何が起きたか
2026年6月2日、シンガポール個人情報保護委員会(PDPC)は、IMDAの支援を受けて、生成型AIにおける個人データの使用に関する提案諮問ガイドラインを公表し、2026年7月1日に終了する公開協議を開始した。ガイドラインは、個人情報保護法2012(PDPA)が生成型AIライフサイクル全体(開発、展開、展開後)にどのように適用されるかを明確にする。主な規定:(1) 組織は、定義された条件下でWebスクレイピングを通じて個人データを収集するために「公開利用可能例外」に依拠してもよい;(2) 個人データを使用してモデルを学習または微調整する前に、AI固有の通知が必要である — 使用される個人データが何であるか、それがモデルをどのように学習するか、およびどの機能がそれを使用するかの開示を含む;(3) データ保護責任はモデルプロバイダー、システムプロバイダー、およびシステムデプロイヤー間で配分される;(4) 個人データにアクセスして修正するための個人のPDPA権はGenAI環境に適用される。
なぜ重要か
シンガポールのPDPCはアジア太平洋地域で最も影響力のあるデータ保護規制当局の1つであり、そのガイドラインは地域全体で注視されている。これらの提案ガイドラインは、GenAIライフサイクルの最初の詳細なPDPA解釈であり、重要なギャップを埋める。3層アカウンタビリティモデル(モデルプロバイダー/システムプロバイダー/システムデプロイヤー)はEU AI法のサプライチェーンロジックに密接に反映されており、地域テンプレートになる可能性が高い。2026年7月1日の協議期限は差し迫っている — シンガポール事業またはデータ主体を持つ組織は、2026年後半に予想される最終ガイドラインに対応または準備を整える必要がある。
必要な対応
2026年7月1日までに協議への回答を送付する。ギャップ分析を開始する:(a) 公開利用可能例外基準に対して、GenAIモデルの学習または微調整に使用されたデータを監査する;(b) モデル学習使用のためのAI固有のデータ通知を設計する;(c) モデルプロバイダー/システムプロバイダー/システムデプロイヤーチェーン全体のアカウンタビリティをマッピングする;(d) GenAI環境での個人アクセス/修正リクエストを処理する準備をする。