コンプライアンス2026年5月13日 | FlexyConsent

EU AI Actとクッキー同意（2026年）：プロファイリング、レコメンダーシステム、ターゲティング広告が新たな規制スタックにどう位置づけられるか

EU AI Act（規則2024/1689）は2024年8月に発効し、その規定は複数年にわたる段階的な展開で施行されています。禁止行為に関する規則は2025年2月に発効し、汎用AIの義務は2025年8月に発効しました。高リスクシステムの義務の大部分は2026年から2027年にかけて施行されます。2026年の始まりにおいて、AI Actはもはや将来の懸念事項ではなく、EUユーザーのプロファイリング、スコアリング、またはランキングにAIを使用するあらゆるシステムに対してGDPRの上に重なる現行規制です。レコメンダーシステムを運用するパブリッシャー、パーソナライゼーションエンジンを運用するアドバタイザー、自動化されたオーディエンススコアリングを実行するアドテクベンダーにとって、AI ActはGDPRだけではカバーされなかった新たなコンプライアンス次元を追加します。それは、ユーザーがデータ処理に同意したかどうかだけでなく、AIシステム自体が設計、透明性、監視、および説明責任の要件を満たしているかどうかという問題です。このガイドでは、AI Actの構造、クッキー同意およびGDPRプロファイリング規則との交差点、2026年の義務が実際に何を要求するか、そしてパブリッシャーとアドバタイザーがGDPRとAI Actを組み合わせたコンプライアンス対応についてどう考えるべきかを説明します。

2026年におけるAI Actの構造

AI Actは世界初の包括的な水平的AI規制です。リスク段階型アーキテクチャが、どの義務がどのシステムに適用されるかを理解する鍵です。

リスク階層

同法はAIシステムをリスクに基づいて4段階に分類します：

禁止システム——操作的なサブリミナル技術、脆弱性の搾取、公的機関による社会的スコアリング、特定の生体認証分類および感情認識など、完全に禁止される行為
高リスクシステム——特定の高度なリスクを伴う状況で使用されるシステムで、リスク管理、データガバナンス、透明性、人的監視、精度要件など、同法の実質的義務の大部分が適用される
限定リスクシステム——AIによるコンテンツレコメンダーや、ユーザーと直接対話するチャットボットを含む、特定の透明性義務を持つシステム
最小リスクシステム——その他すべてで、一般的な自主行動規範のみが適用される

広告およびレコメンダーシステムの位置づけ

広告向けAIの大部分——オーディエンススコアリング、プログラマティック入札最適化、コンテンツレコメンダー、パーソナライゼーションエンジン——は高リスク階層ではなく限定リスク階層に位置します。これは安心できるように聞こえますが、限定リスク階層でも意味のある透明性義務が課されており、いくつかのエッジケースでは特定のシステムがより高い階層に押し上げられます。特に重要なのは、禁止行為の規則が操作または搾取の領域に踏み込む場合は広告システムにも及ぶ可能性があり、EDPBはこれらの規定を広く解釈する意向を示しているという点です。

段階的施行

2026年のカレンダーは重要です。新しいシステムに対する高リスク義務は2026年8月に施行され、すでに市場に出ているシステムに対する高リスク義務は2027年に施行されます。また、汎用AIプロバイダーの義務はすでに施行されています。パブリッシャーとアドバタイザーはAIインベントリをこのカレンダーと照合して、いつ、どの義務が適用されるかを把握する必要があります。

AI ActがGDPRに重なる仕組み

AI ActはGDPRに取って代わるものではありません。その上に重なるものです。AIによる出力を生成するために個人データを処理するシステムは、両方の規制を満たす必要があり、その義務は代替ではなく追加的なものです。

GDPRレイヤー

GDPRは引き続き個人データ処理の適法性を規律します。広告プロファイリングへの同意、計測のための適法根拠、データ主体の権利クラスター、国境を越えたデータ移転義務——これらはすべて変更なく引き続き適用されます。

