — 専用VLAN内に閉じ、egress allowlistでモデル更新サーバー以外を遮断、(4)監査 — 既存のSIEM(Splunk、Microsoft Sentinel等)に統合、改ざん検知のためのハッシュチェーン付きログを実装、(5)業界別準拠 — 金融機関ならFISC安全対策基準、医療なら3省2ガイドライン(厚労省・経産省・総務省の医療情報安全管理関連ガイドライン)、政府なら政府情報システムのためのセキュリティ評価制度(ISMAP)に整合させる、(6)サプライチェーン — モデル重みのハッシュピン留めと、embedder・LLMのライセンス確認(Apache 2.0、MIT等の業務利用可ライセンスを優先)、(7)組織体制 — DPO相当の責任者を任命、四半期アクセスレビューを実施。典型的な中堅・大企業展開は、エンタープライズGPU 2基のオンプレサーバー、Active Directory連携、Qdrant/Weaviate/pgvectorのいずれかをベクトルストアとして採用、Splunk/Sentinelへのログ集約という構成で、8〜12週間で本番化可能です。