2026年2月17日、アイルランドのデータ保護委員会(DPC)が、XのAIチャットボット「Grok(グロック)」に対する正式調査を開始したとロイターが報じた。個人データ処理と性的画像生成を巡る問題が焦点で、EU規制の本格適用が現実味を帯びている。
DPCがGrokをGDPR違反で正式調査
アイルランドのデータ保護委員会は17日、Xが提供する対話型AI「Grok」について、個人データの処理方法および有害な性的画像・動画生成の可能性を巡り、正式な調査を開始したと発表した。調査開始の決定は16日にXへ通知されたという。
DPCはXにとって欧州連合(EU)域内の主要規制当局にあたる。これは、XのEU事業拠点がアイルランドに所在するためである。調査は一般データ保護規則(GDPR)(※)に基づき実施され、違反が認定された場合、企業の世界売上高の最大4%に相当する制裁金を科す権限を有する。
Grokを巡っては、実在人物の画像を無断で性的な姿に加工できるとして世界的な批判が高まっていた。今回の調査は、Xが処理した個人データについてGDPR上の義務を順守していたかどうかを判断することが目的とされる。
※GDPR:2018年に施行されたEUの一般データ保護規則。EU域内の個人データを扱う企業に広く適用され、重大違反には世界売上高の最大4%の制裁金を科すことができる。
規制強化の波 企業に迫る選択
今回の調査は、生成AI企業にとって重大な前例となるだろう。
GDPRは域外企業にも適用されるため、EU市民のデータを扱う限り、グローバル企業も例外ではない。違反認定がなされれば、巨額の罰金のみならず、データ処理方針やモデル設計の見直しを迫られることとなる。
仮に今回の一件で制裁が課された場合、開発スピードを武器にしてきたAI企業にとっては、コスト増大と事業リスク拡大というデメリットが顕在化する。
一方で、規制の明確化は市場の不確実性を低減する側面も持つ。個人データ利用の許容範囲が具体化すれば、企業はコンプライアンスを前提とした戦略を描きやすくなる。
透明性が高まることで、信頼性を重視する企業や投資家にとっては参入判断の材料が整うと言える。
今後、EUが厳格な姿勢を示せば、他国当局も同様の調査に踏み切る可能性がある。
生成AIの表現自由と人格権保護の均衡をどう取るのか。今回の動きは、AI時代の国際ルール形成を占う重要な分岐点になると考えられる。
関連記事:
Grokの性的画像加工が波紋 約300万枚生成と推計、実在人物と子ども被害も