AI Actレイヤー

GDPRの上に、AI Actは特にAIシステム自体に関する義務を追加します。訓練方法、訓練に使用されたデータ、出力の文書化方法、監視メカニズムの存在、ユーザーが受け取る透明性などです。これらの義務は、基礎となるデータ処理が同意ベース、契約ベース、またはその他の適法根拠に基づくかどうかに関わらず、AIシステムに付随します。

実際的な意味

個人データに基づいてコンテンツレコメンダーを運用するパブリッシャーは、データ処理に対する有効なGDPRの適法根拠と、AI Actに基づく準拠した透明性開示の両方が必要です。どちらか一方だけでは不十分です。コンプライアンス対応は今や真に二次元的であり、文書化チェーンは両方の軸をカバーしなければなりません。

禁止行為と広告

同法の禁止行為リストは短いですが重大であり、いくつかの項目は広告設計に影響を与えます。

操作的手法

同法は、重大な害をもたらす可能性のある形で、サブリミナル技術、操作的慣行を展開したり、特定のグループの脆弱性を搾取したりするAIシステムを禁止しています。ほとんどの広告設計はこの線に近づきませんが、AIによるプロファイリングを用いて特定された脆弱性（経済的困窮、精神的健康状態、依存パターン）をターゲットにする広告はこれを超える可能性があります。EDPBは初期のガイダンスでこの点を指摘しています。

生体認証分類

同法は、人種、政治的意見、労働組合員資格、宗教的信念、性的生活、または性的指向などの機密属性を推論する生体認証分類を禁止しています。これらの属性を推論する生体認証データから構築されたオーディエンスセグメントは、現在禁止領域にあります。

特定の状況における感情認識

感情認識は職場および教育の状況では禁止されています。それらの状況以外での広告感情検出のユースケースは依然として許可される場合がありますが、より厳しい精査に直面します。

限定リスクの透明性義務

これが2026年においてパブリッシャーとアドバタイザーのAI Actコンプライアンス作業の大部分が位置する場所です。

レコメンダーシステムの開示

ユーザーが見るコンテンツをパーソナライズするコンテンツレコメンダー——パブリッシャーのホームページ、アプリ内フィード、またはプログラマティック広告配置のいずれであっても——は限定リスク階層に該当します。ユーザーはAIシステムと対話していることを知らされなければならず、対話のAI的性質が明確になるようにシステムを設計する必要があります。

チャットボットの開示

会話形式でユーザーと直接対話するAIシステムは、そのAI的性質を開示しなければなりません。カスタマーサポート、コンテンツ発見、またはその他の目的でAIチャットインターフェースを運用するパブリッシャーとアドバタイザーは、このベースラインを満たす必要があります。

合成コンテンツの開示

AIが生成した画像、音声、動画、テキストコンテンツはそのようにマークしなければなりません。編集コンテンツ、広告クリエイティブ、または製品画像でAI生成のビジュアルやテキストを使用するパブリッシャーは、マーキング義務を適用する必要があります。2026年の実施ガイダンスでは、ビジュアルコンテンツの透かし基準を含む、マーキングの技術仕様が明確化されています。

2026年における統合同意サーフェス

CMPとプライバシー通知は、今や両方の規制に対応する役割を果たさなければなりません。2026年のパブリッシャーCMPは、2024年版よりも意味深く精巧になっています。

粒度の高い同意目的

CMPは、一般的な広告、広告向けプロファイリング、自動化された意思決定、レコメンダーパーソナライゼーションを区別する同意目的を公開します。それぞれがAI ActおよびGDPRの特定の境界にマッピングされ、それぞれが独自の明示的な同意を必要とします。

AIシステムの開示

プライバシー通知または付随するAI開示文書には、使用中のAIシステム、その目的、入力データのカテゴリー、出力の大まかなロジック、および設置されている人的監視メカニズムが記載されます。これはGDPR第22条の自動化された意思決定の開示を超えるもの——より充実したAI透明性のストーリーです。

異議申し立ての権利

GDPRのプロファイリングへの異議申し立て権は引き続き適用され、AI ActはAIによるレコメンダーパーソナライゼーションに関するさらなるユーザー権利を追加します。ユーザーは基礎となるサービスへのアクセスを失うことなくレコメンダーパーソナライゼーションをオプトアウトでき、オプトアウトはオプトインと少なくとも同等に簡単でなければなりません。

