何が起きたか
イタリアのデータ保護当局(Garante per la protezione dei dati personali)は、生成AI コンパニオンプラットフォームCharacter.AIの米国所有企業であるCharacter Technologies Inc.に対して、複数のGDPR違反で158,000ユーロの罰金を科した。Garanteは、個人データ処理に関するユーザーへの不十分な情報提供、未成年者向けの不十分な年齢確認保護措置(ブロックされた未成年者による重複登録試行を防止する「クーリングオフ」期間の失敗を含む)、データ保護影響評価(DPIA)の完了遅延、およびEU代理人の任命遅延を発見した。命令により、Character Technologiesは年齢確認システムの改善、ブロックされた未成年者の再登録防止メカニズムの強化、およびマイナーユーザープロフィールのデフォルトプライベート設定を要求されている(報告によれば120日以内のコンプライアンス期限)。
なぜ重要か
これは生成AIコンパニオン/チャットボットサービスの児童安全およびデータ処理慣行を特に対象とした具体的なGDPR執行措置であり、Garanteが欧州で最も活動的なAI規制当局の1つとしての実績を続けている(2023年にはChatGPTを禁止した)。これは、EU データ保護当局がAIコンパニオンアプリに対する年齢確認およびDPIA義務を積極的に執行していることを示しており、EU AI法そのものとは異なる成長中の執行ベクトルであり、EUユーザーを持つあらゆる生成AIサービス、特に未成年者がアクセス可能なサービスに直接の影響を与えている。
必要な対応
EU内で運営するAIコンパニオン/チャットボットプロバイダーは、年齢確認の有効性を監査し、未成年者を含む処理の前にDPIAが完了されていることを確認し、GDPR第27条に基づき必要な場合はEU代理人を任命し、マイナーユーザーのデフォルトプライベートプロフィールを設定すべきである。Character Technologiesはコンプライアンス期限内にGarante指示の修正を実装する必要がある。