クイック回答
DeepSeek APIは主要LLMの中でGDPRリスクが最も高い。サーバーが中国の個人情報保護法(PIPL)に従属し、中国にEU十分性認定がなく、利用規約が中国当局とのデータ共有を明示的に留保しています。DeepSeekのローカルオープンウェイトモデルはリスクプロファイルが異なり、はるかに低いリスクです。
更新: 2026-05
重要なポイント
3つの累積的要因がDeepSeek APIをGDPR規制データに対して最もリスクの高い主要LLMにしています。第一:サーバーが中国にあり、すべてのAPI呼び出しがGDPR第44条の第三国転送になります。第二:中国はEU十分性認定を取得していません。第三:中国の個人情報保護法(PIPL)は中国で事業を行う組織に国家要求時のデータ提供を義務付けています。
中国への転送にはSCCが有効な法的手段です。ただしPost-Schrems II以降、組織はSCCが実際に保護を提供するかどうかを評価するTIAも実施する必要があります。中国では、PILPが契約上の保護を覆すことができるため、感度データについてTIAをパスすることは困難です。
これはすべての個人データ(HR記録、顧客情報、医療ノート、法的書類)に適用されます。プロンプトにこれらのデータが含まれている場合、DeepSeek APIはSCCだけでは解決できない規制上のリスクを生じさせます。
DeepSeekオープンウェイトモデル(R1、V3、Coder V2)はAPIとは別製品です。Apache 2.0でリリースされており、DeepSeekサーバーへの接続なしにローカル実行できます。ローカル重みの実行はGDPR第44条の転送問題を完全に排除します——ローカルQwenやLlamaと同様です。
ローカルDeepSeek R1 7BまたはBは6〜8 GB VRAM GPUでOllama経由で快適に動作します。R1は7Bティアで最高の推論モデルの一つです。コーディングタスクにはDeepSeek Coder V2の小型バリアントが利用可能です。
ローカルDeepSeekの残る問題:モデル訓練。DeepSeekは訓練データの詳細を完全には公開していません。医療・法務・政府などの高保証環境では、この不確実性はローカル展開でも関連性を持つ場合があります。Qwen 2.5とLlama 4は訓練データの出所についてより透明です。
| 展開方法 | GDPRリスク | 理由 | 推奨アクション |
|---|---|---|---|
| DeepSeek API | 最高 | 中国サーバー、PIPL、十分性認定なし | 個人・機密データには使用を避ける |
| DeepSeek ローカル(R1/V3) | 低 | 転送なし、Apache 2.0重み | 許容可能;訓練データの不透明性に注意 |
| Qwen ローカル(2.5/3) | 低 | 転送なし、Apache 2.0、訓練情報公開済み | データ機密用途に推奨 |
| Claude / OpenAI API | 中 | US管轄;EUリージョンはリスクを軽減するが排除しない | SCC + DPA必要;EUリージョン推奨 |