2026年に機能する運用パターン

成熟した2026年プログラムを運用するパブリッシャーとアドバタイザーは、いくつかの運用パターンに収束しています。

AIインベントリ

パブリッシャーまたはアドバタイザースタック全体で使用されているすべてのAIシステムのライブインベントリを維持します。システム、同法に基づくリスク階層、処理する個人データ、GDPRに基づく適法根拠、適用された透明性開示、設置されている人的監視などです。これは基盤となるコンプライアンス成果物であり、規制当局が最初に確認を求めるものです。

統合プライバシー通知

GDPRとAI Actの両方の義務を一貫したナラティブで取り扱う、単一の統合されたプライバシーおよびAI透明性通知——オーディエンスに適切な言語（ポルトガル語、ドイツ語、フランス語など）で。2つの別々の開示を維持しようとすると、矛盾と読者の混乱を招きます。

ベンダーAI監査

パブリッシャーに代わってAIによる出力を処理するすべての広告またはアナリティクスベンダーについて、契約はAI Actの義務の配分、技術文書へのアクセス、およびインシデント通知を取り扱わなければなりません。2023年の標準的なデータ処理契約はAI Actに対応しておらず、更新が必要です。

罰則と執行姿勢

AI ActはGDPRの上限を超える可能性のある制裁金を伴う段階的な罰則体制を導入しています。

罰則の階層

禁止行為違反に対してEUR 3,500万または世界年間売上高の7%まで
その他の大部分の実質的な違反に対してEUR 1,500万または3%まで
不正確な情報の提供に対してEUR 750万または1%まで

執行アーキテクチャ

各加盟国はAI Act執行のための国家管轄当局を指定し、欧州AIオフィスが汎用AIモデルの監督を調整します。パブリッシャーとアドバタイザーに対する執行は主に、既存のデータ保護当局との緊密な連携のもとで国家当局を通じて行われます。最初の重要なAI Act執行措置は、高リスク義務が完全に施行される2026年を通じて予想されています。

2026年のAIを活用した広告の監査チェックリスト

リスク階層分類を含む、スタック内のすべてのAIシステムのライブインベントリ
個人データを処理するすべてのAIシステムについて文書化されたGDPRの適法根拠
レコメンダーパーソナライゼーションとチャットボットを含む、すべての限定リスクシステムに適用されたAI Act透明性開示
AIが生成したクリエイティブ、画像、音声、動画に適用された合成コンテンツマーキング
関連する地域言語での統合されたプライバシーおよびAI透明性通知
CMPがプロファイリング、自動化された意思決定、レコメンダーパーソナライゼーションを個別に同意可能な目的として公開している
オーディエンスセグメントが禁止された生体認証分類リストに対してレビューされている
ベンダー契約がAI Actの義務の配分に対応するように更新されている
高リスクの境界に近づくシステムについて人的監視メカニズムが文書化されている
データ主体およびAI Actのユーザー権利ワークフローが、適用される応答期間内にオプトアウト、説明、および人的レビューの要求に対応できる

2026年の見通し

AI ActはGDPRに取って代わるものではありません——その上に積み重なるものであり、統合されたサーフェスはどちらの規制単独よりも意味深く精巧です。AIによるパーソナライゼーション、プロファイリング、レコメンダーシステム、または生成コンテンツを運用するパブリッシャーとアドバタイザーにとって、2026年はコンプライアンスアーキテクチャが純粋なGDPR姿勢を超えて成熟しなければならない年です。AI Actを将来の懸念事項として扱っている人々は、国家当局が2026年を通じて2027年にかけて最初の執行措置を発動するに伴い、未来が予想より早く到来することを発見するでしょう。最初から統合コンプライアンスを構築している人々は、そのアーキテクチャが報われることを発見するでしょう。AI Actの透明性義務は適切に実施されれば、GDPRの同意と信頼のストーリーも強化し、ライブAIインベントリを維持するという運用規律は規制コンプライアンスをはるかに超えて有用であることが証明されます。