ひとことで言うと
EU 一般データ保護規則。個人データの取り扱いを厳格化した法規制。
GDPR(一般データ保護規則)は、EUが2018年に施行した個人データ保護の包括的な法律です。EU域内の人々のPII(個人データ)を扱うすべての事業者が対象で、たとえ会社が日本にあっても、EU在住者のデータを扱えば適用されます。違反時の制裁金が非常に高額(最大で全世界売上の4%等)なことでも知られます。
本人の同意取得、利用目的の明示、削除請求(忘れられる権利)への対応などが求められます。生成AIの実務では、ClaudeにEU利用者のデータを送る際の同意や保存場所、学習に使われないかの確認が論点になります。アクセス権をRBACで絞り、データの流れを記録しておくことが対応の基本です。なおGDPRはあくまでデータ保護の法律で、AI固有のリスクは別途EU AI Actが規律する点を区別しておくと理解しやすくなります。